Lo confessiamo, il titolo serve a farvi arrivare sin qui, perchè come capirete più avanti, tutta questa faccenda del climagate forse con l’hackeraggio non ha molto a che fare. Diciamo che questa è l’ipotesi con cui la vicenda è arrivata alla ribalta dei media, una veste opportunamente oscura che, a parte i computer addicted, tutto il mondo guarda con distanza e sospetto. Del resto chi di noi non è terrorizzato dal fatto che i propri dati possano essere oggetto di attenzione di malintenzionati?
Così forse avrebbero dovuto essere anche alla UEA, dove invece il fattaccio è in effetti avvenuto. Non solo, attribuire la responsabilità della sottrazione delle informazioni ad un operatore truffaldino esterno, che comunque avrebbe commesso un reato sia etico che pratico, fornisce un valido appoggio per -come dire- alzare una bella cortina di fumo attorno ai contenuti delle informazioni. Siamo stati vittima di un attacco, ciò è talmente oltraggioso che il contenuto delle informazioni non dovrebbe neanche essere analizzato. Probabilmente vero ma impossibile, perchè i buoi nella rete pascolano liberi e le stalle non si possono chiudere.
Questa argomentazione quindi suona un po’ debole, anche se sembra essere stata adottata in modo piuttosto trasversale, sia di chi è direttamente coinvolto, sia da chi continua evidentemente a fare atti di fede, magari semplicemente chiamato a commentare. La seconda ipotesi è molto più romantica e ne abbiamo anche già parlato in una precedente occasione: un insider, non in linea con i modi rudi, spicci e un po’ omertosi dei suoi colleghi, decide di rendere pubbliche al mondo quelle che egli ritiene essere le loro malefatte. Difficile da spiegare ai media evitando di entrare nel merito. Ma anche difficile da credere. Spunta la terza ipotesi, se vogliamo un mix di sbadataggine, di hackeraggio non professionale e di autolesionismo. Cerchiamo di spiegare di cosa si tratta.
Tecnica di condivisione
Per mettere un file disponibile al download pubblico ci sono tantissimi metodi: i grandi network di filesharing http (Rapidshare, Megaupload), i fornitori di virtual disk (Dropbox), il p2p basato su torrent (postando il link ad esempio su ThePirateBay o su un qualunque forum), il p2p su rete eMule, lo sharing anonimo su freenet o Tor.
Mentre le soluzioni http-based possono essere potenzialmente rese anonime (tramite un proxy o tor) e sono sicure dal punto di vista dell’uploader che carica una-tantum e poi pubblica solo il link, usare una piattaforma p2p espone al rischio di intercettazione in quanto, per la natura stessa del peer-to-peer, il file deve essere prelevato dal computer del “condivisore” che quindi si espone sulla rete mostrando il proprio indirizzo IP.
Lo sharing via freenet e via tor hidden services è intrinsecamente sicuro, anonimo e non intercettabile, ma è anche -per così dire- di livello tecnicamente superiore; l’utilizzo di tale modalità aumenterebbe considerevolmente la possibilità di aver a che fare con un hacker (nell’accezione originale del termine) o comunque di un utente esperto e smaliziato.
L’uso in questo caso di un sito ftp anonymous propone in prima istanza un’immagine di un utente “old school”, che è nato e cresciuto informaticamente almeno due decenni fa in un dipartimento scientifico di un’università , quando l’unico modo di fare file sharing era appunto l’uso di siti ftp anonymous (cosa che lo scrivente sa perchè lo ha fatto vent’anni fa ;)). Tenendo conto che le persone coinvolte non sono certo dei giovincelli ma sono professori e ricercatori esperti, di fama e comprovata integrità , lo scenario pare plausibile; per correttezza però va detto che è altresì plausibile l’ipotesi di una scelta fatta ad arte di utilizzare un sito ftp, per far sembrare che il leakage sia avvenuto da parte di un ricercatore.
