Con la collaborazione di Sam Frizell (New York) e Massimo Calabresi (Washington)

Aaaron Portnoy ha iniziato la sua carriera di hacker quando era ancora studente presso l'Academy of Math & Sciente di Worcester, che non a caso era l'istituzione che ha violato. In questo modo: fece chiamare uno dei dormitori da un amico che svolgeva il ruolo di supporto tecnico. Gli studenti furono più che felici di fornirgli le loro password.

Nascondendosi dietro questi account presi in prestito e avviando quest’operazione attraverso server proxy in vari paesi stranieri, Portnoy riuscì a infiltrasi nella rete della scuola attraverso una falla (bug) nel sistema, tecnicamente nota come una vulnerabilità o in gergo ancor più tecnico come uno zero-day (ovvero una vulnerabilità non ancora nota che indica un attacco informatico che inizia nel ‘‘giorno zero’’, cioè nel momento in cui viene scoperta una falla nella sicurezza del sistema informatico, sconosciuta sia ai produttori di software sia agi utenti e non ancora corretta). "Ho avuto accesso a tutte le email, i voti, e qualsiasi altra informazione’’, confessa Portnoy. "Sono riuscito a penetrare ovunque’’.

Mostrando quella che a posteriori appare come una notevole capacità di autocontrollo, si era limitato a modificare leggermente il sito web della scuola per dire qualcosa di poco lusinghiero su un altro studente. Ma non era andato oltre. Più tardi la scuola consultò degli esperti per stabilire com’era avvenuta l'intrusione, ma nessuno riuscì a mettersi sulle tracce dell'hacker.

Così, naturalmente, Portnoy compì un’altra incursione l’anno successivo e venne scoperto. La scuola lo invitò allora a trovare un istituto alternativo dove studiare. Ma la cosa non ebbe alcuna conseguenza. Portnoy si diplomò in una scuola secondaria locale e poi si iscrisse alla Northeastern University. Fu un’ottima preparazione per il lavoro che oggi gli dà da vivere: la ricerca e la vendita di software bug (cioè le vulnerabilità o le imperfezioni che creano falle nella sicurezza di un sistema o di una rete), che fin dai tempi in cui frequentava il liceo sono diventati una delle più nuove e più controverse materie prime del mondo.

Portnoy, che ha oggi 28 anni, è il co-fondatore di una società di Austin, la Exodus Intelligence, attiva da un paio d’anni. La sua missione è così riassunta: "Il nostro obiettivo è quello di fornire ai clienti mezzi efficaci e informazioni utili per far fronte alle vulnerabilità zero-day da noi esclusivamente individuate’’. Il che significa - tradotto dal linguaggio quasi-paramilitare tipico del settore sicurezza del software - che Exodus Intelligence scopre e vende bug, in particolare quelli che potenzialmente potrebbero consentire a terzi l’accesso a un computer, allo stesso modo in cui Portnoy era riuscito ad avere accesso alla rete del suo liceo. Questi bug valgono un sacco di soldi. Quelli riguardanti applicazioni molto diffuse e sistemi operativi sono stati acquistati per centinaia di migliaia di dollari ciascuno.

Valgono molto perché, anche se non ci si vuole far caso, Internet è una zona di guerra. Per quanto la Rete possa sembrare esteriormente sempre più lucente, più sociale e desiderosa di piacere, al di là dell'apparenza sta diventando un territorio ostile, conteso, in cui le aziende private, le forze dell'ordine, i criminali, i militari e le varie agenzie di intelligence internazionali sono impegnate in una costante guerra cibernetica quasi sotto traccia. Solo in qualche occasione questo conflitto diventa visibile a occhio nudo, come è avvenuto, ad esempio, lo scorso maggio, quando gli Stati Uniti hanno accusato cinque membri dell'esercito cinese per il furto di dati di società americane, tra le quali Westinghouse e Alcoa.
[[ge:espresso:foto:1.161412:mediagallery:https://espresso.repubblica.it/foto/2014/04/16/galleria/a-beer-sheva-la-prima-cittadella-mondiale-anti-hacker-lavori-in-corso-1.161412]]
Non è un’eccezione, ma è piuttosto la norma, che sta diventando sempre più diffusa. L’ex generale dell'esercito Keith Alexander, che prima di andare in pensione aveva diretto sia la NSA (National Security Agency) che il Cyber Command degli Stati Uniti, ha definito il furto elettronico della proprietà intellettuale americana oggi in atto in Cina come "il più grande trasferimento di ricchezza della storia." Due settimane fa diverse aziende di sicurezza hanno confermato che un gruppo presumibilmente sostenuto dal governo russo ha preso di mira l’infrastruttura energetica degli Stati Uniti almeno dal 2012. Secondo la divisione sicurezza dell’IBM, l’impresa americana media ha registrato nel 2013 un totale di 16.856 attacchi.

