Quest’intervista e’ stata realizzata a margine di Hackmeeting 2014, l’incontro delle controculture digitali italiane, svoltosi presso il centro sociale XM24 di Bologna il 27/28/29 giugno. Una sua versione ridotta e’ stata inizialmente pubblicata sul manifesto mentre la versione estesa e’ stata pubblicata in un secondo momento su Cavallette (1 – 2) il blog di Autistici/Inventati. Buona lettura.

##############################################################################

E’ apparsa sul Manifesto di qualche settimana fa un’intervista a Nex, un ricercatore del progetto citizenlab.org. Qui di seguito c’e’ la versione completa della chiaccherata rivista dall’autore dell’articolo (ctrlplus.noblogs.org, twitter.com/ctrlplus_) per cavallette.

Secondo noi e’ interessante per due motivi:

1. Delinea una visione critica del mondo della sicurezza informatica visto dall’interno.
2. Citizenlab fa un gran lavoro sui malware come strumento di controllo, spesso rivolto nei confronti di attivisti politici.

In Italia si sta tentando di inserirli nella legislazione come “Captatori Informatici” (un termine che rimanda agli “Elaboratori Computazionali” e ai tecnici in camice bianco…), perche’ malware, backdoor, trojan suonavano evidentemente male.

C – Vorrei partire da te. Come sei arrivato a collaborare con Citizen Lab?

N – E’ una storia lunga. Quattro o cinque anni fa non mi interessavo di malware, o meglio, non nei termini in cui me ne interesso oggi. In realta’ sono sempre stato un feticista delle tecnologie offensive ma quando ero piu’ giovane si trattava solo di un gioco intellettuale: piu’ un codice era sofisticato piu’ trovavo avvincente l’idea di smontarlo e capirne il funzionamento.

Nel 2009 ero appena uscito dall’universita’ e a quel punto, come molti di quelli che intraprendono un percorso di studi simile al mio, avevo cominciato a lavorare per alcune societa’ statunitensi nell’ambito della security commerciale.

Anno dopo anno pero’ ho maturato una certa frustrazione. Da una parte ho toccato con mano gli effetti dei nostri fallimenti – parlo della community di sicurezza e dell’industria tecnologica in generale – e della militarizzazione di Internet. Da un’altra mi sono reso conto che in questo tipo di realta’ aziendali non c’e’ ne moralita’ ne etica: in larga parte o si lavora a tecnologie completamente inutili oppure si giocano partite davvero sporche, con poche fortunate eccezioni.

C – In che senso?

N – Non posso entrare troppo nel dettaglio perche’ nel mondo della security corporativa e’ abbastanza normale firmare accordi di confidenzialita’ al momento dell’assunzione e il mio caso non fa eccezione. Diciamo pero’ che parte dell’industria della sicurezza informatica (in particolare quella anti-malware) lucra sull’instabilita’ ed ha quindi indirettamente interesse a mantenere lo status quo. Piu’ sono gli attacchi che si verificano, piu’ sono i servizi che possono essere venduti alla clientela. Quando un’azienda del settore individua una minaccia non ha alcun interesse a bloccarla sul nascere: la lascia crescere fino a quando il suo intervento diventa sufficientemente profittevole. Anzi, piu’ in generale non si tende mai a fermare nulla nel mondo della security, ne’ a livello tecnico, ne’ a livello politico. E il motivo e’ semplice: non c’e’ un incentivo economico. Oltre l’apparenza, chi tesse le fila del mercato ha interesse a far siche lo stato della rete continui a versare in condizioni penose: maggiori sono le vulnerabilita’ in un sistema, maggiori saranno i margini di guadagno.

C – Scusami se insisto ma vorrei qualche esempio.

N – Mettiamola cosi’: a livello astratto puoi riflettere sul fatto che nella security commerciale la stragrande maggioranza delle risorse viene investita in tecnologie perimetrali, di identificazione ed allertamento. Di contro gli investimenti finalizzati allo sradicamento definitivo di problematiche note sono pressoche’ irrisori.

Inoltre per conservare un edge di competizione su una minaccia e’ necessario mantenerne segreta l’esistenza il piu’ possibile, monitorarla e poi produrre della reportistica da cui trarre profitto. Cosi’ operano per esempio molte societa’ che si occupano di fantomatici APT.