La scelta del sito ftp tomcity.ru (che ora è stato ovviamente chiuso agli accessi anonimi) non è ben chiara nè facilmente riconducibile ad una facile e precisa ricerca su google: però il sito è stato esplorato a luglio 2009 da uno scanner automatizzato ed è risultato pieno del materiale più disparato e deprecabile. Lo scanner automatizzato è il primo link al quale si giunge cercando “russian ftp scan”: ma questo non è rilevante perchè è una ricerca creata sapendo quale risultato avere per primo. 🙂
Pubblicazione del link
Veniamo ora ad analizzare brevemente il contenuto del post originale su Air Vent. (ricordiamo che in origine il link era stato postato anche su WUWT, come detto, quindi la scelta del sito non può essere considerata rilevante, anche perchè entrambi erano il posto giusto). Il linguaggio usato è assolutamente anomalo per un hacker/cracker, che di norma sia usa uno slang diverso, sia tende ad esaltare le proprie capacità tecniche. Oltretutto così a occhio sembra un testo scritto da un inglese e non da un americano; questa è una pura illazione non avendo io le competenze linguistiche per discernere, ma lo stile sembra molto british, o al più della east coast USA.
In questo post su ClimateAudit si rende noto l’indirizzo IP del commento originale, che sembra essere in Russia; nei commenti successivi, tale indirizzo viene identificato come un proxy http trasparente, e quindi non vi è alcuna certezza sulla posizione geografica del delatore.
I documenti
Infine, last but not least, analizziamo il contenuto dell’ormai famoso file FOI2009.zip. Come credo i lettori già sappiano, esso contiene due directory di primo livello, documents/ e mail/. Nella prima ci sono documenti di vario genere raccolti in maniera disordinata, altre subdirectory contententi dati grezzi di vari studi sugli alberi (che spero e presumo qualcuno del mestiere stia già esaminando in una sorta di peer review ex post), sorgenti di codice fortran anche ben fatto (per quanto possa essere ben fatto del codice fortran :P), documenti vari.
Lo scenario più plausibile, a mio parere ma che è opinione comune a vari blogger stranieri, è che si tratti di materiale pronto per essere rilasciato in caso di accoglimento di una richesta FOI, integrato con altro scelto appositamente per l’occasione.
Formattazione delle mail
Le mail, che è possibile consultare al sito www.eastangliaemails.com, hanno invece l’aspetto di essere state scelte molto attentamente proprio per lo scopo di una divulgazione al pubblico degli accordi ed artifizi “sotterranei”. Non essendo il contenuto di esse l’argomento di questo post, voglio focalizzare l’attenzione sullo stile con cui sono state scritte e sulla formattazione.
Un veloce cenno allo stile del quoting che è in alcuni casi con il testo originale sotto ciò che viene scritto, stile tipico degli utenti di outlook. Stile non propriamente comune negli ambienti scientifici, soprattutto nelle mail degli anni ’90, che sono (o sono stati) tradizionalmente legati a Unix.
Alcune mail sono state scritte con Eudora, un client di posta elettronica molto diffuso negli anni scorsi e apprezzato per la sua velocità e sicurezza; questo lo si può capire guardando l’ultima linea di alcune mail (ad esempio la 1258053464), linea che viene aggiunta in presenza di allegati:
Attachment Converted: "c:eudoraattachPhil_letter_draft_091109.doc"
(nel sito web sopracitato non compaiono le in quanto sono state interpretate come inizio escape)
Tuttavia alcune prove effettuate negano l’ipotesi che le mail siano state esportate da Eudora, visto che ci sono altre linee nei file .txt generati:
Content-Type: application/msword; name="prescient.doc"
Content-Disposition: attachment; filename="prescient.doc"
X-Attachment-Id: f_g2dpcaqi0
L’esportazione dei singoli messaggi via Outlook, invece, fornisce i messaggi esattamente nel formato delle mail pubblicate, con tanto di intestazioni (che invece Eudora non inserisce):
From: JP
To: xxxxxxxx@gmail.com
Subject: test
Date: Tue, 23 Nov 2009 21:40:23 +0100
test
—
John Pilgrims
“1.29 rulez”
Origine delle mail
Prendendo quindi come ipotesi di lavoro che l’origine dei file .txt sia un’esportazione da Outlook, viene quasi naturale dedurre che le mail siano state scelte e selezionate allo scopo di essere poi diffuse al pubblico. Ma ovviamente esiste la controipotesi del “furto” delle mail.
