Anomaly Six, un appaltatore governativo segreto, afferma di monitorare i movimenti di miliardi di telefoni in tutto il mondo e smascherare le spie con la semplice pressione di un pulsante.
TR – Nei mesi precedenti all’invasione russa dell’Ucraina, due oscure startup americane si sono incontrate per discutere di una potenziale partnership di sorveglianza che unirebbe la capacità di tracciare i movimenti di miliardi di persone tramite i loro telefoni con un flusso costante di dati acquistati direttamente da Twitter. Secondo Brendon Clark di Anomaly Six – o “A6” – la combinazione della sua tecnologia di localizzazione del cellulare con la sorveglianza dei social media fornita da Zignal Labs avrebbe consentito al governo degli Stati Uniti di spiare senza sforzo le forze russe mentre si ammassavano lungo il confine ucraino, o allo stesso modo tracciare i sottomarini nucleari cinesi. Per dimostrare che la tecnologia funzionava, Clark indicò i poteri di A6 verso l’interno, spiando la National Security Agency e la CIA, usando i propri telefoni cellulari contro di loro.
Anomaly Six, con sede in Virginia, è stata fondata nel 2018 da due ex ufficiali dell’intelligence militare e mantiene una presenza pubblica che è scarsa fino al punto di misterioso, il suo sito web non rivela nulla su ciò che l’azienda effettivamente fa. Ma c’è una buona probabilità che A6 sappia una quantità immensa di te. L’azienda è una delle tante che acquista vaste risme di dati sulla posizione, monitorando centinaia di milioni di persone in tutto il mondo sfruttando un fatto poco compreso: innumerevoli app per smartphone comuni raccolgono costantemente la tua posizione e la trasmettono agli inserzionisti, in genere a tua insaputa o consenso informato, basandosi su divulgazioni sepolte nel legalese dei termini di servizio tentacolari che le aziende coinvolte contano sul fatto che tu non legga mai.
Una volta che la tua posizione viene trasmessa a un inserzionista, attualmente non esiste una legge negli Stati Uniti che vieti l’ulteriore vendita e rivendita di tali informazioni a società come Anomaly Six, che sono libere di venderle al loro settore privato e alla clientela governativa. Per chiunque sia interessato a monitorare la vita quotidiana degli altri, l’industria della pubblicità digitale si sta prendendo cura del lavoro grugnito giorno dopo giorno – tutto ciò che una terza parte deve fare è acquistare l’accesso.
I materiali aziendali ottenuti da The Intercept e Tech Inquiry forniscono nuovi dettagli su quanto siano potenti i poteri di sorveglianza di Anomaly Six in tutto il mondo, in grado di fornire a qualsiasi cliente pagante abilità precedentemente riservate agli uffici di spionaggio e alle forze armate.
Secondo le registrazioni audiovisive di una presentazione A6 recensita da The Intercept and Tech Inquiry, l’azienda afferma di poter tracciare circa 3 miliardi di dispositivi in tempo reale, equivalenti a un quinto della popolazione mondiale. L’incredibile capacità di sorveglianza è stata citata durante un pitch per fornire le capacità di tracciamento del telefono di A6 a Zignal Labs, una società di monitoraggio dei social media che sfrutta il suo accesso al flusso di dati “firehose” raramente concesso da Twitter per setacciare centinaia di milioni di tweet al giorno senza restrizioni. Con i loro poteri combinati, A6 ha proposto, i clienti aziendali e governativi di Zignal potrebbero non solo sorvegliare l’attività globale dei social media, ma anche determinare chi ha inviato esattamente determinati tweet, da dove li hanno inviati, con chi erano stati, dove erano stati in precedenza e dove sono andati dopo. Questa capacità enormemente aumentata sarebbe un ovvio vantaggio per entrambi i regimi che tengono d’occhio i loro avversari globali e le aziende che tengono d’occhio i loro dipendenti.
