Dopo il grande pezzo sugli ecoceronti, Claudia torna a noi per regalarci una nuova perla dedicata all'OSINT.  Non è roba da nerd, anzi, è qualcosa che ci appartiene culturalmente e che abbiamo imparato fin dai tempi dell'asilo. Tuttavia, sarebbe sbagliati pensare che non ci sia "nulla di nuovo", perché qualcosa effettivamente complica la situazione e Claudia ci mette in guardia. 

"La conoscenza è dolore, ma la spensierata ignoranza fa ancora più male."

CB.

OSINT: il potere (e il pericolo) delle informazioni pubbliche

aka come l’intelligence open-source può salvare o compromettere la sicurezza personale, politica e geopolitica

Sono nata negli anni in cui Internet era ancora in fasce e la pubblicità faceva sognare mondi patinati tra Big Jim, Michael Jackson e la Pepsi Generation e joystick 8-bit, oggi guardo con un misto di meraviglia e inquietudine al modo in cui il concetto di OSINT (Open-Source INTelligence) sia diventato parte integrante della sicurezza internazionale, dell’intelligence aziendale e delle strategie geopolitiche.

Ma proprio perché “open-source”, e quindi apparentemente innocuo, nasconde rischi enormi: siamo nell’epoca in cui ciò che è pubblico può essere usato per tracciare, manipolare e compromettere persone, istituzioni - e Stati.

Partiamo da un caso emblematico: l’attacco al Campidoglio del 6 gennaio 2021, analizzato in un importante articolo dell’Institute for Strategic Dialogue (ISD) (qui: https://www.isdglobal.org/digital_dispatches/jan-6-series-how-osint-powered-the-largest-criminal-investigation-in-us-history/).

Molto brevemente, OSINT è la raccolta e analisi di informazioni accessibili pubblicamente, su social media (da Facebook a Threads, da TikTok a Line), archivi istituzionali (anche governativi), immagini satellitari, forum, documenti e metadati.

Di base, anche solo guardare la bacheca Facebook di un conoscente, anche senza esserne amici, rappresenta una fonte di OSINT; le nonne in cortile a parlare di tutto quel che avevano visto o sentito, era pure quello OSINT.

E se io posso vedere il profilo pubblico di una persona ed estrarne dati… lo può fare anche qualcuno che ha interessi ben superiori al pettegolezzo.

L’attacco al Campidoglio e il potere dell’OSINT

L’analisi dell’ISD mostra come, dopo il 6 gennaio 2021, l’OSINT abbia alimentato la più grande indagine penale della storia americana - qualcosa di cui si parla ancora adesso, tanto è il potere mediatico scaturito.

Il Dipartimento di Giustizia USA ha definito l’indagine “la più ampia di sempre”, per numero di imputati e volume di prove raccolte (qui: https://radio.wpsu.org/2021-03-05/the-jan-6-attack-the-cases-behind-the-biggest-criminal-investigation-in-u-s-history) tra social media, live stream, telecamere, dispositivi mobili.

In questo caso, “guardare” le immagini sparse per la rete, ha aiutato a identificare e incriminare centinaia di individui. Ma lo stesso meccanismo può essere ribaltato: con le stesse tecniche, si può perseguire, schedare, o manipolare chiunque.

Ma quali sono i rischi per la sicurezza individuale e collettiva?

Identificazione e tracciamento

La combinazione di immagini, metadati e geolocalizzazione può rivelare la posizione e le abitudini di una persona.

Un recente paper di arxiv (qui: https://arxiv.org/abs/2311.13018) mostra come modelli di intelligenza artificiale siano in grado di localizzare contenuti digitali con elevata precisione. Per attivisti, giornalisti o diplomatici in aree sensibili, ciò significa essere potenzialmente visibili a chiunque voglia far loro del male.

Profilazione e vulnerabilità

I malintenzionati usano le ricerche OSINT per costruire profili dettagliati di individui, collettività e aziende. Come riporta Brit Insurance (qui: https://www.britinsurance.com/news/understanding-osint), queste informazioni vengono sfruttate per impersonificazioni, phishing, social engineering o infiltrazioni interne. Sul lungo periodo, portare avanti tali investigazioni significa penetrare più a fondo nel tessuto aziendale (ma anche della collettività, immaginando di poter “schedare” certe tipologie di persone).

Manipolazione e disinformazione

Ma l’OSINT serve anche per analizzare e influenzare le dinamiche sociali e politiche.

