Aggiustare il mondo - Aaron Swartz/I casi giudiziari/15. L'accesso a JSTOR

I casi giudiziari - 15. L'accesso a JSTOR

../14. Il primo dossier dell'FBI ../16. Il controverso ruolo del MIT IncludiIntestazione 13 maggio 2024 75% Da definire

I casi giudiziari - 14. Il primo dossier dell'FBI I casi giudiziari - 16. Il controverso ruolo del MIT
[p. 135 modifica]
15. L'accesso a JSTOR


Nel gennaio del 2011, a venticinque anni, circa tre anni dopo l’accesso a PACER, Aaron sarà arrestato per un nuovo “attacco” a un sistema.

Le motivazioni e gli eventi alla base di questo nuovo caso giudiziario – e trauma – nella sua vita risalgono all’autunno del 2010 e coinvolgono un’altra banca dati – la biblioteca digitale denominata JSTOR (“Journal Storage”) – cuore di un servizio commerciale che concede in licenza riviste scientifiche a numerose organizzazioni accademiche e di ricerca e università nel mondo, tra cui il MIT.

La sera di sabato 25 settembre 2010 i tecnici di JSTOR notano un numero estremamente elevato di richieste di download di articoli scientifici che provengono dal MIT; più precisamente, tra le 17.00 di sabato e le 4.00 di domenica vengono scaricati più di 450.000 articoli, che erano stati pubblicati su 560 riviste.

Il volume di dati trasferiti è talmente alto da sovraccaricare il server JSTOR coinvolto; i tecnici della banca dati decidono di bloccare temporaneamente ulteriori download richiesti da quell’indirizzo IP del MIT che stava interrogando il sistema. Ma questa prima strategia di difesa non si rivela sufficiente: le stesse, ossessive richieste di download continuano, poco dopo, da un altro indirizzo IP.

Il giorno successivo, domenica 26 settembre, JSTOR decide, allora, di negare l’accesso all’intera gamma di indirizzi IP ricollegabili al MIT, e invia un’e-mail di chiarimento alle biblioteche di quell’Ateneo, notificando l’accaduto e giustificando una scelta così radicale.

Nel testo di questa e-mail – finita, poi, sia in un rapporto investigativo interno del MIT, sia negli atti processuali – si spiega come JSTOR «raramente reagisca in questo modo alle attività illecite, ma si era ritenuto necessario, e prioritario, mantenere la stabilità del sito web per tutte le altre istituzioni e gli utenti collegati». Vi era, insomma, il fondato timore che una simile attività “buttasse giù” tutto il sistema e impedisse, così, l’accesso al servizio a tutti i clienti mondiali.

Gli investigatori di JSTOR osservano, al contempo, come il modo in cui le richieste di download erano arrivate al loro sistema «indica chiaramente una raccolta robotizzata di articoli in PDF, in violazione dei nostri termini e condizioni d’uso». Non c’era una persona, dietro questa attività, ma un automatismo, uno script che faceva le veci di un essere umano e agiva giorno e notte.

In base agli accordi contrattuali stipulati con JSTOR, le biblioteche del MIT iniziano, allora, a collaborare con la società, nel tentativo di determinare la fonte del download – ossia da quale computer, stanza del campus o laboratorio avvenisse quella operazione – e di impedirne la prosecuzione.

Nel momento in cui i vertici di JSTOR domandano esplicitamente l’assistenza del MIT e del suo staff di security per evitare che l’incidente si ripeta, la risposta che ricevono dai responsabili delle biblioteche è chiara: «Stiamo [p. 136 modifica] indagando su questo caso; visto che ad avere originato l’attività illecita è stato un ospite in visita al MIT, confidiamo che il fatto non si ripeterà più».