La fonte dei materiali, che ha parlato a condizione di anonimato per proteggere il loro sostentamento, ha espresso grave preoccupazione per la legalità degli appaltatori governativi come Anomaly Six e Zignal Labs “rivelando post social, nomi utente e posizioni degli americani” agli utenti del “Dipartimento della Difesa”. La fonte ha anche affermato che Zignal Labs aveva intenzionalmente ingannato Twitter trattenendo i più ampi casi d’uso di sorveglianza militare e aziendale del suo accesso al tubo antincendio. I termini di servizio di Twitter vietano tecnicamente a una terza parte di “condurre o fornire sorveglianza o raccogliere informazioni” utilizzando il suo accesso alla piattaforma, sebbene la pratica sia comune e l’applicazione di questo divieto sia rara. Alla domanda su queste preoccupazioni, il portavoce Tom Korolsyshun ha detto a The Intercept “Zignal rispetta le leggi sulla privacy e le linee guida stabilite dai nostri partner di dati”.
A6 afferma che la sua rete dragnet GPS produce tra 30 e 60 ping di posizione per dispositivo al giorno e 2,5 trilioni di punti dati di localizzazione all’anno in tutto il mondo, aggiungendo fino a 280 terabyte di dati sulla posizione all’anno e molti petabyte in totale, suggerendo che l’azienda sorveglia circa 230 milioni di dispositivi in un giorno medio. Il venditore di A6 ha aggiunto che mentre molte aziende rivali raccolgono dati personali sulla posizione tramite le connessioni Bluetooth e Wi-Fi di un telefono che forniscono la posizione generale, Anomaly 6 raccoglie solo punti GPS, potenzialmente precisi entro diversi metri. Oltre alla posizione, A6 ha affermato di aver costruito una libreria di oltre 2 miliardi di indirizzi e-mail e altri dettagli personali che le persone condividono quando si iscrivono alle app per smartphone che possono essere utilizzate per identificare a chi appartiene il ping GPS. Tutto questo è alimentato, ha osservato Clark di A6 durante il pitch, dall’ignoranza generale dell’ubiquità e dell’invasività dei kit di sviluppo software per smartphone, noti come SDK: “Tutto è concordato e inviato dall’utente anche se probabilmente non legge le 60 pagine del [contratto di licenza con l’utente finale]”.
The Intercept non è stato in grado di corroborare le affermazioni di Anomaly Six sui suoi dati o capacità, che sono state fatte nel contesto di un pitch di vendita. Il ricercatore sulla privacy Zach Edwards ha detto a The Intercept che credeva che le affermazioni fossero plausibili, ma ha avvertito che le aziende possono essere inclini a esagerare la qualità dei loro dati. Il ricercatore di sicurezza mobile Will Strafach è d’accordo, osservando che l’approvvigionamento dei dati di A6 vanta “un suono allarmante ma non è terribilmente lontano dalle affermazioni ambiziose di altri”. Secondo Wolfie Christl, un ricercatore specializzato nelle implicazioni di sorveglianza e privacy del settore dei dati delle app, anche se le capacità di Anomaly Six sono esagerate o basate in parte su dati imprecisi, una società che possiede anche solo una frazione di questi poteri di spionaggio sarebbe profondamente preoccupante dal punto di vista della privacy personale.
Raggiunto per un commento, il portavoce di Zignal ha fornito la seguente dichiarazione: “Mentre Anomaly 6 ha in passato dimostrato le sue capacità a Zignal Labs, Zignal Labs non ha una relazione con Anomaly 6. Non abbiamo mai integrato le funzionalità di Anomaly 6 nella nostra piattaforma, né abbiamo mai consegnato Anomaly 6 a nessuno dei nostri clienti”.
Alla domanda sulla presentazione dell’azienda e sulle sue capacità di sorveglianza, il co-fondatore di Anomaly Six Brendan Huff ha risposto in una e-mail che “Anomaly Six è una piccola impresa di proprietà di veterani che si preoccupa degli interessi americani, della sicurezza naturale e comprende la legge”.
