Penetrare di nascosto nei dispositivi: il libero mercato delle vulnerabilità

Cosa si nasconde dietro il fenomeno degli spyware di stato? Nulla di particolarmente originale: una montagna di soldi. Società come Paragon Solutions o la famigerata Nso Group, quest’ultima ripetutamente accusata di aver fornito strumenti di spionaggio elettronico a regimi autoritari di mezzo mondo, negli ultimi anni si sono guadagnate un ruolo di primo piano nel settore dell’intelligence. I loro spyware vengono utilizzati (e pagati a peso d’oro) da forze di polizia e servizi segreti per raccogliere informazioni e prove riguardanti indagini di ogni genere, dalla criminalità organizzata al terrorismo. Occasionalmente, vengono utilizzati per controllare giornalisti, attivisti dei diritti civili e oppositori politici. Queste società, però, sono solo la punta dell’iceberg di una filiera più complessa.

Il vero valore aggiunto che permette a società come Paragon Solutions di concludere accordi milionari con i governi occidentali non è infatti la qualità dei loro spyware, quanto la capacità di installare lo spyware stesso sul dispositivo delle vittime. Nel caso di Graphite, prodotto da Paragon Solutions e finito negli smartphone di Francesco Cancellato e Luca Casarini, per la sua installazione è stato sfruttato uno «zero click», cioè una modalità di attacco che non richiede alcuna interazione da parte della vittima. Di solito, infatti, l’installazione di un virus informatico richiede un qualche tipo di azione, come aprire un file o un link. In questo caso, invece, il file pdf inviato tramite Whatsapp era in grado di sfruttare una vulnerabilità del software di messaggistica che permetteva di avviare automaticamente l’installazione dello spyware. Ma come ha fatto Paragon Solutions a ottenere un exploit del genere? Probabilmente lo ha comprato.

Gli spyware (o i malware che rubano password e dati di carte di credito) sotto un profilo tecnico sono semplici software. Certo, hanno caratteristiche particolari e, nel caso specifico degli spyware, permettono di accedere in remoto a tutte le informazioni conservate sul dispositivo su cui sono installati. Come qualsiasi altro software, per funzionare devono essere installati sul dispositivo che si vuole spiare. Ma nessuno, oggigiorno, si sognerebbe mai di installare un programma di origine sconosciuta sul suo smartphone. La vera sfida è quindi fornire ai clienti un vettore di attacco che permetta di installare il software senza che la vittima se ne accorga. In gergo si chiama exploit, una tecnica che sfrutta una vulnerabilità di un sistema operativo o di un software per compromettere un dispositivo digitale.

Per procurarsene uno non serve frequentare il dark web o contattare in segreto un pirata informatico. Basta rivolgersi al mercato. Le cose funzionano così: dal momento che le vulnerabilità software sono alla base della distribuzione di malware e spyware, buona parte del lavoro degli esperti di cyber security si concentra sulla ricerca delle falle di sicurezza (bug) in sistemi operativi e applicazioni. Migliaia di analisti passano al setaccio il codice di Windows, iOS, macOS, Linux, Android e di qualsiasi software in commercio per individuare eventuali vulnerabilità che possano essere sfruttate da programmi malevoli. In teoria, questa frenetica attività di analisi ha l’obiettivo di «rendere più sicuro il nostro mondo digitale» e viene pagata dagli stessi produttori dei software attraverso un sistema chiamato bug bounty.

Ogni produttore di software ricompensa i ricercatori che individuano un bug, più o meno come venivano ricompensati i cacciatori di taglie nel vecchio West. Chi individua una vulnerabilità particolarmente grave, però, ha anche un altro modo per incassare un compenso: rivolgersi a una società specializzata nella compravendita di exploit. Una delle più conosciute e attive nel settore è Zerodium. Il suo obiettivo è quello di accaparrarsi il maggior numero di exploit possibili e lo fa a suon di dollari.

In alcuni casi, mettendo in campo una disponibilità economica addirittura superiore a quella delle big tech. Quando nel 2015 Apple ha annunciato di essere disposta a pagare 250mila dollari a chi fosse riuscito a violare il sistema operativo di iPhone, Zerodium si è affrettata a superare l’offerta rilanciando a un milione. Società come Zerodium operano alla luce del sole e hanno come partner commerciali proprio quegli sviluppatori, come Paragon Solutions, che forniscono i software-spia ai governi. Tutto formalmente corretto, tutto legale. Fino a quando lo spyware non finisce sullo smartphone di un giornalista “scomodo”.