In risposta a questo messaggio rassicurante da parte dei vertici del campus, JSTOR decide, in un’ottica di fiducia, di riattivare tutti gli indirizzi IP collegabili alla rete del MIT e di tenere, però, sotto controllo con grande attenzione le attività di rete e la situazione. Al contempo, il team di sicurezza della rete del MIT e il gruppo “Stopit” – che si occupa di fermare i comportamenti inappropriati che si verificano per via elettronica – aumentano, a loro volta, il livello di allerta.

Il modo di procedere del gruppo “Stopit” del MIT, che cerca di mantenere l’ordine nel campus con riferimento agli episodi di scaricamenti selvaggi, è molto interessante: generalmente ha il compito di inviare al trasgressore un messaggio di posta elettronica di avvertimento e, nella maggior parte dei casi, un simile ammonimento formale è sufficiente per responsabilizzare gli utenti e farli smettere.

Nel caso in questione, però, il computer era registrato in rete a un “ospite”, e l’ospite utilizzava un indirizzo e-mail anonimo che non poteva in alcun modo essere contattato. L’unica cosa da fare fu, allora, quella di disabilitare la registrazione dell’indirizzo MAC utilizzato dal computer incriminato per generare un deterrente sufficiente per ulteriori attività.

Due settimane dopo – sabato 9 ottobre 2010, proprio durante il fine settimana del Columbus Day – si verifica un secondo incidente molto simile al primo: un ospite esterno della rete scarica altri articoli di JSTOR, utilizzando un indirizzo MAC leggermente modificato rispetto a quello correlato al primo episodio.

Questa volta, però, le richieste e i download generano dei malfunzionamenti enormi che si estendono, pian piano, a tutti i server di JSTOR. Gli ingegneri della società sono seriamente preoccupati, e la situazione diventa d’emergenza: il servizio rischia di diventare inaccessibile da tutto il mondo, e le richieste di download sembrano provenire, in questo caso, da migliaia di macchine contemporaneamente.

JSTOR è costretto nuovamente a interrompere il servizio alle 23:15 circa del 9 ottobre 2010, limitando così i danni: erano stati scaricati, in questa sessione di collegamento, “solo” 8.000 articoli.

Una rapida investigazione interna all’azienda conferma che gli articoli in corso di scaricamento non erano limitati a una specifica disciplina, ma erano sequenziali e attraversavano l’intero database e ogni possibile argomento. Era il chiaro segnale di come fosse in corso uno “sforzo concertato per scaricare l’intero archivio JSTOR”. L’intero archivio.

La situazione diventa ancora più delicata. I vertici di JSTOR iniziano a dialogare con i vertici delle biblioteche del MIT sul da farsi. Vi è, però, urgenza di ripristinare il servizio, che è centrale per la vita accademica, e ciò viene fatto il 12 ottobre, dopo tre giorni di blocco delle banche dati nell’intero campus. [p. 137 modifica]

Sia JSTOR, sia il MIT si impegnano a monitorare con grande attenzione le attività e a intervenire al più presto in caso di ulteriori comportamenti sospetti.

Nel frattempo, gli investigatori interni del MIT iniziano a lavorare su un’informazione importante e un po’ più “fisica”: le attività di download sembrano avvenire da un palazzo del MIT denominato Dorrance Building n. 16, una costruzione accademica collocata nel campus centrale.

La sera del 26 dicembre 2010, in pieno periodo natalizio, sorgono nuovi problemi: JSTOR registra, nuovamente, un eccesso di download provenienti dalla rete del MIT, questa volta riferibili a un nuovo indirizzo IP.

La sorpresa è grande, questa volta, perché si scopre come quest’ultimo download fosse in corso da tantissimo tempo – almeno a partire dalla fine di novembre – ma JSTOR se ne è accorto solo molto più tardi. L’attività era rimasta invisibile, perché le modalità di accesso ai download erano state rallentate e modificate in modo tale che i sistemi di monitoraggio dell’azienda non individuassero la ripresa della raccolta robotizzata.

