Perchè Wikileaks fa bene alla sicurezza

Al di là delle valutazioni di merito sull'operato dell'organizzazione guidata da Assange, su quanto siano giuste ono le sue azioni di divulgazione, e al di là delle considerazioni sui contenuti dei dispacci pubblicati, che peraltro sembrano in molti casi dimostrare con chiarezza dei concetti che implicitamente erano già dominio o del pubblico o dei governi, dal punto di vista di un operatore dell'Information Security, Wikileaks non può che condurre a risvolti positivi.
Quale migliore opera di Security Awareness della divulgazione di documenti secretati su ogni giornale, televisione e sito di news? Quale migliore dimostrazione dell'insicurezza di quella di un mito dell'opinione pubblica come il Dipartimento della Difesa degli Stati Uniti d'America, ormai protagonista delle discussioni nei social network, nei forum e nel bar sotto casa?
C'è quindi da chiedersi come mai è stato possibile aggregare ben 1.6 GB di documenti dal database di SIPRNet, la rete del Dipartimento della Difesa statunitense.
Quello che si può supporre è che i controlli siano un poco laschi, per varie ragioni, tra cui quella di permettere un accesso ai documenti più accessibile (sono supposizioni, naturalmente).
Vediamo allora qualche numero:

• 251.297: è il numero totale dei documenti in corso di divulgazione da Wikileaks;
• 133.887 i documenti non classificati o per solo uso "ufficiale";
• 101.748 sono i documenti confidenziali;
• 15.662 sono i documenti classificati come "segreti".

Anche se il numero di documenti segreti è 1/16 del totale, 15.662 documenti segreti costituiscono una fuga di informazioni impressionante.
E' lecito a questo punto porsi alcune domande:

1. davvero i documenti segreti erano gestiti in un database insiema a tutti gli altri?
2. qual è il livello di protezione richiesto per i vari livelli di questi documenti?
3. esiste un controllo dell'accesso in base al ruolo (RBAC - role base access control)?
4. perchè i documenti non sono stati crittografati?

Alla fine dei conti, è fin troppo facile accusare Wikileaks di essere responsabile di svonvolgimenti diplomatici (peraltro, ho molte riserve sulla possibilità che questo si realizzi).
Anche in questo caso si tratta di un concorso di colpe: se il controllo dell'accesso ai documenti o la loro classificazione fosse stata più efficace, forse questa fuga di informazioni non avrebbe avuto luogo. Esistono procedure e strumenti per mettere in opera una classificazione delle informazioni veramente efficace nonché un controllo accessi efficiente.
Per illustrarvi come potrebbe aver avuto luogo la fuga di informazioni, vi faccio un paragone: un'ipotetica agenzia di una banca ha un sistema di sicurezza tale per cui, quando dei rapinatori riescono ad accedere all'interno degli uffici, vengono bloccate tutte le porte di accesso. Ad eccezione di una, perché è sfuggita in sede di analisi, o perché il cavo elettrico è staccato, o perché, ancora, erano finiti i soldi in fase di realizzazione, e l'ufficio dei Servizi Generali ha detto:"Ma sì, è una porta sola, e pure nascosta. Figurati se la useranno mai." I rapinatori, che hanno un basista all'interno della banca, lo sapevano e scappano da lì.
Le frodi e le fughe di informazioni avvengono anche (se non soprattutto) in questo modo: per disattenzione o incuria di chi deve controllare.
E quindi, dove sta la colpa?

Potrebbero interessarti anche :

• Quale sarà l’evento più controverso dell’autunno nel piccolo schermo?

• American Idol XIV: sbarca su Sky Uno un altro tra i talent più celebri al mondo

• ZTE lancerà una compagnia spin-off chiamata Axon

• SPOILER su Falling Skies, Devious Maids, Orphan Black, Mistresses, The...