La guerra cibernetica non è il futuro: è già iniziata. E' normale routine. In questa guerra, il campo di battaglia è ovunque, i bug sono armi e quelli come Portnoy sono trafficanti di armi.

L'idea che un software bug può valere soldi veri ha qualcosa di strano. I bug sono errori; e le persone in genere sono disposte a pagare per correggerli. Il fatto che abbiano un mercato è una conseguenza della più grande stranezza di quest’era tecnologica, in cui tutto il nostro mondo - le nostre imprese, le nostre cartelle cliniche, la nostra vita sociale, i nostri governi - sta trasmigrando pian piano dalla realtà fisica verso quella cibernetica dei computer sotto forma di dati che, per ragioni buone e cattive, interessano moltissime persone. Alcune di queste sono spie. Altre criminali. I bug sono gli strumenti che usano per ottenerli.

Nel 2009 abbiamo avuto una buona lezione su ciò che rende queste vulnerabilità così utili. Gli Stati Uniti e Israele hanno sviluppato congiuntamente un virus informatico complesso progettato per penetrare e compromettere una specifica struttura di arricchimento dell'uranio nella città iraniana di Natanz. Il virus, che è conosciuto oggi come Stuxnet, è stato probabilmente la prima vera arma cibernetica. Venne introdotto nel sistema informatico della centrale nucleare da un agente mediante una chiavetta USB e serviva a tenere sotto controllo il luogo e a inviare informazioni dettagliate a chi lo aveva fatto inserire. Poi venne lasciato libero di agire e attaccare i computer che regolavano le centrifughe utilizzate per arricchire l'uranio. E alla fine ne distrusse circa il 20%. (Tutto questo è stato dedotto solo a cose fatte, dagli esperti di sicurezza e dai giornalisti, poiché sia il governo degli Stati Uniti che quello israeliano non hanno rilasciato ancora alcuna dichiarazione al riguardo).

Che cosa ha reso Stuxnet così efficace? In una parola: i bug. Per ottenere l'accesso di cui aveva bisogno, Stuxnet ha approfittato di almeno quattro distinte vulnerabilità, di cui una in Microsoft Windows. Queste vulnerabilità - o meglio, le conoscenze necessarie per sfruttarle - non erano di per se stesse diverse dall’uranio arricchito a cui gli iraniani stavano lavorando, ma analoghe in forma di software: ovvero materiali bellici costosi, altamente raffinati, che costituivano il nucleo centrale di un sistema d’arma estremamente sofisticato. E hanno reso Stuxnet ancora più distruttivo quando - senza sorpresa per chiunque abbia visto Jurassic Park - è fuoriuscito dalla centrale di Natanz e ha infettato circa 100.000 computer in tutto il mondo.