Anche questa attività proviene dall’edificio 16: JSTOR domanda, allora, alla direzione delle biblioteche di agire, e in fretta. Esige, in particolare, che venga fatto ogni sforzo per identificare i responsabili e per assicurare che il contenuto prelevato in quell’incidente, e in quelli precedenti, fosse messo in sicurezza e cancellato. In più, ribadisce come fosse in corso un’intensa attività non autorizzata e come fosse necessario scoprire, a questo punto, l’autore di una simile azione criminale, chiaramente intenzionale e proveniente dall’interno del MIT.

In concreto, però, visto il periodo di vacanze natalizie, questi messaggi di invito a investigazioni più decise vengono appresi e trattati soltanto a gennaio, al ritorno al lavoro di tutto l’organico del campus.

Con il nuovo anno, pertanto, l’attenzione si sposta sull’edificio 16 e sulla ricerca fisica del computer che opera i download.

In particolare, gli addetti alla sicurezza del MIT mettono sotto osservazione uno sgabuzzino, presente nel seminterrato, che contiene gli switch di rete dell’edificio. Notano, subito, una cosa strana: c’è un cavo collegato a uno switch di rete che porta a una scatola di cartone collocata sul pavimento.

L’ingegnere del MIT addetto al controllo solleva, allora, la scatola e scopre un computer portatile. Telefona immediatamente a un collega, che lo raggiunge rapidamente nello sgabuzzino, ed entrambi coinvolgono nell’istruttoria la direzione e il team di sicurezza, nonché i vertici del MIT.

Poco dopo, questa informazione viene comunicata alla polizia interna del MIT: gli agenti in uniforme arrivano nello sgabuzzino e si appostano nel corridoio del seminterrato per cercare di sorprendere il proprietario di quel computer nel caso fosse tornato in loco. Al contempo, i tecnici iniziano a monitorare il flusso dei dati e a osservare i download in corso da quel computer. [p. 138 modifica]

Un fotografo inizia a fare i rilievi investigativi di rito: vengono scattate fotografie dell’armadio, della scatola, del computer portatile e di un disco rigido collocato sotto al computer.

Terminato un primo sopralluogo, la polizia del MIT assume una decisione importante che cambierà il corso dell’intera vicenda: si tratta, a loro avviso, di un caso di criminalità informatica, e la criminalità informatica, nell’ordinamento nordamericano, è una cosa seria.

Viene, così, contattato il Dipartimento di Polizia di Cambridge, che manda un agente esperto di computer forensics e di crimini informatici.

Il detective di Cambridge che viene allertato dalla polizia del MIT fa parte di un gruppo interforze, la New England Electronic Crimes Task Force, e sta lavorando tranquillo nel suo ufficio, in un edificio federale a Boston. È lì, proprio in quel momento, insieme ad altri agenti delle forze dell’ordine, le cui agenzie partecipano ai lavori della task force.

Il detective si presenta poco dopo al MIT con altri due componenti di quella task force contro i crimini informatici: un agente speciale dei Secret Services degli Stati Uniti d’America e un detective del Dipartimento di Polizia di Boston. Tre investigatori coinvolti, quindi, tra cui uno dei Secret Services.

Il MIT, in un passaggio del rapporto interno che stilerà sull’incidente, ci terrà particolarmente a precisare, con riferimento a questa circostanza, come non fossero stati loro a chiamare i Secret Services: la polizia del MIT aveva contattato il detective di Cambridge, chiamandolo sul suo cellulare personale, e l’agente speciale si era unito di sua iniziativa al detective per il sopralluogo.

All’arrivo degli agenti, il computer portatile sospetto è in piena attività e sta ancora scaricando dati. Inoltre, durante il monitoraggio, gli ingegneri di rete del MIT avevano osservato come il portatile fosse stato contattato da diverse fonti, tra cui un indirizzo IP situato in Cina.

Queste informazioni, comunicate alle forze dell’ordine, aumentano il livello di allarme e fanno temere che possa essere coinvolta una persona, o un’entità, in Cina. Comincia a circolare il sospetto di un attacco internazionale.