Secondo un articolo (datato ma sempre attuale, qui: https://www.authentic8.com/blog/osint-geopolitical-assessment), i governi utilizzano strategie combinate di OSINT per monitorare l’evoluzione di eventi geopolitici, ma lo stesso vale per chi vuole manipolare opinioni pubbliche o polarizzare comunità online.

Conflitti e minacce ibride

Come sottolineato dal giornalista Grayland (qui:https://www.cyberdefensemagazine.com/geopolitical-cyber-threats-in-2024-navigating-emerging-risks-with-osint-open-source-intelligence/ ma anche qui: https://www.specialeurasia.com/2023/04/17/open-source-intelligence-osint/) nei conflitti moderni l’OSINT (come HUMINT - HUMan INTelligence) è ormai un’arma: traccia movimenti navali, flussi logistici, immagini satellitari, consentendo ad attori statali o non statali di anticipare o sabotare mosse strategiche. Paranoia? No, “solida realtà” (cit.).

Il rischio di questi scenari di spionaggio spazia dal voler danneggiare il vicino antipatico a cambiare il corso della storia facendo eleggere un candidato al posto di un altro.

Nella politica, visto che parliamo di elezioni, l’OSINT permette di monitorare il sentimento politico, individuare gli “influencer” di settore/gruppo/lista/fazione, orientare campagne di disinformazione.

Dopo il 6 gennaio, l’ISD ha segnalato una sofisticazione crescente dei network estremisti e delle strategie di manipolazione. Anche alle nostre latitudini, quasi ogni giorno, si consumano scenari di manipolazione del sentimento politico: di base, basta parlare male di qualcuno e l’opinione pubblica si spacca. A metà tra il Kimmel Show e il faccia a faccia Laqualunque-De Santis - ma sul serio.

E in guerra? L’OSINT serve a tracciare forze militari e infrastrutture critiche. L’analisi di dati aperti (dalle immagini satellitari ai movimenti navali, ma anche il solo spiare le app di fitness dei miliari) permette di ottenere informazioni un tempo riservate ai servizi segreti. Per questo motivo, leader politici, attivisti e dirigenti sono vulnerabili: ogni informazione pubblica può diventare un punto d’accesso per i ciminali.

Una questione di consapevolezza

Vedo la questione con doppia lente: quella della comunicazione (e del marketing, che insegno) e quella della sicurezza (nella quale lavoro) e le ragioni della crescente gravità sono più che chiare:

• il volume e la velocità dei dati generati ogni giorno (un interessante estratto qui: https://bib.opensourceintelligence.biz/STORAGE/2016. osint as part of the strategic national security landscape.pdf)
• la facile accessibilità degli strumenti anche a soggetti non governativi
• le automazioni e le IA, che velocizzano riconoscimento facciale e correlazione dei dati (qui, a proposito dell’attacco del 6 gennaio: https://spectrum.ieee.org/capitol-riot-prosecutions-technology)
• la grande confusione tra pubblico e privato, terreno fertile per abusi e manipolazioni

Parafrasando un classico del cinema di fantascienza: “Nel futuro, ogni cosa che fai lascerà una traccia. E quella traccia parlerà di te”, non ci rendiamo bene conto che “oggi” quel futuro è il presente.

L’OSINT ha trasformato il modo in cui governi, aziende e individui percepiscono la sicurezza: ciò che è pubblico è anche potenzialmente vulnerabile. Si può allora arginare? Sì, è possibile, con piccoli accorgimenti e pratiche - che sono seconde solo alla maxima verità: tutto quello che metti nella rete, resterà nella rete.

1. gestire consapevolmente la propria impronta digitale: disattivare la geolocalizzazione, limitare i post pubblici, curare la privacy dei metadati, non condividere foto di amici e parenti come non ci fosse un domani (soprattutto minori)
2. separare vita personale e professionale, soprattutto in contesti sensibili: usare account e identità differenti per lavoro e per vita privata, per hobby di lungo corso e nuove passioni
3. monitorare le esposizioni pubbliche: audit (revisioni) regolari di ciò che è disponibile online su sé stessi o la propria organizzazione, nelle cerchie di amici, nelle mailing list della Parrocchia o della palestra
4. tutela della geo-privacy: usare strumenti per offuscare coordinate e dati identificativi, non usare i tag di localizzazione sui social, non pubblicare foto dove siano riconoscibili luoghi sensibili

Tutto questo non garantisce immunità dalle ricerche, ma aiuta a mantenere una buona igiene digitale personale.