1

L’azienda statunitense di phone-tracking dimostra le sue capacità di sorveglianza spiando la CIA e l’ANB

di Sam Biddle e Jack Poulson

Anomaly Six, un appaltatore segreto del governo, sostiene di tracciare i movimenti di miliardi di telefoni in tutto il mondo e di esporre le spie al tocco di un pulsante.

Nei mesi precedenti l’operazione speciale della Russia in Ucraina, due start-up statunitensi poco conosciute si sono incontrate per discutere una potenziale partnership di sorveglianza che avrebbe combinato la capacità di tracciare i movimenti di miliardi di persone utilizzando i loro telefoni con un flusso costante di dati acquisiti direttamente da Twitter. Secondo Brandon Clarke di Anomaly Six, o A6, la combinazione della tecnologia di localizzazione dei telefoni cellulari con la sorveglianza dei social media fornita da Zignal Labs permetterebbe al governo degli Stati Uniti di spiare senza sforzo le truppe russe mentre si riuniscono lungo il confine ucraino, o allo stesso modo di tracciare i sottomarini nucleari cinesi. Per dimostrare che la tecnologia funziona, Clarke ha preso di mira le forze A6 a livello nazionale, spiando la National Security Agency (NSA) e la CIA, usando i loro stessi telefoni cellulari contro di loro.

Anomaly Six, con sede in Virginia, è stata fondata nel 2018 da due ex ufficiali dell’intelligence militare e mantiene una scarsa presenza pubblica, il suo sito web non rivela nulla su ciò che l’azienda effettivamente fa, ma c’è una buona possibilità che A6 sappia molto di te. L’azienda è una delle tante che acquista grandi quantità di dati di localizzazione, tracciando centinaia di milioni di persone in tutto il mondo utilizzando un fatto poco studiato: innumerevoli applicazioni comuni per smartphone raccolgono costantemente i dati sulla tua posizione e li condividono con gli inserzionisti, di solito senza la tua conoscenza o il tuo consenso informato, facendo affidamento su informative contenute in documenti legali tra una lista di termini di servizio che (le aziende calcolano) non leggerai mai. La tua posizione è data all’inserzionista, perché attualmente non c’è nessuna legge negli Stati Uniti che proibisca l’ulteriore vendita e rivendita di queste informazioni ad aziende come Anomaly Six, che sono libere di venderle ai loro clienti privati e pubblici. Per coloro che sono interessati a tracciare la vita quotidiana degli altri, l’industria della pubblicità digitale lavora giorno dopo giorno – tutto ciò che una terza parte deve fare è comprare l’accesso.

Il materiale dell’azienda dell’indagine Intercept and Tech fornisce nuovi dettagli su quanto siano potenti gli strumenti di sorveglianza di Anomaly Six in tutto il mondo, in grado di fornire a qualsiasi cliente capacità precedentemente riservate agli uffici di spionaggio e ai militari.

Secondo le registrazioni audio-visive della presentazione di A6 da parte di Intercept e Tech Inquiry, l’azienda sostiene di essere in grado di monitorare circa 3 miliardi di dispositivi in tempo reale, equivalente a un quinto della popolazione mondiale. Le sbalorditive capacità di sorveglianza sono state menzionate durante una presentazione delle capacità di tracciamento del telefono di A6 a Zignal Labs, una società di monitoraggio dei social media che utilizza il suo “accesso firewall” al flusso di dati raramente disponibile di Twitter per visualizzare centinaia di milioni di tweet al giorno senza restrizioni. A6 ha offerto di unire le capacità in modo che i clienti aziendali e governativi di Zignal potessero non solo monitorare l’attività globale dei social media, ma anche determinare esattamente chi ha inviato determinati tweet, da dove venivano, con chi erano, dove erano stati prima e dove sono andati dopo. Queste capacità estremamente migliorate sarebbero una manna ovvia sia per i regimi che tengono sotto controllo i loro avversari globali sia per le aziende che tengono sotto controllo i loro dipendenti.