Vedi anche Aaron Swartz, storia di un attivista del web

L'idea di pagare i bug risale a molto prima di Stuxnet. Nel 1995 Netscape aveva annunciato un programma di "Bug Bounty" (caccia al bug), che prometteva soldi in contanti a chiunque fosse riuscito a trovare difetti nel suo browser. Netscape non stava cercando di distruggere centrifughe; semplicemente voleva correggere gli errori nel suo software. Nel 2002 una società di sicurezza chiamata iDefense cominciò a comprare bug di ogni genere; un'altra, TippingPoint, lanciò un programma simile nel 2005. Entrambi i programmi sono stati creati come alternative allo scambio sempre più attivo e caotico di zero-day sul mercato aperto e funzionavano essenzialmente come dispositivi di smaltimento delle vulnerabilità, un po’ alla stregua dei depositi di rifiuti radioattivi. Chi trovava un bug, invece di venderlo al miglior offerente, che lo avrebbe usato chissà per quali scopi, poteva venderlo a iDefense o a TippingPoint, a un prezzo sicuro, ed entrambe le società avrebbero fatto presente il problema ai loro clienti collaborando con il fornitore di software per correggere il difetto. Ma iDefense e TippingPoint avevano anche qualcos'altro in comune: entrambe, in anni successivi, nel 2005 e nel 2006, avevano assunto uno stagista di nome Aaron Portnoy.

Portnoy non assomiglia in alcun modo al Matthew Broderick di ‘‘Wargames’’. E’ un tipo fiducioso, affabile, loquace che fa una buona impressione ed è per giunta un superesperto di intrusioni cibernetiche. Nel 2006, ha abbandonato la Northeastern University per lavorare a tempo pieno alla TippingPoint, poi nel 2012 se ne è andato per mettersi in proprio. La Exodus Intelligence fa parte di una piccola élite che comprende VUPEN, che ha sede nel sud della Francia; Revuln a Malta; Netragard negli Stati Uniti; e Telus in Canada. (Netragard è prima in classifica per il miglior motto aziendale: "Noi ti proteggiamo da persone come noi"). La sede di Exodus si trova in un centro uffici di Austin, che condivide con commercialisti e agenti immobiliari. Il luogo è spartano anche per gli standard tecnici delle startup: c'è esattamente un solo elemento di decorazione d'interni, una bandiera pirata affissa a una parete.

Le nove persone che vi lavorano trascorrono le loro giornate analizzando software per infiltrare: browser, email clients, instant messaging clients, Flash, Java, sistemi di controllo industriali, qualsiasi cosa un hacker possa usare come punto di ingresso. "Cerchiamo di consolidare le capacità di tutti i principali software di sicurezza (backup softwater), perché questo è uno degli obiettivi più importanti, spiega Portnoy. ‘‘Cos’è che un amministratore desidera proteggere di una rete aziendale? Le informazioni importanti. E che cosa usano a questo scopo? Un software di sicurezza".

Quando un ricercatore di Exodus scopre una vulnerabilità, stende un rapporto corredato da una documentazione tecnica che spiega quali effetti ha, dove si trova, come individuarla, su quali versioni del software funziona, come si potrebbe mitigare e così via. Ma la cosa più importante è che Exodus vi fornisce un ‘‘exploit’’, ovvero un programma da seguire per sfruttare il bug e trarne vantaggio. "Per ogni singola vulnerabilità di cui mettiamo a conoscenza i nostri clienti forniamo un exploit per farvi fronte’’, precisa Portnoy. "Se non siamo in grado di sfruttarla, non ci preoccupiamo neppure di dirlo a qualcuno. Non ne vale la pena".

cyberguerra

La ricca vita di un baco informatico. Ecco quanto vale il traffico di codici

null

25/7/2014

Portnoy è orgoglioso della superiore qualità ed efficacia degli exploit di Exodus. "Cerchiamo di renderli quanto più micidiali e invasivi possibile’’, spiega. "Vendiamo i nostri programmi come strumenti in grado di individuare o superare le attuali capacità tecniche delle persone che stanno in effetti attaccando attivamente gli altri". Quando una società chiede la consulenza di Exodus lo fa attraverso una forma di abbonamento: le viene fornito cioè un certo numero di bug all’anno per una determinata quantità di denaro. Le sottoscrizioni partono da una base di circa 200.000 dollari.

