Spyware. Alla grande?!!!

A prima vista «Nex» sem­bra un ragazzo come tanti. Taglio di capelli alla moda, un paio di snea­kers sgual­cite ai piedi e in tasca uno smart­phone che estrae di tanto in tanto per con­trol­lare la mail. Ci siamo incon­trati a Bolo­gna in un bar che si affac­cia su piazza Verdi, nel cuore della zona uni­ver­si­ta­ria. Sono pas­sate poche set­ti­mane dalla fine di Hack­mee­ting 2014, il raduno delle con­tro­cul­ture digi­tali, tenu­tosi presso il cen­tro sociale XM24 –. Anche Nex vi ha preso parte, con un inter­vento che ha fatto il tutto esau­rito: nel buio della sala, spez­zato sol­tanto da un fascio di luce irra­diato da un pro­iet­tore, 150 per­sone si sono accal­cate per ascol­tare in reli­gioso silen­zio i suoi «rac­conti di sor­ve­glianza digi­tale». Due ore den­sis­sime, in cui l’hacker ha snoc­cio­lato gli epi­sodi più signi­fi­ca­tivi rela­tivi agli ultimi due anni della sua vita. Anni vis­suti peri­co­lo­sa­mente, in prima linea con­tro l’industria del mal­ware, ovvero con­tro quelle aziende pri­vate (come la tede­sca Gamma Inter­na­tio­nal o l’italiana Hac­king Team) che pro­du­cono virus, spy­ware e soft­ware male­voli in grado di infet­tare qual­siasi dispo­si­tivo digi­tale – dagli smart­phone ai per­so­nal com­pu­ter – e met­terne sotto con­trollo le comu­ni­ca­zioni. Una merce, com’è facile imma­gi­nare, richie­stis­sima da poli­zie e ser­vizi segreti di tutto il mondo, inte­res­sate a moni­to­rare passo passo le atti­vità di mili­tanti poli­tici e gior­na­li­sti non allineati.

I gad­get della destabilizzazione

Clau­dio Guar­nieri (que­sto il vero nome di Nex) fin da ado­le­scente col­tiva una pas­sione sfre­nata per la sicu­rezza infor­ma­tica. Finite le scuole supe­riori si iscrive alla facoltà di infor­ma­tica a Crema, anche se il suo per­corso di studi era già comin­ciato molti anni prima nella scena hac­ker under­ground, quando que­sta era ancora un cro­giolo incan­de­scente di pen­sa­tori rivo­lu­zio­nari e visio­nari del codice.
Prima ancora di ter­mi­nare l’università viene messo sotto con­tratto da alcune società sta­tu­ni­tensi che lo assu­mono come white hat: il suo com­pito è peri­me­trare le reti dei clienti e impe­dire che que­ste siano oggetto di incur­sioni ostili. Poco alla volta però Clau­dio si accorge che nel mondo della secu­rity pro­fes­sio­nale nulla è come sem­bra. «È solo un mer­cato di gad­get che, per sua stessa natura, pro­spera sulla desta­bi­liz­za­zione delle reti». La logica che ne regola l’esistenza è sem­plice: mag­giore è il numero degli attac­chi che si veri­fi­cano, mag­giori sono i ser­vizi che pos­sono essere ven­duti, mag­giori saranno i pro­fitti con­se­guiti. Se que­sto mec­ca­ni­smo venisse intac­cato, se il dif­fuso senso di insi­cu­rezza che aleg­gia oggi su Inter­net venisse meno, l’intero com­parto col­las­se­rebbe nel giro di una notte. «Motivo per cui — pro­se­gue — nes­sun player del set­tore ha inte­resse a spe­gnere un foco­laio di minac­cia una volta che l’ha individuato».

