Critiche al WikiLeaks del WSJ: SafeHouse non protegge adeguatamente le fonti

di Alessandra Talarico |

Il Wall Street Journal ha lanciato ieri la propria versione di WikiLeaks, ma secondo gli esperti non tutto è stato fatto nel modo giusto per proteggere gli utenti che caricano i documenti.

Stati Uniti


SafeHouse

Anche il Wall Street Journal si è dotato del suo Wikileaks: a 5 mesi dalla pubblicazione dei documenti riservati del Dipartimento di Stato Usa da parte del sito di Julian Assange, il quotidiano newyorkese ha svelato SafeHouse, un sistema per la pubblicazione sicura e in forma anonima di “contratti, corrispondenze, email, informazioni finanziarie o banche dati”.

 

Il successo di Wikileaks ha, in effetti, portato molti editori a chiedersi come creare servizi simili, che permettessero agli ‘informatori’ di pubblicare documenti di interesse politico sui potenti del mondo e le loro ‘magagne’. Al Jazeera, ad esempio, ha lanciato a gennaio un proprio servizio di divulgazione e il WSJ vuole anch’esso saltare sul treno.

Il progetto, ha spiegato Kevin Delaney, managing editor di WSJ.com, “…è nato da diverse discussioni tra i nostri redattori. Le nostre fonti ci hanno sempre fornito dei documenti, consegnati direttamente, o faxati. Ora, chiaramente, esiste un contesto di segnalazione digitale e ciò vuol dire che abbiamo bisogno di una moderna infrastruttura cui gli informatori possano inviarci i loro documenti”

Costruito in pochi mesi e con risorse interne, SafeHouse ha debuttato ieri e, ha spiegato Delaney, “è stato progettato per minimizzare i rischi di sicurezza”, attraverso innanzitutto l’utilizzo di server separati rispetto a quelli del giornale. Il trasferimento dei file avviene attraverso una connessione cifrata e i documenti stessi sono criptati. Solo pochi membri dello staff possiedono la chiave per sbloccarli, mentre sarà ridotto al minimo il tempo di permanenza di questi file su computer connessi a internet attraverso un sistema di workflow interno “abbastanza complicato”.

Il Journal, nel tentativo di dimostrare l’eccellenza e la sicurezza del suo sistema, ha anche informato di aver ridotto al minimo le informazioni tecniche utili a identificare gli utenti che effettuano l’upload di documenti.

 

Gli esperti i sicurezza, tuttavia, hanno espresso non pochi dubbi su SafeHouse: molti sarebbero i difetti nella progettazione che renderebbero possibile identificare le fonti.

Su Twitter, Jacob Appelbaum – sviluppatore per la community Tor ed ex volontario di Wikileaks – ha spiegato che SafeHouse implementa la protezione  Secure Socket Layer (che rende illeggibili i dati trasmessi da un utente a un sito web)  in maniera insicura. Quando un utente va all’indirizzo http://wsjsafehouse.com, per esempio, il sito in chiaro offre un link alla versione protetta HTTPS senza però usare un meccanismo chiamato Strict Transport Security per passare da una connessione insicura a una cifrata.

In questo modo, qualsiasi malintenzionato può usare strumenti come SSL Strip per far credere all’utente di essere entrato nella versione cifrata del sito quando invece il traffico non è protetto.

Il server SSL di SafeHouse, secondo Appelbaum, permette inoltre la connessione a molte forme di cifratura che mancano della cosiddetta “perfect forward secrecy”, un meccanismo basato sull’utilizzo di chiavi temporanee che impediscono di decodificare i messaggi vecchi. “Ciò vuol dire che chiunque riesca a entrare nel server può decifrare tutto il traffico precedente”, ha spiegato l’esperto.

 

Il WSJ non ha commentato queste tesi, ma un portavoce ha spiegato che “non c’è niente di più sacro delle nostre fonti, che sono protette con ogni mezzo consentito dalla legge”.

Leggi le altre notizie sull’home page di Key4biz