Questo business ha una reputazione ambigua, basata sulla presunzione che i bug forniti verranno utilizzati per scopi criminali o immorali. La Endgame, una società di Washington che per anni ha venduto bug al governo è stata soprannominata dalla rivista Forbes "la Blackwater della pirateria informatica". L'anno scorso, quando ha annunciato che stava per abbandonare questa attività, lo ha fatto in modo trionfalistico, come se stesse affrancandosi dalla schiavitù dell’eroina: "Il business degli exploit è un pessimo business’’, disse il suo direttore generale.

La realtà è più complessa. I clienti di Exodus si dividono in due categorie di base, quelli animati da intenzioni offensive e quelli che perseguono scopi difensivi. In questa seconda categoria rientrano le società che operano nel settore della sicurezza e i venditori di antivirus alla ricerca di informazioni che possono integrare nei loro prodotti, o che vogliono tenere aggiornati i loro clienti sui pericoli cui possono andare incontro.

Stanno invece sull’offensiva gli esperti in test di penetrazione, consulenti che utilizzano gli zero-day di Exodus per svolgere il ruolo di ‘‘red team’’ (ovvero di un gruppo indipendente che sfida un’organizzazione per migliorarne l’efficienza) in attacchi simulati alle reti proprie o altrui. "Se vogliono mostrare come sarebbe un vero attacco da parte di un determinato avversario", precisa Portnoy, "noi forniamo loro gli strumenti necessari a questo scopo".

E poi ci sono quelli che non stanno solo giocando. Portnoy mantiene il riserbo sulla sua lista di clienti, ma altri sono stati meno discreti. E’ noto che la NSA (National Security Agency) e l'FBI desiderano ardentemente installare software di sorveglianza su computer prescelti per raccogliere informazioni riservate; l'FBI sta ancora oggi facendo pressioni sui tribunali per ottenere più facilmente autorizzazioni a questo scopo. Ma come si fa a installare un software sul computer di qualcuno senza che questi lo sappia?

Un modo è quello di sfruttare una vulnerabilità. L'anno scorso l'FBI ha distrutto una società denominata Freedom Hosting, definita "la più grande agenzia di diffusione di pornografia infantile nel mondo". Freedom Hosting operava sulla rete Tor, che rende anonimo il traffico sul web. Per aggirare l'anonimato, l'FBI aveva sfruttato una vulnerabilità di Firefox.

Per quanto riguarda la NSA, l'analisi del ‘‘Washington Post’’ sulla fuga di notizie fatte trapelare da Edward Snowden rivelava che la NSA aveva un bilancio che prevedeva un capitolo di spesa di 25,1 milioni di dollari per "acquisti segreti aggiuntivi di vulnerabilità del software", da cui si poteva dedurre che non solo comprava zero-day ma gestiva anche i propri al suo interno. Nel mese di settembre il sito di giornalismo investigativo MuckRock ottenne una copia di un contratto tra la NSA e la VUPEN, che ha appena aperto un ufficio satellite alle porte di Washington. Quello stesso bilancio forniva un’interessante radiografia di un’iniziativa segreta della NSA dal nome in codice di GENIE, finanziata con 652 milioni di dollari, per installare ‘‘malfare’’ (software infetto creato per causare danni) su reti di computer stranieri su scala di massa. Si prevedeva che entro la fine del 2013, GENIE sarebbe stato in grado di controllare circa 85.000 computer.

Il giorno in cui l’ho intervistato, Portnoy era appena tornato da un incontro al Pentagono. "Stiamo lavorando molto con il governo", dice. "Questo è stato un grande cambiamento, che in realtà non era nei nostri programmi iniziali, ma ciò significa che il governo ha grosse difficoltà a reclutare persone in grado di fare il nostro mestiere’’.

Sta però imparando. Sempre secondo i documenti resi pubblici da Snowden, gli Stati Uniti hanno organizzato 231 attacchi cibernetici nel 2011 contro la Cina, la Russia, l'Iran e Corea del Nord, per citare solo alcuni paesi, e questo in un anno in cui l’era cibernetica non era ancora pienamente sviluppata. Il bilancio 2015 della difesa prevede uno stanziamento di 5 miliardi dollari per le operazioni nel ciberspazio, un’espressione ancora molto vaga per designare un'arena di cui non si sa molto. Secondo le stime avanzate da Verizon nel suo rapporto annuale Data Breach Investigations, il 22% dei dati carpiti l’anno scorso derivava da attività di spionaggio cibernetico. Ma il rapporto riconosce anche che ‘‘è davvero difficile acquisire’’ informazioni attendibili su questo tipo di attività. Queste infatti sono segrete e anche quando è possibile individuarle resta difficile distinguere questo spionaggio da quello industriale, o dalla semplice criminalità informatica tradizionale, perché non è affatto semplice individuare la fonte e l'intento di un attacco.

