Sicurezza IT // Il Governo del Rischio

Assets militari e aziendali: quali rischi dai social networks?

Condividi

Sono passati quattordici anni dalla nascita di Facebook, quasi otto dall’irruzione di Instagram, dodici dai primi cinguettii di Twitter. Prima che i social networks trasformassero profondamente le dinamiche delle comunicazioni globali, non molti, nel mondo della sicurezza, avevano intravisto i rischi che tale rivoluzione avrebbe comportato per assets strategici, sensibili, spesso segreti.

È recente la notizia che Strava, app statunitense utilizzata dagli sportivi, ha aggiornato e pubblicato la mappa dei tracciati percorsi dagli utenti durante le quotidiane attività di fitness.
È un’usanza comune tenere sotto controllo i propri passi con lo smartphone - o smartwatch - per misurare la performance atletica, il consumo calorico, il ritmo cardiaco. Il tutto, necessariamente, con la funzione di geolocalizzazione abilitata sul dispositivo. Ma se l’utente, come spesso accade, decide di condividere le attività con gli altri iscritti, può divulgare in rete informazioni talvolta rilevanti sui luoghi frequentati. Soprattutto se l’utente in questione non è un civile, bensì un militare. È così che molti soldati, impiegati in basi estere, hanno utilizzato Strava, intensivamente nel corso degli anni, per monitorare il jogging quotidiano nonché le normali attività di addestramento e pattugliamento. Per poi condividere i tracciati, senza restrizioni, con gli altri membri della community.

Strava, intanto, incamerava, organizzava, rielaborava i dati in vista della release di una nuova “global heat map”, l’atlante dei percorsi mondiali, aggiornato l’ultima volta nel 2015, dunque obsoleto. La nuova mappa, rilasciata lo scorso novembre, ha esposto alla consultazione pubblica un miliardo di attività, tre miliardi di coordinate geografi che, 13 miliardi di pixels rasterizzati, 27 miliardi di chilometri percorsi; 2 secoli di attività a livello aggregato, con una copertura pari al 5% della superficie globale. Percentuale, a conti fatti, tutt’altro che irrisoria nonché destinata probabilmente a crescere.

IL CASO DI CAMP BASTION 
La consultazione del database globale di Strava consente talvolta di identificare e profilare assets militari, come notato su Twitter dall’esperto Nathan Ruser.
Vi proponiamo in questa sede una nostra analisi su Camp Bastion (LAT 31.84637 - LON 64.20239), una delle maggiori basi inglesi, nonché hub logistico ISAF consegnato all’esercito afgano a fine 2014. La base è stata oggetto di attacchi da parte dei talebani nell’autunno dello stesso anno. L’immagine di sinistra ritrae la struttura in data 31 dicembre 2016 (Immagini Google Earth), quella di destra i tracciati reperibili sulla “heat map” di Strava:

Camp Bastion Strava heat map

Il reticolo delle vie interne è descritto con maggior chiarezza dai tracciati della app, rispetto alle immagini satellitari. Un dettaglio interessante è inoltre la progressiva stratificazione dei percorsi, che può fornire informazioni su quali sono le vie più battute (contraddistinte da linee più marcate), oppure se vi siano unità di personale che escono abitualmente dal perimetro di sicurezza. Come notato da diversi analisti, tuttavia, ottenere indicazioni strategiche da tali mappe non è sempre scontato.

Le attività dei militari sui social networks tradizionali, piuttosto, possono fornire informazioni di maggior rilevanza, quindi utilizzabili per finalità di intelligence, se le piattaforme vengono utilizzate in maniera spregiudicata, poco consapevole o in assenza di linee guida. Come vedremo, il problema può coinvolgere anche le attività di aziende che operano in ambiti specifici. L’immagine che segue rappresenta la geolocalizzazione di oltre 550 post pubblicati su Flickr (segnaposto gialli) e Instagram (segnaposto rossi) da personale militare della medesima base di Camp Bastion:

Camp Bastion position markers

Il numero maggiore di post geolocalizzati è concentrato laddove sorgono le strutture nell’area Sud-Est. I post pubblicati su Flickr sono 500 e si tratta di fotografie scattate da un singolo utente nell’intervallo di tempo che va dal 2 agosto 2011 al 1 febbraio 2012: poco più di sei mesi. Oltre 50 post instagram sono raggruppati sotto singoli segnaposto, perché pubblicati dalla medesima location. Le immagini ritraggono frammenti della vita all’interno della base: attività prettamente militari; ma c’è anche spazio per la mondanità, la convivialità e per i momenti celebrativi. Si ritraggono gli esterni del compound ma anche i luoghi interni e, piuttosto spesso, mezzi militari e postazioni informatiche:

Camp Bastion social posts

Prese singolarmente, le immagini non consentono di estrapolare vera e propria intelligence. Teoricamente, l’analisi aggregata di oltre 550 post geolocalizzati può invece fornire informazioni di rilievo sul contesto locale. Non si può escludere, in linea di massima, che gli attacchi sferrati dai talebani nel 2014 non siano stati programmati anche consultando fonti aperte disponibili sui social networks.
Che le attività di OSINT siano parte integrante delle strategie offensive è ormai fatto accertato. Già nel 2000 la scoperta dei “manchester papers” (un manuale operativo di Al Qaeda rinvenuto in Inghilterra) evidenziava che oltre l’80% delle informazioni contenute era reperito da fonti aperte. Percentuale probabilmente aumentata in seguito alla ribalta dei social network.

“LOOSE LIPS SINK SHIPS"
Il detto, usato durante la seconda guerra mondiale per sensibilizzare i soldati sul rischio di divulgare, involontariamente, informazioni strategiche, può essere traslato oggi nella sfera digitale. L’uso delle piattaforme digitali in ambito militare è oggetto di crescente attenzione. Sempre più spesso, gli apparati impongono regole per ridurre il rischio di esporre informazioni. L’8° Armata dell’esercito statunitense di stanza a Seoul, ad esempio, ha pubblicato alcune linee guida per ridurre i rischi derivanti dalle comunicazioni sulle piattaforme digitali. Il manuale indica chiaramente che non si dovrebbero postare immagini, video o contenuti testuali contenenti coordinate geografiche. Tuttavia il manuale si spinge oltre, delineando alcune best practice anche in materia di cosa postare. Sia per la sicurezza dei militari stessi che delle proprie famiglie, si ritiene inopportuno circostanziare i testi in maniera dettagliata relativamente a luoghi, attività passate e programmate.

Recentemente, il Ministero della Difesa russo ha optato per regole ancora più stringenti pubblicando, lo scorso ottobre, una bozza di regolamento che vieta post sui social media da parte del personale a contratto. Ribattezzata in Occidente “selfie ban”, la misura è motivata dalle autorità con l’esigenza di ridurre il rischio che i Servizi di altri stati, nonché organizzazioni terroristiche/estremiste, possano usare l’intelligence acquisita per ledere gli interessi o l’immagine della Russia. Proprio l’esercito di Mosca è stato, negli ultimi anni, al centro di una nota indagine sull’abbattimento del volo Malaysian MH17, avvenuto il 17 luglio 2014 mentre sorvolava i cieli ucraini. Il collettivo di investigazioni online “bellingcat” è riuscito, anche grazie ad evidenze postate sui social da membri dell’esercito russo, a identificare precise responsabilità in merito all’abbattimento dell’aereo civile.

Ridurre l’esposizione sui social di informazioni strategiche non è tuttavia obiettivo facile, da un lato per l’oggettiva difficoltà di monitorare migliaia di profili, dall’altro perché può risultare impraticabile limitare l’attività nei periodi di licenza o di libera uscita. È questo, ad esempio, il caso degli equipaggi che operano nei sottomarini. Questi ultimi non dispongono, per ovvie ragioni di segretezza, dei sistemi di geolocalizzazione AIS utilizzati dalla flotta civile o commerciale, ma è stato dimostrato che spesso il personale di bordo è attivo sui social nel tempo libero, quando il sottomarino è in porto o in fase di emersione. Monitorare le attività social dell’equipaggio può quindi restituire informazioni importanti sul deployment di tali asset. Riportiamo l’esempio di un mezzo della Marina Militare Italiana ritratto da un membro dell’equipaggio. Il post, pubblicato alle ore 9.25 del mattino con coordinate LAT 44.1167; LON 9.83333 (La Spezia), ritrae il sommergibile dopo l’emersione:

Marina Militare rischi social

I riferimenti GPS restituiti da Instagram risultano tuttavia contraddittori, giacché indicano una location nell’entroterra. Più precisamente, la foto sarebbe postata su una ferrovia. Un analista esperto di SOCMINT (Social Media Intelligence, la branca dell’Open Source Intelligence che attinge dai socials per ottenere informazioni strategiche) potrebbe dedurre da tale discordanza che la funzione di geolocalizzazione dello smartphone abbia restituito coordinate geografiche errate. Oppure, ipotizzando che un membro della Marina disponga di device tecnologici all’avanguardia, risulterebbe piuttosto logico ipotizzare che la foto sia stata scattata in mare, per poi essere postata mentre il soggetto si trovava su un treno diretto verso la propria città di residenza. Tale ipotesi, nel caso specifico, è corroborata dall’uso contestuale, nel testo di accompagnamento al post, di un hashtag ipoteticamente riconducibile ad un periodo di licenza con ritorno in famiglia. Il marinaio dichiara sul proprio profilo di risiedere in una città del Meridione, fatto che induce a ipotizzare uno stop piuttosto prolungato per intraprendere un viaggio verso il Sud Italia, specialmente se in treno.

Un altro post dell’utente, che immortala una parte dell’uniforme, permette anche di risalire a quale sommergibile sia ritratto nell’immagine. Si tratta del “Romeo Romei”, della classe U-212A – Todaro:

Marina Militare Romeo Romei

Il sommergibile è stato consegnato lo scorso maggio presso lo stabilimento Fincantieri di Muggiano (La Spezia). L’analista disporrebbe a questo punto di un set sufficiente di informazioni per procedere con ulteriori investigazioni e verifiche onde confermare e convalidare l’intelligence acquisita, nonché per escludere eventuali “esche” appositamente lasciate online nell’ambito di operazioni di counter-intelligence.

I RISCHI PER LE AZIENDE 
Ma se l’attività sui socials può comportare rischi teorici nella sfera militare, a quali minacce sono esposte le aziende e come possono porvi rimedio?
Occorre premettere che le strutture militari, disponendo di sistemi di protezione avanzati, sono meno vulnerabili rispetto agli assets civili. L’impatto del social networking va quindi contestualizzato, pur senza dimenticare il peso specifico che il successo di un singolo attacco può avere, in termini di vite umane ma anche di conseguenze politiche, reputazionali e di altro genere. I militari rappresentano, inoltre, un caso limite: a differenza dei dipendenti aziendali, vivono in servizio e i tempi liberi sono marginali. Per i dipendenti privati il rapporto è inverso e, anche sotto il profilo della libertà d’espressione, dovrebbe risultare più agevole stabilire regole d’ingaggio con i socials che riducano i rischi per l’azienda.

Molti player transnazionali che operano globalmente in settori strategici (Oil & Gas in primis) dispongono di assets e personale in zone altamente sensibili sul piano geopolitico. È fisiologico, per tali gruppi, affidare servizi di security e guardiania ad aziende che, oltre a conoscere il territorio e il contesto sociale, sono governate da ex militari con expertise specifico. Il personale impiegato, tuttavia, può non essere altrettanto preparato e motivato; sono inoltre frequenti vertenze sindacali in materia di stipendi arretrati e sono numerosi i casi di cronaca che evidenziano comportamenti deviati da parte del personale.
Non tutte le normative nazionali, infine, permettono ai contractors l’uso di armi da fuoco.

Il livello di protezione garantito da tali strutture ad assets strategici dell’industria petrolifera non è, in definitiva, paragonabile alla sicurezza di cui gode una base militare: le vulnerabilità e i rischi di profilazione da parte di entità antagoniste sono, dunque, potenzialmente superiori. Non dovrebbero risultare quindi impopolari – specialmente se contestualizzate in un’ottica di maggiore sicurezza - social media policy che prevedano la non pubblicazione di foto (o video) contenenti coordinate geografiche riconducibili agli stabilimenti, che ritraggano gli interni dei siti, che rivelino particolari dettagli sulle strutture o su specifiche configurazioni hardware tali da fornire spunti per attacchi fisici o di altro genere.

di Lorenzo Romani, Open Source Intelligence Analyst,
Unità Integrity Due Diligence e Open 
Source Intelligence di IFI Advisory


IFI Advisory

06.08.2018


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Panasonic: videosorveglianza a TaoSicurezza con Electronic’s Time

Panasonic sarà presente con il partner Electronic’s Time a TaoSicurezza, la fiera...

FireClass e CDA a TaoSicurezza

FireClass in collaborazione con CDA terrà a TaoSicurezza, giovedì 25 ottobre dalle...

CIAS con CDA a TaoSicurezza

CIAS è presente a TaoSicurezza presso lo stand n.29 di CDA, “nostro Partner...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.