Luca Annunziata

USA, la newsletter che imbarazza Washington

Un errore nella configurazione del server di posta causa un reply di massa indesiderato. Su una lista dedicata dal DHS ad esperti di sicurezza nazionale. C'č chi ci scherza e c'č chi si arrabbia. Ma tutti sono perplessi

Roma - Surreale: ecco l'aggettivo migliore per descrivere quanto accaduto lo scorso mercoledì sulla newsletter riservata agli annunci sul terrorismo del Homeland Security Department, l'organismo statunitense che sovrintende alle questioni in materia di sicurezza nazionale. È bastato che uno di coloro che ricevono la newsletter, un utente americano, facesse un "reply" al messaggio perché venisse rivelata platealmente una una leggerezza nella configurazione del servizio: il reply è stato consegnato a tutti gli utenti di quella newsletter. Che a loro volta hanno risposto. Causando in poche ore una pioggia di oltre due milioni di missive indesiderabili.

Ogni mattina, HSD pubblica un bollettino intitolato Open Source Infrastructure Report, una documento non classificato che viene inviato ad una lista di circa 7500 iscritti: tra di questi figurano responsabili della sicurezza di aziende private, compagnie governative, centrali elettriche (anche nucleari) e così via. Nella missiva quotidiana è contenuta una breve rassegna stampa dei fatti accaduti durante la giornata precedente, inerenti a questioni collegate alla sicurezza nazionale.

Mercoledì mattina, Alex Greene - manager presso la GKN Freight Services - decide di cambiare l'indirizzo presso il quale riceve il notiziario: per farlo, invece di contattare l'amministratore, schiaccia il bottone rispondi a tutti nella finestra del suo client di posta. Risultato: l'email con la sua richiesta giunge a tutti gli iscritti. Dopo pochi minuti, il primo buontempone fiuta la magagna: "Non credo nessuno se ne sia ancora reso conto, ma questo è senz'altro un ottimo modo per presentarci tutti!".
In pochi minuti sono già decine i messaggi giunti da ogni angolo degli USA. C'è chi cerca un nuovo lavoro, chi cerca l'anima gemella e chi invece cerca solo di scambiare quattro chiacchiere: "Sono un sagittario di New York" scrive il sergente di prima classe Michael Bass, che rivela anche una passione per gli alcolici e le bistecche. Metereologico Bill Meyer, dell'ufficio dei programmi d'emergenza del Tesoro: "Bella giornata qui a Washington, solo un po' afoso!". Alle 10:42 arriva anche la prima email ufficiale: "Richiesta urgente dal dipartimento della difesa. Questo è l'ufficio per la lotta al terrorismo, che vi chiede gentilmente di smettere subito".

Un appello caduto nel vuoto, che nelle ore seguenti sarà seguito da altri vani tentativi di calmare i grafomani della sicurezza nazionale. E così, spazio persino ai messaggi elettorali, alle proteste di coloro che chiedono di essere cancellati dalla lista - anche loro dimenticano di usare l'apposito link contenuto in ogni missiva per la cancellazione - e alla fine arrivano anche le scherzose minacce al primo ad aver replicato alla newsletter: "Caro signor Alex Greene (tu che hai cominciato questo casino), che la puzza di migliaia di cammelli infesti la tue ascelle e che uno yak in calore faccia l'amore col tuo stinco" scrive un certo Michael Smith.

Cosa è successo? Lo spiega Marcus Sachs di SANS, sulle pagine del blog della sua azienda: dalle ricerche svolte, si è scoperto che la lista di distribuzione altro non è che un semplice indirizzo su un server Lotus Domino, incaricato di inoltrare la posta a tutti i sottoscrittori. Per un evidente errore di configurazione del DHS, qualcuno deve aver accidentalmente disabilitato il blocco delle risposte al mittente, causando l'inondazione di posta spazzatura. Non è certo la prima volta che accade, ma non è frequente che succeda per uffici di questa importanza.

Il tutto, perdipiù, in un servizio che in teoria dovrebbe servire a garantire la sicurezza dei cittadini: "Cosa sarebbe successo - si domanda Sachs - se il cattivone di turno avesse inviato un attachment contenente una zero-day vulnerabilty ai componenti della lista?". Una domanda che solleva molti dubbi anche sulle competenze degli esperti informatici del DHS, a cui sono occorse molte ore per tappare la falla. Non prima, comunque, che la notizia facesse il giro del mondo.

Luca Annunziata
4 Commenti alla Notizia USA, la newsletter che imbarazza Washington
Ordina