Un’attività di hacking del mailserver del CRU (o di altra entità ad esso collegata), oltre ad essere molto più complessa tecnicamente (e certamente non alla portata di chiunque, sempre se possibile), avrebbe esposto tutte le mailbox degli utenti del dominio uea.ac.uk, che potenzialmente potrebbero essere moltissime (anche una per ogni studente). Il processo di selezione delle singole mailbox, e all’interno di esse delle singole mail (per parole chiave, ad esempio), sarebbe certamente un lavoro immane: un hacker avrebbe semplicemente diffuso tutte le mailbox nella loro interezza.
Per di più, le mail nel formato interno di un mail server contengono sempre delle linee (intestazioni) che di norma non sono visibili: sono quelle che in gergo outlook si chiamano “informazioni tecniche del messaggio”:
Received: by 10.140.158.18 with HTTP; Mon, 23 Nov 2009 12:40:23 -0800 (PST)
Date: Mon, 23 Nov 2009 21:40:23 +0100
Delivered-To: xxxxxxxxxx@gmail.com
Message-ID:
Subject: test 3
From: JP
To: xxxxxxxxxx@gmail.com
Content-Type: multipart/mixed; boundary=000e0cd246caad677904790fd54c
test
--
John Pilgrims
"1.29 rulez"
A seconda della configurazione del software del server di posta, le mailbox sono salvate in formato diverso: alcuni salvano tutte le mail in un unico gigantesco file, altri in file separati uno per ogni email. L’estrazione delle singole mail, nel primo caso, sarebbe stata ancora più complessa.
Infine, è necessario dire che la persistenza delle mail sul server di posta dipende dalla configurazione del client. Di default, questo cancella le mail sul server che le cancella fisicamente (gmail è l’unico che invece ignora questa direttiva). La concomitante presenza di mail del 1996 pone serissimi dubbi sull’ipotesi di hacking di un mailserver.
I nomi dei file delle mail
Un’ultima analisi sui nomi dei file delle mail. Outlook, all’atto del salvataggio su file di testo, chiede sempre il nome del file di destinazione; questo però può risultare leggermente fastidioso nel salvare un migliaio di messaggi. Quindi mi viene da pensare che ci sia stato un meccanismo automatico di esportazione massiva di mail, tramite ad esempio una semplice macro Visual Basic come questa.
I nomi dei file txt corrispondono allo unixtime (cioè il numero di millisecondi dal 1/1/1970) di invio delle mail. Per semplificare l’esposizione utilizziamo solo mail scritte in inghilterra, che quindi non hanno indicazione del fuso orario nel testo (l’analisi sarebbe la stessa ma complicata da un probabile e “classico” bug nella gestione delle timezone nell’ipotetico script di esportazione).
Analizziamo quindi, ad esempio, la mail numero 1248790545 di Phil Jones, che come sappiamo è di stanza alla East Anglia, UK. Uno unixtime di 1248790545 corrisponde alle 14:15:45 GMT del 28 luglio 2009; ma nel testo della mail troviamo “Date: Tue Jul 28 10:15:45 2009”. Le 5 ore di differenza corrispondono alla differenza di fuso orario tra l’Inghilterra (in ora estiva, quindi UTC+1) e la east coast americana (UTC-4). Allo stesso modo, la mail 1199466465 (17:07:45 del 4 gennaio 2008) contiene “Date: Fri Jan 4 12:07:45 2008”, sempre quindi 5 ore di differenza. Per la conversione da/a unixtime, si veda qui.
Per correttezza è giusto dire che questo risultato potrebbe essere raggiunto anche cambiando il fuso orario del pc, in modo da far sembrare che la lavorazione sia stata svolta sulla east coast americana. Allo stesso modo, il nome dei file di testo potrebbe essere stato cambiato con uno script bash per “nascondere le tracce”.
