Tecnologia
October 24 2012
È sempre un bene tornare sui propri errori o supposizioni. Meno di una settimana fa avevamo scritto della (probabile) impossibilità per il Ministro dell’Interno di controllare Facebook. Per farlo, come è scritto nella pagina del Centro per la sicurezza di Facebook, ci sarebbe bisogno di una rogatoria internazionale. Ma, a quanto sembra, non è così.
Nel giorno in cui Anonymous ha pubblicato circa 3.500 documenti della Polizia Postale italiana, spunta un documento (anche se potrebbe non essere direttamente connesso al furto degli hacker) nel quale si legge che ogni funzionario di Polizia del territorio italiano può richiedere a Facebook di avere dati, informazioni e contatti dei suoi iscritti.
Allegato al post, pubblicato su Facebooke non più disponibile, c’è anche una comunicazione scritta. Potrebbe essere una bufala è vero, se non fosse che il link citato esiste davvero ed è pienamente funzionante. Pochi ne erano a conoscenza, e scommettiamo che gli utenti italiani non sapessero nemmeno dell’esistenza del link, chiamato “Law Enforcement Online Requests”. Il fatto è che una sezione del genere è obbligatoria negli Stati Uniti, dove il social network ha realizzato la “spying guide” per le forze dell’ordine, che vengono guidate passo dopo passo nella richiesta di informazioni personali degli iscritti.
Esiste una profonda discrepanza tra quanto dice il social network nel suo Centro per la sicurezza e quello che le forze dell’ordine possono effettivamente fare. Nelle linee guida Facebook dice che:
- per obbligare Facebook a rivelare dati essenziali sui propri utenti, tra cui nomi, data di registrazione, dati di carte di credito, indirizzi e-mail e, se disponibile, un indirizzo IP da cui è stato effettuato l'accesso di recente, è necessario che venga emesso un mandato di comparizione valido nell'ambito di un'indagine ufficiale [(ai sensi del Titolo 18 U.S.C., Articolo 2703(c);
- per obbligare Facebook a rivelare informazioni specifiche o altri dati relativi agli account, tra cui intestazioni di messaggi e indirizzi IP, in aggiunta ai dati essenziali sugli utenti di cui sopra, è necessaria un'ingiunzione del tribunale, come previsto dal Titolo 18 U.S.C., Articolo 2703(d). Sono invece esclusi i contenuti delle comunicazioni;
- per obbligare Facebook a rivelare i contenuti memorizzati su un qualsiasi account, tra cui messaggi, foto, video, post in bacheca e informazioni sui luoghi, è necessario che, alla luce di "fondati motivi", venga emesso un mandato di perquisizione in conformità alle procedure contenute nelle "Federal Rules of Criminal Procedure" o ad altre procedure statali sui mandati di perquisizione equivalenti.
Invece basterebbe inserire la propria email nel form di composizione del link di Facebook incriminato per avere accesso, per una sola ora, al sistema di richieste in linea. Non siamo andati oltre ma sembra che, dopo aver compilato tutti i campi e inserito la richiesta su un utente, si possano ricevere le informazioni desiderate. La richiesta deve essere fatta solo ed esclusivamente da un componente delle forze dell’ordine, è possibile infatti che subito dopo possa essere verificato l’indirizzo email e l’autenticità della persona che ha richiesto l’accesso alla piattaforma. Nel caso il richiedente non sia di un organo riconosciuto a livello statale come “autorizzato”, potrebbe ricorrere nelle sanzioni previste dal caso.
In attesa di una risposta ufficiale da parte della Polizia Postale, che si è espressa solo sul furto di dati da parte di Anonymous che interesserebbe alcune webmail e non interi server, il dubbio resta: basta una minaccia di accesso non autorizzato per bloccare possibili richieste di dati illegittime? Se il Centro di sicurezza parla di rogatoria internazionale per la fornitura di dati sensibili, perché esiste un form online dal quale poter richiedere informazioni sugli utenti? I due sistemi si completano o si escludono?
Inoltre, dettagli di oggi, i documenti rubati da Anonymous sarebbero in realtà tutti quelli conservati sul portale DoppiaVela della Polizia di Stato. Il portale è accessibile a tutti i dipendenti tramite VPN e da PC connessi alla Rete Interna della Polizia di Stato. Ma in realtà esiste un mini sito al quale si può accedere anche da casa, in versione ridotta. Da questo link sarebbero entrati gli hacker per sottrarre i documenti riservati alle forze dell’ordine, tra cui quelli inerenti le linee guida sulla protezione degli account email interni; un vero paradosso.
Seguimi su Twitter: @Connessioni