il lupo perde il pelo ma non il vizio =) Nuovi risvolti sul disastro della security telecom da un articolo di panorama di domani

“RADAR E I SUOI FRATELLI” (IL FILM INIZIA CON UNA STORIA DI CORNA)
UN CONGEGNO AVVERTIVA LA SECURITY SE I CELLULARI VENIVANO INTERCETTATI
LE EMAIL DEI DIRIGENTI ERANO SPIATE - CHI MODIFICAVA I TABULATI DEI MAGISTRATI?


Giacomo Amadori per Panorama, in edicola domani

“Radar e i suoi fratelli”: così potrebbe intitolarsi il giallo dell’estate, quello delle intercettazioni non autorizzate sulla rete Telecom. La scoperta del sistema informatico antifrode, attivo dal 1999, che permetteva di frugare senza lasciare tracce nelle banche dati della compagnia telefonica, ha stimolato l’attenzione dei magistrati di mezza Italia, del garante per la privacy e dei dipendenti dell’azienda, che oggi iniziano a denunciare episodi da «grande fratellino». Un domino che sta scuotendo la Telecom e di cui Panorama può raccontare i dettagli, partendo dai retroscena della caduta del primo tassello. Il Radar, appunto.

La valanga è iniziata per una storia di corna. Talmente banale da far pensare a una trappola studiata a tavolino. E anche il nome del protagonista, Bianchi, è così scontato da sembrare inventato. Eppure esiste, vive a Genova. A fine novembre 2005 riceve a casa, in busta anonima, un tabulato che contiene il suo traffico telefonico nei due mesi precedenti e che lo inchioda alle sue scappatelle. La moglie legge il documento e prepara le valigie. L’uomo si rivolge a un giovane avvocato, Carlo Lodovico Fava, un ventottenne iscritto all’albo da solo un mese. La toga esordisce puntando alto: prepara un ricorso al garante per la privacy, Francesco Pizzetti, per sapere chi abbia spedito a casa del suo cliente ciò che non aveva mai chiesto. Il garante gira il quesito alla Telecom. I cui tecnici scoprono che nessuno aveva mai domandato ai computer aziendali notizie su quell’utenza. Almeno ufficialmente.

Com’era possibile che non fosse rimasta traccia di quella ricerca? È qui che il pasticciaccio brutto della società telefonica si complica. Infatti quando il garante chiede di saperne di più, e ottiene un appuntamento nella sede della Telecom, ai suoi uomini vengono aperte soltanto alcune porte, mentre altre sono tenute ben chiuse. Poco noti sono nomi e cognomi dei protagonisti.

Martedì 23 maggio l’incarico di aprire quelle porte viene affidato a Luigi Cardone, pizzetto curato e accento romano, da molti anni (da prima della nascita del sistema Radar) responsabile della direzione servizi informatici. Una scelta sorprendente. Infatti in quelle stesse ore il pm di Rovigo Manuela Fasolato chiede il rinvio a giudizio (la decisione è stata rimandata dal gip al 2007) per una decina di dirigenti Telecom e Wind impegnati sul mercato del Nord-Est: tra questi c’è Cardone. L’accusa per lui è di omesso controllo in una storia di schede telefoniche che, moltiplicate, potevano gonfiare in maniera fittizia il numero degli abbonati dei due gestori (i clienti, ignari, si trovavano intestati decine di contratti).

Cardone, subito dopo la visita degli esperti inviati dal garante, comunica per iscritto i dettagli della sua collaborazione ai propri capi. Ma quando la sua relazione finisce sulle scrivanie dei piani alti, i dirigenti quasi cadono dalle sedie. Il motivo? Nella sua nota Cardone elenca i sistemi che ha mostrato al garante e quelli che gli ha tenuto nascosti. Fra le piattaforme non dichiarate, quella che colpisce di più i manager è il sistema Radar, di cui nei corridoi dell’azienda si parlava da tempo quasi come di una leggenda metropolitana. Ma che ora assume contorni concreti.

Ma nel rapporto di Cardone sono citati con sigla e funzione altri tre sistemi fantasma. Due programmi vengono utilizzati per archiviare le bollette dei clienti di cellulari e telefoni fissi con i dettagli del traffico (in pratica l’elenco delle chiamate effettuate e non di quelle ricevute). Sono accessibili per il servizio clienti e quindi più vulnerabili e appetibili per le agenzie investigative a caccia di informazioni riservate, magari per risolvere storie di tradimenti come quella di Genova. Un terzo software è il gemello del Radar, da applicare, però, alla telefonia fissa.