La fonte del materiale, che ha parlato a condizione di anonimato per proteggere il suo sostentamento, ha sollevato serie preoccupazioni sulla legittimità degli appaltatori governativi come Anomaly Six e Zignal Labs “rivelando messaggi sociali, nomi utente e posizioni degli americani” agli utenti del “Dipartimento della Difesa”. La fonte ha anche affermato che Zignal Labs ha deliberatamente ingannato Twitter nascondendo usi più ampi del suo “accesso firewall” per la sorveglianza militare e aziendale. I termini di servizio di Twitter tecnicamente vietano a una terza parte di “condurre o consentire la sorveglianza o la raccolta di informazioni” utilizzando il suo accesso alla piattaforma, anche se la pratica è comune e l’applicazione di questo divieto è rara. Interrogato su queste preoccupazioni, il portavoce Tom Corolsishun ha detto a Intercept: “Zignal rispetta le leggi sulla privacy e le linee guida stabilite dai nostri partner di elaborazione dei dati”.

A6 sostiene che la sua rete GPS genera da 30 a 60 richieste di localizzazione per dispositivo al giorno e 2,5 trilioni di punti di dati di localizzazione all’anno in tutto il mondo, pari a 280 terabyte di dati di localizzazione all’anno e molti petabyte in totale, suggerendo che l’azienda traccia circa 230 milioni di dispositivi al giorno in media. Un portavoce di A6 ha aggiunto che mentre molte aziende rivali raccolgono dati di localizzazione personale tramite Bluetooth e connessioni telefoniche Wi-Fi che mostrano la posizione complessiva, Anomaly 6 raccoglie solo dati GPS accurati, potenzialmente entro pochi metri. Oltre al tracciamento della posizione, A6 ha detto che ha costruito una libreria di oltre 2 miliardi di indirizzi e-mail e altri dati personali che le persone condividono quando si iscrivono alle applicazioni per smartphone che possono essere utilizzati per determinare chi possiede un ping GPS. Clarke di A6 ha sottolineato durante la presentazione che tutto ciò è dovuto a una generale ignoranza dell’ubiquità e invasività dei kit di sviluppo software per smartphone, noti come SDK: “Tutto è negoziato e sottoposto dagli utenti, anche se probabilmente non leggono le 60 pagine [del contratto di licenza]”.

Intercept non è stato in grado di confermare le affermazioni di Anomaly Six sui suoi dati o caratteristiche, che sono state fatte nel contesto della campagna pubblicitaria. Il ricercatore sulla privacy Zach Edwards ha detto a Intercept che pensava che le affermazioni fossero plausibili, ma ha avvertito che le aziende potrebbero essere inclini a esagerare la qualità dei loro dati. Il ricercatore di sicurezza mobile Will Strafach è d’accordo, notando che i dati di A6 “suonano allarmanti, ma non sono così lontani dalle affermazioni ambiziose fatte da altri”. Anche se le capacità di Anomaly Six sono esagerate o basate in parte su dati imprecisi, una società con anche solo una frazione di queste capacità di spionaggio sarebbe una seria preoccupazione per la privacy, secondo Wolfie Kristol, un ricercatore specializzato in sorveglianza e le implicazioni sulla privacy per l’industria dei dati delle app.

Un portavoce di Zignal ha contattato per un commento e ha fatto la seguente dichiarazione: “Mentre Anomaly 6 ha dimostrato le sue capacità a Zignal Labs in passato, Zignal Labs non ha nulla a che fare con Anomaly 6. Non abbiamo mai integrato le capacità di Anomaly 6 nella nostra piattaforma e non abbiamo mai fornito Anomaly 6 a nessuno dei nostri clienti”.

Quando gli è stato chiesto della presentazione e delle capacità di sorveglianza dell’azienda, il co-fondatore di Anomaly Six, Brendan Huff, ha detto in una e-mail che “Anomaly Six è una piccola impresa veterana che si occupa degli interessi americani, della sicurezza naturale e onora la legge”.