Proviamo ora a scendere nel pratico. Ipotizziamo che tu, azienda X, venga a conoscenza di un gruppo di attaccanti che in questo esatto momento sta colpendo le reti di alcune societa’ e istituzioni. Che fai? Rendi pubblica la notizia e permetti alla community di elaborare una qualche forma di contromisura? Oppure la tieni per te, in modo tale che, se a essere colpito è un tuo cliente, tu sei l’unico in grado di tirare fuori dal cilindro una soluzione? In un certo senso stiamo ricalcando i passi dell’industria farmaceutica.

Un altro esempio ancora. Se sei a conoscenza della vulnerabilita’ di un software molto popolare (magari un browser) ti conviene rendere noto il baco? O forse e’ meglio mantenerlo segreto e cercare un acquirente interessato a sfruttarlo e disposto a sganciare tanti bei soldoni?

Questo tipo di mentalita’ sta trasformando il mondo della security in un mercato il cui trend dominante e’ quello della vendita di accessori, non di soluzioni. La finalita’ ultima non e’ mai l’eliminazione di una minaccia, semmai il suo marginale arginamento. L’ho scritto anche in un articolo che mi era stato commissionato per un magazine dell’universita’ di Londra, The Beaver Newspaper, dove mi era stato chiesto di spiegare agli studenti quali pregi comportasse una carriera nell’ambito dell’IT: io ho raccontato loro esattamente il contrario.

Quando mi sono reso conto di queste dinamiche la mia coscienza mi ha imposto di mollare e dedicarmi ad altro. Non credo di essere stato l’unico: prova solo a pensare quanto accaduto l’anno scorso con il Datagate. Le rivelazioni di Snowden sono state una mazzata in faccia anche per tanti addetti ai lavori che non si aspettavano un livello di collusione di simile portata. Moltissimi amici che lavorano per Google o Facebook si sono davvero incazzati e demotivati dopo il giugno 2013. C’e’ chi si e’ lasciato alle spalle un’esperienza lavorativa che durava da anni, chi si e’ rifugiato nel mondo accademico, chi sta provando a cambiare le cose da dentro, chi si e’ messo a fare attivismo digitale. Ma sono sempre troppo pochi.

C – Uno degli elementi qualificanti del lavoro di Citizen Lab e’ sempre stato il suo approccio multidisciplinare. L’inquadramento dei fenomeni che studiate non si esaurisce mai sul piano esclusivamente tecnico ma e’ comprensivo anche della dimensione sociologica, economica e politica che si interseca con quella tecnologica. Al netto di quest’impostazione, quando un target viene colpito mediante del malware a quali effetti va incontro?

N – Per risponderti partirei con un esempio che ritengo paradigmatico. Mamfakinch era un gruppo giornalistico marocchino, diretto da Hisham Almiraat, nato all’alba della Primavera Araba. Mamfakinch, costituito da cittadini spesso critici nei confronti del governo, era stato particolarmente attivo durante le proteste in Marocco del 2011. Quando e’ emerso pubblicamente che il gruppo era stato oggetto di attacchi orchestrati mediante malware da parte delle forze di polizia locali i suoi supporter, i suoi media partner, i suoi simpatizzanti e le sue fonti hanno cominciato a spaventarsi e ne hanno preso le distanze per paura. Questo ha contribuito allo scioglimento del gruppo e alla chiusura del sito.

Un altro caso è quello di Ahmed Mansoor, noto blogger e attivista degli Emirati Arabi. Ahmed era stato arrestato nel 2011 quando, sempre sull’onda della Primavera Araba, insieme ad altri attivisti aveva firmato una petizione in cui veniva richiesta una maggior apertura democratica nella vita politica del paese: per questo era stato accusato di aver insultato la famiglia presidenziale e additato come minaccia alla sicurezza nazionale. Nel 2012 Citizen Lab ha pubblicato un report identificando l’uso del software di Hacking Team contro Ahmed, il quale, in seguito alla compromissione del suo computer, ha subito diverse aggressioni e pestaggi da parte di sconosciuti che si palesavano sempre al momento giusto e nel posto giusto.

C – Quindi il malware svolge anche un effetto che potremmo definire come “dissuasivo”.

