Quando l'hacker è lo Stato

Quando l'hacker è lo Stato

12.06.2017 | Gli strumenti, i metodi e le regole (che non ci sono): come funziona la "pirateria" di governo?

Il 16 ottobre 2014, l’allora direttore dell’FBI James Comey (da poco silurato da Donald Trump), lanciava l’allarme durante un discorso al Brookings Institute: le forze dell’ordine rischiano di precipitare nell’oscurità a causa dell’impossibilità di intercettare le comunicazioni fatte attraverso servizi di messaggistica criptati e di accedere a dispositivi protetti dalla crittografia - che consentono per estrarre ed esaminare i dati contenuti (mail, foto, documenti, ecc.). A peggiorare il quadro, dal punto di vista del Bureau, è il fatto che le società che utilizzano la end-to-end encryption non possono fornire l’accesso alle comunicazioni nemmeno volendo, perché solo i due estremi della comunicazione posseggono le chiavi necessarie.

Per l’FBI, la CIA e le polizie di tutto il mondo questa evoluzione dello scenario comunicativo è una sorta di incubo: “Potremmo non essere in grado di scovare i predatori di bambini che si nascondono nelle ombre di internet, o di trovare e arrestare criminali violenti che stanno prendendo di mira il nostro vicinato”, spiegava con toni cupi la nota dell’FBI che seguì al discorso di Comey.

I timori che i criminali di tutto il mondo possano nascondersi nel "buio" garantito dalla crittografia (aspetto al quale si fa riferimento parlando di "Going Dark") sono stati ampiamente ridimensionati da numerosi studi, che hanno dimostrato come, per fare solo un esempio, l’enorme diffusione della Internet of Things – che promette di circondarci di 21 miliardi di dispositivi connessi a internet: televisori, frigoriferi, semafori, macchine, orologi e qualunque altra cosa – aumenterà a dismisura la possibilità di spiare i cittadini. I sensori audio e video dei dispositivi IoT, infatti, apriranno una marea di strade attraverso le quali i governi potranno richiedere l’accesso a comunicazioni in tempo reale o registrate.

La copertina di Don't Panic, il report che smonta i timori dell'FBI sul Going Dark

Altro che Going Dark, il futuro della sorveglianza non è mai stato così luminoso. La nuova frontiera, in effetti, è il cosiddetto hacking di Stato: forze dell’ordine che utilizzano gli stessi strumenti resi celebri dai pirati informatici: “Non ci sono differenze tra i mezzi utilizzati dai criminali o dalle polizie. Può esserci ovviamente grande difformità in termini di potenza e di mezzi economici in campo, ma un trojan usato per la sorveglianza, o un malware che infetta un dispositivo, rimane uguale sia che lo usino i pirati o l’FBI. E anche i dilemmi rimangono gli stessi, perché un malware può spiare ciò che avviene in un computer, ma, volendo, può essere anche usato per immettere del materiale”, spiega Carola Frediani, giornalista de La Stampa, autrice di Guerre di Rete e una delle massime esperte italiane in materia di hacking e cyberwarfare.

Non c’è bisogno, insomma, di utilizzare chissà che strumenti all’avanguardia per infiltrare o sorvegliare utenze anche molto delicate: “Vengono utilizzati persino strumenti banali come il phishing, in cui si inviano mail a una determinata persona fingendo di essere Gmail (o chi per essa) allo scopo, nel caso dei criminali comuni, di rubare credenziali d’accesso o dati finanziari, ma che viene usato anche nel campo dell’hacking di Stato, magari per trovare una via d’accesso ai documenti riservati di una nazione rivale”, prosegue Frediani. Qualcosa che, in effetti, si è visto nelle azioni portate dai (presunti) hacker russi nei confronti di John Podesta, capo della campagna elettorale di Hillary Clinton.

Rimanendo nel campo della cyberwarfare, ma salendo decisamente di livello, si trovano invece i virus in grado di sfruttare vulnerabilità non ancora note (Zero Day) dei software. Virus di questo tipo sono stati usati per attaccare infrastrutture critiche di altri stati, come le reti elettriche (è successo all’Ucraina, che si è trovata ad affrontare un black out seguito a un attacco informatico), o addirittura per compromettere il funzionamento delle centrali nucleari; come ben sa l’Iran, vittima del celebre virus Stuxnet confezionato da USA e Israele.

