Qualche osservazione sulla vicenda degli “hacker di stato”

Di questa vicenda si è parlato poco, meno di quanto sarebbe necessario, e non ho trovato in rete una quantità di informazioni sufficiente a parlarne in modo accurato. In questo breve post voglio fare solo un punto, a margine di alcune discussioni piuttosto lunghe fatte in alcuni thread su Facebook che ho potuto seguire.

Non pongo nemmeno lontanamente in discussione il fatto se l’operazione si sia svolta entro i limiti della legalità o meno. Considero ovvia una risposta affermativa a questa domanda: è evidente che chi ha svolto l’operazione si è posto il problema ed ha dato una risposta affermativa, dopo accurata ponderazione.

È legittimo tuttavia porsi il problema dell’opportunità di operazioni del genere, che è un problema ben diverso (e, direi, piú complesso) di quello della loro legalità. 

Ma in questa sede non voglio pormi neppure questo problema. Una tumblerata dovrebbe essere una cosa breve, e questo post sta già avviandosi lungo una strada troppo lunga.

La questione che voglio sottolineare, e che è emersa nei citati thread su Facebook senza che gli altri amici capissero la questione, almeno mi sembra, è la differenza tra una tradizionale intercettazione telefonica o ambientale (o anche, al limite, l’intercettazione informatica condotta con metodologie TEMPEST, o piú banalmente con la cimice dentro la tastiera) e l’operazione condotta mediante quello che a tutti gli effetti deve essere definito come malware. 

Un “virus di stato” “a fin di bene” è pur sempre un virus (worm, malware, etc.: informatiche maestrine con la penna rossa evitate di spaccare un capello in quattro, non è cosa). Il quale agisce sfruttando degli errori di programmazione nel sistema operativo o nelle applicazioni target dell’operazione.

Ora, il sistema operativo e le applicazioni non dovrebbero contenere tali errori, ma si sa, son sempre manufatti umani e come tali contengono imprecisioni e difetti: difetti che il produttore del sistema operativo e dell’applicazione ha il dovere perlomeno morale se non legale di correggere non appena ne venga a conoscenza. Un’altra parte nel gioco, il produttore di software per la sicurezza (ad es. antivirus), una volta che ti vende il prodotto che serve a attenuare i rischi conseguenti da imprecisioni e difetti nel sistema operativo e nelle applicazioni, ha un analogo dovere (morale se non legale) di darti un prodotto che funziona, cioè che effettivamente ti protegga da eventuali problemi con il sistema operativo o le applicazioni non ancora risolti. 

Il “virus di stato” è costretto, come qualsiasi altro virus, a sfruttare tali difetti e ad aggirare le difese di un eventuale software di sicurezza (antivirus etc.). A questo punto ci si pone su quello che in inglese si chiamerebbe “un pendio molto sdrucciolevole” (a slippery slope): mentre l’autore di un virus normale, un cybercriminale, non ha una leva nei confronti di un produttore di software, lo Stato si. Come si pone l’autorità statale ad es. nei confronti dei produttori di antivirus? È legittimo che nel database di signature virali ci siano anche quelle del “virus di stato”, in questo modo facendo un favore - grosso - ai “cattivi”, o invece devono essere escluse, in questo modo favorendo i “buoni”? Ma il pendio scende rapidamente, ed è molto sdrucciolevole. La domanda successiva è: chi sviluppa il sistema operativo e le applicazioni deve correggere i difetti sfruttati dal “virus di stato” o no? e quella successiva ancora è: e se il sistema operativo o l’applicazione non hanno difetti concretamente sfruttabili (che so, immaginate il mafioso che usa OpenBSD, rigorosamente senza interfaccia grafica, suo sul PC, o addirittura un sistema classificato Common Criteria) può l’autorità chiedere al produttore del sistema informatico in questione di inserire delle backdoor (a fin di bene, naturalmente) nel medesimo? 

Si noti la differenza essenziale con le tradizionali intercettazioni ambientali. Il suono di propaga nell’aria, o anche nei mezzi solidi, naturalmente. Sta li’, si tratta solo di prenderlo ed amplificarlo. Idem le onde eventualmente emesse da un monitor o da una tastiera (TEMPEST). Una cimice inserita nella tastiera, o comunque nel domicilio del “cattivo”, non ti mette lungo la strada della collusione con il fabbricante di porte (avrebbero ben poco da colludere…), che continua a fare il suo mestiere senza impedimenti. In questo si apprezza ancora come il mondo digitale abbia bisogno di garanzie particolari che non sono ovvie nel mondo “di una volta”, pre-digitale.

La mia opinione è che questa è una strada di cui non vogliamo percorrere nemmeno il primo metro. Perché, naturalmente, tutti quelli che si mettono su questa strada hanno delle ottime intenzioni. Ma finiscono male.

1. mizaralcor ha rebloggato questo post da albbrt
2. A avolteesagero è piaciuto
3. avolteesagero ha rebloggato questo post da albbrt
4. A mariusmele è piaciuto
5. A sot è piaciuto
6. A placidiappunti è piaciuto
7. emilianobrunori ha rebloggato questo post da albbrt
8. postato da albbrt