In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Il caso

La strana storia degli scanner biometrici USA rivenduti su eBay

La strana storia degli scanner biometrici USA rivenduti su eBay
Un paio di Seek II usati in Iraq e Afghanistan e contenenti scansioni dell’iride, impronte, foto e dati di oltre 2600 persone sono stati acquistati da un ricercatore tedesco
3 minuti di lettura

Matthias Marx, un ricercatore tedesco attivo nel campo della sicurezza, ha comprato alcuni dispositivi per il rilevamento di dati biometrici su eBay e all’interno ha trovato migliaia di file contenenti dati sensibili. Soprattutto di cittadini afghani e iracheni, raccolti sul campo nel corso degli anni dalle truppe statunitensi. In molti casi terroristi noti ai servizi di sicurezza, in altri persone comuni fermate ai checkpoint, in altri ancora collaboratori dell’esercito.

Impronte digitali, scansioni dell’iride, immagini e ovviamente nomi e annotazioni individuali: tutto finito in vendita sulla popolare piattaforma di commercio online e aggiudicato per 68 dollari, contro i 149,95 richiesti dall’inserzionista. Una leggerezza scandalosa riportata dal New York Times e che avrebbe rischiato, se quei dispositivi fossero finiti nelle mani sbagliate, di creare non pochi problemi agli individui censiti.

I dati di 2632 persone, da Kandahar a eBay

La memory card del dispositivo principale protagonista dell’incredibile vicenda, grosso come una scatola delle scarpe e noto come Secure Electronic Enrollment Kit (in sigla, Seek II) conteneva le informazioni di 2632 persone. Il suo ultimo utilizzo è stato rilevato dai metadati memorizzati: estate del 2012 a Kandahar, seconda città afghana. Questa sorta di residuato bellico contemporaneo proviene dal vasto assortimento di dispositivi costruiti dal Pentagono negli anni a partire dagli attacchi dell’11 settembre 2001. Come sia finito in vendita su eBay, partendo dalle strade della cittadina afghana, e quali percorsi abbia affrontato, non è del tutto noto. Un reporter dell’NYT è stato autorizzato dal ricercatore a consultare il database di persona, anche perché i dati non verranno ovviamente resi pubblici in altri modi proprio per evitare conseguenze o ritorsioni verso vecchi collaboratori degli Stati Uniti.

"Poiché non abbiamo esaminato le informazioni contenute sui dispositivi, il dipartimento non è in grado di confermare l'autenticità dei presunti dati o di commentarli in altro modo - ha spiegato il generale di brigata Patrick S. Ryder, addetto stampa del dipartimento della Difesa - Il dipartimento richiede che tutti i dispositivi che si ritiene contengano informazioni di identificazione personale vengano restituiti per ulteriori analisi". Insomma, il ricercatore tedesco dovrebbe restituire la valigetta a Fort Belvoir, nello Stato della Virginia, al reparto che si occupa del programma biometrico.

Il contenuto della valigetta nella foto mostrata dal New York Times
Il contenuto della valigetta nella foto mostrata dal New York Times 

In quali situazioni sono stati raccolti quei dati

Come detto, i dati biometrici sul Seek II sono stati raccolti in diverse situazioni: nelle strutture di detenzione, durante i pattugliamenti o nel corso dei controlli per le assunzioni del personale locale nell’amministrazione pubblica o dopo l'esplosione di ordigni. D’altronde, il Times ha ricordato che nel periodo in cui il dispositivo è stato impiegato l'ultima volta in Afghanistan, lo sforzo bellico americano era agli sgoccioli: Osama bin Laden era stato ucciso in Pakistan un anno prima e la sua identità poi confermata utilizzando la tecnologia di riconoscimento facciale. In quel periodo, dispositivi come quello finito su eBay servivano in particolare per individuare possibili talpe talebane all’interno delle basi e degli organici della polizia e dell’ormai disciolto esercito afghano.

Com’è fatto il Seek II

Il Seek II sfoggia un piccolo display, un’altrettanto piccola tastiera e un microscopico mouse pad. C’è poi un lettore di impronte digitali e, una volta aperto, consente di scansionare l’iride o scattare semplici foto. All’accensione, operata dal nuovo proprietario, il dispositivo ha richiesto il collegamento a un server dell’US Special Operations Command per caricare “i nuovi dati biometrici raccolti”. Tutto come se si fosse ancora nel 2012, insomma.

La ricerca del Chaos Computer Club

Ma perché Marx era alla ricerca di simili attrezzature? Per studiarle, capirne le vulnerabilità o le problematiche intrinseche, tutto all’interno di un progetto condotto con un gruppo di ricercatori del celebre Chaos Computer Club di Berlino. Ne hanno comprati 6 (compresi anche due modelli Hiide, cioè Handheld Interagency Identity Detection Equipment) anche sull’onda di una preoccupazione legata proprio all’Afghanistan: molti di questi device, come d’altronde mezzi e oggetti di vario tipo, sono rimasti nel Paese e nelle mani del restaurato regime talebano dopo la rovinosa ritirata di quel che rimaneva del contingente statunitense nel corso dell’agosto del 2021.

L’obiettivo del gruppo di ricercatori era proprio capire se i talebani possano ottenere dai dispositivi dati biometrici di persone che nel tempo hanno aiutato gli Stati Uniti, mettendole a rischio. E per ironia della sorte quei dati, senza alcun genere di protezione crittografica, se li sono ritrovati sulla scrivania di casa. In particolare in due Seek II, il secondo utilizzato l’ultima volta nel 2013 in Giordania e con dentro solo un ristretto database di scansioni e impronte di un gruppo di militari statunitensi, raccolte probabilmente durante un’esercitazione (come quella visibile in questo video), come confermato da un ufficiale dei servizi segreti contattato dal quotidiano.

Il Pentagono: “Dispositivi che andrebbero distrutti sul posto”

Insomma, questi aggeggi non sarebbero mai dovuti finire in commercio, tanto meno quello di seconda mano in cui è specializzata eBay. Secondo la Defense Logistics Agency, che si occupa (evidentemente con non poche falle) della gestione dei costosi dispositivi in eccesso che ogni anno vengono dismessi dal Pentagono, questi apparecchi dovrebbero essere distrutti sul posto quando non servono più, come d’altronde altri device elettronici. E invece il Seek II zeppo di informazioni è finito nelle mani della Rhino Trade, una società texana che a sua volta ha spiegato di averlo ottenuto a un’asta governativa, senza ovviamente avere contezza che potesse contenere dati sensibili. L’altro Seek II proveniva invece da Tech-Mart, un venditore eBay dell’Ohio che non ha fornito spiegazioni su come sia venuto in possesso di quello e di altri due simili scanner.

"La gestione irresponsabile di questa tecnologia ad alto rischio è incredibile - ha commentato l’involontario scopritore - ed è incomprensibile per noi che al produttore [HID Global, ndr] e ai militari che l’hanno usata non importi che i dispositivi contenenti dati sensibili vengano venduti online". Il ricercatore, che ha spiegato la surreale vicenda a un evento berlinese e poi cancellerà ogni dato, ha prontamente allertato il dipartimento della Difesa e la HID, che se ne è chiaramente lavata le mani: “Responsabilità di chi usa i dispositivi”. Alcuni dispositivi simili, che sembravano in vendita fino a pochi giorni fa, sono stati rimossi da eBay.