Aziende come A6 sono alimentate dall’ubiquità degli SDK, che sono pacchetti di codice chiavi in mano che i produttori di software possono inserire nelle loro app per aggiungere facilmente funzionalità e monetizzare rapidamente le loro offerte con gli annunci. Secondo Clark, A6 può sifonare le misurazioni GPS esatte raccolte attraverso partnership segrete con “migliaia” di app per smartphone, un approccio che ha descritto nella sua presentazione come un “approccio farm-to-table all’acquisizione dei dati”. Questi dati non sono utili solo per le persone che sperano di venderti cose: il commercio globale in gran parte non regolamentato di dati personali sta trovando sempre più clienti non solo presso le agenzie di marketing, ma anche le agenzie federali che tracciano gli immigrati e gli obiettivi dei droni, nonché le sanzioni e l’evasione fiscale. Secondo i registri pubblici riportati per la prima volta da Motherboard, il Comando delle operazioni speciali degli Stati Uniti ha pagato Ad Anomaly Six $590.000 nel settembre 2020 per un anno di accesso al “feed di telemetria commerciale” dell’azienda.
Il software Anomaly Six consente ai suoi clienti di sfogliare tutti questi dati in una comoda e intuitiva vista satellitare della Terra in stile Google Maps. Gli utenti devono solo trovare una posizione di interesse e disegnare una scatola intorno ad essa, e A6 riempie quel confine con punti che denotano gli smartphone che sono passati attraverso quell’area. Facendo clic su un punto ti verranno fornite linee che rappresentano i movimenti del dispositivo e del suo proprietario in un quartiere, in una città o nel mondo intero.
Mentre l’esercito russo continuava il suo accumulo di truppe lungo il confine del paese con l’Ucraina, il rappresentante di vendita A6 ha dettagliato come la sorveglianza GPS potrebbe aiutare a trasformare Zignal in una sorta di agenzia di spionaggio privata in grado di assistere la clientela statale nel monitoraggio dei movimenti delle truppe. Immaginate, ha spiegato Clark, se i tweet della zona di crisi Zignal emergano rapidamente attraverso la manichetta antincendio fosse solo un punto di partenza. Utilizzando immagini satellitari twittate da account che conducono indagini sempre più popolari di “intelligence open source”, o OSINT, Clark ha mostrato come il tracciamento GPS di A6 avrebbe permesso ai clienti di Zignal di determinare non semplicemente che l’accumulo militare stava avvenendo, ma di tracciare i telefoni dei soldati russi mentre si mobilitavano per determinare esattamente dove si erano addestrati, dove erano di stanza e a quali unità appartenevano. In un caso, Clark ha mostrato il software A6 che traccia i telefoni delle truppe russe a ritroso nel tempo, lontano dal confine e di nuovo in un’installazione militare fuori Yurga, e ha suggerito che potrebbero essere rintracciati ulteriormente, fino alle loro case individuali. Precedenti rapporti del Wall Street Journal indicano che questo metodo di tracciamento del telefono è già utilizzato per monitorare le manovre militari russe e che le truppe americane sono altrettanto vulnerabili.
In un’altra dimostrazione della mappa A6, Clark ha zoomato da vicino sulla città di Molkino, nel sud della Russia, dove il Gruppo Wagner, un famigerato gruppo mercenario russo, avrebbe avuto sede. La mappa mostrava dozzine di punti che indicavano i dispositivi alla base di Wagner, insieme a linee sparse che mostravano i loro movimenti recenti. “Quindi puoi semplicemente iniziare a guardare questi dispositivi”, ha spiegato Clark. “Ogni volta che iniziano a lasciare l’area, sto guardando a potenziali attività di pre-distribuzione russa per i loro attori non standard, le loro persone non uniformi. Quindi, se li vedi andare in Libia o nella Repubblica Democratica del Congo o cose del genere, questo può aiutarti a capire meglio le potenziali azioni di soft power che i russi stanno facendo”.