Senza mora­lità

Gli chiedo di farmi un esem­pio. Inclina il capo e mi osserva acci­gliato attra­verso gli occhiali dalla mon­ta­tura nera che ne incor­ni­ciano lo sguardo. Sospira. Poi, pazien­te­mente, riprende il filo del discorso. «Poniamo che tu, azienda X, venga a cono­scenza di un gruppo di crac­ker che in que­sto momento sta attac­cando alcune società e isti­tu­zioni. Che fai? Rendi pub­blica la noti­zia e per­metti alla com­mu­nity di ela­bo­rare una qual­che forma di con­tro­mi­sura? Oppure te la tieni per te, in modo tale che, se a essere col­pito è un tuo cliente, tu sei l’unico in grado di tirare fuori dal cilin­dro una solu­zione?».Ovvia­mente in cam­bio di un bel po’ di soldi.
Quest’assenza di etica pro­fes­sio­nale e mora­lità è una doc­cia fredda per Clau­dio. Sop­porta fin­ché può. Poi arriva al punto di satu­ra­zione e molla tutto. Dismette i panni del ven­di­tore di gad­get, del secu­rity pro­fes­sio­nal, e torna a essere un hac­ker. Torna a essere «Nex». Allac­cia i con­tatti con Citi­zen Lab, un cen­tro di ricerca inter­di­sci­pli­nare finan­ziato dall’università di Toronto che stu­dia l’impatto delle tec­no­lo­gie digi­tali sull’esercizio dei diritti umani e del potere poli­tico. A spin­gerlo in que­sta dire­zione è anche la situa­zione inge­ne­rata in Bah­rein dalle rivolte scop­piate nel feb­braio 2011. Attra­verso un amico diret­ta­mente coin­volto nella scena poli­tica locale, «Nex» viene messo in con­tatto con Ala’a She­habi, cofon­da­trice di Barhai​n​watch​.org e cor­ri­spon­dente del quo­ti­diano inglese «The Guar­dian». Da diversi mesi la gior­na­li­sta riceve strane e-mail pro­ve­nienti da mit­tenti sco­no­sciuti o che si spac­ciano per gior­na­li­sti di Al Jazeera. Al loro interno a volte sono alle­gate foto­gra­fie rag­ge­lanti che ritrag­gono i volti di atti­vi­sti locali tor­tu­rati. Altre invece con­ten­gono docu­menti che pro­met­tono rive­la­zioni scot­tanti sull’agenda poli­tica del governo. Ala’a si inso­spet­ti­sce. Decide di inol­trare i file a «Nex» e ai suoi «com­pa­gni d’arme» del Citi­zen Lab per farli analizzare.

