USA, la newsletter che imbarazza Washington

Surreale : ecco l’aggettivo migliore per descrivere quanto accaduto lo scorso mercoledì sulla newsletter riservata agli annunci sul terrorismo del Homeland Security Department , l’organismo statunitense che sovrintende alle questioni in materia di sicurezza nazionale. È bastato che uno di coloro che ricevono la newsletter, un utente americano, facesse un “reply” al messaggio perché venisse rivelata platealmente una una leggerezza nella configurazione del servizio : il reply è stato consegnato a tutti gli utenti di quella newsletter. Che a loro volta hanno risposto. Causando in poche ore una pioggia di oltre due milioni di missive indesiderabili .

Ogni mattina, HSD pubblica un bollettino intitolato Open Source Infrastructure Report , una documento non classificato che viene inviato ad una lista di circa 7500 iscritti: tra di questi figurano responsabili della sicurezza di aziende private, compagnie governative, centrali elettriche (anche nucleari) e così via. Nella missiva quotidiana è contenuta una breve rassegna stampa dei fatti accaduti durante la giornata precedente, inerenti a questioni collegate alla sicurezza nazionale.

Mercoledì mattina, Alex Greene – manager presso la GKN Freight Services – decide di cambiare l’indirizzo presso il quale riceve il notiziario: per farlo, invece di contattare l’amministratore, schiaccia il bottone rispondi a tutti nella finestra del suo client di posta. Risultato: l’email con la sua richiesta giunge a tutti gli iscritti . Dopo pochi minuti, il primo buontempone fiuta la magagna: “Non credo nessuno se ne sia ancora reso conto, ma questo è senz’altro un ottimo modo per presentarci tutti!”.

In pochi minuti sono già decine i messaggi giunti da ogni angolo degli USA. C’è chi cerca un nuovo lavoro , chi cerca l’anima gemella e chi invece cerca solo di scambiare quattro chiacchiere: “Sono un sagittario di New York” scrive il sergente di prima classe Michael Bass, che rivela anche una passione per gli alcolici e le bistecche. Metereologico Bill Meyer, dell’ufficio dei programmi d’emergenza del Tesoro: “Bella giornata qui a Washington, solo un po’ afoso!”. Alle 10:42 arriva anche la prima email ufficiale : “Richiesta urgente dal dipartimento della difesa. Questo è l’ufficio per la lotta al terrorismo, che vi chiede gentilmente di smettere subito”.

Un appello caduto nel vuoto, che nelle ore seguenti sarà seguito da altri vani tentativi di calmare i grafomani della sicurezza nazionale. E così, spazio persino ai messaggi elettorali , alle proteste di coloro che chiedono di essere cancellati dalla lista – anche loro dimenticano di usare l’apposito link contenuto in ogni missiva per la cancellazione – e alla fine arrivano anche le scherzose minacce al primo ad aver replicato alla newsletter: “Caro signor Alex Greene (tu che hai cominciato questo casino), che la puzza di migliaia di cammelli infesti la tue ascelle e che uno yak in calore faccia l’amore col tuo stinco” scrive un certo Michael Smith.

Cosa è successo? Lo spiega Marcus Sachs di SANS , sulle pagine del blog della sua azienda : dalle ricerche svolte, si è scoperto che la lista di distribuzione altro non è che un semplice indirizzo su un server Lotus Domino, incaricato di inoltrare la posta a tutti i sottoscrittori. Per un evidente errore di configurazione del DHS, qualcuno deve aver accidentalmente disabilitato il blocco delle risposte al mittente, causando l’inondazione di posta spazzatura. Non è certo la prima volta che accade, ma non è frequente che succeda per uffici di questa importanza.

Il tutto, perdipiù, in un servizio che in teoria dovrebbe servire a garantire la sicurezza dei cittadini: “Cosa sarebbe successo – si domanda Sachs – se il cattivone di turno avesse inviato un attachment contenente una zero-day vulnerabilty ai componenti della lista?”. Una domanda che solleva molti dubbi anche sulle competenze degli esperti informatici del DHS , a cui sono occorse molte ore per tappare la falla . Non prima, comunque, che la notizia facesse il giro del mondo.

Luca Annunziata