Cercheremo di chiarire alcuni aspetti delle intercettazioni telematiche, facendo riferimento ad informazioni ormai di pubblico dominio, senza voler entrare troppo nello specifico, evitando che la fornitura di informazioni dettagliate, crei problemi operativi all’utilizzo, autorizzato, di alcune particolari attività investigative di natura tecnica, come nel caso dell’utilizzo dei telefonini per la localizzazione delle persone, che dopo varie dichiarazioni giornalistiche sulla sua utilità nel rintraccio dei soggetti scomparsi, adesso spinge anche i ragazzi, quando si allontanano da casa, e non solo i criminali, a lasciare il telefonino per non essere rintracciati.
Come è ormai noto, le più comuni tecniche di infezione dei PC, degli smartphone e di apparati in rete, necessitano che sia dato un consenso, da parte dell’utente, per l’installazione del software spia chiamato malware o con altre decine di nomi, a seconda della sua specificità.
Questa necessità sussiste sia che l’operazione sia fatta direttamente sul dispositivo, sia se fatta da remoto, con l’inconsapevole collaborazione dell’utente.
Nella realtà esistono almeno altri due metodi di infezione che non hanno necessità di alcuna interazione, appannaggio di software di alto livello, con costi molto elevati, disponibili solo per le forze governative, sia per la pericolosità, sia per i costi.
Il primo è basato sull’utilizzo di un agognato oggetto del desiderio di tutti gli hacker, chiamato “zero click”.
Il nome, quasi onomatopeico, è da attribuire ad un software, basato sull’individuazione di particolari bug dei software in uso sui dispositivi, e suggerisce che le attività di infezione prescindano da un click di conferma, rivelando capacità di penetrazione particolarmente insidiose e quindi gradite agli apparati di intelligence, che dovendo, per lo più, confrontarsi con soggetti “skillati”, ovvero particolarmente attenti alla loro sicurezza, avrebbero sostanziali difficoltà con le altre metodologie di infezione.
Il secondo è basato sull’utilizzo di altre attrezzature, anche loro particolarmente costose, quindi appannaggio principalmente di apparati governativi, che potendo colloquiare con il dispositivo in modo diretto ed invisibile all’utente, permettono di caricare il già citato software spia che, pervadendo il dispositivo, consente di assumerne il controllo.
In effetti oltre a questi sistemi, che sostanzialmente hanno come principale obiettivo delle attività i dispositivi in mano agli utenti finali, a prescindere dalle metodologie di attacco utilizzate, ne esiste un altro, ancora più sofisticato e complesso, che prevede un attacco indiretto, passando dai cloud di gestione di software in uso sui dispositivi (ad esempio i vari social), per poi, se interessa utilizzare funzioni a bordo del dispositivo (microfono, videocamera, ecc), arrivare direttamente sull’apparato, utilizzando i canali di comunicazione normalmente in uso, che quindi non generano allarmi nei sistemi di difesa dei target.
Per tornare all’attualità dei giorni nostri, ovvero l’affaire Paragon, ci sono alcune domande che subito vengono nella mente di chi è più dentro alla materia:
- La società Meta è la stessa che ad inizio anno ha sospeso le attività di controllo sulla veridicità o meno delle informazioni postate, per cui lascia, quantomeno, sorpresi che, svolga attività di controllo a tappeto su tutti i telefonini che utilizzano i suoi software, per l’individuazione della presenza di software spia e che essendosi imbattuta in alcune anomalie si sia precipitata, dopo aver verificato le attività malevoli fatte sui telefoni di alcuni utenti, ad avvertirli
- Se Meta ha avvertito che i telefonini di alcuni utenti erano stati violati, se ne può legittimamente dedurre che Meta ha le capacità di controllare, ad insaputa dei possessori, i telefonini dove sono installate le sue applicazioni
A prescindere dalla gravità, in termini di privacy personale, della eventuale seconda valutazione, forse, la verità più credibile è che i cloud di Meta siano stati violati, ed utilizzati come cavalli di troia per accedere alle informazioni degli smartphone.
A questo punto, probabilmente le pubbliche relazioni di Meta, con un’accurata operazione di distrazione di massa, hanno architettato, cercando di accreditarsi come novelli buoni samaritani che salvano le vittime dai criminali, un tempestivo piano, per avvertire gli utenti, nel tentativo di celare le loro falle nella cybersecurity ed allontanare da sé le proprie responsabilità nella vicenda, ma inconsapevolmente assecondando il noto proverbio: Concolina concolina, chi la fa, la sente prima.
Il resto è stato facile, come sparare sull’ambulanza, perché è stato semplice lasciare sottintendere la presenza di una manina di organismi statali, anche senza calcare la mano, come spesso succede, evocando i “Servizi deviati”, tenuto conto che gli Enti centrali normalmente non rispondono rapidamente a provocazioni, sia perché spesso non hanno approntato piani di disaster recovery per situazioni di questo tipo, sia perché normalmente, soprattutto se si tratta dei Servizi di Sicurezza, c’è una deontologia del silenzio che guida le loro attività.