N – Si, anche se questo accade soprattutto in contesti sociali critici, dove la gente perde facilmente la vita. Complessivamente pero’ possiamo dire che la sorveglianza mediante malware comporta differenti conseguenze. Primo, essa non mette a rischio solo il singolo target ma tutto il suo network d’appartenenza. Secondo, i casi che abbiamo analizzato durante la primavera araba ci hanno dimostrato chiaramente che gli attacchi condotti non avevano solo l’obbiettivo di estrarre il maggior numero possibile di informazioni dal computer o dal cellulare di un target. Essi puntavano piuttosto alla ricostruzione dei suoi schemi e insiemi relazionali. Terzo, nel momento in cui un singolo diviene consapevole di essere attenzionato, spesso abbandona il suo network per proteggerlo e non farlo cadere nella rete di controllo che l’avversario sta intessendo. In questo senso la sorveglianza svolge un ruolo dissuasivo. Coloro che sanno di esserne oggetto smettono di fare attivita’ politica: non vogliono diventare una minaccia per quanti gli stanno accanto.

C – Qual’e’ lo schema standard attraverso cui un attacco viene pianificato o condotto?

N – Anche in questo caso la risposta varia a seconda del contesto in cui si verifica l’intrusione e degli strumenti con cui questa viene condotta. In quasi tutti i casi che abbiamo analizzato gli attacchi erano intrapresi mediante delle tecniche di ingegneria sociale. In Bahrein il metodo era piu’ o meno sempre lo stesso. C’e’ un primo passaggio in cui l’attaccante prepara una mail contenente un allegato malevolo che invia al target. Il secondo passaggio invece consiste nell’istigare il target a eseguirlo in modo tale che il malware venga installato sul suo computer. Il metodo migliore per conseguire questo scopo e’ rendere il piu’ verosimile possibile la mail, magari stuzzicando la curiosita’ dell’obbiettivo.

In altri casi, anche se di rado, viene fatto uso di tecniche piu’ sofisticate: viene cioe’ creato un documento ad hoc – che puo’ essere un testo, un video o una pagina web – con degli exploit incorporati al suo interno, in grado di sfruttare le vulnerabilita’ presenti in certe applicazioni (come Microsoft Office, Flash Player o Internet Explorer): una volta che queste vengono exploitate lo spyware viene installato e il gioco e’ fatto.

Generalmente a essere nel mirino non e’ mai un singolo individuo quanto piuttosto un intero gruppo politico. Servizi e agenzie di sicurezza non sanno mai precisamente quali applicazioni o quali sistemi operativi si possono aspettare e per questo motivo lanciano esche, sparano nel mucchio, magari inoltrando un virus a un gruppo via Skype. Sembra un metodo dozzinale ma in realta’ funziona abbastanza bene. Lo abbiamo visto di prima mano usato per esempio contro ESAT, una tv satellitare gestita da membri della diaspora Etiope.

C – Ma supponiamo che un utente utilizzi Linux, aggiorni il suo sistema quotidianamente, si doti di full disk encryption, gestisca con attenzione la sicurezza fisica della sua macchina e navighi facendo uso di VPN affidabili e sistemi di anonimato forte. Neanche in quel caso puo’ ritenersi al sicuro?

N – No. Se il tuo avversario e’ motivato e dispone di sufficienti risorse puo’ arrivare a livelli di sofisticazione elevati. Backdoor, exploit e 0day per Linux non mancano: ci sono societa’ che producono esclusivamente quelli. I loro prodotti, venduti regolarmente a governi di tutto il mondo, costano di piu’. Ne consegue quindi che per attaccare target dotati di maggiori competenze tecniche e’ necessario un maggior investimento economico. Maggiori layer di sicurezza frapponi tra te e loro, maggiormente sarai in grado di farli desistere dalle loro intenzioni.

Va considerato pero’ che che sarebbe stupido provare a colpire un utente piu’ tech savvy: e’ molto piu’ probabile e sensato che un attaccante diriga la sua attenzione su persone sprovviste delle competenze necessarie per difendersi e tramite esse provi ad ottenere informazioni relative a tutto il suo network di appartenenza. Anche questa e’ una tattica molto comune che abbiamo visto verificarsi piu’ volte in passato.