Dato il loro potenziale offensivo, si potrebbe pensare che il governo vorrebbe controllare il commercio di bug allo stesso modo in cui, ad esempio, controlla il commercio di aerei da combattimento e di mine terrestri. Ma le autorità di regolamentazione stanno cercando di tenere il passo con i tempi. Il Wassenaar Arrangement, ovvero l'accordo internazionale che regola la vendita di armi tra gli Stati Uniti e altre 40 nazioni che l’hanno sottoscritto, è stato modificato lo scorso dicembre per includere gli "attacchi informatici" nella sua lista di tecnologie a doppio uso da restringere, ma questo cambiamento non è stato ancora imposto. "Non è un mercato che finora il governo ha voluto veramente regolare", ci ha confessato un alto funzionario dell’amministrazione in carica. ‘‘Ci siamo attenuti ai migliori standard e alle migliori pratiche su base volontaria. E credo che continueremo a comportarci così’’.

Questo, a volte, pone Portnoy e i suoi colleghi nella strana posizione di dover fare le proprie scelte etiche riguardo a chi vendere e a chi non vendere. Portnoy cerca di restar fuori dalla politica il più per possibile - "cerchiamo di prendere le distanze da quel che i nostri clienti intendono fare’’, ma indubbiamente c’è un limite. Lui non vuole lavorare con i paesi soggetti a embargo: Corea del Nord, Sudan, Iran, Cuba. "Cerchiamo un po’ di premunirci quando parliamo con i potenziali clienti," dice. "Facciamo seguire la trattativa dal Dipartimento di Stato. O da alcune organizzazioni militari con cui abbiamo qualche contatto... ma non esistono attualmente norme giuridicamente vincolanti che dobbiamo rispettare. Questo probabilmente cambierà".

VUPEN ha assunto una posizione analoga, secondo il suo direttore generale, Chaouki Bekrar, che ci ha risposto via email: "La nostra unica finalità e l’unica nostra motivazione sono quelle di aiutare i governi nostri clienti a combattere il crimine e salvare vite usando i nostri exploit zero-day, ed ogni settimana otteniamo successi in tutto il mondo, per cui tutte le accuse e la cattiva stampa sulle tecnologie zero-day sono solo chiacchiere e sciocchezze". Ma intanto le chiacchiere continueranno. ‘‘I media e i comunicati stampa diranno: 'Sì, vendiamo solo in questi mercati' ma nessuno ha un’idea precisa", sostiene John Pirc, Chief Technology Officer della società per la ricerca, l’informazione la sicurezza di NSS Labs. "Tutto è regolato da un accordo di non divulgazione (Non Disclosure Agreement). Non si può dire a chi vendono".

I possibili abusi sono un rischio reale, in ogni caso. Agli zero-day non importa a quale computer si sta cercando di accedere o perché. Il 28 aprile i ricercatori della società di sicurezza Kaspersky Lab hanno rivelato l'esistenza di una vulnerabilità zero-day in Adobe Flash, che potrebbe essere utilizzata per installare malware sul computer di destinazione, se l'utente fosse indotto a visitare uno specifico sito web. Per precauzione i ricercatori controllarono chi stava ospitando quel sito specifico. In questo caso si era rivelato essere il ministero della Giustizia siriano. Si potrebbe ragionevolmente teorizzare che il governo siriano stava approfittando di un zero-day per sorvegliare i propri dissidenti.

Il vero scenario da incubo è un attacco all’infrastruttura pubblica da parte di un gruppo politico non frenato da qualsiasi appartenenza nazionale. Come nel caso di terroristi, per esempio.

"Le vulnerabilità zero-day, se siete in grado di identificarne una, possono provocare gravi danni", osserva Mary Galligan, ex agente speciale incaricata di operazioni speciali e cibernetiche nell’ufficio dell'FBI di New York, attualmente impiegata presso la Deloitte & Touche (un’azienda di servizi di consulenza e revisione con sede a New York). A titolo di esempio cita il caso di SCADA, che sta per Supervisory Control and Data Acquisition, il software utilizzato per controllare sistemi industriali. Fu proprio per prendere di mira alcune applicazioni utilizzate su SCADA che venne creato Stuxnet. "Tutto ciò che funziona attraverso reti di trasmissione dei dati - impianti di produzione, reti elettriche, sistemi di fornitura idrica o ascensori - è collegato a Internet. La vera preoccupazione è che si tratta della parte che è meno protetta’’.

Anche se dittatori da strapazzo e criminali informatici non possono acquistare nulla da Exodus, esiste però un vivace mercato nero dei bug, nonostante le informazioni di cui disponiamo siano scarse. Alcune persone ritengono che questo sia un grave problema; altre invece no. "Non riesco a capire perché c’è chi opera in modo criminale quando potrebbe fare un mucchio di soldi agendo nella legalità’’, si chiede Dave Aitel, direttore generale della società di sicurezza Immunity ed ex ricercatore presso la NSA. "Non sto dicendo che potrai andarti a comprare una Ferrari, ma che potrai senz’altro permetterti una Honda Civic di alta gamma’’. Un rapporto della Rand Corp. pubblicato lo scorso marzo ha definito tuttavia il mercato nero dei bug come "un campo di gioco di gruppi finanziariamente guidati e altamente organizzati e sofisticati". Katie Moussouris, già responsabile per la sicurezza strategica di Microsoft ed oggi delle politiche di HackerOne, una startup nel settore delle vulnerabilità, dice che i prezzi del mercato nero possono essere addirittura superiori a quelli del mercato legale. "Ho visto prezzi a sei zeri pagati come somma forfettaria, in aggiunta a un compenso mensile per i ricercatori in modo da indurli a starsene tranquilli e a non servirsi della loro scoperta né a rivenderla due volte’’.

Portnoy guarda con molto sospetto la qualità di questi prodotti: la maggior parte di quelli venduti sul mercato nero non ha una freschezza zero-day. I criminali di solito puntano tipicamente sui bug più vecchi, ovvero su vulnerabilità per le quali sono già stati trovati rimedi, e vagano sulla rete finché non trovano qualcuno che non ha ancora aggiornato il suo software. "E' un po’ come se dicessero ‘la cosa funziona il 10% delle volte, ma questo va abbastanza bene per noi perché ci permette di guadagnarci la giornata’’’, spiega Portnoy. Ma c’è un ampio terreno di caccia: secondo l’Internet Security Threat Report 2014 di Symantec, 1 su 8 dei siti web che ha scansionato presentava una grave vulnerabilità non corretta. "Spesso ci chiediamo: come si fa a scardinare l'economia di quel mercato?", dice un alto funzionario dell’amministrazione Obama. ‘‘Come si fa in effetti a convincere la gente a correggere i propri software molto più velocemente, e in che modo questo può esser fatto automaticamente ... affinché non si possa più usare quello stesso maledetto software infetto e quel vettore di attacco ancora altre volte?".

Vi è inoltre un altro mercato, sul lato opposto di quello nero, gestito da persone che hanno scritto in origine il software bacato. Le grandi aziende informatiche trovano sempre più conveniente acquistare i propri bug e porvi rimedio prima che chiunque altro possa sfruttarli, è un po’ come effettuare un beta test (prova e collaudo del software) dopo aver spedito il prodotto. Nel 2010 Google ha contribuito alla diffusione di questa tendenza offrendo ricompense a chi individuava le vulnerabilità di Chrome; quest'anno ha speso complessivamente, a questo scopo, 3,3 milioni di dollari. Oggi i programmi bug-bounty sono una pratica corrente: anche Etsy (un sito web dedicato all’e-commerce) ne ha uno. Microsoft pagherà fino a 100.000 dollari per l’individuazione di una grave falla nella sicurezza di Windows. L'anno scorso Facebook ha pagato un milione e mezzo di dollari per l’acquisto di 687 bug. Il suo programma è stato presentato con lo speciale linguaggio fiorito che contraddistingue questo social network: potete ottenere una carta di credito chiamata White Hat Bug Bounty Visa.

