La dura legge del controspionaggio: svelati Angelo Piangente, Pterodattilo e le altre "cyber-creature" della CIA

(di Ciro Metaggiata)
24/03/17

La notizia ha fatto rapidamente il giro del mondo ai primi del mese: WikiLeaks, l'organizzazione che fa capo al sig. Assange, è venuta in possesso di più di ottomila file fuoriusciti dai server della CIA, da cui emergerebbero "inquietanti" programmi di spionaggio basati su mirabolanti "cyber-armi". I media hanno evidenziato che l'agenzia sarebbe addirittura in grado di spiare gli ignari cittadini, attraverso le smart TV. Stupore, indignazione, tensioni diplomatiche e, più che altro, tanto sensazionalismo utile ai giornalisti perché la notizia riempisse le pagine, cartacee e web, per qualche giorno.

Ma cosa c'è di davvero sensazionale in ciò che l'operazione in questione, battezzata da WikiLeaks con il codice "Vault 7", ha svelato? Forse, che i governi fanno intelligence e che lo fanno soprattutto all'estero? Oppure, che il cyber-spazio è diventato il territorio di caccia prediletto dai servizi segreti? O, ancora, che gli apparecchi elettronici smart che usiamo tutti i giorni sono dei veri e propri "colabrodo" dal punto di vista della sicurezza? No, niente di tutte queste ovvietà è sensazionale. Solo l'ipocrisia dei governi e dei media generalisti e la comune scarsa cultura sulla sicurezza cibernetica possono far ritenere tali notizie "sconcertanti".

Le reali novità, invece, sono almeno altre quattro: alcune innovative tecniche di hacking utilizzate dalla CIA, il fatto che queste e altre siano sfuggite al controllo dell'agenzia, l'intreccio con il caso, tutto italiano, "Hacking Team" e l'ennesimo clamoroso fallimento del controspionaggio USA.

Ma prima di affrontare questi temi occorre fare una premessa: la maggior parte degli esperti concorda nel ritenere che il materiale rilasciato da WikiLeaks, che è solo una prima tranche del totale trafugato, sia autentico e che ci vorrà ancora molto tempo per analizzarlo completamente. 

Punto primo. L'arsenale della CIA messo in luce è molto vasto e comprende sia tecniche sviluppate in proprio, anche in collaborazione con privati (i cosiddetti contractor) sia tecniche reperite in rete, adottate tali e quali o adattate alle esigenze dell'agenzia. È così vasto e diversificato il ventaglio di cyber-armi della CIA, che WikiLeaks le ha dovute raggruppare in ben sei tipologie per permettere di orientarsi. In particolare, una di queste è stata preferita dai media per rendere "sensazionale" lo scoop. Nello specifico, nella categoria "Embedded Branch" (ossia l'hacking di tutto ciò che ha un sistema operativo ma che non è né un personal computer né un smartphone) troviamo il famoso Angelo Piangente (Weeping Angel), che ha lo scopo di trasformare TV Samsung modello F8000, in strumenti di ascolto ambientale clandestino. Una volta infettate, tali TV, anche quando sembrano essere spente, inviano tutto ciò che viene captato dal microfono e dalla telecamera di bordo, ai server sotto il controllo della CIA.

Anche Pterodattilo (Pterodactylus) fa parte della famiglia Embedded ed è particolare: si tratta di un malware, non proprio sofisticato, contenuto in chiavette USB o in piccole schede, che consente la copia rapida e clandestina del contenuto di floppy disk da 3,5". A che servirà questo "dinosauro"? Probabilmente è destinato a sistemi obsoleti ma ancora in servizio, usati  per applicazioni particolari. Di tali applicazioni ne esistono eccome e anche di impensabili quale, ad esempio, il sistema di gestione dell'arsenale nucleare americano, risalente al secolo scorso.

La pletora dei malware rivelati con Vault 7 è davvero notevole e copre praticamente ogni tipo di sistema operativo, anche nelle versioni più recenti. Addirittura - e questo è quello che impressiona davvero - alcuni sarebbero in grado di penetrare nei nuclei dei sistemi operativi Apple, Microsoft e Linux (il cosiddetto kernel, ovvero le linee di codice fondamentali, alla base del loro funzionamento), finora ritenuti inviolabili, andando a modificarli allo scopo di assumere il controllo dei dispositivi che li ospitano. Se confermato, questo fatto potrebbe rappresentare un incubo per i produttori, che si troverebbero a dover praticamente riscrivere da capo i propri sistemi operativi. Perciò, dovrebbero essere QuarkMatter e Hive a spaventare più degli altri malware, tuttavia, probabilmente non a caso, sul loro conto sono state pubblicate ancora scarse informazioni. Oltretutto, neanche le chat cifrate sarebbero al sicuro ma anche di questo aspetto non si sa molto. Poi ci sono i malware dedicati ai dispositivi di rete, come router o switch delle marche più comuni e altri che si diffondono attraverso memorie USB o addirittura attraverso CD e DVD, quindi senza bisogno della rete. Insomma, si salva ben poco dall'armamentario della CIA. Da notare che molte delle tecniche rintracciabili nei file di WikiLeaks non sono applicabili "da remoto", ossia comodamente seduti dietro una tastiera, bensì prevedono un intervento "sul posto". Quindi non sorprende che, stando a quanto si è  appreso, l'agenzia ha (o aveva) una base per le operazioni di hacking "coperta" dal consolato USA di Francoforte in Germania.

