Come hanno beccato il falso attentatore di Harvard

Uno studente ha ottenuto la sospensione degli esami mandando una mail anonima che annunciava una bomba: ma doveva stare più attento

SWAT team officers arrive at a building at Harvard University in Cambridge, Mass., Monday, Dec. 16, 2013. Four buildings on campus were evacuated Monday after campus police received an unconfirmed report that explosives may have been placed inside, interrupting final exams. (AP Photo/Elise Amendola)

Lunedì 16 dicembre l’Università di Harvard, a Boston, è stata evacuata, dopo che alcune email avevano annunciato che delle bombe erano state piazzate nell’edificio. L’allarme è stato dato verso le 9 del mattino, pochi minuti prima che iniziassero le sessioni di esame di fine stagione. A Boston c’era stato un violento attacco terroristico durante la maratona cittadina, otto mesi prima, il 15 aprile 2013. L’evacuazione è stata annunciata anche via Twitter dall’università.

Alert: Unconfirmed reports of explosives at four sites on campus: Science Center, Thayer, Sever, and Emerson. Evacuate those buildings now.

— Harvard University (@Harvard) December 16, 2013

Nel testo delle mail, inviate alla polizia di Harvard, a due dipendenti dell’università e al Crimson, il giornale dell’ateneo, si diceva che due bombe erano presenti nel complesso, e si indicavano quattro edifici, consigliando di scoprire in fretta quali fossero i due giusti. Gli agenti del Dipartimento della Sicurezza Interna degli Stati Uniti, l’unità che si occupa degli attacchi terroristici, sono immediatamente intervenuti e assieme alla polizia locale hanno ispezionato i quattro palazzi, senza trovare nulla. Nel primo pomeriggio, l’allarme è stato annullato, e gli studenti sono rientrati negli edifici. Nel frattempo, gli esami della mattinata erano stati cancellati: all’annuncio era seguito, secondo un tweet del Crimson, un applauso degli studenti. Il sito dedicato alle emergenze di Harvard ha spiegato che l’evacuazione era stata disposta per un eccesso di cautela. Dell’allarme, comunque, era stato avvisato subito anche il presidente Obama.

Due giorni dopo, uno studente dell’università – Eldo Kim, di vent’anni – ha confessato di essere l’autore delle mail, scritte per permettergli di saltare un esame che avrebbe dovuto sostenere quel giorno, e per il quale, secondo il suo avvocato, stava vivendo un periodo di forte stress emotivo. Kim è stato arrestato martedì, e successivamente rilasciato su cauzione (di 100 mila dollari). Ha detto di aver fatto tutto da da solo. Ora rischia fino a cinque anni di prigione, e una multa da 250 mila dollari.

Le indagini hanno ricostruito che Kim ha inviato le mail tramite un account su Guerrilla Mail, un servizio che permette di creare indirizzi email temporanei che si cancellano dopo un’ora, senza registrazioni. Ma Guerrilla Mail non rende le mail del tutto anonime, perché consente comunque al ricevente di identificare l’indirizzo IP del computer che ha inviato il messaggio di posta elettronica. Per nascondere con maggiore sicurezza la propria identità, perciò, Kim ha utilizzato TOR, un popolare servizio che maschera i dati del traffico internet, rendendo molto difficile l’identificazione. Quello che ha permesso agli investigatori di scoprire Kim è stato il fatto che per inviare il falso allarme si era però connesso al wi-fi di Harvard. I gestori della rete hanno perciò potuto verificare se qualcuno stava usando TOR sul loro network nel momento in cui le mail sono state inviate. Quello che hanno scoperto quindi non sono le mail di Kim, ma il fatto che lui stesse usando TOR, ed è bastato a farlo rintracciare e ottenere la sua confessione.

Josephine Wolff su Slate ha provato a spiegare come Kim avrebbe potuto evitare di essere individuato. Un modo avrebbe potuto essere collegarsi a internet da un internet point, creare un nuovo indirizzo emaill con false credenziali e inviare il falso allarme. Per capirci, è la versione 2.0 della vecchia telefonata anonima da una cabina. L’università avrebbe potuto rintracciare la provenienza delle mail e verificare se dallo stesso internet point – negli stessi minuti – avesse operato il computer di qualche altro account dell’università: rintracciando così eventuali testimoni di chi fosse presente nell’internet point e avesse usato il computer “colpevole”; oppure avrebbero potuto controllare i filmati delle telecamere di sicurezza, se presenti. Ma le probabilità di risalire a Kim sarebbero state poche. In alternativa, Kim avrebbe potuto utilizzare con le stesse precauzioni (Guerrilla e TOR) una rete wi-fi che non fosse quella dell’università, oppure collegarsi con un computer che non fosse il proprio (in questo caso, la versione digitale della rapina con la macchina rubata).

In ogni caso, conclude Wolff, per Kim sarebbe stato meno rischioso studiare per l’esame. Anche perché non tutti gli studenti hanno esultato alla notizia che gli esami erano cancellati.