Un codice di condotta per rendere più trasparente e etico il mercato grigio degli attacchi informatici, spesso basato su zero day (vulnerabilità unpatched), potrebbe segnare un primo importante passo per meglio tutelare gli interessi dei cittadini e aziende.
La tendenza attuale, invece, sembra essere quella di continuare ad allargare a dismisura l’uso illecito degli zero-day, che da ormai troppo tempo è sapientemente legittimato e quotidianamente praticato dai poteri forti, su scala globale.
Per comprendere di cosa parliamo, partiamo da un episodio che ha segnato uno spartiacque fra quello che era stato prima e ciò che sarebbe stato, da allora in poi, il mondo delle indagini informatiche e della lotta al terrorismo, da una parte e, dall’altra, delle contrapposte esigenze di tutela della sicurezza dei dati e della privacy degli utenti: la strage di San Bernardino e il gran rifiuto di Apple di collaborare con l’FBI nello sblocco dell’iPhone del terrorista che l’aveva compiuta.
Mobile forensics, prima e dopo San Bernardino
Era aprile. Proprio come adesso. Da allora sono passati più di dieci anni. Lavoravo da poco nel settore della digital forensics e insieme alla primavera metereologica di quei giorni ne stava sbocciando un’altra: quella della mobile forensics, in Italia.
Numerose e nuove erano le richieste che mi giungevano. Arrivavano tutte insieme. La sensazione percepita era quella di un’emergenza incalzante, di un rinnovato e concitato inizio. Le domande erano tante: alcune racchiuse in testi scarni e molto poco chiari; altre invece si mostravano più precise sin dall’oggetto della mail, rivelando poi un discorso puntuale e ben articolato nell’esposizione del problema. I contenuti erano variegati e le storie tratteggiate erano le più disparate; tuttavia gli S.O.S. lanciati tendevano tutti allo stesso scopo: al recupero forense di dati da dispositivi mobili. Ricordo quel pomeriggio molto bene: intuii, infatti, che gran parte del mio lavoro stava virando definitivamente sui cellulari. Anzi, aveva già cambiato rotta e io mi ci trovavo in mezzo.
Dovevo attrezzarmi. Così conobbi la Cellebrite, l’azienda israeliana specializzata in Mobile Forensics, e loro conobbero me. All’epoca, i clienti italiani di questa società si contavano, sì e no, sulle dita di una mano. Oggi, sono molti di più e anche i non addetti ai lavori ne avranno sicuramente sentito parlare, se non altro quando quel melafonino, buio e impenetrabile, in uso al terrorista della strage di San Bernardino, balzò agli onori della cronaca.
Era il 2015. Me ne occupai. Mi ci dedicai subito, in maniera approfondita e certosina. D’altro canto la Forensics sui cellulari e la loro sicurezza erano il mio pane quotidiano. Ne volli scrivere e lo feci insieme a un collega, che un pomeriggio mi telefonò per chiedermi se poteva unirsi a me nella redazione del pezzo, poiché anche lui era interessato al caso e gli avevano riferito che stavo per comporre l’articolo. Ci mettemmo all’opera. Lo scritto si sviluppò poi in due parti, tanto la vicenda fu intricata, appassionante e non breve nei tempi di risoluzione.
La battaglia di Apple contro le richieste dell’FBI
Il 2015 e il caso di San Bernardino furono rispettivamente un anno e un evento assai significativi, poiché segnarono una sorta di spartiacque fra quello che era stato prima e ciò che sarebbe stato, da allora in poi, il mondo delle indagini informatiche e della lotta al terrorismo, da una parte e, dall’altra, delle contrapposte esigenze di tutela della sicurezza dei dati e della privacy degli utenti. Di tutti gli utenti, a livello globale.
Tant’è che lo stesso Snowden affermò che la battaglia ingaggiata da Apple per la sicurezza dei propri dispositivi contro le istanze dell’F.B.I. andava profilandosi come il più importante caso tecnologico degli ultimi dieci anni. Ed Edward Snowden lo sapeva bene. Del resto, chi meglio di lui avrebbe potuto valutare lo scontro fra i men in black e l’azienda di Cupertino?
Dopo gli scandali di Prism e Hacking Team, la parola d’ordine era una sola: “crittografia”; il tema era scottante e divenuto di pubblico dominio. Tecniche e protocolli crittografici avevano iniziato a essere implementati sempre di più e a più livelli, soprattutto sugli smartphone.
Tim Cook era stato molto chiaro al riguardo, quando, proprio in quella circostanza, affermò: “dentro gli smartphone che ognuno porta con sé ci sono più informazioni su ciascuno di noi che in qualsiasi altro dispositivo o in qualsiasi altro posto”. Per tale ragione mai avrebbe assecondato i federali. Di fatto, con quella richiesta, tecnicamente differente nella sostanza da altre già avanzate in precedenza e supportate perché si risolvevano, effettivamente, in semplici servizi di laboratorio, il governo americano avrebbe finito col minare le barriere di sicurezza crittografiche che da quel momento erano state erette a standard di dispositivi mobili diffusissimi in tutto il mondo, spalancando la strada a una prassi funesta, dalle conseguenze imprevedibili e molto pericolose.
Alla fine l’F.B.I. riuscì a sbloccare quell’iPhone, anche se tuttora permane un velo di mistero circa chi sia stato e come abbia agito. Di certo fu un fornitore esterno alle divisioni interne all’FBI, benché l’agenzia abbia al suo interno un’unità a ciò preposta, la Cryptologic and Electronics Analysis (CEAU).
Hacker, zero-day Cellebrite?
Le ipotesi che si sono a mano a mano avvicendate sono state non poche. A ben vedere, quei termini e quel nome, che sono stati presi in considerazione in forma alternativa gli uni agli altri, non necessariamente si escludono a vicenda, anzi, al contrario, sono in grado di sovrapporsi fra loro, perfettamente, soprattutto se li si rapporta alla vicenda in questione.
Se così fosse stato, i timori circa un operato condotto nel più totale spregio della metodologia forense potrebbero essere superati, almeno in parte e a fronte dei bizzarri, grossolani errori commessi a monte dai federali, nei momenti immediatamente successivi al sequestro del telefonino. Se così fosse stato, si potrebbe spiegare l’eccezionale cifra di circa $218.000 spesa dall’F.B.I. per acquistare da Cellebrite servizi d’ “information technologies supplies”, il 28 marzo del 2016, così come riportato da fonti pubbliche e cioè proprio il giorno in cui il governo americano annunciò al mondo intero di essere riuscito finalmente ad accedere all’iPhone. Se così fosse stato, potremmo ora disporre di un esempio di “attacco” su device, senza dubbio con una versione di iOS successiva alla 8, condotto da una società che si occupa di Mobile Forensics, per supportare un governo nella lotta al terrorismo. Ma non è dato saperlo, mentre sarebbe stato fondamentale averne notizia, proprio per la parte tecnica o anche solo procedurale informatico-forense che, seppur ridotta ai minimi termini, potrebbe essere stata comunque osservata a fini giudiziari. E ciò non è un fatto di poco conto, sia per la sicurezza dei device in generale, che per l’applicazione della Digital Forensics e della legge, in un’ottica di giusto processo.
FBI e malware di Stato, un lungo legame
Che l’FBI abbia sempre avuto il pallino per il cracking è cosa nota, così come celebri sono le sue Network Investigative Techniques o NITs, delle quali si ha notizia dal 2002. Il malware Cornhusker, ribatezzato “Torsploit” e compilato da alcuni ricercatori, su commissione dell’FBI, per bucare TOR e ottimamente impiegato nell’Operazione Torpedo, ne è un succulento esempio.
Il malware “di stato” servì per raccogliere le informazioni identificative degli utenti di TOR e smascherarli. Cornhusker, sfruttando all’interno del browser di TOR, le vulnerabilità di Adobe Flash Player, fu infatti in grado di deanonimizzare gli IP degli utenti, inviando ai server dell’FBI fuori dalla rete TOR i veri indirizzi IP, con tanto di timestamp di accesso ai siti incriminati. Dopo l’Operazione Torpedo, Cornhusker non fu più utilizzato, almeno così sembrerebbe emergere da alcuni atti giudiziari.
Certo è che numerosi nuovi strumenti di hacking classificati come NIT da allora hanno continuato ad essere confezionati per le esigenze investigative dell’FBI, suscitando sempre massimo disappunto. Carenti di qualsiasi forma di controllo, le NITs sono state condannate più di una volta da diversi avvocati che ne hanno contestato l’impiego vago e generalizzato, fino a richiedere che fosse fornito il codice sorgente per identificare gli utenti di TOR, loro clienti, posti sotto accusa. Colin Fieman, che fu un difensore d’ufficio di un soggetto coinvolto in uno di quei procedimenti, espresse molto chiaramente la propria indignazione, descrivendo l’utilizzo di queste imprecisate e polivalenti NITs come “an extraordinary expansion of government surveillance and its use of illegal search methods on a massive scale” e ciò acquista maggior peso soprattutto se si pone mente all’intervenuta riforma della Rule 41, attraverso al quale l’F.B.I. può, da circa tre anni a questa parte, ottenere mandato per accedere da remoto a qualsiasi macchina situata in qualsiasi giurisdizione e in qualsiasi parte del mondo.
San Bernardino e le conseguenze del “gran rifiuto” di Apple
Ricordo come il caso di San Bernardino avesse saputo immediatamente sollevare in me il sospetto che potesse essere stato strumentalizzato per tentare di fondare un precedente in grado di spianare la strada alla pratica di costringere giganti come Apple a fornire forme di supporto fuori dall’ordinario a governi e polizie giudiziarie di mezzo mondo, per facilitare l’accesso a fonti digitali sempre più sicure e per questo complicate da acquisire, anche a costo di indurle a compromettere la sicurezza e l’integrità dei propri prodotti e servizi.
In questo modo, se ciò fosse accaduto, gli organi inquirenti avrebbero evitato di ritrovarsi ancora nelle aule di tribunale nella scomoda posizione di dover scegliere se svelare i propri exploit o rischiare, al contrario, di far annullare cause su crimini anche particolarmente efferati. Come avvenne nell’aprile del 2016 quando il Dipartimento di Giustizia americano lasciò cadere le accuse di pedofilia del caso Playpen, per preservare la segretezza del malware utilizzato per violare TOR dai G-men. Quello che è certo è che si è creato invece un “precedente” contrario e inaspettato, ovvero il grande rifiuto della Apple a collaborare con il governo non si è tradotto in alcuna conseguenza per l’azienda di Cupertino e non è sfociato in alcuna causa legale. Perché, se l’ingiunzione dell’FBI era legittima?
Se i produttori dei cellulari sanno ora di potersi opporre alle pressioni che dovessero giungere loro da governi o polizie segrete e di stato, ecco che le criticità tecniche, oggettive, di craccare gli smartphone dotati di sistemi di crittografia sempre più robusta, possono essere bypassate ricorrendo ai mercati grigi e ai broker di zero-day ed exploit, la cui crescita, non è certo una un caso, ha subito una vera e propria impennata, in un panorama che, agli occhi di guarda, si presenta ultimamente ancora più confuso e forse, proprio per questo motivo, maggiormente viscido e pericoloso.
Usi e abusi delle vulnerabilità dei software
Perché da un lato, l’inesorabile avanzamento dei grey market di attacchi informatici sta spronando chi di dovere ad andare più a fondo e a interrogarsi maggiormente sulle implicazioni di tale particolare e florido commercio, fino a sollevare opportunamente la questione circa la necessità di addivenire quanto prima a una qualche forma di regolamentazione. Come sottolineato dalla parlamentare dell’Unione europea Marietje Schaake: “L’uso e l’abuso di vulnerabilità nel software è un fattore di rischio importante per la cybersicurezza dei cittadini. Stati e intelligence sfruttano queste falle, ma le conseguenze possono essere devastanti”, tanto più se si considera che con l’avanzare della tecnologia gli effetti potenziali dei codici legati a vulnerabilità zero-day sono sempre più di carattere fisico e perciò di alto impatto sulla vita delle persone. Per tale ragione Schaake ha esortato la Commissione Europea a ridisegnare un nuovo assetto normativo che contempli anche il mercato degli zero-day.
Dall’altro, però, esiste un piccolo manipolo di società operanti in quest’area grigia che si sono poste l’ambizioso traguardo d’ imprimere una svolta, ripromettendosi e promettendo apertamente di regolamentare tale mercato, partendo da loro stesse e agendo dunque dall’interno. Si sono imposte, ad esempio, di restringere il numero e la tipologia di clienti, in particolare di governi, cui rivendere solo determinati tipi di vulnerabilità e per precise finalità. Un esempio è la società Netragrad, che prima dello scandalo Hacking Team, asseriva di vendere exploit zero-day solo a clienti americani attraverso un processo vagliato e controllato. Ma poi si scoprì che non era così. Tali encomiabili iniziative, che intendono dunque fare dell’eticità e della legalità della loro grey zone il proprio vessillo, sono ampiamente annunciate in discorsi e dichiarazioni pubbliche rilasciate in varie sedi e rilanciate altresì come sfide in interviste su quotidiani internazionali e all’interno di speech di molteplici e famose conferenze dell’underground digitale.
Tuttavia, quegli stessi discorsi e quelle stesse dichiarazioni finiscono poi col glissare su taluni specifici aspetti intimamente collegati ai programmi presentati, oppure si concludono omettendo informazioni che invece sono di fondamentale rilevanza per poter toccare con mano la concretezza delle parole spese; contestualmente stringenti accordi di riservatezza e motivi di sicurezza sono prontamente sfoderati come argomentazioni a sostegno della loro malcelata reticenza. C’è da ammettere che le ragioni di tale ritrosia si sposano fra l’altro molto bene col contesto del mercato grigio degli attacchi zero-day, per cui risulta difficile contestarle o semplicemente risulta inutile e inappropriato insistere per ottenere le risposte che mancano.
Regolamentare il mercato grigio degli attacchi informatici
Di fronte a questo insolito segmento di mercato grigio l’impressione che si ricava è che proprio tale atteggiamento, nonostante l’apprezzabile unione d’intenti, finisca col confondere ancora di più le acque, gettando ulteriore fumo negli occhi nei destinatari e negli osservatori esterni, all’interno del già torbido Far West degli attacchi zero-day governativi. Sono cioè dell’avviso che siamo di fronte a una non meglio precisata e a una non meglio riformata porzione di mercato grigio di attacchi informatici, plasmata su un quadro autoreferenziale di condotta, creato ad hoc, entro cui questi broker si autoinseriscono, autoaffermandosi, ma che ammutoliscono, quando c’è da esporsi sulla sostanza di cosa fa la differenza in positivo e che tanto vantano rispetto alle altre società “grigie” del settore; se i tratti salienti del progetto di questi pochi intermediari volto a regolamentare i grey market devono invece essere svelati, per poter attribuir loro quella fiducia che, al contrario, se non si riesce a riporre nell’altra grande fetta dei loro competitor, è anche vero che, di contro, quello che per ora ne deriva è una sorta di exploit perfetto dal punto di vista commerciale.
I controlli sull’utente finale e quindi anche le implicazioni sulle possibilità che gli exploit rivenduti siano implementati e integrati, la previsione di una qualche forma di disclosure, la vigilanza sugli hacker che si propongono e l’individuazione degli scammer, anche in una prospettiva di proficua e onesta collaborazione fra società che intendano allinearsi su questa interessante linea di grey market sono tutti fattori molto importanti da valutare.
Bug bounty “etico”: le questioni da considerare
In riferimento ai pochissimi nuovi mercati grigi di brokeraggio che puntano su programmi di bug bounty vagliati, sicuri ed “etici” intravedo in questo momento e principalmente due ordini di questioni.
Il primo è il problema dei finanziamenti, che dovrebbero essere trasparenti, soprattutto quando le cifre offerte e il denaro che è fatto girare alla luce del sole raggiunge importi particolarmente elevati. Conoscere i finanziatori ed essere rassicurati sulla provenienza dei fondi che lo alimentano e cioè che si tratta di proventi leciti riveste primaria importanza, per evitare il paradosso di pratiche legali ed etiche dichiarate e magari anche effettivamente seguite e per-seguite all’esterno, mentre dietro le quinte manca la stessa limpidezza d’azione degli operatori che consentono con quel denaro di attirare sulle loro piattaforme i migliori hacker del mondo. Inoltre, la trasparenza finanziaria getterebbe luce sul potere politico ed economico retrostante e consentirebbe di valutare meglio presso chi rifornirsi o i rischi insiti nell’acquistare da un certo intermediario, piuttosto che da un altro (basti pensare alle sedi di queste aziende).
Il secondo ordine di problemi concerne l’annoso discorso delle vulnerabilità e della responsabilità della comunicazione delle stesse. Il tema va certamente calato in un contesto dove i protagonisti sono i governi, le polizie e gli organismi d’intelligence e pertanto deve essere coniugato con le finalità per cui avviene l’ acquisto di exploit zero-day da parte di quegli acquirenti o dei loro contractor e che vanno rispettate. Non di meno non si deve trascurare la pena del contrappasso che li attende e cioè che queste potenziali armi possono finire in mano ai cybercriminali.
Ciò va tenuto in alta considerazione, in una prospettiva d’ impegno costante ed effettivo per preservare la sicurezza dei device degli utenti e della vita delle persone, a livello mondiale. A mio avviso ipotizzare una responsible disclosure per così dire “tardiva”, o “sotto condizione” giustificata dall’operazione d’intelligence da condurre, ad esempio, potrebbe risolversi in una previsione che porti alla comunicazione della vulnerabilità dopo, ad esempio 18/24 mesi dal termine dell’utilizzo governativo, al produttore. Certamente deve trattarsi di vulnerabilità esclusive, di difficile riscoperta, il cui tasso di collisione sia quindi estremamente basso, entro il termine di disclosure, sotto condizione ipotizzato.
In sintesi, prima ancora che all’impianto normativo, forse vi è la necessità di immaginare prima la possibilità che questi pochi broker illuminati dei grey market elaborino e stipulino un accordo, in grado di tradursi in una sorta di code of ethics per tutti.
Exodus, Aterno: “Urgono regole per imporre standard di sicurezza e controlli”
