Non sarà un altro Cablegate ma, preparatevi, la nuova operazione verità di Julian Assange vi lascerà sgomenti. Si chiamerà Spyfiles e saranno rivelati i sistemi che circa centrotrenta aziende di varia nazionalità stanno fornendo ai Servizi Segreti dei paesi occidentali. Si parla di software che permettono di spiare e catalogare milioni di persone. Mi-li-o-ni di persone. Non si tratta di semplice raccolta dati, di tracking, di profiling. No. Si tratta di spionaggio. Di controllo delle comunicazioni, e di capacità di risalire agli individui, alle persone che siedono dinanzi allo schermo a digitare, proprio come state facendo voi, in questo stesso istante.

Fra le aziende citate da Assange c’è l’italiana Hacking Team. Hacking Team è stata fondata nel 2003 da Davide Vincenzetti e Valeriano Bedeschi. Il loro prodotto si chiama RCS, Remote Control System. Controllo Remoto di Sistema. Scrivono sul sito:

crediamo che la lotta alla criminalità debba essere facile: forniamo una tecnologia offensiva efficace, facile da usare, per le forze dell’ordine e di intelligence in tutto il mondo. La tecnologia deve potenziare e non ostacolare (dal sito ufficiale http://www.hackingteam.it).

Hacking Team (di seguito HT) propone una strategia offensiva per combattere il crimine. Il sistema RCS è una soluzione progettata per “eludere la crittografia per mezzo di un agente installato direttamente sul dispositivo da controllare”. La raccolta delle prove avviene in maniera “furtiva” (stealth, in inglese sul sito) sui dispositivi monitorati e la trasmissione dei dati raccolti dal dispositivo al server RCS “è crittografata e irrintracciabile“.

Se da un lato la crittografia è usata per proteggere l’utente dalle intercettazioni, dal punto di vista di HT è uno scudo dietro cui si ripara il cybercrimine. Impedisce di “prevenire e monitorare” il crimine. “La Guerra del futuro”, scrivono sul sito, “non sarà combattuta sul campo. I Terroristi si organizzano attraverso il cyberspazio”. Interi Stati potrebbero cadere se il sistema di comunicazione è violato, e in questo scenario “l’unica arma è l’Intelligence“. Non basta difendersi, secondo HT è necessaria una strategia offensiva, poiché il ‘vincitore’ deve conoscere la mossa del suo avversario un secondo prima. La loro soluzione, RCS, può aggirare tutti i tipi di comunicazione crittografata, come quella di Skype e Secure Web Mail. Come funziona? Pochi piccoli passi:

1. Infettare il sistema operativo: il virus può essere installato con accesso remoto o localmente mediante pendrive, hd infetti, cd rom.
2. E’ un Virus invisibile: non può essere intercettato da nessuno, poiché non modifica i files di sistema esistenti, non crea nuovi files su hard disk e nemmeno dei processi o connessioni di rete, senza possibilità alcuna di essere scoperti da software antivirus o antimalware;
3. Monitoraggio e controllo: è così possibile realizzare un completo monitoraggio di pagine web visitate, e-mail ricevute e inviate, documenti scritti, keystrokes di sistema e password, documenti stampati, conversazioni su skype, attività su chat o social netoworks, addirittura il ‘remote audio spy’, ovvero intercettazioni ambientali. Tutto ciò è applicabile anche sui sitemi mobili, sui cellulari, sui palmari, eccetera.

HT è stata censita da Echelon2, la wiki sulle industrie che operano nel settore dell’Intelligence. Echelon2 considera questo genere di società una “minaccia per la trasparenza, la privacy individuale e la salute delle istituzioni democratiche in virtù di alcune capacità in fase di sviluppo in esse accoppiate con il passato comportamento delle varie parti correlate”. Echelon2 ha riportato due recenti articoli riguardanti HT. Uno è del Guardian:

Governments turn to hacking techniques for surveillance of citizens

testuale, “La svolta dei governi verso tecniche hacker per la sorveglianza dei cittadini”, pubblicato lo scorso primo Novembre.

