«Così gli Stati ci spiano: è come essere nel mirino di un missile»

Nascono per combattere il crimine, ma diventano virus o malware: «E chi sa usare quei programmi può fare vittime»

Le parole chiave erano due: Mundizza e Gattuso. L'attacco arrivava dalla Calabria e per attirarci nella trappola serve l'immagine di qualcuno da cui non intendiamo difenderci. È la chiave del caso Exodus, rivelato lo scorso marzo dalla società no profit Security Without Borders che ha messo in luce alcuni aspetti preoccupanti. In primis la distribuzione del malware sui telefoni di un migliaio di italiani attraverso alcune app di Google Play: «Intendiamoci: lo store del motore di ricerca è stato complice inconsapevole dei creatori del virus - spiega Alessandro Curioni, esperto di sicurezza informatica e presidente Di.Gi. International -: secondo quanto hanno dichiarato i rappresentati delle società coinvolte, Esurv ed Stm, sarebbe stato caricato per effettuare dei test. E questo è il problema».

Insomma: stiamo parlando di strumenti utilizzati dai governi e dalle forze dell'ordine che finiscono per spiare noi tutti.

«Il punto di partenza è che gli smartphone rendono di fatto incomplete le semplici intercettazioni telefoniche grazie alla pluralità di strumenti di comunicazione che mettono a disposizione: chat, sms, internet... Quindi per combattere il crimine servono altri strumenti».

Ma è giusto che venga controllato anche chi non c'entra?

«Partiamo da qui: un operatore come Google Play può realisticamente controllare i quasi 4 milioni di app che distribuisce?».

Impossibile, in effetti.

«Ovvio: si tratta di un'operazione complessa, costosa e, in caso di malware non ancora censiti, sostanzialmente impossibile. E questo è un problema non banale con i quali uno stato deve fare i conti. E il nostro probabilmente non ha pienamente compreso quali sono».

Per esempio?

«Prenda il caso Hacking Team del 2015: un devastante attacco aveva compromesso la riservatezza di tutti di dati della società milanese, specializzata in sistemi di intrusione e sorveglianza informatica».

Informazioni più che sensibili.

«Già. Emerse l'esistenza di vulnerabilità sconosciute di alcuni software molto diffusi (per esempio Adobe Flash) e trattative per la vendita del suo prodotto di punta a Paesi sotto embargo come il Sudan. Questi strumenti sono esattamente analoghi a delle armi, perché potenzialmente possono fare delle vittime».

Addirittura?

«Un malware ha due componenti principali: il vettore e il carico attivo, tecnicamente il payload. Nel mondo reale si tratta di oggetti paragonabili ai missili intelligenti: un cruise per esempio può trasportare una testata nucleare, convenzionale o chimica indifferentemente, con effetti profondamente diversi. Si può facilmente comprendere che la vera forza di questo tipo di armi non è il payload, ma quello che lo trasporta. Se capace di eludere le difese nemiche».

Lo sta paragonando a un congegno di distruzione di massa.

«Potenzialmente sì. Quando si parla di nuovi malware, il riferimento è a una specifica parte. Un vettore totalmente nuovo potrebbe quindi trasportare qualsiasi tipo di carico attivo. Nelle mani sbagliate potrebbe essere utilizzato, per esempio, per portare all'interno di una rete ospedaliera un software capace di distruggere o manipolare tutti i dati presenti. Una terapia sbagliata su un paziente potrebbe ucciderlo».

Come possiamo difenderci?

«Affrontando il problema seriamente. È difficile comprendere una opportuna e specifica regolamentazione non sia presente nell'agenda di governo. Nel caso Exodus, poi, il corpo di Polizia avrebbe pagato alle società che lo avevano creato 307.439,90 euro, una somma decisamente a buon mercato. Per tornare all'esempio dei missili Cruise: ognuno di essi aveva un costo stimato tra i 700 mila e un milione di dollari. Nel caso di un malware, ogni sua copia costa esattamente 0 dollari...».

I governi però non sembrano preoccupati.

«Dovrebbero. Anzi, devono. E se qualcuno dovesse chiedersi cosa c'entrano i rapporti tra stati con i virus informatici, il buon esempio è proprio il caso Hacking Team e la sua conclusione: dopo due anni di indagini la Procura di Milano era riuscita a rintracciare un cittadino americano di origine iraniana, tale Fariborz Davachi, residente nel Tennessee a Nashville. E a collegarlo a dei sistemi informatici coinvolti nell'attacco all'aziende milanese. Però...».

Però?

«L'FBI ha sequestrato i computer del sospettato, ma non li ha mai consegnati ai magistrati italiani: secondo il Dipartimento di Stato non contenevano notizie utili per le indagini. Fine della pista, delle indagini e inevitabile archiviazione. Perché gli Usa non hanno voluto consegnare all'Italia degli innocui computer di un oscuro venditore di auto di Nashville?».

Già, perché?

«È una domanda che dobbiamo farci tutti. E deve farsi soprattutto chi deve difenderci».

MLomb