Un con­trollo globale

I risul­tati non lasciano dubbi. Quelli rice­vuti da Ala’a erano mes­saggi di posta elet­tro­nica infet­tati con «Fin­Fi­sher, uno spy­ware pro­dotto da Gamma Inter­na­tio­nal di cui molti cono­sce­vano l’esistenza nel nostro ambiente ma che nes­suno aveva mai toc­cato con mano». Si tratta di un mal­ware per l’intercettazione tat­tica: è mul­ti­piat­ta­forma – fun­ziona su ogni sistema ope­ra­tivo – e una volta che è instal­lato sul com­pu­ter o sul cel­lu­lare del tar­get, nulla sfugge più al con­trollo degli attac­canti. Ogni Sms, chia­mata (anche quelle Skype), e-mail, ses­sione di chat e spo­sta­mento fisico viene moni­to­rato in tempo reale.
Citi­zen Lab pub­blica il suo primo report. E a quel punto la situa­zione sfugge di mano. Innanzi tutto a «Nex», che comin­cia a vedere il suo lavoro in un’altra pro­spet­tiva. Ana­liz­zare un mal­ware non è più solo una sfida intel­let­tuale: i tar­get, da aset­ti­che strin­ghe alfa­nu­me­ri­che, si tra­sfor­mano in carne, san­gue, affetti, spaz­zati via per un click di troppo o per aver sca­ri­cato un file che non dove­vano. Ma sfugge di mano anche al gruppo di ricerca cana­dese che si trova all’improvviso som­merso da segna­la­zioni ano­nime, leak e sof­fiate che docu­men­tano l’uso di soft­ware simili in molti altri paesi dell’area. Salta fuori anche il nome di «Hac­king Team», una star­tup mila­nese – finan­ziata anche da Fin­lom­barda, una finan­zia­ria con­trol­lata da Regione Lom­bar­dia – il cui soft­ware Rcs (Remote Con­trol System), dotato di fun­zioni simili a Fin­Fi­sher, è stato uti­liz­zato in almeno 21 paesi.
«Nex» mi spiega che lo spet­tro di con­se­guenze cui va incon­tro un gruppo poli­tico quando viene sot­to­po­sto ad attac­chi di que­sto genere è piut­to­sto ampio: car­cere, repres­sione, vio­lenza fisica. Ma non solo. In con­te­sti sociali cri­tici la sor­ve­glianza elet­tro­nica svolge anche una fun­zione dis­sua­siva: coloro che capi­scono di esserne oggetto, infatti, spesso abban­do­nano l’attività poli­tica per non dan­neg­giare i pro­pri com­pa­gni. In gergo si chiama chil­ling effect: so di essere osser­vato e quindi non «delin­quo». Come capi­tato al gruppo gior­na­li­stico inve­sti­ga­tivo maroc­chino Mam­fa­kinch, sciol­tosi come neve al sole quando i suoi mem­bri hanno capito di essere oggetto delle atten­zioni della cyber poli­zia di re Muham­mad VI.
E in Ita­lia? «Abbiamo in mano molto mate­riale che docu­menta l’uso di spy­ware nel nostro paese. Solo che — tiene a pre­ci­sare - non l’abbiamo mai pub­bli­cato per­ché non siamo ancora riu­sciti a rico­struire il con­te­sto in cui è uti­liz­zato. E senza spie­gare il retro­terra di un attacco, i nostri report si limi­tano ad essere indi­ca­tori tec­nici, privi di qual­siasi valore poli­tico».

All’ombra del Datagate

Quello del mal­ware è un mer­cato che non cono­sce reces­sione. Il suo valore oscilla fra i 3 e i 5 miliardi di dol­lari, con punte di cre­scita annuali del 20%. Un’espansione favo­rita da diversi fat­tori: para­dos­sal­mente uno di que­sti è stato il Data­gate. All’ondata di pro­te­ste leva­tasi in seguito alle rive­la­zioni di Edward Sno­w­den, molti pro­vi­der com­mer­ciali hanno rea­gito imple­men­tando di default la crit­to­gra­fia sui loro ser­vizi. «Il risul­tato è che l’intercettazione su cavo è diven­tata più dif­fi­cile e gli spy­ware hanno avuto un’impennata di richie­ste da parte di poli­zia e ser­vizi».
Poi c’è il vuoto nor­ma­tivo in cui opera il set­tore. Norme per limi­tare le espor­ta­zioni? Zero. Minore è la rego­la­men­ta­zione, più bassa è la soglia d’accesso al mer­cato. I costi sono tal­mente con­te­nuti che la corsa agli arma­menti digi­tali è aperta «a qual­siasi dit­ta­to­rello che abbia due spicci da inve­stire. Figu­ria­moci ai paesi con eco­no­mie più avan­zate». E la pro­li­fe­ra­zione incon­trol­lata di tec­no­lo­gie con­ce­pite per ren­dere insi­cure le reti ha un’altra ovvia rica­duta: l’ulteriore desta­bi­liz­za­zione delle infra­strut­ture comu­ni­ca­tive glo­bali. «Ci gua­da­gnano un po’ tutti. Chi traf­fica in spy­ware, per­ché così vede allar­gato il suo bacino d’utenza. Chi si occupa di secu­rity com­mer­ciale, per­ché a quel punto il lavoro non manca mai. E infine le agen­zie di intel­li­gence, che in una rete vul­ne­ra­bile hanno molta più faci­lità a muo­versi. C’è un matri­mo­nio d’interessi tale — con­clude Nex prima di salu­tarmi - che una rego­la­men­ta­zione del mer­cato non è nean­che immaginabile».