Ma c'è ancora un divario notevole tra i prezzi che le aziende sono disposte a pagare per l’individuazione delle vulnerabilità e i soldi che si possono guadagnare sul mercato nero con la vendita di questi bug. Ogni anno si svolge un concorso fra hacker che va sotto la sigla Pwn2Own in cui i concorrenti fanno a gara per trovare difetti nei software più diffusi - Portnoy ne ha diretto la prima edizione nel 2007. Nel 2012 l’équipe di VUPEN ha violato la sicurezza di Chrome, e questo le avrebbe permesso di riscuotere un premio di 60.000 dollari, ma non volle accettare soldi, anche quando Google offrì il doppio. Preferì rivelare questa vulnerabilità esclusivamente ai propri clienti. Stiamo ormai arrivando a un punto in cui le aziende di software non possono permettersi di acquistare i propri bug.

C'è un vivace dibattito oggi in corso a Washington per stabilire se le vulnerabilità dovrebbero essere mantenute del tutto segrete. Dopo che il pubblico è venuto a conoscenza, lo scorso aprile, del baco Heartbleed (un malfunzionamento del sistema OpenSSL che mette a rischio password e dati personali transitati in Rete negli ultimi due anni), ‘‘Businessweek’’ ha pubblicato un articolo in cui sostenva che la NSA non solo già lo sapeva, ma l’aveva usato addirittura per spiare la gente da anni. La Casa Bianca e la NSA negano  - la NSA lo ha persino ribadito su twitter - ma l'idea che le agenzie di intelligence degli Stati Uniti stanno sedute su un arsenale privato di vulnerabilità software che sfrutta allegramente per penetrare nei computer di altre persone, anziché darne pubblicamente notizia e porvi rimedio, mette a disagio moltissimi cittadini.

Ma c'è chi sostiene che bisogna trovare un equilibrio fra lo spirito di crociata di coloro che vorrebbero bonificare i software ovunque nel mondo, e le esigenze di difesa del paese. "Non credo che la NSA abbia alcun obbligo, giuridicamente parlando, di rivelare le vulnerabilità di un sistema informatico’’, sostiene Jack Goldsmith, docente presso la Harvard Law School. "La NSA ha sempre avuto tra i suoi compiti quello di scoprire le vulnerabilità nelle tecnologie delle comunicazioni. E questo fa". A un livello più pratico, anche se rivelasse le falle dei suoi sistemi, i cinesi e i russi non farebbero altrettanto, e ciò andrebbe tutto a nostro discapito. ‘‘Spesso si tende a dire, ‘Mettiamo in luce tutti i problemi per risolverli’, ma così non si farebbe altro che rendere inoffensiva la NSA, lasciando tutto il potere nelle mani dei nostri avversari", sostiene Dave Aitel. Egli è convinto che la NSA dovrebbe mantenere il riserbo sui suoi zero-day a tutti i costi. "E' l'unica speranza. La grande risorsa della nostra attività di intelligence’’.

Secondo il rapporto del President’s Review Group on Intelligence and Communications Technologies, presentato lo scorso dicembre, la politica attuale del governo è quella di rendere note le vulnerabilità zero-day tranne quando è necessario evitare un conflitto con una priorità urgente e importante per il sistema di sicurezza nazionale. Un alto funzionario governativo aggiunge inoltre che, molto spesso, più del 75% delle vulnerabilità individuate vengono rese note. ‘‘E’ un po’ come se si immaginasse che esista da qualche parte un arsenale pieno di armi pronte ad essere usare da questi predatori dell’arca perduta’’, osserva. ‘‘Ma le cose non funzionano così. La verità è che molto spesso il nostro interesse è quello di stare sulla difensiva, ovvero di facilitare l’identificazione della vulnerabilità affinché si possano correggere’’.