A suscitare i timori maggiori tra i sostenitori dei diritti civili, però, è il rischio che le forze dell’ordine eccedano nella sorveglianza nei confronti dei loro stessi cittadini, utilizzando strumenti come l’IMSI Catcher, un “acchiappa-sim” che consente di localizzare e pedinare i telefonini presi di mira e di ottenere i preziosi metadata, senza bisogno di intervenire direttamente sul dispositivo oggetto della sorveglianza. Apparecchio sempre più utilizzato dall’intelligence, pone però numerose questioni in termini di privacy, trattandosi di uno strumento di sorveglianza elettronica “a strascico” (che si può acquistare sul web) che acquisisce informazioni sensibili in maniera indiscriminata. I modelli più evoluti di IMSI Catcher, peraltro, consentono di intercettare le comunicazioni, leggere gli SMS e – almeno stando a quanto si sente nel documentario Spy Merchants di Al Jazeera UK – anche di inviare SMS o email fingendo di essere un contatto presente nella rubrica del telefono preso di mira.

Come impedire, allora, che questi dispositivi vengano utilizzati, per esempio, per identificare i partecipanti a una manifestazione sgradita? Non è l'unico problema: per quanto le aziende produttrici, almeno teoricamente, potrebbero venderli solo a stati non sottoposti a embargo, le norme che ne regolano il commercio non solo non riescono a impedire di aggirare gli ostacoli, ma nemmeno che questi dispositivi vengano venduti a una miriade di stati semi-democratici (basti fare l’esempio della Turchia).

E in Italia? “Nel luglio del 2013”, si legge sul Fatto Quotidiano, “la direzione centrale della polizia criminale del dipartimento di pubblica sicurezza ha avviato la procedura di gara per l’acquisto di un ‘sistema Imsi Catcher per il monitoraggio e la localizzazione di terminali radiomobili in tecnologia 2G/3G/LTE-4G’ da destinare al servizio polizia scientifica della direzione centrale anticrimine della polizia di Stato. L’oggetto della fornitura è un ‘sistema integrato’, ‘chiavi in mano’, ‘trasportabile, impiegabile ed alimentabile con autoveicoli commerciali’, per monitorare e localizzare i terminali radiomobili”.

Ma perché gli IMSI Catcher, così come i normali virus, dovrebbero preoccuparci di più delle classiche intercettazioni telefoniche o ambientali? “Diversamente da una macchina o da un appartamento, se attivi un microfono sul mio telefono mi puoi seguire ovunque”, spiega Carola Frediani. “Con un trojan puoi intercettare la voce del proprietario del telefono e delle persone che lo circondano, come se fosse un’intercettazione ambientale; puoi perquisire il telefono da remoto senza che io nemmeno lo sappia, scovando mail vecchie magari di anni. Puoi accedere a foto, video e a tutti i contenuti di device all’interno dei quali, oggi, fondamentalmente racchiudiamo il nostro io”.

A rendere la situazione ancor più controversa, è il fatto che non ci siano normative che regolino l’utilizzo di questi “trojan di stato” a garanzia dei cittadini, come invece avviene per i tradizionali strumenti usati per le intercettazioni: “Anche in Italia vengono utilizzati da anni, ma senza dare troppo nell’occhio per via del ‘limbo legale’ nel quale si trovano; una situazione che la proposta di legge che ha come primo firmatario Stefano Quintarelli mira a regolamentare”. E che, invece, il ddl Orlando sulla riforma dei processi penali potrebbe estendere in maniera preoccupante.

Il tentativo di regolamentare i trojan di stato, però, si scontra da una parte con i gruppi di attivisti che pensano che siano incompatibili con le garanzie costituzionali – e che ritengono quindi che andrebbero semplicemente banditi – e dall’altra con gli stati che gradirebbero una maggiore libertà nel poterli utilizzare quanto più possibile. “Piuttosto che il far west in cui ci troviamo oggi, sarebbe sicuramente meglio avere una legge che metta dei paletti e che ne confini l’utilizzo, per esempio, ai reati di terrorismo, mafia o contro la sicurezza dello Stato”, spiega ancora Frediani.