C – In diversi vostri report avete ricostruito ogni nodo dell’infrastruttura di comando e controllo di RCS di Hacking Team, anonymizer compresi. La notizia ha provocato un certo lulz, sopratutto se si considera che nei suoi spot l’azienda milanese pretende di commercializzare prodotti che definisce come “invisibili e intracciabili”. A parte questo pero’ mi chiedevo quali sono gli obbiettivi che vi proponete di raggiungere con le vostre release.

N – E’ una domanda difficile: ognuno di noi ha delle motivazioni differenti. Tieni presente pero’ che Citizen Lab che e’ innanzi tutto un’istituzione accademica. L’idea generale che soggiace quindi al processo di scrittura e’ sempre stata quella di creare un sapere di tipo scientifico. Il principio fondamentale che anima l’attivita’ di Citizen Lab e’ quello di mostrare che esistono delle tecniche riproducibili, delle metodologie documentate scientificamente per fare questo genere di ricerca investigativa. Con il nostro lavoro noi abbiamo costruiti dei modelli d’analisi – spesso ignorati nella fase di reporting – necessari per istigare un dibattito legale e politico, e direi che questo era il nostro obbiettivo primario.

Ma dal punto di vista personale ovviamente le motivazioni sono diverse. Quando ho cominciato a lavorare su queste tematiche, la mia spinta e’ derivata principalmente dalla situazione che si stava verificando in Bahrein nel 2011. Infatti uno dei ragazzi con cui lavoro e’ coinvolto in modo attivo nella scena politica locale. Dopo la pubblicazione del primo report pero’ la situazione e’ andata fuori controllo. Ti dico onestamente che non ci aspettavamo di trovare un uso cosi’ diffuso del malware in cosi’ tanti paesi dell’area medio-orientale.

Io ho diverse motivazioni che mi spingono a continuare lungo la strada che ho intrapreso negli ultimi due anni. Come spesso accade, quando si comincia a lavorare su questi temi lo si fa per puro interesse tecnico e io, come ti ho spiegato prima, nel mio percorso di studi ho sviluppato una sorta di feticismo per l’analisi delle tecnologie offensive informatiche. Non ti nascondo quindi che mi solleticasse l’idea di lavorare su un progetto di questo tipo che, di fatto, non ha precedenti.

Quando pero’ sono entrato in contatto diretto con le persone colpite da malware e ho avuto modo di stringere amicizia con molte di loro, sono riuscito davvero a realizzare a quali conseguenze va incontro un individuo che rimane vittima di questi attacchi. E quest’esperienza mi ha cambiato: non so dirti se “scioccato” sia il termine piu’ adatto ma di sicuro ho acquisito una prospettiva diversa dell’importanza del mio lavoro. Non si tratta piu’ solo di creare della documentazione tecnica o di comprendere come funziona un software. C’e’ dell’altro: c’e’ una situazione personale, politica, sociale, economica e legale. Ti ho raccontato di Ahmed che negli Emirati subiva costantemente vessazioni ed aggressioni fisiche… ma in Barhein ad esempio ci sono state persone che sono state prese, buttate in carcere e non si sono piu’ viste. Capisci benissimo che, di fronte a fatti di questo genere, l’aspetto tecnico va in secondo piano e smette di essere la motivazione principale.

C’e’ poi un altra questione che e’ strettamente connessa a quanto ti ho appena detto. A livello globale esistono sempre piu’ gruppi, organizzazioni, movimenti che stanno muovendosi per cambiare dal basso la situazione. Portano avanti attivita’ importanti ma proprio per questo motivo sono costantemente sotto attacco e spesso sono privi di qualsiasi capacita’ tecnica per difendersi. Questa mancanza di risorse crea loro problemi e criticita’ non di poco conto. Ecco perche’, una volta che siamo arrivati a capire meglio la natura del mercato del malware e quello delle societa’ che vi sono implicate, abbiamo cercato di coordinarci con giornalisti, avvocati e politici, ovvero con gente che fosse intenzionata ad agire anche sul piano legislativo, cercando di spingere per introdurre una qualche forma di regolamentazione. O almeno a iniziare un dibattito che fosse in grado di sensibilizzare l’opinione pubblica. Alcuni gruppi di giuristi stanno anche cercando di capire se ci sono gli estremi per intentare azioni legali contro queste aziende e governi. Ad esempio l’Electronic Frontier Foundation ha fatto causa al governo Etiope come risultato di una delle nostre pubblicazioni. Questo e’ stato l’arco di evoluzione delle mie motivazioni: dall’interesse tecnologico fino a quello sociale e politico, passando anche per un sentimento umano di vicinanza e solidarieta’. Ed e’ qualcosa che sta andando avanti anche ora.

