Lo strano caso di Hacking Team e il tema della consapevolezza

È notizia delle scorse settimane la violazione dei server della società milanese Hacking Team, che produce software per il “controllo remoto” di sistemi informatici, e la conseguente diffusione online di email, codici sorgenti, fatture e altri documenti dell’azienda italiana. Ma cosa è successo davvero?

Non essendo né “tecnica” né giornalista il rischio di non centrare appieno la questione potrebbe essere elevato e quindi volutamente non mi concentrerò sulle analisi di contesto o la ricostruzione dei fatti, a volte quasi dai contorni di appassionante spy story, ma che è stata già ben documentata e raccontata, sotto vari punti di vista, da persone molto più competenti e informate di me.

Vorrei provare ad analizzare questi fatti in relazione al concetto di consapevolezza legata all’utilizzo degli strumenti ICT, che di per sé sono o meglio sarebbero neutrali, ma che ahimé come ci dimostra anche questo ultimo caso possono essere e soprattuto vengono spesso utilizzati o meglio distorti in un uso non sempre neutrale e positivo della Rete. Tralascerei stavolta le possibili implicazioni e gli impatti che un utilizzo distorto e scellerato di queste tecnologie possa essere fatto a danno e svantaggio delle persone magari proprio in alcuni di quei Paesi (come è stato per i clienti della società milanese) non propriamente zelanti e rispettosi dei diritti umani e della libertà di pensiero o parola.

L’anno scorso Roul Chiesa (uno dei più noti etichal hacker italiani) in un suo articolo a un certo punto scriveva:  “Abbiamo creato un mostro, una information society che si basa su sistemi operativi, protocolli di comunicazione e software totalmente insicuri. Mentre la Pa mette i nostri dati online, sempre più sediamo su una bomba pronta ad esplodere”.
Per comprendere bene questa affermazione e prima di farsi salire l’ansia bisognerebbe esplicitare due concetti importanti: quello di Information Warfare (forse più spesso citato come cyberwar) e di vulnerabilità nascoste insite in tutti i sistemi informatici.

1. Indubbiamente l’informazione è potere: nel 1787 Edmund Burke addirittura coniò l’espressione “quarto potere” rivolgendosi ai cronisti parlamentari seduti nella tribuna riservata alla stampa in una seduta della Camera dei Comuni del Parlamento inglese; da allora  ne abbiamo avuto svariate dimostrazioni rese ancora più eclatanti dal fenomeno delle intercettazioni “di massa” degli ultimi 10 anni, non a caso proprio quando le Information and Communication Technologies (ICT) sono diventate invasive e pervasive all’interno delle attività umane di qualsiasi tipo.
   In merito al concetto di Information Warfare Chiesa scrive: “(…nel cyber…) le informazioni che stanno alla base di tutto questo nostro discorso non si rubano, ma si copiano. E’ una differenza sostanziale dato che, se mi rubano qualcosa, prima o poi me ne accorgo, perché non c’è più. Se invece me lo copiano, me ne accorgerò solo quando sarà troppo tardi, ed un’altra azienda concorrente sarà uscita sul mercato con il mio know-how, un prodotto simile ma migliore, o semplicemente più economico. (…) Ci sono due tipi di aziende. Quelle che sono state bucate, e quelle che ancora non lo sanno”.
2. Le vulnerabilità nascoste rappresentano invece, secondo Corrado Giustozzi (Membro del Direttivo del CLUSIT) “vulnerabilità presenti da anni in sistemi di grandissima diffusione spesso difficili o addirittura impossibili da correggere, essendo comunemente impiegate all’interno di sistemi embedded in uso nei settori più disparati, dal controllo industriale agli apparati di rete”. Sono dunque una sorta di “passaggi segreti” che i sistemi informatici che utilizziamo quotidianamente hanno a migliaia noti e tanti altri non ancora noti e che vengono scoperti spesso per caso e solo successivamente segnalati. Per intenderci sono quelle vulnerabilità definite in gergo più o meno tecnico come buchi, zero day, bug, falle.

Giustamente a questo punto della lettura, per chi non avesse abbandonato prima, ci si chiederà perché parlare di consapevolezza per dei temi che sembrano così distanti dalla nostra vita quotidiana. Un pezzo dell’articolo di Chiesa mi ha molto colpito: “A livello ufficiale, nazionale ed istituzionale, non abbiamo dati, non abbiamo statistiche concrete sugli attacchi informatici, se non le denunce fatte dai cittadini alla Polizia Postale e delle Comunicazioni o quelle riportate nel Rapporto CLUSIT. Dai cittadini, sì, perché nella maggior parte dei casi le aziende non denunciano – sempre ammesso che si accorgano della violazione, come abbiamo già detto”.

Questo passaggio di Chiesa e la successiva considerazione di Giustozzi che pone l’attenzione su un progressivo cambio di paradigma relativamente alla scelta delle vittime: “gli attacchi saranno sempre più spesso rivolti ai loro punti veramente deboli ossia le persone e meno diretti all’infrastruttura”;  il rischio ad esempio maggiore per le persone è il furto di dati personali con generalmente scopo di furto di denaro, oppure il furto di identità, che porta all’apertura di conti correnti fantasma e magari presenza addirittura su qualche lista di “protestati” a danno di vittime totalmente ignare.

Se poi a queste considerazioni aggiungiamo la piccola postilla seconda la quale il software commercializzato dall’azienda milanese era potenzialmente capace di prendere il controllo remoto in qualità di amministratore della macchina del target, capirete che tanto sereni non possiamo stare.

Per esempio Zero day è una vulnerabilità che è “ignota” a tutti e identifica l’inizio del processo di patching (giorno 0) quando si comincia ad attivare il processo di analisi per chiudere la falla. Per capire che gli zero day sono tra noi eccone due esempi recentissimi:

1. il caso del programma Adobe Flash Player, per cui si richiede da giorni a gran voce nel settore la chiusura per le falle di sistema utilizzate secondo la società FireEye addirittura da due gruppi di hacker cinesi che le avrebbero sfruttate utilizzando gli exploit del software RCS di Hacking Team per prendere di mira dei settori strategici come quello aereospaziale, della difesa e del settore energetico (Fonte South China Morning press);
2. il caso del Play Store di Android dove i parametri di sicurezza sono stati aggirati dal programma di Hacking Team con l’intento di installare sui device dei clienti (smarthphone, tablet) delle app “maligne” per monitorarne ogni movimento telematico (Fonte Trend Micro, al top delle aziende di sicurezza informatica).

Di questi casi ne esistono a migliaia, anche non HT made o collegati alla sola storia dell’azienda italiana. Insomma a mio avviso sicuramente un maggiore senso di consapevolezza nell’utilizzo che facciamo degli strumenti tecnologici e dei dati che con essi immettiamo in un sistema “instabile” e non gestibile ci starebbe tutto e magari a volte varrebbe la pena di riflettere seppur con la pensosa leggerezza di Calvino e con il sorriso  sulle possibili implicazioni che tutto questo comporta e potrebbe comportare in altri scenari e contesti.

Per concludere vi lascio con questa frase di Sir Robert Morrison che mi ha twittato un amico qualche tempo fa:

Non comprare un computer
Non accenderlo
Non usarlo

Malgrado sia eccessiva e definitiva, sembrerebbe essere al momento la migliore soluzione per stare sereni. O no?