Last Updated on December 11, 2010

Accade che materiale informatico contenente informazioni classificate venga messo impunemente in vendita.

Personalmente ritengo che quello del DLP, sia uno dei filoni più interessanti del panorama attuale di sicurezza informatica. Il Data Loss (o Leakage) Prevention e indica una famiglia di processi e tecnologie dedicati alla protezione della proprietà intellettuale da furti, perdite, o uso inappropriato.

Questi giorni stavo pensando molto al DLP, naturalmente a causa dell’affaire Wikileaks, quando mi sono imbattuto in questa notizia alquanto curiosa.

Un recente documento ha svelato difatti l’ennesimo episodio di perdita di dati classificati che ha avuto questa volta come protagonista (o vittima) l’Agenzia Spaziale Americana. A causa di una inefficienza nel processo di verifica del materiale informatico in dismissione 10 computer che non avevano superato i test di pulizia dei dati, e che quindi contenevano ancora informazioni sensibili, sono stati messi in vendita nell’ambito del programma di pensionamento del progetto Space Shuttle dopo 130 missioni e 38 anni di onorata carriera.  Altri 4 sono stati intercettati prima dell’immissione sul mercato.

Durante lo stesso audit inoltre sono state rilevate pesanti inefficienze nel processo di pulizia dei dati su apparati IT in dismissione per i centri NASA di Kennedy Johnson Space, nonché per i laboratori di Ames e Langley.

Per 10 computer non c’è stato nulla da fare: nonostante non avessero superato i test di pulizia sono stati immessi sul mercato ed assieme ad essi sono state rilasciate:

sensitive information regarding Space Shuttle operations and maintenance procedures

Sebbene per i 10 sfortunati piccoli indiani non vi sia stato alcun modo di verificare quali informazioni siano state esposte al pubblico ludibrio, è stato tuttavia possibile analizzare 4 computer afferati sull’orlo del baratro mediatico.  Sebbene questi non avessero superato il test di pulizia, erano comunque in procinto di essere immessi sul mercato. Le analisi  forensi hanno comunque rilevato all’interno di uno di essi informazioni soggette a controllo di export secondo il regolamento ITAR (International Traffic in Arms Regulations), la cui violazione può avere conseguenze penali e civili.

Come se tutto ciò non fosse sufficiente, l’audit ha rilevato anche l’incorretta etichettatura degli hard disk da distruggere nei laboratori di Langley, mentre nel centro Kennedy, alcune macchine pronte per la vendita riportavano ancora in vista informazioni relative agli indirizzi IP probabile preda di Hacker famelici desiderosi di farsi un giretto all’interno della base.

Certo l’America non è così lontana come sembra e sono sicuro certo che episodi di questo genere siano frequenti anche nel Belpaese (passando rigorosamente inosservati). Se poi è così facile mettere in circolazione (perdere) un PC con dati sensibili, è immediato capire come la frequenza di episodi di questo tipo sia destinata a crescere esponenzialmente grazie a causa dell’uso massiccio dei dispositivi mobili (telefoni intelligenti o tavolette) per uso professionale.

In un precedente post mi chiedevo perché Intel, il maggiore produttore di processori, sorprendendo il mercato, abbia deciso di acquisire McAfee che porta in dote, tra le altre tecnologie, una delle più diffuse soluzioni di DLP. Episodi come questo consentono di fare luce sulla strategia del colosso di Santa Clara che punta alla convergenza degli endpoint (fissi e mobili) ed alla possibilità di applicare nativamente a livello di processore funzioni quali antivirus, cifratura ed il temuto DRM. Grazie a questa strategia di convergenza è probabile che in un futuro non troppo remoto si potrà cifrare nativamente l’hard disk ed effettuare la sua pulizia in maniera altrettanto trasparente.

Naturalmente prima della tecnologia c’è sempre l’essere umano (la potenza è nulla senza il controllo e circostanze come questa lo dimostrano), ad ogni modo tutto fa pensare che tra breve sarà  più difficile rubare progetti della scuderia avversaria oppure esporre  alla forca mediatica le considerazioni dei diplomatici a stelle e strisce spacciandole (dopo il danno la beffa) per un CD di Lady Gaga.