C – E in Italia invece? Il nostro paese in fatto di sorveglianza ha una “grande tradizione” fin dal secondo dopo guerra ed il rapporto Vodafone di giugno sembra in parte confermare questa tendenza.

N – Dalle nostre analisi emerge in prima battuta una ramificata presenza dell‘infrastruttura di comando e controllo di RCS. I server che la compongono sono dislocati anche in altri paesi, ma le nostre rilevazioni hanno mostrato come quelli italiani si contraddistinguano per un’attivita’ piu’ elevata. Questo non significa di per se’ che i dati intercettati provengano esclusivamente da operazioni condotte in Italia, ma semplicemente che i server sul nostro territorio sono costantemente interessati dall’attivita’ di collezionamento dati. Da parte nostra pero’, pur non avendone la certezza, presumiamo che la maggior parte di queste macchine sia utilizzata in operazioni all’interno del nostro paese.

C – Su quali basi fai quest’affermazione?

N – Quello che ti posso dire e’ che durante il corso della ricerca con Citizen Lab abbiamo identificato diversi casi molto probabilmente relativi a operazioni di sorveglianza portate avanti nel nostro paese. Non abbiamo pero’ mai pubblicato i dettagli di cui siamo in possesso perche’ non siamo riusciti a circostanziarne l’uso. E la ricostruzione del contesto in cui tali attacchi si dispiegano e’ fondamentale: senza un’adeguata comprensione di questo retroterra i nostri report non avrebbero alcun valore. A mio avviso pero’ non ci sono dubbi: malware e spyware sono sicuramente utilizzati in Italia e a confermarlo ci sono diversi sintomi…

C – Quali?

N – Durante il lavoro di ricerca su HackingTeam, l’Italia era al primo posto con il maggior numero di endpoint servers in totale, ossia di nodi utilizzati per raccogliere i dati dai vari computer e telefoni controllati. Questo mostra che ci sono agenzie in Italia che utilizzano attivamente RCS.

Ci sono stati anche casi documentati in passato, come l’affare Bisignani, anche se raramente l’utilizzo di spyware viene ammesso in modo trasparente dalle autorita’. A questo proposito, e’ interessante notare che, come abbiamo indicato nel report pubblicato a febbraio, alcuni dei server di HT sono registrati presso CSH & MPS SRL, aziendaa cui in passato era stata addebitata la responsabilita’ del malware utilizzato contro Bisignani. Coincidenza? 😉

C – E invece quali ricadute credi possa aver avuto la pubblicazione dei vostri report sui diretti interessati, ovvero su Hacking Team e Gamma International?

N – Dal punto di vista economico non saprei: non ci e’ dato di conoscere le modalita’ con cui operano queste aziende.

Dal punto di vista comunicativo invece Hacking Team e Gamma hanno reagito seguendo strategie diverse. Quest’ultima ha mostrato di essere poco preparata a gestire la situazione. In un primo momento ha tentato di contenere il piu’ possibile il problema, rilasciando interviste e facendo attivita’ di public relations. I risultati sono stati disastrosi: si sono contraddetti e hanno cambiato la loro versione dei fatti piu’ volte. Inizialmente hanno affermato di non aver mai stabilito alcun tipo di rapporto, ne’ stipulato alcun contratto, con il governo egiziano. Un anno dopo invece hanno sostenuto di non aver fornito al regime di Mubarak gli strumenti di sorveglianza utilizzati durante le rivolte del 2011. Successivamente abbiamo dimostrato che stavano mentendo.