Aziende come A6 sono alimentate dall’ubiquità degli SDK, che sono pacchetti di codice off-the-shelf che i produttori di software possono inserire nelle loro applicazioni per aggiungere facilmente funzionalità e monetizzare rapidamente le loro offerte attraverso la pubblicità. Secondo Clarke, A6 può trasmettere accurate misurazioni GPS raccolte attraverso partnership segrete con “migliaia” di app per smartphone: un approccio che ha descritto nella sua presentazione come “raccolta dati farm-to-table”. Questi dati non sono utili solo per chi spera di venderti qualcosa: il commercio globale di dati personali, in gran parte non regolamentato, sta trovando sempre più clienti non solo nel marketing, ma nelle agenzie federali che tracciano gli immigrati e gli obiettivi dei droni, così come le sanzioni e l’evasione fiscale. Secondo i registri pubblici, il Comando delle operazioni speciali ha pagato 590.000 dollari ad Anomaly Six nel settembre 2020 per un anno di accesso al “canale di telemetria commerciale” dell’azienda.

Il software di Anomaly Six permette ai suoi clienti di visualizzare tutti questi dati in una comoda e intuitiva visualizzazione della Terra in stile Google Maps dal satellite. Gli utenti devono solo trovare un oggetto di interesse e disegnare un bordo intorno ad esso, e A6 riempirà quel bordo con punti che indicano gli smartphone che sono passati attraverso quell’area. Cliccando su un punto si ottengono delle linee che rappresentano i movimenti del dispositivo e del suo proprietario in un quartiere, una città o addirittura il mondo.

Mentre l’esercito russo ha continuato a costruire le sue forze lungo il confine con l’Ucraina, il rappresentante di A6 ha dettagliato come la sorveglianza GPS potrebbe trasformare Zignal in una sorta di agenzia di spionaggio privato in grado di aiutare i clienti del governo a seguire i movimenti delle truppe. Immaginate, ha spiegato Clarke, se i tweet dalla zona di crisi che Zignal ha raccolto rapidamente fossero solo un punto di partenza. Utilizzando immagini satellitari postate su Twitter da account sempre più popolari di “open source intelligence”, o OSINT, Clarke ha mostrato come la localizzazione GPS A6 consentirebbe ai clienti di Zignal non solo di determinare quale accumulo militare stava accadendo, ma anche di tracciare i telefoni dei soldati russi durante le mobilitazioni per determinare esattamente dove si stavano addestrando, dove erano di stanza e a quali unità appartenevano. In un caso, Clark ha mostrato il software A6 che tracciava i telefoni dei soldati russi a ritroso nel tempo, dal confine e indietro fino a una base militare fuori Yurga, e ha suggerito che potrebbero essere tracciati ulteriormente, fino alle loro case individuali. Un precedente rapporto del Wall Street Journal indica che questo metodo di tracciamento dei telefoni è già utilizzato per monitorare le manovre militari russe e che le truppe statunitensi sono altrettanto vulnerabili.

In un’altra dimostrazione della mappa A6, Clark ha zoomato sulla città di Molkino, nel sud della Russia, che si dice sia la sede del famigerato gruppo Wagner della Russia. La mappa mostrava dozzine di punti che indicavano dispositivi alla base di Wagner, così come linee sparse che mostravano i loro movimenti recenti. “Quindi puoi iniziare a guardare questi dispositivi”, ha spiegato Clark. “Ogni volta che iniziano a lasciare l’area, osservo la potenziale attività russa prima di schierare le forze. Quindi, se li vedete dirigersi verso la Libia o la Repubblica Democratica del Congo o dovunque, può aiutarvi a capire meglio le potenziali azioni che i russi stanno prendendo”.

La dichiarazione ha notato che questo tipo di sorveglianza telefonica di massa potrebbe essere usato da Zignal per assistere clienti non identificati in “contro-messaggi”, confutando le affermazioni russe che questo rafforzamento militare era semplicemente un esercizio di addestramento e non la preparazione per l’azione militare. “Quando guardate i contro-messaggi, dove voi ragazzi avete un’enorme quantità di valore che fornite al vostro cliente del contro-messaggio, [la Russia] dice, ‘Oh, è solo un esercizio locale, regionale’. Ma vediamo dai dati che otteniamo che stanno tirando forze da tutta la Russia.