Perché queste tre piattaforme non fossero considerate in regola con le norme che tutelano la privacy non è ancora chiaro neppure dentro la Telecom, visto che l’inchiesta interna si è arrestata allo studio del Radar e dei suoi segreti. Infatti, dopo la visita dei finanzieri inviati da Pizzetti, i dirigenti ordinarono all’internal auditing (l’ispettorato aziendale) di esaminare nei particolari questo oggetto misterioso.
Cardone viene informato di questa decisione e consiglia agli investigatori, tra cui il capo dell’auditing, Armando Focaroli, «accortezza» e «controllo». In più propone di affidare il penetration test, una tac digitale che permette di entrare nel cuore del programma, al proprio ufficio.

La dirigenza, da Gustavo Bracco, responsabile della security e del personale, ad Aldo Cappuccio, condirettore del servizio legale, si stupisce della richiesta e intensifica l’indagine. Scoprendo che il Radar negli anni ha subito modifiche e che, dall’estate 2005, può anche lasciare traccia a livello locale di eventuali intrusioni, ma solo se chi interroga il sistema lo desidera. È quasi un paradosso: in pratica si chiede al ladro se intenda lasciare le proprie impronte sulla porta della cassaforte. L’aggiornamento del Radar avviene poche settimane dopo la pubblicazione sui giornali delle prime notizie sulle indagini della procura di Milano riguardanti le falle nei database Telecom.

In quegli stessi giorni spariscono dall’elenco degli accessi abilitati al Radar molti nomi e ne restano solo una quarantina, fra sigle e utenti. Tra gli accessi che vengono cancellati c’è quello di Adamo Bove, l’ex funzionario della società telefonica morto suicida a Napoli il 21 luglio. Perché?
Il giudizio finale dell’auditing è che l’archivio del Radar è facilmente accessibile e modificabile. I tabulati estratti dal suo database possono essere manipolati, ovvero si possono cancellare chiamate in entrata e in uscita. Una funzione che ha scarso interesse nelle banche dati commerciali, ma può risultare pericolosa nel Sag, il Servizio autorità giudiziaria, l’ufficio che spalanca ai magistrati l’archivio dei tabulati.

Questa possibilità di «ritocco» sembra poter aprire un altro fronte caldo in Telecom. Secondo quanto risulta a Panorama, la procura di Palermo si sarebbe insospettita incrociando i tabulati di traffico di alcune persone sotto inchiesta. I magistrati avrebbero notato che, secondo quei documenti, alcuni utenti parlavano al cellulare con altri che, ufficialmente, in quei minuti non erano impegnati in conversazione. Misteri della tecnologia.

E a proposito di Servizio autorità giudiziaria, recentemente alcuni dirigenti avrebbero parlato in azienda di un vecchio trucco anti-intercettazioni pensato e realizzato dall’ufficio sicurezza. In passato qualche responsabile avrebbe marcato i cellulari utilizzati dai vertici della multinazionale e dagli amici, come alcuni investigatori privati: se un magistrato avesse tentato di metterli sotto controllo, il computer del Sag avrebbe inviato in tempo reale un messaggio a un uomo della security.

Se i telefoni in Telecom piangono, di certo non ride la posta elettronica. Come testimonia l’intervista pubblicata qui sopra, Umberto Rampa, ex responsabile della rete intranet, parla di intromissioni nelle caselle postali dei dipendenti e in particolare degli ex dirigenti, allo scopo, afferma, di controllare eventuali fughe di notizie.

Le richieste non si limitavano al controspionaggio. Inoltre i controlli di sicurezza su quelle delicate banche dati per un periodo vennero affidati a una società esterna, la torinese Mediaservice di Raoul Chiesa, arrestato e condannato nel 1995 a un anno e otto mesi con la condizionale per alcuni reati di pirateria informatica. Chiesa successivamente venne accusato da alcuni tecnici dell’azienda di aver «bucato» e messo in internet un gran numero di computer contenenti notizie delicate.
Insomma, in Telecom sino a pochi mesi fa, la protezione dei dati personali era affidata a una persona con una condanna alle spalle. Con buona pace del garante.