Un altro dato certo che abbiamo in mano e’ che la sezione di Gamma International responsabile dello sviluppo dello spyware e’ stata scissa ed ha preso il nuovo nome di Finfisher GmbH: questo potrebbe essere un sintomo delle pressioni legali e politiche che hanno ricevuto. Inoltre alcuni paesi che intrattenevano rapporti commerciali con Gamma li hanno interrotti. Il regime etiope per esempio sembra aver smesso di fare affari con loro e ha siglato nuovi contratti con Hacking Team. Immagino che ora siano alla ricerca di un altro offerente 🙂

Ogni volta che pubblichiamo un report cerchiamo sempre di fornire alle societa’ che producono antivirus tutti gli indicatori necessari per rilevare il malware. Fino ad ora abbiamo sempre instaurato con loro un buon livello di cooperazione. Cosi’ facendo riusciamo a creare qualche grattacapo ai produttori di spyware perche’ li costringiamo a reingenierizzare il loro software affiche’ questo non sia visibile ai motori antivirus. In secondo luogo devono ricreare da zero tutta la loro infrastruttura di comando e controllo. Il risultato e’ un incremento dei costi di produzione del malware. L’effetto collaterale e’ quindi rendere il malware il piu’ dispendioso possibile e limitare di conseguenza l’accesso al mercato (sia dal punto di vista dell’acquirente che da quello del produttore).

Abbiamo avuto piu’ difficolta’ a leggere la reazione di Hacking Team. Sono stati piu’ silenziosi e non hanno fatto grosse apparizioni mediatiche. Gamma interveniva in continuazione sui giornali e cosi’ facendo contribuiva a conferire rilevanza alla notizia dei nostri report. Hacking Team l’ha capito e per questo motivo ha scelto di tenere un profilo molto piu’ basso. Quando abbiamo cominciato a pubblicare su di loro in modo piu’ ricorrente e aggressivo hanno provato a rispondere con toni ponderati, premeditati e formali. Le loro argomentazioni sono state sostanzialmente due: primo, che il loro operato si svolge in ottemperanza alle leggi italiane ed internazionali; secondo, che non vendono i loro prodotti a paesi accusati di essere poco rispettosi dei diritti umani. Resta il fatto pero’ che fino ad oggi hanno rifiutato di intavolare qualsiasi tipo di dibattito.

Una prima eccezione e’ avvenuta l’anno scorso quando ho partecipato ad un panel ad RSA dove con Jacob Appelbaum e Kurt Opsahl dell’EFF ci siamo confrontati con i loro rappresentanti. Indirettamente ci hanno accusato di facilitare la vita di terroristi e criminali per aver svelato l’esistenza e il funzionamento dei loro software. Piu’ recentemente ci hanno accusato di portare avanti una campagna dedita esclusivamente a danneggiare il loro business.

Pura retorica. Innanzi tutto perche’ le nostre ricerche sono di carattere tecnico-scientifico e documentano casi di abuso. In secondo luogo perche’, se anche fosse vero quanto sostengono, come spiegano allora l’enorme quantita’ di attivisti e giornalisti messi sotto sorveglianza mediante i software che sviluppano e commercializzano? Ovviamente nel momento in cui abbiamo posto la questione non abbiamo ricevuto alcuna risposta, se non quella per cui le prove presentate erano circostanziali e non dimostravano in alcun modo la paternita’ dei malware esaminati.

Al netto di tutte queste considerazioni pero’ credo vada aggiunta un’ulteriore nota. Nonostante il nostro lavoro la compravendita di malware e’ destinata ad una crescita costante. Dopo l’esplosione del Datagate sono certo che il bacino di clientela di questo mercato sia in impennata. Maggiore e’ il numero di provider che implementa la crittografia di default, piu’ difficile sara’ intercettare su cavo: mettere un plug all’ISP diventa inutile. La conseguenza e’ che l’uso di spyware a fini di controllo diventera’ sempre piu’ diffuso e popolare. Le rivelazioni di Snowden possono forse aver rallentato la sorveglianza massiva ma di certo non hanno fermato le agenzie di intelligence che sempre piu’ ricorreranno a tecniche offensive dirette per intercettare i loro target.

C – C’e’ un aspetto su cui insistete molto nei vostri report e che mi piacerebbe approfondire, ovvero quello dell’assenza di regolamentazione del mercato del malware. Piu’ volte avete sostenuto che la mancanza di norme relative all’esportazione comporta una serie di nuovi rischi per la stabilita’ dei network, sia a livello nazionale che a livello corporate. La diffusione di questi software – dai costi peraltro relativamente ridotti e spesso utilizzati anche contro gli stessi paesi che ne sono produttori – ha infatti come ripercussione un aumento degli attacchi informatici registrati sulle reti globali.

