Un senatore della US Senate Intelligence Committee afferma che le agenzie di intelligence dovrebbero essere soggette agli stessi standard del resto del governo, considerando le carenze che hanno dimostrato in questi anni.
di Patrick Howell O’Neill
Le agenzie di intelligence americane continuano a mostrare buchi nei sistemi di sicurezza, a distanza di qualche anno dai documenti trafugati da Edward Snowden, Chelsea Manning e Joshua Schulte. In una lettera al direttore dell’intelligence nazionale John Ratcliffe, il senatore Ron Wyden utilizza un rapporto interno della CIA del 2017 per descrivere in dettaglio i modi in cui la comunità dell’intelligence non è riuscita a proteggersi adeguatamente.
“La comunità dell’intelligence è ancora in ritardo e non è riuscita ad adottare le più basilari tecnologie di sicurezza informatica diffuse in altri settori del governo federale”, scrive Wyden. Il rapporto, arrivato in forma revisionata al “Washington Post”, descrive in dettaglio come l’unità di hacking d’élite dell’agenzia in possesso di armi informatiche offensive non sia riuscita a proteggere alcuni documenti, in cui sono descritte in dettaglio le attività della Central Intelligence Agency degli Stati Uniti per eseguire la sorveglianza elettronica e la guerra informatica, che nel 2017 sono stati pubblicati da WikiLeaks con il nome “Vault 7”. Alcuni funzionari americani hanno detto che è stata la più grande perdita di dati nella storia della CIA.
Nella sua lettera, Wyden identifica tre punti di debolezza e sostiene che il Congresso dovrebbe assoggettare le agenzie di intelligence ai normali requisiti federali di cibersicurezza. “E’ evidente che esentare la comunità dell’intelligence dalle norme di sicurezza degli altri enti federali è stato un errore”, egli scrive.
Le carenze sono interne
Il rapporto della CIA del 2017 documenta la vicenda in cui WikiLeaks ha pubblicato oltre 8.000 pagine di documenti “Vault 7” che hanno offerto una visione senza precedenti delle capacità dell’agenzia di hackerare vari sistemi operativi, telefoni cellulari e app di messaggistica. L’ex dipendente della CIA, Schulte, è stato accusato e dichiarato successivamente non colpevole di aver rubato gli strumenti di hacking e di averli poi consegnati a WikiLeaks per la pubblicazione.
A marzo, Schulte è stato dichiarato colpevole di oltraggio alla corte e di aver fatto false dichiarazioni all’FBI, ma la giuria del processo non si è espressa sul fatto che avesse raccolto e trasmesso illegalmente informazioni sulla difesa nazionale. Dopo l’annullamento, Schulte affronta la prospettiva di un nuovo processo.
Il furto ha preso di mira l’unità di hacking d’élite della CIA, nota come Center for Cyber Intelligence, e il rapporto interno afferma che l’agenzia non avrebbe mai saputo del furto dei 34 terabyte di dati sequesti ultimi non fossero stati pubblicati. In effetti, l’agenzia ammette di non conoscere ancora l’entità precisa della perdita perché i sistemi colpiti “non richiedevano il monitoraggio delle attività o altre garanzie”.
Il rapporto ha creato un contrasto tra le falle dei “sistemi di missione” dell’unità di hacking CCI e il successo generale delle azioni di cibersicurezza della CIA che rappresentano la parte del leone nella rete di computer della CIA. Il rapporto afferma che le armi informatiche dell’unità erano ampiamente aperte a chiunque avesse accesso alla rete della missione e che la rete mancasse delle normali capacità di monitoraggio e audit. Una lunga serie di “carenze” ha permesso alla sicurezza di cadere in fondo all’elenco delle priorità.
“Mentre la CIA era uno dei leader nella protezione del sistema informatico aziendale nazionale, non siamo riusciti a correggere le vulnerabilità interne”, si legge nel rapporto. “Le pratiche di sicurezza quotidiane erano pericolosamente rilassate”.
Problemi di sicurezza
Per le agenzie di spionaggio americane, l’ultimo decennio è stato punteggiato da più violazioni dei dati di alto profilo seguite da ripetute richieste di cambiamento sistematico della sicurezza informatica. Agenzie di intelligence come la CIA e la National Security Agency erano state esonerate dalle regole imposte dal Congresso al resto del governo federale. L’aspettativa era che avrebbero facilmente superato quegli standard, ma ciò non è accaduto.
In effetti, un comitato di controllo della comunità dell’intelligence statunitense ha pubblicato un rapporto nel 2019 esortando le agenzie a migliorare i loro controlli sui materiali classificati, per contrastare il tipo di minacce interne che hanno punteggiato l’ultimo decennio, tra cui il caso Snowden e il trafugamento di decine di migliaia di documenti riservati, relativi alla guerra in Iraq, da parte di Manning.
Tra le questioni evidenziate da Wyden vi è l’incapacità della comunità dell’intelligence di adottare DMARC, un protocollo di autenticazione e-mail che protegge dagli attacchi di phishing comuni e decisamente efficaci, nonostante una direttiva del 2017 che imponga alle agenzie federali di farlo. Nel frattempo, le agenzie di intelligence non hanno ancora protetto i domini .gov con autenticazione a più fattori, nonostante l’avvertimento a gennaio 2019 da parte del Dipartimento per la sicurezza nazionale che il sistema era stato preso di mira dagli hacker iraniani.
Un rapporto dell’Intelligence Community Inspector General pubblicato nel 2019 ha concluso che 20 raccomandazioni relative alla sicurezza non sono state attuate. Le buone notizie per la CIA nel rapporto hanno a che fare con la “cartella d’oro” dei file più sensibili dell’agenzia, inclusi tutti gli strumenti di hacking e il codice sorgente. Secondo le conclusioni della task force interna, questo materiale non è stato rubato grazie a un sistema di protezione più avanzato e al fatto che era troppo grande per essere facilmente esportato.
Il direttore della National Intelligence ha ricevuto la lettera di Wyden e sta attualmente lavorando a una risposta, ma alla fine spetta al Congresso decidere se le agenzie di intelligence americane hanno bisogno di nuove regole in modo che possano soddisfare gli stessi standard di sicurezza informatica del resto del governo federale.
Immagine: La CIA non sa ancora esattamente quanti documenti siano stati trafugati nel 2016. CIA
(rp)