Per dimostrare pienamente al suo pubblico l’enorme potenza di questo software, Anomaly Six ha fatto quello che pochi al mondo possono dire di fare: spiare le spie americane. “Mi piace prendere in giro la nostra gente”, ha iniziato Clarke. Aprendo un’immagine satellitare simile a Google Maps, il rappresentante ha mostrato la sede della NSA a Fort Meade, Maryland, e la sede della CIA a Langley, Virginia. Con i confini virtuali disegnati intorno a entrambi (una tecnologia nota come geolocalizzazione), il software A6 ha fornito un risultato incredibile: 183 punti che rappresentano i telefoni delle persone che hanno visitato entrambe le agenzie, con centinaia di linee che divergono verso l’esterno, rivelando i loro movimenti. “Quindi, se sono un ufficiale dei servizi segreti stranieri, sono 183 punti di partenza per me ora”, ha notato Clark.

La NSA e la CIA hanno rifiutato di commentare.

Cliccando su uno dei punti della NSA, Clark ha potuto tracciare i movimenti esatti di quella persona praticamente in ogni momento della sua vita, dall’anno precedente ad oggi. “Voglio dire, pensate a tutte le cose divertenti come il sourcing”, ha detto Clark. – “Se sono un ufficiale dei servizi segreti stranieri, non ho accesso a cose come l’agenzia o il forte, posso trovare dove vivono queste persone, posso trovare i punti dove vanno, posso vedere quando lasciano il paese”. La dimostrazione ha poi seguito l’uomo attraverso gli Stati Uniti e all’estero fino a un centro di addestramento e un campo di volo a circa un’ora a nord-ovest della base aerea di Muwaffaq Salti a Zarqa, in Giordania, dove gli Stati Uniti, secondo quanto riferito, mantengono una flotta di droni.

“C’è certamente una seria minaccia alla sicurezza nazionale se un broker di dati può tracciare un paio di centinaia di agenti dell’intelligence nelle loro case e in tutto il mondo”, ha detto il senatore. Ron Wyden, MD, un critico vocale dell’industria dei dati personali, ha detto a The Intercept in un’intervista: “Non ci vuole molto ingegno per vedere come le spie straniere possono usare queste informazioni per lo spionaggio, il ricatto, tutti i tipi di atti nefasti”.

Tornato negli Stati Uniti, quest’uomo è stato rintracciato a casa sua. Il software A6 include una caratteristica chiamata “Regolarità”. Si tratta di un pulsante che i clienti possono premere per analizzare automaticamente i luoghi visitati di frequente e determinare dove il soggetto vive e lavora, anche se le posizioni GPS ricevute da A6 non includono il nome del proprietario del telefono. I ricercatori sulla privacy hanno dimostrato da tempo che anche i dati di localizzazione “anonimizzati” sono banalmente facili da collegare a una persona in base a dove si trova più spesso, un fatto che la dimostrazione di A6 conferma. Dopo aver premuto il pulsante della regolarità, Clarke ha fatto uno zoom sulla loro casa in Google Street View.

“L’industria ha ripetutamente dichiarato che la raccolta e la vendita di questi dati di localizzazione dei telefoni cellulari non comprometterà la privacy perché sono legati ai numeri identificativi dei dispositivi, non ai nomi delle persone. “Questa funzione dimostra quanto siano superficiali queste affermazioni”, ha detto Nate Wessler, vicedirettore del Speech, Privacy and Technology Project dell’American Civil Liberties Union. “Naturalmente, monitorare i movimenti di una persona 24 ore al giorno, giorno dopo giorno, vi dirà dove vive, dove lavora, con chi passa il tempo e chi è. La violazione della privacy è enorme”, ha aggiunto.