L’agente speciale, sulla scena del crimine, decide di collegare un dispositivo USB al computer portatile, nel tentativo di copiare il disco rigido per poi analizzarlo in laboratorio, ma il tentativo non va a buon fine.

Vengono acquisite le impronte digitali presenti sul portatile e sul disco rigido e si decide, come strategia di contrasto e investigativa, di lasciare il portatile e il disco rigido sul posto, così come sono stati trovati, per intercettare un eventuale ritorno della persona che li aveva posizionati lì. Non è possibile, per limiti di risorse umane, garantire un monitoraggio costante dei corridoi e delle stanze che portano al seminterrato e attorno allo sgabuzzino. Si prende la decisione, allora, di installare una videocamera nell’armadio, che possa essere monitorata da addetti alla sicurezza collocati in un altro punto del MIT, a poca distanza da lì. [p. 139 modifica]

Il ripostiglio viene, poi, ripristinato esattamente così com’era stato trovato, ad eccezione dell’installazione della nuova telecamera.


Circa mezz’ora dopo, un individuo entra nel fuoco dalla videocamera appena installata nel ripostiglio del seminterrato. Cambia il disco rigido collegato al portatile e ripone quello vecchio dentro al suo zaino.

Alcuni agenti delle forze dell’ordine, che hanno visto tutto in diretta grazie alla telecamera, si precipitano, allora, verso il ripostiglio per arrestare quella persona, ma se ne è già andata prima del loro arrivo. Nessuno, nei paraggi, è in grado di riconoscere la persona apparsa nel video.

A questo punto, si prendono alcuni fotogrammi del video e si generano delle foto segnaletiche del sospetto, che vengono stampate e distribuite alla polizia del MIT. Il MIT, nel frattempo, fornisce spontaneamente tutti i dati, i file di log e gli elementi di indagine, man mano che sono raccolti, alla task force esterna di agenti.

Vi sono, in pratica, tre indagini aperte contemporaneamente: quella interna dei tecnici di JSTOR, quella interna della polizia del MIT e quella esterna che coinvolge i detective di Cambridge e i Secret Services nella task force e che ricevono aggiornamenti e fonti di prova dal MIT in tempo reale.

Alle 12:30 circa di martedì 6 gennaio, qualcuno entra di nuovo nello sgabuzzino. Viene ripreso dalla telecamera anche in questa occasione ma, mentre sta entrando, decide di coprirsi il volto con un caschetto da bicicletta. Lo toglie solo dopo che è entrato e ha chiuso la porta.

Anche in questo caso, nessuno della polizia del MIT riesce a raggiungere l’edificio 16 in tempo per fermare, o almeno intercettare, la persona che è entrata nello sgabuzzino.

Verso le 14:00, un agente di polizia del MIT a bordo di un’auto civetta che si sta recando in un garage dopo il suo turno di lavoro, guarda con attenzione la fotografia che ha con sé, fornita dai vertici del campus. Il poliziotto conosce bene l’indagine in corso e viene informato via radio che il portatile è stato rimosso dal ripostiglio del seminterrato e che ora è da qualche parte nel campus. Ha anche guardato con attenzione il video del 4 gennaio che ritraeva il sospetto, così come i fotogrammi ricavati dal video.

Quando imbocca Vassar Street, vicino a Massachusetts Avenue, il poliziotto vede un ciclista, proveniente dalla direzione opposta alla sua, che lo supera.

Sulla base delle foto che ha con sé, e del video che ricorda bene, e notando lo zaino e i vestiti che il ciclista indossa, l’agente è convinto che il ciclista corrisponda alla descrizione del sospetto del ripostiglio del seminterrato.

Senza attendere oltre, l’agente effettua un’inversione a U per mettersi all’inseguimento del ciclista che, nel frattempo, ha appena svoltato su Massachusetts Avenue e sta proseguendo verso nord in direzione di Harvard Square. [p. 140 modifica]

Quando l’agente raggiunge il ciclista e si accosta per guardarlo meglio, ricontrolla le foto che ha in macchina e conclude che il ciclista è effettivamente la persona delle foto.