Punto secondo. Il materiale pubblicato dal sito di Assange non è recentissimo e sembra che circoli tra le comunità degli hacker ormai da qualche tempo. Questo probabilmente è l'aspetto più grave della questione: dal momento che le cyber-armi sono uscite dai suoi server, la CIA ne ha perso il controllo e da allora il mondo è certamente un posto meno sicuro. Soprattutto, se si pensa che se da una parte molti produttori di software e hardware correranno ai ripari cercando di risolvere le falle di sicurezza sfruttate dall'agenzia, dall'altra l'aggiornamento dei loro prodotti richiederà tempo e non è detto che tutti i clienti lo faranno e che lo faranno correttamente. Nel frattempo c'è da giurare che in rete proliferano già le varianti dei malware trafugati. Brutta situazione.

Punto terzo. Il team della CIA, incaricato di monitorare e censire tutte le novità in fatto di tecniche di hacking, tempo fa si è imbattuto nel materiale di una piccola e, fino allora, poco nota azienda italiana: la Hacking Team. Era il 2015 e il caso fece il giro del mondo: sconosciuti avevano diffuso in rete malware destinati, per lo più, ad attività di spionaggio, realizzati dalla piccola azienda milanese per i servizi di intelligence, le Procure legali e le forze di polizia italiane e per altri clienti esteri. Viene naturale fare il parallelo con il caso della CIA e, come adesso, anche allora la sicurezza nazionale subì un duro colpo. Se non altro perché lo scoppiare del caso, oltre a diffondere sofisticati malware che purtroppo non avranno di sicuro ispirato soltanto la CIA, ha probabilmente compromesso alcune delicate indagini antiterrorismo in corso in quei giorni.

Ultimo punto. I progetti di sicurezza di importanza strategica hanno, da sempre, almeno una cosa in comune: un'attenzione paranoica verso possibili fughe di informazioni. Il controspionaggio in alcuni casi crea una vera e propria asfissiante "bolla" di protezione intorno ai componenti dei gruppi di lavoro, allo scopo di impedire che trapeli anche la minima informazione circa le attività  svolte. Detto questo, stupiscono e lasciano interdetti alcuni clamorosi fallimenti del controspionaggio targato USA, puntualmente sfruttati da WikiLeaks: prima il caso Manning, poi quello Snowden, fino ad arrivare all'operazione Vault 7 di pochi giorni fa. Anche in quest'ultimo caso, infatti, più che alle capacità di hacking dell'organizzazione di Assange, la rivelazione dei cyber-segreti della CIA sembra che sia dovuta, piuttosto, ad un'altra clamorosa fuga di file ad opera di funzionari, agenti operativi o consulenti privati ingaggiati dall'agenzia. Probabilmente i precedenti non sono bastati a far sentire l'esigenza di rivedere le procedure di controspionaggio. Eppure Manning, all'epoca dei fatti, era un soldato in ferma breve a cui furono affidate mansioni di analista di intelligence dopo solo un paio d'anni di servizio, mentre Snowden (già funzionario della CIA) era un consulente privato della National Security Agency (messosi in proprio dopo aver lavorato per la stessa agenzia). Insomma, la minaccia del "dipendente infedele" è sempre dietro l'angolo.

Un'ultima riflessione: a fronte di così tanti clamorosi scandali americani, "oltrecortina" sembra che il controspionaggio funzioni molto bene. Il governo russo viene tirato in ballo quale responsabile di quasi ogni cyber attacco, eppure non trapela neanche una prova incontrovertibile del suo coinvolgimento (che peraltro potrebbe venire solo dal suo interno). Controspionaggio infallibile o c'è dell'altro? Ma questa è un'altra storia.
 

Principali fonti:

http://formiche.net/2017/03/09/wikileaks-cia-intelligence-cybersecurity/
www.wired.it/amp/174350/attualita/tech/2017/03/13/funzionano-davvero-cyb...
www.repubblica.it/esteri/2017/03/07/news/wikileaks_cosi_la_cia_ci_spia-1...
http://www.ilfattoquotidiano.it/2017/03/07/wikileaks-diffonde-documenti-...
http://www.lapresse.it/wikileaks-germania-prendiamo-sul-serio-accuse-a-c...
www.repubblica.it/esteri/2017/03/08/news/wikileaks_cnn_usa_aprono_indagi...
https://www.theguardian.com/technology/2015/jul/06/hacking-team-hacked-f...

(foto: web / David G Silvers)