La dimostrazione è continuata con la sorveglianza dei movimenti navali degli Stati Uniti utilizzando una foto satellitare del cacciatorpediniere statunitense Dwight Eisenhower nel Mar Mediterraneo pubblicata su Twitter dalla società commerciale Maxar Technologies. Clarke ha spiegato come una singola immagine satellitare può essere trasformata in un’osservazione, che ha detto essere ancora più potente dell’osservazione dallo spazio. Utilizzando le coordinate di latitudine e longitudine allegate alla foto di Maxar, così come una marca temporale, l’A6 è stato in grado di raccogliere un singolo segnale telefonico dalla posizione della nave in quel momento, a sud di Creta. “Ma basta una sola cosa”, ha sottolineato Clark. – Quindi, quando mi guardo indietro, dove va questo singolo dispositivo: Oh, torna a Norfolk. E infatti, nell’immagine satellitare – cos’altro c’è sul vettore? Quando guarderete, troverete tutti gli altri dispositivi”. Una vista di una portaerei ormeggiata in Virginia è apparsa sul suo schermo, brulicante di migliaia di punti multicolori che rappresentano i dati di localizzazione del telefono raccolti dall’A6. “Bene, ora posso vedere ogni volta che questa nave gira. Non ho bisogno di satelliti ora. Posso usarlo”, ha concluso.

Anche se Clarke ha ammesso che la società ha molti meno dati sui proprietari di telefoni cinesi, la dimostrazione si è conclusa con un segnale GPS ricevuto a bordo di un sospetto sottomarino nucleare cinese. Utilizzando solo immagini satellitari non classificate e dati pubblicitari commerciali, Anomaly Six è stata in grado di tracciare i movimenti precisi delle forze militari e di intelligence più sofisticate del mondo. Con strumenti come quelli venduti da A6 e Zignal, anche un OSINT amatoriale otterrà poteri di sorveglianza globale precedentemente posseduti solo dai paesi. “La gente mette troppe cose in giro sui social media”, ha aggiunto Clark con una risata.

Mentre i dati di localizzazione negli Stati Uniti si diffondono in gran parte senza controllo della sorveglianza del governo, si lava le mani di creare un settore privato capace di sorveglianza a livello statale, che potrebbe anche alimentare il crescente appetito dello stato per la sorveglianza senza la solita supervisione giudiziaria. I critici dicono che il libero scambio di dati pubblicitari rappresenta una scappatoia nel quarto emendamento, che richiede al governo di presentare il suo caso a un giudice prima di ottenere le coordinate di localizzazione da un operatore di telefonia mobile. Ma la totale commercializzazione dei dati telefonici ha permesso al governo di aggirare l’ordine del tribunale e semplicemente comprare dati che spesso sono anche più accurati di quelli che compagnie come Verizon possono fornire. I sostenitori delle libertà civili dicono che questo crea un pericoloso divario tra la protezione offerta dalla Costituzione e la comprensione da parte della legge del moderno commercio di dati.

“La Corte Suprema ha chiarito che le informazioni sulla localizzazione del telefono cellulare sono protette dal quarto emendamento a causa del quadro dettagliato della vita di un individuo che possono rivelare”, ha spiegato Wessler. – “L’acquisizione da parte delle agenzie governative dell’accesso ai dati sensibili di localizzazione degli americani solleva serie domande sul fatto che si stiano impegnando in un tentativo illegale di aggirare il requisito del mandato del quarto emendamento. È ora che il Congresso ponga fine, una volta per tutte, all’ambiguità legale che permette tale sorveglianza”.

Mentre tale legislazione potrebbe limitare la capacità del governo di rinunciare alla sorveglianza commerciale, gli sviluppatori di app e i broker di dati rimarrebbero liberi di monitorare i proprietari di telefoni. Tuttavia, Wyden, un co-sponsor del disegno di legge, ha detto a The Intercept che crede che “questa legislazione invia un messaggio molto forte” al “selvaggio West” della sorveglianza basata sulla pubblicità, ma che limitare la catena di fornitura dei dati di localizzazione sarebbe “certamente una questione futura”. Wyden ha suggerito che la protezione del tracciamento della posizione del dispositivo dalle app di tracciamento e dagli inserzionisti potrebbe essere meglio gestita dalla Federal Trade Commission. Una legislazione separata, ha notato Wyden, permetterebbe alla FTC di combattere la condivisione indiscriminata dei dati e di espandere la capacità dei consumatori di rinunciare al tracciamento degli annunci.