Conclusioni
Dopo avervi annoiati con queste lunghe e prolisse divagazioni 🙂 passiamo alle considerazioni finali.
Visto e considerato che:
– la modalità tecnica di condivisione del file non è stata nello stile hacker;
– lo stile del commento su AirVent è sobrio, “british” e non nello stile hacker;
Рil contenuto documentale e di sorgenti software ̬ scelto con cura;
– le mail sono state attentamente selezionate partendo dal 1996;
– il processo di esportazione delle mail sembra essere stato eseguito nella east coast americana,
mi sento di dedurre con sufficiente margine di certezza che non vi sia stata violazione alcuna del mailserver dell’università di East Anglia o di altri enti, ma bensì che le mail e i documenti siano stati resi pubblici da un ricercatore, presumibilmente americano, che lavora nel team del CRU; in alternativa, che vi sia stata una violazione -estremamente prolungata nel tempo- del PC di un membro del team del CRU.
Condivido l’opinione di Maurizio Morabito; in effetti in molte mail Briffa sembra volersi “smarcare” dagli altri compari di merende; che sia stato un momento di riflessione e di “redenzione” degno di un novello Schindler?
Non a caso, in molte delle mail divulgate Briffa sembra voler fare dei “distinguo” su temi molto scottanti, come l’hockey stick ed il MWP, sui quali Jones & C. si sono sempre scagliati con furore icnoclasta. In effetti, mi è sempre sembrato strano che, da eccellente esperto di paleoclimatologia, Briffa si accodasse a certe “divagazioni” di Jones & soci.
Un’ipotesi alternativa e complementare è che la roba divulgata (soprattutto le mail) fosse la “polvere sotto il tappeto” che qualcuno aveva accuratamente selezionato e nascosto per paura di una qualche ispezione a sorpresa (un’azione legale imminente in tema FOIA?), un po’ come in caserma quando si nascondevano i giornaletti osè x paura che passasse l’ufficiale a controllare gli armadietti.
Magari qualcuno ha avuto uno scrupolo di coscienza e ha fatto circolare ciò che tutti invece volevano nascondere….
[…] trafugate dalla Climate Research Unit della University of East Anglia e rese pubbliche. Dall’analisi dei documenti e delle mail, non sembra si tratti un furto ad opera di un cracker ma una fuga di […]
forse nel polverone di critiche …
e con i cambiamenti in corso Sole ecc …
un modo per rimescolare tutto … e ripartire con nuovi SCENARI
http://forum.crisis.blogosfere.it/viewtopic.php?f=8&t=1304&start=40#p23432
L’analisi è originale, chiedo anche io che venga tradotta in inglese e diffusa.
M.G.
Saro` paranoico, ma stasera per la seconda volta in piu` di vent’anni di utilizzo del PC ho preso un virus (un rootkit, per la precisione, che mi e` entrato da firefox). Una semplice coincidenza? 😛
[…] This post was mentioned on Twitter by daniele.me, rsaccani. rsaccani said: Una analisi della fuga di email dalla UEA http://www.climatemonitor.it/?p=5551 #digitalia […]
Da pelle d’oca la lettura dei post su Air Vent.
Quest’analisi tecnica contiene elementi originali rispetto ad altre analisi lette finora sulla rete.
Meriterebbe una traduzione immediata per una sua diffusione internazionale.
Ci avete pensato? WUWT andrebbe benissimo e posso provare a contattare Anthony Watts.
Paolo, M.M. ci sta lavorando. Appena pronto tentiamo l’inoltro. Se ci dai una mano è meglio.
gg
e io che pensavo fosse stato Keith Briffa? Qualcuno sa dove si sta curando, Keith Briffa, se in UK o negli USA? (soffre di una grave malattia, a quanto ho saputo)
[…] Ecco l'analisi di Daniele Franceschi, esperto informatico: risultato, nessun hacker esterno. Hack Attack! | Climate Monitor […]