Trojan? Ancora Trojan?
“Uffa che barba, uffa che noia” esclamerebbe l’indimenticabile Sandra Mondaini se si trovasse a rivivere in uno sketch di “Casa Vianello”.
Il tema del micidiale software spia è tutt’altro che comico e, nonostante la sua attualità, nessuno ne parla.
Se fa indubbiamente piacere l’attenzione dedicata al problema da Dagospia e da Il Giornale, che hanno ripreso le riflessioni apparse su INFOSEC NEWS, sorprende che il resto del Paese si sia limitato a rimirare i cerchi sull’acqua provocati dalla pietra lanciata nello stagno.
Chi pensa che si stia esagerando nel guardare con timore a certe soluzioni tecnologiche, provi (e così si dovrebbe fare senza esitazione) a paragonare il software ad un’arma.
Non è un esperimento ardito. Il software è un’arma.
Esistono regimi internazionali di contenimento e monitoraggio delle esportazioni di armamenti (ad esempio per quelli nucleari il Nuclear Suppliers Group, o NSG, e per quelli missilistici il Missile Technology Control Regime o MTCR) che da anni perseguono l’obiettivo di arginare l’Intangible Technology Transfer, ovvero l’indebito trasferimento di tecnologie intangibili come programmi, applicazioni di rete e software offensivi. Ho partecipato come relatore a Parigi, Monaco e Berlino a congressi proprio di quelle organizzazioni vent’anni fa, parlando delle modalità con cui certi segreti venivano rubati e smerciati grazie all’interconnessione globale di Internet e alla straboccante cassetta degli attrezzi dei più sorprendenti “programmini”.
Oggi varrebbe la pena affrontare il tema della non proliferazione delle “cyber weapons”, ossia dell’arsenale cibernetico ogni giorno più ricco di nuove opportunità di aggressione senza distinzione di obiettivo, sia questo una Nazione avversaria o un singolo cittadino.
Probabilmente se ne dovrebbe occupare il Wassenaar Arrangement, vale a dire l’organismo internazionale preposto ai controlli sulle esportazioni di armi convenzionali e dei prodotti e delle tecnologie di possibile “uso duale” (utilizzabili anche per scopi “balordi”). In particolare dovrebbe essere la “categoria 5”, quella in cui rientrano telecomunicazioni e sicurezza informatica, a contemplare gli “spyware” e i “trojan” tra gli oggetti da tenere sott’occhio.
Purtroppo si fa forte il sospetto che chi ha lavorato ai provvedimenti normativi che nel tempo hanno legittimato certi “ordigni” non abbia mai sentito parlare di Wassenaar e soprattutto non si sia mai chiesto cosa fossero e come funzionassero davvero i famigerati “trojan”.
Preso inevitabilmente atto del poderoso calibro di queste “armi”, viene spontaneo chiedersi per quale motivo debba essere un soggetto privato (oltretutto potenzialmente “hackerabile” da concorrenti o da 007 stranieri) a realizzare un prodotto così delicato e dalle troppe controindicazioni. I preoccupanti e ingiustificati scippi del passato sottolineano la perforabilità dei sistemi anche delle imprese del settore più agguerrite e “vivaci”.
Nel silenzio tombale della collettività rassegnata ad un destino avverso a giro d’orizzonte, qualcuno si azzarderebbe persino a pensare che a forgiare certi sofisticati arnesi informatici dovrebbe essere direttamente lo Stato. Una sorta di “chinino”, giusto a volersi agganciare al contemporaneo panico monomaniacale della malattia infettiva e ricordare lo spettro della malaria sconfitto da un prodotto dello stabilimento del “Monopolio” in quel di Torino e distribuito nei “Sali & tabacchi”…
Potrebbero occuparsene le tante articolazioni pubbliche competenti in materia cibernetica, le stesse che trionfalmente parlano di “cyber security” nei convegni autoreferenziali (ora fortunatamente vietati per legge “grazie” al coronavirus), provvedendo autonomamente alle attività di ricerca e sviluppo o ad ancor più onerose iniziative di rigoroso controllo e vigilanza sulle aziende produttrici in ogni singola fase del processo creativo dei “trojan”.
Potrebbero efficacemente contribuire gli stessi personaggi che hanno tranquillizzato l’Italia a proposito di 5G e di fornitori cinesi che altri Paesi hanno messo al bando. La medesima competenza che ha supportato e supporta l’Autorità governativa in altri contesti di esasperata connotazione tecnologica dovrebbe essere sfruttata per indicare responsabilmente la via migliore per diradare le legittime preoccupazioni del quisque de populo.
La paura è più che comprensibile. Certi strumenti potrebbero scappare di mano alle Istituzioni e una simile tragedia deve essere evitata.
Un’ultima considerazione. E poi, promesso, mi impegno a non tornare sul ritrito argomento.
I “trojan” vengono spesso incapsulati in “app” distribuite attraverso Apple Store o Google Play e installate sui dispositivi da spiare dalla stessa “vittima” che riceve il classico invito “prova questa applicazione…” corredato dal link corrispondente.
Cosa succede a tutti gli altri utenti che gironzolando – del tutto involontariamente – tra gli scaffali virtuali dei dispensatori di “app” si lasciano affascinare dall’accattivante icona o dal magniloquente nome affibbiati al programmino “avvelenato” e non esitano a scaricarlo e ad installarlo sul proprio smartphone?
“Non è una scena della serie tv Mr. Robot: è una situazione accaduta davvero. Il curioso aneddoto è raccontato da Andrea Guarino, Cyber Security Acea”
Leggi tutto
