Spyware, il libero mercato delle vulnerabilità
Il far west della sicurezza digitale: nel 2015 per scoprire bug nel sistema iOS Apple offrì 250mila dollari, la società privata Zerodium rilanciò con un milione di dollari
Cosa si nasconde dietro il fenomeno degli spyware di stato? Nulla di particolarmente originale: una montagna di soldi. Società come Paragon Solutions o la famigerata Nso Group, quest’ultima ripetutamente accusata di aver fornito strumenti di spionaggio elettronico a regimi autoritari di mezzo mondo, negli ultimi anni si sono guadagnate un ruolo di primo piano nel settore dell’intelligence. I loro spyware vengono utilizzati (e pagati a peso d’oro) da forze di polizia e servizi segreti per raccogliere informazioni e prove riguardanti indagini di ogni genere, dalla criminalità organizzata al terrorismo. Occasionalmente, vengono utilizzati per controllare giornalisti, attivisti dei diritti civili e oppositori politici. Queste società, però, sono solo la punta dell’iceberg di una filiera più complessa.
Il vero valore aggiunto che permette a società come Paragon Solutions di concludere accordi milionari con i governi occidentali non è infatti la qualità dei loro spyware, quanto la capacità di installare lo spyware stesso sul dispositivo delle vittime. Nel caso di Graphite, prodotto da Paragon Solutions e finito negli smartphone di Francesco Cancellato e Luca Casarini, per la sua installazione è stato sfruttato uno «zero click», cioè una modalità di attacco che non richiede alcuna interazione da parte della vittima. Di solito, infatti, l’installazione di un virus informatico richiede un qualche tipo di azione, come aprire un file o un link. In questo caso, invece, il file pdf inviato tramite Whatsapp era in grado di sfruttare una vulnerabilità del software di messaggistica che permetteva di avviare automaticamente l’installazione dello spyware. Ma come ha fatto Paragon Solutions a ottenere un exploit del genere? Probabilmente lo ha comprato.
Gli spyware (o i malware che rubano password e dati di carte di credito) sotto un profilo tecnico sono semplici software. Certo, hanno caratteristiche particolari e, nel caso specifico degli spyware, permettono di accedere in remoto a tutte le informazioni conservate sul dispositivo su cui sono installati. Come qualsiasi altro software, per funzionare devono essere installati sul dispositivo che si vuole spiare. Ma nessuno, oggigiorno, si sognerebbe mai di installare un programma di origine sconosciuta sul suo smartphone. La vera sfida è quindi fornire ai clienti un vettore di attacco che permetta di installare il software senza che la vittima se ne accorga. In gergo si chiama exploit, una tecnica che sfrutta una vulnerabilità di un sistema operativo o di un software per compromettere un dispositivo digitale.
Per procurarsene uno non serve frequentare il dark web o contattare in segreto un pirata informatico. Basta rivolgersi al mercato. Le cose funzionano così: dal momento che le vulnerabilità software sono alla base della distribuzione di malware e spyware, buona parte del lavoro degli esperti di cyber security si concentra sulla ricerca delle falle di sicurezza (bug) in sistemi operativi e applicazioni. Migliaia di analisti passano al setaccio il codice di Windows, iOS, macOS, Linux, Android e di qualsiasi software in commercio per individuare eventuali vulnerabilità che possano essere sfruttate da programmi malevoli. In teoria, questa frenetica attività di analisi ha l’obiettivo di «rendere più sicuro il nostro mondo digitale» e viene pagata dagli stessi produttori dei software attraverso un sistema chiamato bug bounty.
Ogni produttore di software ricompensa i ricercatori che individuano un bug, più o meno come venivano ricompensati i cacciatori di taglie nel vecchio West. Chi individua una vulnerabilità particolarmente grave, però, ha anche un altro modo per incassare un compenso: rivolgersi a una società specializzata nella compravendita di exploit. Una delle più conosciute e attive nel settore è Zerodium. Il suo obiettivo è quello di accaparrarsi il maggior numero di exploit possibili e lo fa a suon di dollari.
In alcuni casi, mettendo in campo una disponibilità economica addirittura superiore a quella delle big tech. Quando nel 2015 Apple ha annunciato di essere disposta a pagare 250mila dollari a chi fosse riuscito a violare il sistema operativo di iPhone, Zerodium si è affrettata a superare l’offerta rilanciando a un milione. Società come Zerodium operano alla luce del sole e hanno come partner commerciali proprio quegli sviluppatori, come Paragon Solutions, che forniscono i software-spia ai governi. Tutto formalmente corretto, tutto legale. Fino a quando lo spyware non finisce sullo smartphone di un giornalista “scomodo”.
* Fonte/autore: Marco Schiaffino, il manifesto
Related Articles
L’inverno di Poggioreale
Una circolare del capo del Dap, Franco Ionta, impone ai direttori penitenziari di aprire le celle durante il giorno. Ma sarà difficile applicarla nel carcere napoletano, dove vivono stipati quasi sette mila detenuti al posto di 1400 e dove c’è un poliziotto per piano, ad ogni turno
Priorità alla scuola, la protesta in 13 città: «No alle chiusure e alla didattica a distanza»
Movimenti. Concorso per i precari nella pandemia: anche i governo leghisti chiedono a Conte di rinviarlo
Censis: il ceto medio rialza la testa
Gli italiani che sentono di farne parte tornano in maggioranza: 54%. C’è anche il 31% degli operai