Another company that annually attends ISS World is Italian surveillance developer Hacking Team. A small, 35-employee software house based in Milan, Hacking Team’s technology – which costs more than £500,000 for a “medium-sized installation” – gives authorities the ability to break into computers or smartphones, allowing targeted systems to be remotely controlled. It can secretly enable the microphone on a targeted computer and even take clandestine snapshots using its webcam (Guardian.co.uk).

Un altro articolo del Telegraph comincia così: “David Vincenzetti non è il vostro tipico rivenditore di armi. Non ha mai venduto una mitragliatrice, una granata o un missile terra-aria. Ma non fate errori, egli ha accesso ad un’arma così potente che potrebbe metere un intero paese in ginocchio. Si chiama RCS – Sistema di controllo remoto – ed è un software per computer” (telegraph.co.uk). La nuova corsa agli armamenti non è fatta di missili o fucili, ma di armi informatiche, scrive il Telegraph. Vicenzetti non rivela i nomi, ma qualcuno, da qualche parte del mondo, contatta i ‘whizkid’ di HT e segnala loro la presenza di persone cattive. E il team di HT, senza entrare nel merito, senza effettuare alcuna valutazione di carattere etico, procede con l’attacco informatico. Potete immaginare che il passaggio dalle persone cattive agli stati canaglia è molto breve e facile da fare. “La possibilità di accesso al sistema informatico di un nemico e surrettiziamente alterare il suo codice – in un mondo dove tutto è dominato da istituzioni finanziarie di reti elettroniche e dipartimenti governati da computer – ha, negli ultimi anni, assunto un significato enorme”, scrive laconico il Telegraph, senza peraltro inoltrarsi in una analisi di diversa caratura, che prendesse cioè in esame la presunta legalità di questi sistemi.

E’ quindi legale che una società come HT, su richiesta di un Governo o del suo Servizio Segreto, si introduca nei nostri pc e ci metta sotto controllo, spiando ogni nostra mossa in rete? E’ legale che tutto ciò avvenga senza la pronuncia di un giudice? Nel Regno Unito esiste una legislazione che disciplina l’uso di tutte le strategie di sorveglianza intrusiva. La raccolta di informazioni da parte delle forze dell’ordine o di agenzie governative è regolata a norma del regolamento di Investigatory Powers Act 2000 (Ripa), in cui si afferma che “per intercettare le comunicazioni, è necessario un mandato autorizzato dal Ministro degli Interni, ed esse devono essere ritenute necessarie e adeguate nell’interesse della sicurezza nazionale e al benessere economico del paese” (Guardian.co.uk).

Ma se le legislazioni nazionali pongono dei paletti precisi alla capacità di intercettazione di questi strumenti, tutto cambia sul piano internazionale. Società come SS8 o HT possono vendere i loro software a paesi illiberali e i loro governi diventano capaci di tenere sotto controllo le comunicazioni interne ma anche di imbracciare l’arma informatica contro i governi loro nemici.

Nel 2009, per esempio, è stato segnalato che gli sviluppatori del SS8 americano avevano presumibilmente fornito gli Emirati Arabi Uniti con uno spyware per smartphone; a circa 100.000 utenti era stato inviato un falso aggiornamento del software dalla società di telecomunicazioni Etisalat (ibidem).

Cosa sarebbe successo se questo malware fosse stato diffuso da un governo straniero negli smartphone degli utenti inglesi? Se tutto ciò si risolve mandando agli utenti un aggiornamento fake, allora basterebbe infiltrare qualche softwarista nelle nostre società di telecomunicazioni e il gioco è fatto. In un sol colpo abbiamo messo sotto intercettazione milioni di smartphone di ignari cittadini del nostro paese nemico.

Il paradosso è che le intenzioni di HT sono di produrre un mezzo che impedisca ad uno Stato di finire in ginocchio sotto il giogo della guerra informatica e il blocco delle reti, ma per fare ciò ha creato quello stesso strumento che può rendere tutto ciò possibile. Se l’arma nucleare metteva l’umanità dinanzi all’olocausto globale, l’arma informatica – silenziosamente – renderà possibile ed economico il controllo totalitario dell’individuo, anestetizzandone per sempre l’oscena imprevedibilità insita nella libertà di agire.