N – Esatto.

C – Ok. Questa dinamica pero’ mi pare foriera di altre conseguenze. Se il livello di instabilita’ dei network cresce, allora e’ plausibile che governi e istituzioni militari comincino la corsa agli armamenti digitali. E infatti gli investimenti in tecnologie offensive sono aumentati vistosamente negli ultimi dieci anni. La loro proliferazione incontrollata porta necessariamente con se’ un altro risvolto, ovvero un ulteriore accrescimento dell’instabilita’ dei network. Questo a sua volta stimolera’ ulteriori investimenti nel settore e cosi’ via. E’ un cane che si morde la coda.

N – Si, l’analisi e’ corretta. Il loop che hai descritto si verifica a causa del concatenarsi di differenti fattori. Quello piu’ rilevante a mio avviso e’ la volonta’ della agenzie di intelligence di mantenere l’attuale status quo, sia a livello economico che legislativo: sono convinto che non permetteranno mai che tali software smettano di essere prodotti, ne’ che certe normative – magari orientate a limitarne l’uso – entrino in vigore.

C – E se anche fosse, quest’ultima opzione rischia di non avere praticamente alcun valore, a meno che non venga adottata su scala globale. In fondo stiamo parlando di aziende che di fronte ad una legislazione nazionale volta a limitarne l’attivita’ potrebbero benissimo spostare la loro sede legale in un altro paese e aggirare in questo modo il problema.

N – Esatto. Inoltre non dobbiamo dimenticare che la deregolamentazione del malware produce una certa instabilita’ globale proprio perche’ e’ una tecnologia che nasce con lo specifico intento di mantenere insicuri reti e sistemi. Se Internet venisse resa sicura diventerebbe molto piu’ complesso estrarre profitto da questo genere di mercato. Ecco perche’ i player del settore (come Gamma, Hacking Team o Vupen) fanno carte false per impedire che certe vulnerabilita’ vengano alla luce o che gli exploit di cui sono in possesso siano resi noti al pubblico. Infine non dimentichiamo che ci sono precisi interessi economici che influenzano i processi di sviluppo del software e le feature di sicurezza dei sistemi operativi (come Windows) passano spesso in secondo piano.

Mi pare evidente: c’e’ un palese interesse a mantenere Internet insicura e vulnerabile. Se ci pensi per un istante ti rendi conto che ci guadagnano un po’ tutti. In primis le agenzie di intelligence che hanno molta piu’ facilita’ a rastrellare informazioni da una rete che e’ un colabrodo. E a dirlo non sono io: le rivelazioni sull’NSA hanno messo in chiaro come le tech companies siano spesso complici nell’accomodare le necessita’ delle rispettive agenzie governative. Poi ci sono le imprese che trafficano in spyware e che hanno interessi economici concreti, ovvero la vendita di vulnerabilita’ e di report d’intelligence in esclusiva a esecutivi e istituzioni militari (si tratta di una pratica piuttosto comune); last but not the least il mercato della security commerciale, che aumenta la sua clientela grazie allo stato penoso in cui versano le infrastrutture comunicative globali. Si tratta di una condizione ambientale necessaria per la crescita del mercato. Anzi, potremmo dire che l’industria della sicurezza diventa piu’ un’industria dell’insicurezza dato che prospera in larga parte sulla destabilizzazione delle reti di telecomunicazione e non sulla ricerca o sullo sviluppo di soluzioni che possano eliminare alla radice una serie di problematiche note.

Di contro, se anche solo una frazione dei miliardi che vengono buttati nell’acquisto di gadget inutili fossero investiti in processi di sviluppo e auditing di software sicuro – do you remeber Heartbleed? – e, piu’ in generale, in alternative open source, l’attuale mercato della security collasserebbe nel giro di una notte. Certo, anche la costruzione di infrastrutture open source presenta problematiche inevitabili, anche perche’ in questo momento si basa largamente su lavoro volontario. Ma la tendenza ad adottare tecnologie proprietarie per me rimane un mistero. Come puoi pensare di realizzare un‘infrastruttura sicura se non hai neppure il controllo del codice che utilizzi per implementarla?