Per imprimere pienamente al suo pubblico l’immenso potere di questo software, Anomaly Six ha fatto quello che pochi al mondo possono affermare di fare: spiato le spie americane. “Mi piace prendere in giro la nostra gente”, ha esordito Clark. Tirando su una vista satellitare simile a Google Maps, il rappresentante di vendita ha mostrato il quartier generale della NSA a Fort Meade, nel Maryland, e il quartier generale della CIA a Langley, in Virginia. Con le scatole di confine virtuali disegnate attorno a entrambe, una tecnica nota come geofencing, il software di A6 ha rivelato un’incredibile generosità di intelligence: 183 punti che rappresentano telefoni che avevano visitato entrambe le agenzie potenzialmente appartenenti al personale dell’intelligence americana, con centinaia di linee che strisciano verso l’esterno rivelando i loro movimenti, pronti ad essere tracciati in tutto il mondo. “Quindi, se sono un ufficiale dell’intelligence straniera, sono 183 punti di partenza per me ora”, ha osservato Clark.
La NSA e la CIA hanno entrambe rifiutato di commentare.
Cliccando su uno dei punti della NSA ha permesso a Clark di seguire i movimenti esatti di quell’individuo, praticamente in ogni momento della sua vita, da quell’anno precedente fino ad oggi. “Voglio dire, pensa solo a cose divertenti come l’approvvigionamento”, ha detto Clark. “Se sono un ufficiale dell’intelligence straniera, non ho accesso a cose come l’agenzia o il forte, posso trovare dove vivono quelle persone, posso trovare dove viaggiano, posso vedere quando lasciano il paese”. La dimostrazione ha poi rintracciato l’individuo negli Stati Uniti e all’estero in un centro di addestramento e in un aeroporto a circa un’ora di auto a nord-ovest della base aerea di Muwaffaq Salti a Zarqa, in Giordania, dove gli Stati Uniti mantengono una flotta di droni.
“C’è sicuramente una seria minaccia alla sicurezza nazionale se un broker di dati può rintracciare un paio di centinaia di funzionari dell’intelligence nelle loro case e in tutto il mondo”, ha detto a The Intercept il senatore Ron Wyden, D-Ore., un critico vocale dell’industria dei dati personali. “Non ci vuole molta creatività per vedere come le spie straniere possono usare queste informazioni per spionaggio, ricatto, tutti i tipi di, come si diceva una volta, azioni vili”.
Tornato negli Stati Uniti, la persona è stata rintracciata a casa propria. Il software di A6 include una funzione chiamata “Regolarità”, un pulsante che i clienti possono premere che analizza automaticamente le posizioni visitate di frequente per dedurre dove vive e lavora un bersaglio, anche se i punti gps provenienti da A6 omettono il nome del proprietario del telefono. I ricercatori sulla privacy hanno da tempo dimostrato che anche i dati sulla posizione “anonimizzati” sono banalmente facili da allegare a un individuo in base al luogo che frequentano di più, un fatto confermato dalla dimostrazione di A6. Dopo aver premuto il pulsante “Regolarità”, Clark ha ingrandito un’immagine di Google Street View della loro casa.
“L’industria ha ripetutamente affermato che la raccolta e la vendita di questi dati sulla posizione del cellulare non violerà la privacy perché è legata ai numeri ID del dispositivo anziché ai nomi delle persone. Questa caratteristica dimostra quanto siano facili queste affermazioni”, ha dichiarato Nate Wessler, vice direttore del Speech, Privacy, and Technology Project dell’American Civil Liberties Union. “Naturalmente, seguire i movimenti di una persona 24 ore al giorno, giorno dopo giorno, ti dirà dove vive, dove lavora, con chi trascorre del tempo e chi è. La violazione della privacy è immensa”.
La dimostrazione è proseguita con un’esercitazione di sorveglianza che ha taggato i movimenti navali statunitensi, utilizzando una foto satellitare twittata della USS Dwight D. Eisenhower nel Mar Mediterraneo scattata dalla società commerciale Maxar Technologies. Clark ha spiegato come una singola istantanea satellitare potesse essere trasformata in sorveglianza che sosteneva fosse ancora più potente di quella eseguita dallo spazio. Utilizzando le coordinate di latitudine e longitudine aggiunte alla foto Maxar insieme al suo timestamp, A6 è stato in grado di raccogliere un singolo segnale telefonico dalla posizione della nave in quel momento, a sud di Creta. “Ma ne basta solo uno”, ha osservato Clark. “Quindi, quando guardo indietro dove va quel dispositivo: Oh, torna a Norfolk. E in realtà, sul vettore nell’immagine satellitare – cos’altro c’è sul vettore? Quando guardi, ecco tutti gli altri dispositivi. ” Il suo schermo ha rivelato una vista del vettore ancorato in Virginia, brulicante di migliaia di punti colorati che rappresentano i ping della posizione del telefono raccolti da A6. “Bene, ora posso vedere ogni volta che quella nave si sta schierando. Non ho bisogno di satelliti in questo momento. Posso usarlo.”
