Severi e rigorosi ma forse soltanto in apparenza: i tecnici, che hanno architettato il sistema web per il controllo di chi viaggia in aereo da e per gli Stati Uniti, probabilmente hanno tradito le aspettative al punto di innescare una tirata d’orecchie da parte del presidente dell’ House Oversight and Government Reform Committee.
Quest’ultimo ha infatti pubblicato un dettagliato rapporto sui pericolosissimi buchi nella sicurezza dell’infrastruttura telematica della Transportation Security Administration’s (TSA).La TSA è una delle divisioni del Department of Homeland Security (DHS) ed ha la responsabilità per il controllo dei bagagli e per la tutela di persone e cose negli spazi aeroportuali.
Il sito web in questione, che consente ai viaggiatori di cancellarsi dalle liste di potenziali sospetti fornendo alle Autorità competenti ogni informazione utile alla corretta identificazione personale, è entrato in funzione addirittura quattro mesi prima che i “bug” venissero individuati e rilevati in maniera compiuta.
I rilievi mossi sono fin troppo comprensibili: il web, anzitutto, è gestito da una compagnia privata su un dominio commerciale (a dispetto di una iniziativa che dovrebbe essere “targata” con ogni crisma di istituzionalità), non si avvale di alcuna crittografia SSL per l’invio dei moduli con cui vengono veicolate informazioni sensibili riferite ai soggetti interessati e, infine, come se non bastasse, le uniche pagine che utilizzano un sistema di codifica, sfruttano un certificato scaduto firmato dalla stessa società di hosting.
Il fatto sbalorditivo è che un dirigente della TSA aveva assicurato la sicurezza del sistema e garantito la privacy degli utenti.
La TSA avrebbe affidato la realizzazione della risorsa in questione alla Desyne Web Services – azienda che annovera tra la propria clientela enti del calibro del FBI e del USA Today –.
Il proprietario avrebbe frequentato la medesima scuola del responsabile tecnico che – nell’affermare che la Desyne W.B. era l’unica a possedere i requisiti richiesti – avrebbe commesso il lavoro.
E’ questo che ha suscitato nel Comitato alcune perplessità circa un possibile conflitto di interessi.
Tale opinione sembrerebbe essere stata consolidata dal fatto che, sempre secondo il rapporto, l’impresa di web design, piuttosto che essere sanzionata, ha ricevuto altri incarichi per un importo complessivo di oltre mezzo milione di dollari.
La TSA aveva già dato ampia dimostrazione dei propri limiti in termini di sicurezza e privacy: l’anno scorso l’agenzia avrebbe perso un hard disk contenente informazioni personali di circa 100.000 dipendenti.
Anche il DHS, tanto per non perdere il passo, non più di 8 mesi fa, ha scoperto che diverse postazioni informatiche nella propria rete erano sature di virus – in una addirittura vi era installato un programma di password dumping – e che diversi firewall erano configurati non correttamente.
In aggiunta uno studio condotto dal Government Accountability Office (GAO) avrebbe fatto emergere altre falle nell’architettura del controllo: circa la metà degli individui registrati come presunti terroristi risultavano essere, invece, dei falsi positivi.
Autorizzazioni ad imbarcarsi concesse a persone presenti nella lista dei “cattivi” e l’aver omesso, durante una verifica delle procedure di sicurezza dell’aeroporto di Los Angeles, di rilevare circa il 75% di bombe e loro componenti occultati su finti passeggeri fanno da cornice alla già abbastanza critica condizione dell’agenzia.
E meno male che il capo ufficio stampa aveva dichiarato che l’intero Dipartimento aveva pianificato di spendere 332 milioni di dollari nell’IT security.