L’ideale sarebbe, ovviamente, un mondo dove non ci sono più vulnerabilità, il software può essere perfezionato, la sicurezza possa essere totale e si possa andare avanti preoccupandosi d’altro. Ma la tendenza va in senso opposto. Quante più cose chiediamo ai computer, tanto più urgente sarà la necessità che siano sicuri. Ma quanto più avranno da fare, tanto più complesso dovrà essere il loro software e tanto più aumenteranno i loro difetti, e così via. E’ un circolo vizioso. Il sistema operativo del vostro laptop è costituito da decine di milioni di righe di codice. Aggiungete a questo una gran quantità di applicazioni, la maggior parte delle quali sono state messe sul mercato non ancora del tutto perfezionate, quindi collegate il vostro laptop con milioni di altri dispositivi, tablet e telefonini compresi, ognuno con la propria configurazione di hardware e software, ed ecco che la situazione diventa rapidamente ingestibile.

"Esiste un numero finito di bug in un determinato software", sostiene Portnoy. "Ma questo software è aggiornato, subisce delle aggiunte e viene modificato, e anche i sistemi operativi cambiano e devono adattarsi ai vecchi. Pensiamo a Windows XP: quando è stato introdotto? Nel 2000? 2001? Dobbiamo supportare sistemi vecchi di 15 anni. E ogni giorno viene messo in circolazione nuovo software, e nuovi tipi di vulnerabilità vengono scoperti. Fino a quando sarà così, noi avremo un lavoro’’.

Correggere le vulnerabilità è come prosciugare un oceano: una cosa impossibile. Le pratiche e gli standard di codifica stanno migliorando, ma non abbastanza velocemente. Il National Vulnerability Database - forse non sapevate che ne avevamo uno, ma lo abbiamo - contiene attualmente un elenco di 63.239 vulnerabilità; i ricercatori ne hanno individuate in media 13 al giorno l'anno scorso. A marzo si è saputo che il governo federale ha messo in guardia 3.000 aziende americane informandole che avevano subito attacchi informatici nel 2013. Le mura che proteggono i nostri dati non solo sono piene di crepe, ma le crepe sono più estese delle mura. Quanto più si parla con gli esperti di sicurezza informatica, tanto più ci si rende conto che questa in realtà non esiste.

Siamo stati così bravi nel creare un mondo felicemente connesso in cui l'informazione fluisce liberamente, e abbiamo tanto voluto vivere in questo paradiso, che oggi non siamo più in grado di sospendere il flusso delle informazioni quando lo desideriamo. Il risultato è un nuovo tipo di guerra, l'ennesimo, in un millennio che ne ha già conosciuti tanti: una guerra poco appariscente, ma costante e pervasiva, che non fa molta distinzione fra militari e civili, pubblico e privato, politica ed economia. Le sue vittime perdono dati personali e proprietà intellettuali e quando si accorgono di aver subito un attacco è già troppo tardi. "Ci saranno sempre pericolose falle nei sistemi di sicurezza’’, ammette un alto funzionario governativo. "Non si tratta solo di proteggersi nel cyberspazio, di mura, fossati e filo spinato. Bisogna rassegnarsi all’idea che qualche volta i cattivi riusciranno a passare’’.

(Traduzione di Mario Baccianini)

[[ge:espresso:visioni:tecnologia:1.174359:image:https://espresso.repubblica.it/polopoly_fs/1.174359.1406201901!/httpImage/image.jpg_gen/derivatives/articolo_480/image.jpg]]TIME e il logo di TIME sono marchi registrati da Time, Inc. utilizzati su licenza. © 2012. Time, Inc. Tutti i diritti riservati. Tradotto da TIME Magazine e pubblicato con il permesso di Time, Inc. È proibita la riproduzione, anche parziale, in ogni forma o mezzo, senza espresso permesso scritto