La CIA ha realizzato, salvo poi a quanto pare perderne il controllo, una serie di malware e altri strumenti di cyberspionaggio che bucano tutti i più noti dispositivi Apple, Android, le smart tv Samsung. Questa clamorosa rivelazione viene da Wikileask, che oggi ha rilasciato una prima parte di file provenienti da Langley, la città della Virginia dove ha sede l’agenzia e il suo centro di cyber intelligence. Questi file non dimostrano un abuso, come fu nel caso NSA-Datagate, ma che il programma di spionaggio del Pentagono è distaccato, autonomo, e potentissimo.
Un leak interessante, ma ancora difficile da capire perché si ignora la fonte e finora quei pochi che hanno potuto vederlo (in Italia l’esclusiva mondiale è stata per la giornalista Stefania Maurizi che ne ha scritto su Repubblica) non hanno avuto il tempo di valutarne l’affidabilità. A una prima occhiata, sembra che gli 8.761 file ricostruiscano programma e organigramma della CIA in questo settore tecnologico, dimostrando una potenzialità facile da intuire e forse anche prevedere: il servizio di intelligence estero americano ha sviluppato una florida attività di hacking, producendo in casa malware, trojan, scovando zero days, per poi installarli nei dispositivi dei propri obiettivi, cioè smartphone, computer e anche le tanto chiacchierate smart tv, che la CIA sarebbe in grado di trasformare in una perfetta macchina fotografica e in un microfono aperto senza che chi sta nei pressi del televisore abbia la minima possibilità di accorgersene. Questo naturalmente perché l’agenzia è in grado sia di superare le backdoor sia di aggirare i sistemi crittografati dei più noti instant messaging. Quando a non essere sicuro è il dispositivo in toto, non ha importanza che un messaggio sia crittografato nel tragitto: è letto prima di essere spedito.
EXCLUSIVE la Repubblica: @WikiLeaks' files reveal major security breach at the #CIA (English) https://t.co/9BFD5SJjV3 via @repubblicait
— Stefania Maurizi (@SMaurizi) March 7, 2017
How the CIA built a vast cyberweapons arsenal–and then lost control of it https://t.co/K7wFTdlC82 #Vault7 pic.twitter.com/06BKihmHwn
— WikiLeaks (@wikileaks) March 7, 2017
Cosa si sa e cosa si dovrebbe sapere
Al momento è possibile soltanto dire che la documentazione racconta di una CIA che ha realizzato questi software-armi e ne ha, secondo Wikileaks, perso il controllo. Nel leak si svela anche che l’ambasciata americana a Francoforte fa da base per l’utilizzo di questi software malevoli in operazioni antiterrorismo. Qui sta il primo punto di debolezza rispetto al caso Nsa rivelato da Snowden: in quel caso si dimostrarono gli abusi di un’agenzia di sicurezza nazionale che non aveva assolutamente il permesso di intercettare a strascico tutto quanto voleva senza distinzione geografica né metodologica. La CIA, invece, è pensata per spiare all’estero.
Dal punto di vista dell’opinione pubblica, se la Cia entra in un televisore, intercetta qualcuno nel modo più sofisticato possibile, non desta particolare sorpresa. E se dopo l’analisi di questi dati emergesse che questi strumenti hanno tuttora un rischio di proliferazione intatto – anche perché Wikileas ha coperto con degli omissis tutto quanto potrebbe rivelarne la struttura – si dovrebbe dimostrare che la CIA invece se li è fatti sfuggire. Da questa prima lettura non si capisce quanto questi dati dicano qualcosa a proposito degli unici due temi scottanti – che non è certo il fatto che la Cia spia – cioè su quali e quanti obiettivi ha usato questi strumenti, eventualmente in violazione dei diritti costituzionali dei cittadini americani e non-americani, e se hanno, anche solo per caso fortuito, alimentato un mercato internazionale di cyber armamenti perché magari se ne sono fatti trafugare qualcuno, oppure si sono disinteressati della loro installazione una volta centrato l’obiettivo, come successo col malware per le centrali nucleari iraniane che ancora gira per il pianeta dopo anni.
Certamente fa impressione vedere per la prima volta, nero su bianco, un caso istituzionalizzato di violazione di un IoT a scopo spionistico. Ciò che rende intelligenti i nostri device li renderà anche vulnerabili, su questo principio non si scappa. E Vault7 (il nome in codice di questo leak), arrivato ai server protetti di Wikileaks, da quanto dice Assange, per rapporti tra ex hacker al soldo del governo Usa e alcuni contractor, uno dei quali sarebbe il whistleblower, ha il merito indubbio di porre la questione IoT, oggetti smart, il futuro 5G, come tema di sicurezza pubblica.
Questo lo statement di Wikileaks, che ragiona su questo scenario che passa dal lecito all’illecito al disastro:
Mentre la proliferazione nucleare è stata trattenuta dagli enormi costi e le infrastrutture visibili coinvolte, le armi informatiche, una volta sviluppate, sono molto difficili da mantenere. Sono infatti solo programmi per computer che possono essere piratati. Garantire, proteggere queste armi è particolarmente difficile in quanto le stesse persone che sviluppano e li usano hanno le competenze per far trapelare le copie senza lasciare tracce – a volte utilizzando le stesse “armi” contro le organizzazioni che li contengono. Ci sono notevoli incentivi economici per gli hacker governativi e consulenti al fine di ottenere copie, dato che esiste un mercato delle vulnerabilità globale che pagherà centinaia di migliaia o persino milioni di dollari per le copie. Allo stesso modo, imprenditori e aziende che ottengono tali armi a volte li usano per i loro scopi, ottenendo vantaggio rispetto ai concorrenti nella vendita di servizi.
Effettivamente negli ultimi anni il settore di intelligence degli Stati Uniti, che si compone di agenzie governative come la CIA e NSA e loro fornitori, è stato oggetto di una serie preoccupante di sottrazione di dati, probabilmente per talpe interne. Chi l’avrebbe mai detto? Julian Assange che si preoccupa degli hacker e del rilascio di informazioni.