Gli account di Facebook violati dal regime tunisino

Il responsabile della sicurezza del social network racconta come sono andate le cose online durante la rivolta contro Ben Ali

Joe Sullivan è il Chief Security Officer di Facebook. Insieme al suo team, Sullivan controlla l’andamento degli accessi al social network da parte dei suoi iscritti e interviene quando nota qualcosa di strano e sospetto. Verso la fine dell’anno scorso, il responsabile della sicurezza ha notato alcuni strani movimenti dalla Tunisia: qualcuno dagli uffici governativi del regime di Ben Ali, già in grosse difficoltà, stava cercando di raccogliere informazioni sugli iscritti a Facebook e stava provando a rubare le loro credenziali di accesso per controllare la rivolta che stava nascendo e si stava diffondendo anche online.

Oltre ad alcuni strani dati sull’andamento del traffico, sempre intorno a Natale il gruppo addetto alla sicurezza del social network aveva ricevuto diverse segnalazioni da alcuni iscritti tunisini, che avevano notato insolite attività sui loro profili. Le informazioni erano però frammentarie e le intrusioni sembravano provenire da luoghi e computer diversi, quindi Sullivan e i suoi colleghi non erano riusciti a identificare un unico possibile responsabile per le diverse violazioni dei profili.

Mentre la protesta contro Ben Ali e il regime montava nelle piazze di Tunisi, centinaia di migliaia di utenti hanno iniziato a usare Facebook, Twitter e gli altri social network per organizzare e coordinare le manifestazioni, condividere le informazioni sui cortei e mostrare al mondo le foto e i video delle violenze subite a causa della dura repressione da parte delle forze dell’ordine. In pochi giorni il numero di iscritti dalla Tunisia al social network è aumentato sensibilmente facendo registrare un nuovo record per il paese. Alcune centinaia di migliaia di iscrizioni in più che, se rapportate alla popolazione degli Stati Uniti come spiega Alexis Madrigal sull’Atlantic, corrisponderebbero a 10 nuovi milioni di utenti in una settimana.

L’improvviso aumento di contatti ha indotto i responsabili della sicurezza di Facebook ad approfondire le loro ricerche. L’analisi dei nuovi dati ha rivelato l’effettiva presenza di un attacco organizzato contro i profili di numerosi utenti tunisini. In pratica, gli operatori che offrono l’accesso alla Rete nel paese (ISP) avevano messo in piedi un sistema per tracciare le credenziali di accesso degli iscritti a Facebook e ad altri siti web.

A partire dal 5 di gennaio, era ormai chiaro che stavano cercando di sottrarre buona parte delle password utilizzate in un paese nel bel mezzo di una rivolta. Sullivan e il suo team si sono resi conto di aver bisogno di una soluzione a livello nazionale e di doverla ottenere in fretta. […] «In passato ci eravamo confrontati con alcuni ISP che avevano cercato di filtrare o bloccare il nostro sito» ha detto Sullivan: «In questo caso, ci siamo dovuti confrontare con alcuni ISP che stavano facendo qualcosa senza precedenti poiché cercavano di intercettare e sottrarre informazioni sensibili agli utenti».

Verificata la presenza di una massiccia serie di tentate intrusioni, quelli di Facebook hanno deciso di dare una risposta tecnica e non politica al problema. Per loro si trattava prima di tutto di un attacco informatico e della necessità di proteggere password e account delle centinaia di migliaia di iscritti tunisini a Facebook. Gli account più a rischio, spiegano sull’Atlantic, erano quelli di chi è solito collegarsi e scollegarsi dal social network compiendo un log-out completo, che richiede il reinserimento della propria password quando ci si vuole collegare nuovamente al proprio profilo. I dati di accesso venivano raccolti dagli ISP e probabilmente passati alle autorità del paese.

Il team di Sullivan ha messo rapidamente a punto una soluzione in due passaggi per risolvere il problema. Primo, tutte le richieste per collegarsi a Facebook dalla Tunisia sono state rinviate verso server sicuri di tipo https. Il protocollo https codifica le informazioni, sottraendo dagli sguardi indiscreti degli ISP tunisini le informazioni sensibili. La seconda soluzione tecnica è stata quella di adottare un “posto di blocco” per chiunque si fosse scollegato e poi ricollegato nel periodo in cui gli ISP avevano usato il loro codice malevolo.

Agli utenti interessati è stato richiesto di riconoscere i loro amici sul sito e di rispondere alla domanda per il recupero della propria password. Questo ha ridotto sensibilmente le possibilità per il regime di controllare gli account. Le due soluzioni sono state messe online molto rapidamente a cinque giorni dalle prime consistenti avvisaglie di un attacco in corso.

A emergenza finita e con la Tunisia che cerca un nuovo equilibrio politico dopo la caduta del regime e la fuga di Ben Ali, Sullivan confida di aver pensato a lungo a quanto successo al social network e a quanto possa essere vulnerabile la rete quando i governi decidono di intervenire pesantemente per controllare i loro cittadini. Secondo numerosi esperti, Facebook dovrebbe fare di più per proteggere i dissidenti e chi si batte contro governi e regimi oppressivi, specialmente se davvero vuole rappresentare un’estensione del mondo per come lo conosciamo anche online con i suoi 550 milioni di utenti.

Il social network su questo genere di problemi cerca comunque di andarci molto cauto, provando a bilanciare le istanze dei singoli iscritti con quelle dei paesi in cui opera. Formalmente, Facebook non consente di iscriversi con una identità fittizia, cosa che potrebbe favorire sia i dissidenti che vogliono muoversi nell’anonimato, sia gli infiltrati delle forze dell’ordine. Il social network non offre alcun tipo di collaborazione e cerca di attenersi a un unico principio: «Facebook è un luogo dove le persone si mettono in comunicazione con persone che fanno parte della loro vita e che utilizzano la loro reale identità».