A6 è lungi dall’essere l’unica azienda coinvolta nella videosorveglianza privatizzata con tracciamento dei dispositivi. Tre dei dipendenti chiave di Anomaly Six hanno lavorato in precedenza per la società rivale Babel Street, che ha nominato tutti e tre in una causa del 2018 riportata per la prima volta dal Wall Street Journal. Secondo la causa, Brendan Huff e Jeffrey Heinz hanno co-fondato Anomaly Six (e la meno nota Datalus 5) pochi mesi dopo aver smesso di lavorare per Babel Street nell’aprile 2018 per replicare il prodotto di localizzazione del telefono cellulare Locate X di Babel in collaborazione con il principale rivale Babel. Nel luglio 2018, Clarke ha seguito l’esempio di Huff e Heinz, dimettendosi dal suo ruolo di “interfaccia primaria di Babel per … clienti della comunità di intelligence” e diventando un dipendente sia di Anomaly Six che di Semantic.

Come il suo rivale Dataminr, Zignal ha ostentato le sue partnership con aziende come Levi’s e Sacramento Kings, promuovendosi pubblicamente in termini vaghi che danno poche indicazioni che sta usando Twitter per raccogliere informazioni, presumibilmente in chiara violazione della politica anti-sorveglianza di Twitter. I legami di Zignal con il governo sono profondi: il comitato consultivo di Zignal include l’ex capo del Comando delle operazioni speciali dell’esercito degli Stati Uniti Charles Cleveland, così come l’amministratore delegato di Rendon Group John Rendon, la cui biografia nota che “ha utilizzato per la prima volta le comunicazioni strategiche e la gestione delle informazioni in tempo reale come un elemento di potere nazionale, servendo in qualità di consulente per la Casa Bianca, la comunità di sicurezza nazionale degli Stati Uniti, compreso il Dipartimento della Difesa degli Stati Uniti”. Inoltre, i registri pubblici mostrano che Zignal ha pagato circa 4 milioni di dollari per subappaltare la società di personale della difesa ECS Federal sul progetto Maven per “Public Information … Data Aggregation” e l’associata “Public Information Enclave” sulla rete non classificata protetta dell’esercito statunitense.

La notevole portata mondiale di Anomaly Six riflette il salto quantico che ha avuto luogo nel campo dell’OSINT. Mentre il termine è spesso usato per descrivere il lavoro investigativo su Internet che utilizza i record pubblicamente disponibili per, ad esempio, individuare la posizione di un crimine di guerra da un video clip sgranato, i “sistemi OSINT automatizzati” ora usano il software per combinare vaste serie di dati che superano di gran lunga quello che un umano potrebbe fare da solo. L’OSINT automatizzato è anche diventato qualcosa di un termine improprio, utilizzando informazioni che non sono affatto “open source” o disponibili pubblicamente, come i dati GPS commerciali che devono essere acquistati da un broker privato.

Mentre i metodi OSINT sono potenti, sono generalmente protetti dalle accuse di privacy perché l’informazione sottostante “open source” significa che era già pubblicamente disponibile in qualche misura. Questa è una protezione che Anomaly Six, con il suo tesoro di miliardi di punti di dati acquistati, non può ottenere. A febbraio, il comitato olandese di revisione dei servizi di intelligence e sicurezza ha pubblicato un rapporto sui metodi automatizzati di OSINT e la minaccia alla privacy personale che possono rappresentare: “Il volume, la natura e la gamma di dati personali in questi strumenti automatizzati OSINT possono portare a violazioni più gravi dei diritti fondamentali, in particolare il diritto alla privacy, rispetto alla visualizzazione dei dati da fonti di informazione online pubblicamente disponibili, come i dati dei social media pubblicamente disponibili o i dati ottenuti attraverso un comune motore di ricerca.” Questo amalgama di dati disponibili al pubblico, registri personali estratti privatamente e analisi computerizzate non è il futuro della sorveglianza governativa, ma il presente. L’anno scorso, il New York Times ha riferito che la Defense Intelligence Agency “compra banche dati disponibili in commercio contenenti dati di localizzazione da app per smartphone e li cerca per i movimenti passati degli americani senza un mandato”. Questo è il metodo di sorveglianza ora praticato abitualmente dal Pentagono, dal Dipartimento della Sicurezza Nazionale, dall’IRS e oltre.

Traduzione a cura di Lorenzo Maria Pacini

Foto: Idee&Azione

29 aprile 2022