Memo dalla guerra tra Russia e NSA: aver paura
Le operazioni di intelligence e spionaggio — anche non necessariamente di massa — mettono in pericolo i computer di tutto il mondo.
Lo scorso lunedì un account Twitter, @theshadowbrokers, ha postato sul social network un link a un pastebin — un sito internet dove è possibile caricare testo e codice — che riconduceva a 300 megabyte di codici e script.
Il gruppo, in una sorta di manifesto scritto in inglese raffazzonato minacciava le “Wealthy Elites.” È un testo che non stonerebbe tra i proclami della fsociety di Mr. Robot — “La vostra ricchezza e il vostro potere dipendono da dati elettronici. (…) Se i vostri dati elettronici vi fanno bye bye, dove finirete, Elite Benestanti?”
Nel messaggio gli Shadow Brokers citano l’Equation Group,un gruppo di super-hacker collegati a Stuxnet — un computer worm costruito dalla NSA in collaborazione con l’intelligence israeliana — che sarebbero anche autori degli hack raccolti nel leak.
Tra gli exploit[footnote]Un exploit è uno script o un virus che sfrutta una vulnerabilità in un sistema informatico per eseguire codice indesiderato.[/footnote] rivelati dal gruppo, due sono stati immediatamente riconosciuti da Cisco System, il colosso che si occupa di networking per grandi aziende. Dai nomi terribilmente buffi, EPICBANANA e EXTRABACON possono essere utilizzati per bypassare le protezioni delle reti che utilizzano prodotti Cisco. Una volta terminato l’exploit, l’autore dell’attacco potrebbe installare quindi un malware in grado di permettergli di monitorare tutto il traffico all’interno di quella rete.
Ieri, The Intercept, analizzando un manuale top secret e inedito condiviso da Snowden con loro, ha confermato che l’arsenale è interamente riconducibile alla NSA.
Il manuale non solo contiene i “codici di lancio” di uno script contenuto nel leak, SECONDDATE, ma ne descrive anche l’uso — concentrato particolarmente in Pakistan e Libano.
SECONDDATE permette di effettuare attacchi “man in the middle,” illudendo l’utente di stare interagendo con un sito internet normale, quando invece stanno ricevendo dati compromessi dalla NSA.
Che questi hack rivelati da Shadow Brokers siano “veri” e di matrice NSA non vuole dire automaticamente che il gruppo sia riuscito a penetrare l’intelligence americana. Esistono una serie di spiegazioni piú probabili, provenienti da analisti con idee piú disparate. Un solo leitmotiv: la Russia.
- Alcuni opinionisti conservatori stanno cogliendo l’occasione per attaccare Snowden: tutti i leak degli Shadow Brokers sembrano fermarsi al 2013, l’anno in cui Snowden ha rivelato per la prima volta l’estensione della sorveglianza di massa. Senza nessun altro fondamento — oltre al considerare Snowden un traditore — teorizzano un collegamento russo con Shadow Brokers: che il whistleblower si sia trovato finalmente a dover pagar pegno ai suoi ospiti russi. La tesi non regge in nessun modo: l’anno è lo stesso, ma molti file leakati hanno date successive alla fuga di Snowden.
- Dall’altra parte della cospirazione, Snowden per primo ha teorizzato che dietro il gruppo di hacker ci fosse la Russia e che la retorica anticapitalista fosse solo uno schermo per mascherare quella che non è altro se non una ritorsione russa di fronte alle recenti, pesantissime, accuse rivolte a Putin da parte dei due candidati a Presidente. Il messaggio: se a Washington conoscono qualche scheletro nell’armadio dell’intelligence russa, la cosa è reciproca, e uno spostamento dello scontro dall’intelligence ai media potrebbe non giovare — affatto — neanche agli Stati Uniti.
- Potremmo essere di fronte a un nuovo caso di un “fuoriuscito” NSA: non qualcuno con una missione, come Snowden, ma qualcuno che vuole semplicemente arricchirsi alle spalle dell’agenzia. Si tratterebbe in ogni caso di spionaggio, non di hacking. “Qualcuno è uscito da un ufficio con una penna USB in tasca,” scrive tranchant Dave Aitel.
- Una spiegazione piú semplice su come un gruppo di hacker sia venuto in contatto con i documenti: un tecnico della NSA particolarmente goffo (molto, perché l’operazione deve essere avvenuta in piena caccia alle streghe post-Snowden) potrebbe, in un momento di confusione, aver lasciato i file necessari per compiere un hack in uno dei computer collegati alla rete che stava attaccando. Se gli Shadow Brokers hanno legami con l’intelligence russa, è possibile che stessero agendo sullo stesso luogo allo stesso tempo, e abbiamo intercettato i file abbandonati.
Mettendo da parte la guerra ombra tra Russia e Stati Uniti, il leak evidenzia un problema piú mondano: la necessità da parte dell’intelligence, non solo statunitense, di accedere a dati digitali sta rendendo il mondo estremamente piú pericoloso. Rifiutandosi in ogni modo di annunciare i bachi che utilizzano per penetrare le reti e milioni di computer al mondo, la NSA rende piú fragili tutti i computer connessi del mondo, un’espressione che ogni giorno di piú significa dire tutti gli oggetti del mondo.
Per anni, dalle rivelazioni di Snowden, il governo statunitense ha ripetuto a tutti i media che la gran parte degli exploit scoperti dall’intelligence vengono condivisi con le aziende produttrici e solo un ristrettissimo numero è mantenuto segreto, per la — dal loro punto di vista ragionevole — pretesa di poter svolgere il proprio lavoro.
Oggi abbiamo la certezza che si tratti soltanto di chiacchiere. Il leak degli Shadow Brokers mostra proprio questo: una montagna di bug, vulnerabilità e strategie di compromissione, rimaste segrete per anni e anni — a vantaggio non solo dalla NSA ma da chiunque altro le scoprisse, male o peggio intenzionati.