Il pericolo di una sorveglianza di massa indiscriminata, che violi regolarmente i diritti dei cittadini, viene immediatamente in mente. Eppure, almeno per quanto riguarda uno stato di diritto come l’Italia, non è questo il rischio: “Si tratta, almeno nel caso dei trojan, di strumenti che nascono per una sorveglianza mirata, ma sono comunque molto invasivi: consentono di intercettare tutte le persone con cui si entra in contatto e di accedere a una marea di informazioni. Non temo che lo Stato si comporti come in 1984 di Orwell; ma è uno strumento che porta con sé dei rischi e dei dilemmi etici. Molte di queste sfumature diventano però difficili da affrontare per politici che, spesso, non sono preparati sotto questo fronte”.

Un politico che conosce la materia è invece il già citato Stefano Quintarelli, che in un articolo su Il Post ha elencato gli aspetti critici di questo strumento e sollevato dubbi sull’uso – sul quale “ci sono fondati dubbi di costituzionalità” – che sembrerebbe esserne stato fatto, per esempio, durante le indagini sul caso Yara. Tanto più che il software che potrebbe essere stato usato in quel caso è il celebre Galileo sviluppato dall’italiana Hacking Team, accusata di fare affari con i governi più repressivi del mondo.

Indipendentemente dalle accuse specifiche rivolte a Hacking Team, quel che è certo è che sono molti gli stati dittatoriali nel mondo che fanno ampio uso di strumenti di sorveglianza elettronica (Siria, Iran e Cina, per fare solo pochi esempi). Ma com’è possibile che strumenti così delicati finiscano nelle mani dei dittatori o di stati non democratici? “Gli embarghi effettivi sono pochissimi e si possono comunque aggirare”, prosegue Carola Frediani. “Per tutte le altre nazioni, il tema si fa molto complicato: questi sono dispositivi che possono avere un uso sia civile, sia militare e sono quindi soggetti alla regolamentazione che l’Europa, per esempio, si è data per i prodotti di uso duale, che però viene considerata troppo lasca. Inoltre, la definizione di stato dittatoriale è questione complessa, non sempre evidente. Per questo, la UE sta rivedendo la regolamentazione, per renderla più cogente e insistere sulla necessità di prendere maggiormente in considerazione il rispetto dei diritti umani in un determinato paese, anche se non dittatoriale, prima di dare l’ok al commercio di prodotti di questo genere”.

 

Come funziona la end-to-end encryption

Come può un normale cittadino difendersi dal pericolo di intromissioni illegittime nella sua vita privata? Per quanto riguarda l’uso dei trojan e dei malware a scopi di sorveglianza mirata, ciò di cui c’è bisogno è di un quadro legale che definisca chiaramente in quali occasioni e con che modalità questi possono essere utilizzati. Mentre per quanto riguarda la sorveglianza a strascico, lo strumento migliore rimane la crittografia; non a caso messa sotto accusa da un numero sempre crescente di nazioni (il Regno Unito vorrebbe bandirla, per esempio).

“Ma limitarne l’uso è inutile: ci sarà sempre qualcuno che la utilizza. Si otterrebbe solamente di rendere più difficile la difesa della privacy da parte delle persone comuni, mentre, con tutta probabilità, terroristi o criminali troverebbe comunque il modo di utilizzarla”, conclude Frediani. “Non è con le backdoor (le ‘porte sul retro’ che permettono ai governi, su richiesta, di accedere a sistemi crittografrati, nda) che la situazione può migliorare, perché è dimostrato che una volta che hai creato uno spiraglio, questo può venire utilizzato anche da altri. È usando strumenti mirati su persone specifiche che si risolve il problema, non indebolendo la sicurezza di tutti”.

l'autore
Andrea Daniele Signorelli

Milanese, classe 1982, si occupa del rapporto tra nuove tecnologie, politica e società. Scrive per La Stampa, Wired, Il Tascabile, Prismo e altri. Nel 2015 ha pubblicato “Tiratura Illimitata: inchiesta sul giornalismo che cambia” per Mimesis edizioni. Su Twitter, @signorelli82