L’agente, allora, chiama immediatamente il suo dipartimento per domandare rinforzi; un secondo agente di polizia del MIT, accompagnato dall’agente speciale della task force, lo raggiunge in auto dalla stazione di polizia.

Quando il ciclista raggiunge il lato nord di Central Square, l’agente che lo segue decide di anticiparlo e di fermarlo per accertarne l’identità.

Poi, uscendo dall’auto, esibisce le sue credenziali e il distintivo in modo che siano ben visibili, e intima al ciclista di fermarsi.

Il ciclista obbedisce.

L’agente spiega di essere un ufficiale di polizia del MIT e di voler parlare con lui.

Il ciclista si dimostra ostile, e risponde che non è solito parlare con gli estranei.

L’agente mostra nuovamente il suo distintivo e la fototessera.

Il ciclista, a quel punto, contesta la sua autorità, gli dice che un agente della polizia del MIT non è un “vero poliziotto” e si rifiuta, di conseguenza, di parlare con lui.

Improvvisamente, il ciclista lascia cadere a terra la bicicletta e inizia a correre in maniera forsennata verso Central Square, sulla Massachusetts Avenue.

L’agente lo insegue brevemente, ma poi decide di tornare alla sua auto e di seguirlo con la vettura, mantenendo un contatto visivo.

Il sospetto, a questo punto, rallenta fino a camminare in maniera di nuovo pacata, e l’agente, ancora in auto, lo osserva e lo segue.

Nel frattempo, contatta, via radio, il secondo agente e gli comunica dove si trova al momento il sospetto.

Una volta in prossimità del sospetto, sia gli agenti di polizia del MIT che l’agente speciale parcheggiano i loro veicoli e lo inseguono tra le auto parcheggiate.

Lo fermano e lo ammanettano.

A questo punto, gli agenti non conoscono ancora l’identità del giovane.

Uno degli agenti chiama la polizia di Cambridge, che arriva in loco e porta il sospetto al dipartimento di polizia di Cambridge per la registrazione dei dati e le formalità di rito conseguenti a un arresto.

È lì, in quel dipartimento, che il giovane viene identificato come Aaron Swartz.

Si rifiuta di parlare con la polizia e telefona alla sua amica Quinn Norton, la quale incarica un conoscente di raggiungere tempestivamente la stazione di polizia con il denaro necessario per pagare la cauzione.

Poco dopo, si presenta anche un avvocato dello studio Good & Cormier, completa le pratiche per la cauzione di Aaron Swartz ed esce con lui dallo stabile.

Più tardi, sempre il 6 gennaio del 2011, dopo l’arresto di Aaron Swartz, i tecnici, la polizia del MIT e l’agente speciale si recano nell’area del campus dove [p. 141 modifica] ci sono i servizi per gli studenti, per cercare il portatile che era stato spostato dallo sgabuzzino.

Lo trovano, con un disco rigido esterno e collegato a una presa di rete. L’agente speciale esamina il portatile, concorda con gli altri investigatori come non ci sia modo di raccogliere fonti di prova dal portatile mantenendolo acceso, quindi lo scollegano dalla rete e lo spengono.

Un detective del MIT acquisisce il portatile e il disco rigido esterno e li cataloga come prova; il 3 febbraio del 2011, la custodia del portatile e del disco rigido viene trasferita dalla Polizia del MIT alla Polizia di Cambridge.

Da questo momento in avanti, non siamo più in presenza di una semplice indagine interna del MIT, con “poliziotti che non sono veri poliziotti” – come diceva Aaron – e con ammonizioni per i download e sanzioni, fatte di momentanee disconnessioni dalla rete per gli studenti meno rispettosi delle regole.

Da questo momento in avanti, il caso passa a una task force che si occupa di indagare sui crimini informatici e che avvia un procedimento penale vero e proprio.