Sebbene Clark abbia ammesso che la società ha molti meno dati disponibili sui proprietari di telefoni cinesi, la demo si è conclusa con un ping GPS raccolto a bordo di un presunto sottomarino nucleare cinese. Utilizzando solo immagini satellitari non classificate e dati pubblicitari commerciali, Anomaly Six è stata in grado di tracciare i movimenti precisi delle forze militari e di intelligence più sofisticate del mondo. Con strumenti come quelli venduti da A6 e Zignal, anche un hobbista OSINT avrebbe poteri di sorveglianza globale precedentemente detenuti solo dalle nazioni. “La gente mette troppo sui social media”, ha aggiunto Clark con una risata.
Poiché i dati sulla posizione sono proliferati e in gran parte incontrollati dalla supervisione del governo negli Stati Uniti, una mano lava un’altra, creando un settore privato in grado di avere poteri di sorveglianza a livello statale che possono anche alimentare il crescente appetito dello stato per la sorveglianza senza il solito controllo giudiziario. I critici dicono che il commercio allentato di dati pubblicitari costituisce una scappatoia nel Quarto Emendamento, che richiede al governo di presentare il suo caso a un giudice prima di ottenere le coordinate di localizzazione da un fornitore di cellulari. Ma la totale mercificazione dei dati telefonici ha permesso al governo di saltare l’ordine del tribunale e semplicemente acquistare dati che sono spesso ancora più accurati di quelli che potrebbero essere forniti da artisti del calibro di Verizon. I libertari civili dicono che questo lascia un pericoloso divario tra le protezioni previste dalla Costituzione e la comprensione della legge sul moderno commercio di dati.
“La Corte Suprema ha chiarito che le informazioni sulla posizione dei cellulari sono protette dal Quarto Emendamento a causa del quadro dettagliato della vita di una persona che può rivelare”, ha spiegato Wessler. “Gli acquisti da parte delle agenzie governative di accesso ai dati sensibili sulla posizione degli americani sollevano seri interrogativi sul fatto che siano impegnati in un fine illegale aggirando il requisito del mandato del Quarto Emendamento. È tempo che il Congresso ponga fine all’incertezza giuridica che consente questa sorveglianza una volta per tutte muovendosi verso l’approvazione del Fourth Amendment Is Not For Sale Act”.
Anche se tale legislazione potrebbe limitare la capacità del governo di sfruttare la sorveglianza commerciale, i produttori di app e i broker di dati rimarrebbero liberi di sorvegliare i proprietari di telefoni. Tuttavia, Wyden, un co-sponsor di quel disegno di legge, ha detto a The Intercept che crede che “questa legislazione invii un messaggio molto forte” al “selvaggio West” della sorveglianza basata sulla pubblicità, ma che reprimere la catena di approvvigionamento dei dati sulla posizione sarebbe “certamente una domanda per il futuro”. Wyden ha suggerito che la protezione della traccia di posizione di un dispositivo da app e inserzionisti ficcanaso potrebbe essere gestita al meglio dalla Federal Trade Commission. Una legislazione separata precedentemente introdotta da Wyden consentirebbe alla FTC di reprimere la condivisione promiscua dei dati e ampliare la capacità dei consumatori di rinunciare al monitoraggio degli annunci.
A6 è ben lungi dall’essere l’unica azienda impegnata nella sorveglianza privatizzata del monitoraggio dei dispositivi. Tre dei dipendenti chiave di Anomaly Six hanno precedentemente lavorato presso la società concorrente Babel Street, che li ha nominati tutti e tre in una causa del 2018 riportata per la prima volta dal Wall Street Journal. Secondo il deposito legale, Brendan Huff e Jeffrey Heinz hanno co-fondato Anomaly Six (e il meno noto Datalus 5) mesi dopo aver terminato il loro impiego a Babel Street nell’aprile 2018, con l’intento di replicare il prodotto di sorveglianza della posizione del cellulare di Babel, “Locate X”, in una partnership con il principale concorrente di Babel Semantic AI. Nel luglio 2018, Clark ha seguito Huff e Heinz dimettendosi dalla sua posizione di “interfaccia primaria di Babel per … intelligence community clients” e diventare un dipendente sia di Anomaly Six che di Semantic.
Come il suo rivale Dataminr, Zignal pubblicizza le sue partnership banali con artisti del calibro di Levi’s e Sacramento Kings, commercializzandosi pubblicamente in termini vaghi che portano poche indicazioni sul fatto che utilizzi Twitter per scopi di raccolta di informazioni, apparentemente in chiara violazione della politica anti-sorveglianza di Twitter. I legami di Zignal con il governo sono profondi: il comitato consultivo di Zignal comprende un ex capo del Comando delle operazioni speciali dell’esercito degli Stati Uniti, Charles Cleveland, nonché il CEO del Gruppo Rendon, John Rendon, la cui biografia osserva che “ha aperto la strada all’uso delle comunicazioni strategiche e della gestione delle informazioni in tempo reale come elemento del potere nazionale, servendo come consulente per la Casa Bianca, La comunità della sicurezza nazionale degli Stati Uniti, incluso il Dipartimento della Difesa degli Stati Uniti. Inoltre, i registri pubblici affermano che Zignal è stato pagato circa $ 4 milioni per subappaltare sotto la società di personale della difesa ECS Federal su Project Maven per “Informazioni pubblicamente disponibili … Data Aggregation” e una relativa “enclave di informazioni pubblicamente disponibili” nella rete sicura non classificata dell’esercito degli Stati Uniti.
Le notevoli capacità mondiali di Anomaly Six sono rappresentative del salto quantico che si verifica nel campo dell’OSINT. Mentre il termine è spesso usato per descrivere il lavoro investigativo abilitato a Internet che attinge a documenti pubblici per, ad esempio, individuare la posizione di un crimine di guerra da un video clip sgranato, i sistemi “OSINT automatizzati” ora utilizzano software per combinare enormi set di dati che superano di gran lunga ciò che un essere umano potrebbe fare da solo. Anche l’OSINT automatizzato è diventato una sorta di termine improprio, utilizzando informazioni che non sono affatto “open source” o di dominio pubblico, come i dati GPS commerciali che devono essere acquistati da un broker privato.
Mentre le tecniche OSINT sono potenti, sono generalmente protette dalle accuse di violazione della privacy perché la natura “open source” delle informazioni sottostanti significa che erano già in una certa misura pubbliche. Questa è una difesa che Anomaly Six, con il suo tesoro di miliardi di punti dati acquistati, non può raccogliere. A febbraio, il comitato di revisione olandese sui servizi di intelligence e sicurezza ha pubblicato un rapporto sulle tecniche OSINT automatizzate e sulla minaccia alla privacy personale che possono rappresentare: “Il volume, la natura e la gamma di dati personali in questi strumenti OSINT automatizzati possono portare a una violazione più grave dei diritti fondamentali, in particolare del diritto alla privacy, rispetto alla consultazione di dati provenienti da fonti di informazione online accessibili al pubblico, come i dati dei social media accessibili al pubblico o i dati recuperati utilizzando un motore di ricerca generico. Questa fusione di dati pubblicamente disponibili, record personali acquistati privatamente e analisi computerizzate non è il futuro della sorveglianza governativa, ma il presente. L’anno scorso, il New York Times ha riferito che la Defense Intelligence Agency “acquista database disponibili in commercio contenenti dati sulla posizione dalle app per smartphone e li cerca per i movimenti passati degli americani senza un mandato”, un metodo di sorveglianza ora regolarmente praticato in tutto il Pentagono, il Dipartimento della Sicurezza Nazionale, l’IRS e oltre.
