Il direttore della CIA Petraeus scivola su Gmail

CyberwarMarketingSicurezzaSoluzioni per la sicurezza
David Petraeus, CIA

Gli account email dei dirigenti della Cia sono delicati per la sicurezza nazionale. Come mai il direttore Petraeus usava Gmail?

Crittografia. Computing quantistico. I potentissimi e sofisticatissimi mezzi dell’NSA. Ma, invece, sorpresa: il direttore della CIA, il Generale David Petraeus, dimessosi a causa di una relazione extraconiugale, usava Gmail. Il pluridecorato Petraeus, eroe della guerra in Iraq, si affidava a una Webmail per scrivere all’amante, e ha denunciato l’affaire come causa delle sue dimissioni. L’FBI era convinta che altri malintenzionati accedessero all’account Gmail del generale.

Per chi teme fughe di dati e data breach, la Webmail, anche se con  autenticazione a doppio step, non rappresenta proprio il più raffinato sistema di comunicazione di posta elettronica a disposizione di un direttore della CIA. L’account della CIA di Petraeus sarà stato invece a prova di hacking, ben più di una Webmail. A preoccupare non sono tanto gli affari privati di un direttore della CIA, quanto piuttosto l’uso disinvolto di Webmail. La mancanza di consapevolezza dei rischi nella sicurezza IT, mette in allarme gli americani, colpiti a settembre da un terribile attacco all’ambasciata di Bengasi, dove è stato ucciso l’ambasciatore statunitense, Chris Stevens. Gli 007 non erano riusciti a proteggerlo dai terroristi. Gli account di posta elettronica dei dirigenti della Cia, anche quelli personali, dovrebbero essere considerati tutti a rischio per la sicurezza nazionale. La falla nella sicurezza della CIA, francamente, preoccupa.

Nel 2008 scoppiò il caso dell’email hackerata di Sarah Palin, candidata repubblicana alla vicepresidenza degli USA. Con quel caso tornò alla ribalta il problema della privacy e di come i grandi gestori universali delle email, da Yahoo ( nel caso specifico ) a Google o Microsoft, si prendono cura del loro sterminato dossier di email.

Si tratta del fenomeno che va sotto il nome di consumerizzazione dell’It aziendale, un fenomeno inarrestabile, ma non vuol dire che non si possa controllare. La vicenda Palin parte da una semplice ingresso di un hacker nella email personale su Yahoo della Palin, cambiandone l’email e divulgandola in vari siti web. Secondo quanto reso pubblico dall’hacker stesso, nel caso Palin, furono suffivienti 45 minuti per resettare la password sulla base della data di nascita del governatore dell’Alaska, del suo codice postale e di alcuni particolari pubblici della sua vita familiare, resi noti tramite Social network.

Quali lezioni trarre da questi casi? Non bisogna mettere informazioni aziendali (o governative) sulle email personali. Una seconda lezione che vale per ogni persona che vuole proteggere le proprie informazioni personali, insegna: bene o male le nostre password sono facili da indovinare e siamo tutti pigri nel cambiarle regolarmente o nell’usare altri accorgimenti di protezione extra che i siti come Yahoo o Google o i siti di home banking e commercio elettronico mettono a nostra disposizione.

Il commento degli esperti sul caso è che la maggior parte delle aziende e degli enti della pubblica amministrazione devono concedere con le loro policy interne un uso ‘ragionevole’ delle email gratuite Web based. Ma spesso i dipendenti ignorano le best practice per generare un password forte, per servirsi solo di collegamenti sicuri e accedere solo a siti Web sicuri. Ma un’altra considerazione da fare deve partire proprio dall’ingenuità di condurre affari importanti o di stato utilizzando account di email non aziendali o non governativi. Un’ingenuità che può costare cara alla sicurezza nazionale, messa a repentaglio nell’era BYOD e della consumerization dell’IT.

UPDATE: Il geerale David Petraeus e Paula  Broadwell non si inviavano le email, ma condividevano lo stesso account di Gmail, usando il trucco delle email in bozza. Scrivevano cioè messaggi di posta elettronica lasciatin Draft, come racconta l’Associated Press. Poiché le email non viaggiano, si nascondono molte informazioni e l’IP delle email non viene intercettato. Si tratta di una tattica usata da teenager e cyber-criminali: nessuno spedisce email, e l’altro utente deve solo effettuare il log in nello stesso account per leggere i draft. Petraeus è stato il primo direttore della CIA ad installare una connessione open Internet nel suo ufficio, secondo il Washington Post.

David Petraeus, CIA
David Petraeus, CIA
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore