WikiLeaks e il cyberspionaggio della CIA, spiegati bene

Ieri WikiLeaks ha pubblicato “Vault 7”, una raccolta di quasi 9mila documenti sottratti alla CIA che dimostrano le sue capacità di violare i sistemi di sicurezza di computer, smartphone e persino di televisori e altri oggetti collegati a Internet per ottenere i loro dati e intercettare le conversazioni ambientali. Gli esperti di sicurezza sono ancora al lavoro per esaminare tutti i file forniti da WikiLeaks e verificare l’estensione delle attività di cyperspionaggio, ma le prime analisi e informazioni confermano l’esistenza di programmi di sorveglianza paragonabili a quelli della NSA, anche se più mirati. Già in passato erano emerse notizie su attività di spionaggio informatico di questo tipo da parte della CIA, quindi “Vault 7” non è di per sé una grande novità, ma porta comunque nuovi elementi per comprendere quanto siano estesi i suoi programmi.

Cosa c’è nei documenti?
La raccolta di file e documenti diffusa da WikiLeaks riguarda principalmente le attività del Center for Cyber Intelligence (CCI) della CIA a Langley, in Virginia, una delle divisioni più rilevanti nelle attività dell’agenzia statunitense degli ultimi anni. Non ci sono molte notizie sul suo conto, ma da tempo si ipotizza che il CCI si occupi della ricerca e dello sviluppo di software di vario tipo, soprattutto virus informatici. Il CCI lavora e collabora con altre agenzie di intelligence alleate degli Stati Uniti, come il Government Communications Headquarters (GCHQ) del Regno Unito. A seconda delle esigenze e degli obiettivi, gli informatici delle agenzie collaborano alla costruzione dei software malevoli (malware) e alla loro diffusione per raggiungere particolari obiettivi.

Chi sono gli obiettivi
A differenza dei programmi di sorveglianza di massa, con la raccolta di enormi moli di dati, portati avanti dalla NSA negli anni scorsi, le attività della CIA svelate da WikiLeaks sembrano essere indirizzate verso specifici obiettivi per raccogliere informazioni su di loro e sulle loro attività. Anche se non ci sono informazioni chiare in questo senso, secondo gli esperti di intelligence le attività sarebbero concentrate verso persone sospettate di terrorismo, criminali di vario tipo, forze di intelligence di altri paesi e governi ostili agli Stati Uniti. Per questo tipo di attività, la CIA non deve chiedere particolari autorizzazioni alla magistratura, perché riguardano persone che si trovano e sono attive all’estero. C’è però il sospetto che, come con la NSA, in alcuni casi siano stati coinvolti cittadini statunitensi e ci sono quindi organizzazioni per la tutela dei dati personali negli Stati Uniti che hanno chiesto chiarimenti.

I nomi dei programmi
Il New York Time segnala che in molti casi i nomi in codice dei programmi danno qualche indizio su età e inclinazioni degli agenti al lavoro preso il CCI della CIA. Ci sono molti riferimenti a Harry Potter, ai Pokémon e all’Adderall, un farmaco usato per la concentrazione. Ma ci sono anche riferimenti di altro tipo, come un’intera serie di programmi di spionaggio chiamati come marche di whisky, da Laphroaig a Wild Turkey passando per Ardbeg.

Quali sono i sistemi interessati
I documenti di WikiLeaks forniscono un panorama piuttosto ampio delle capacità di spionaggio informatico della CIA. I suoi agenti hanno realizzato software che sfruttano le falle di sicurezza dei sistemi operativi per guadagnare accesso ai dispositivi su cui sono installati, ottenendo quindi la possibilità di controllarli a distanza e di sottrarre file (email, documenti, fotografie, video e altro). Queste attività hanno riguardato tutti i principali sistemi operativi: iOS degli iPhone e iPad, Android per smartphone e tablet, Windows e quelli di dispositivi meno complessi, come televisori e altri oggetti collegati online (la cosiddetta “Internet delle cose”).

Come avviene la violazione
In molti casi la CIA ha sfruttato le cosiddette falle “zero day” per entrare nei sistemi operativi e ottenere il controllo dei dispositivi che voleva sorvegliare. Un sistema operativo è una serie molto complessa e articolata di codice informatico e, nonostante gli sforzi degli sviluppatori e i sistemi di controllo sempre più raffinati, è quasi inevitabile che restino alcuni errori di programmazione, che non compromettono il funzionamento generale del sistema, ma che possono essere rintracciati e sfruttati per ottenere per esempio un accesso non autorizzato da parte di utenti malintenzionati. I produttori di software diffondono periodicamente aggiornamenti (“patch”) per risolvere le vulnerabilità dovute agli errori di programmazione, ma la ricerca e l’identificazione delle falle richiede molto tempo e spesso chi realizza i virus informatici è più rapido e riesce ad approfittarsene. La CIA ha prodotto e diffuso decine di virus allo scopo di infettare i dispositivi dei suoi obiettivi, sfruttando le loro falle di sicurezza. Secondo i documenti di WikiLeaks lo fa ormai da anni e, inevitabilmente, ha perso il controllo su buona parte dei suoi stessi virus, perché questi oltre ad avere infettato gli obiettivi si sono diffusi attraverso Internet, finendo sotto l’attenzione dei produttori di antivirus, i programmi che identificano e neutralizzano il software malevolo.

Cosa vuol dire “zero day”
Una falla non ancora pubblicamente nota e non risolta è chiamata “zero day”, perché il responsabile del software che ne è affetto ha zero giorni di tempo per rimediare prima che qualcuno la possa sfruttare. Le vulnerabilità “zero day” sono una minaccia molto seria, soprattutto per i sistemi operativi, perché spesso danno la possibilità di accedere alle loro parti più profonde e importanti (“root”). A quanto pare la CIA ha identificato quasi un centinaio di “zero day” in pochi anni, sfruttandone diverse per le sue attività di spionaggio. I dettagli diffusi da WikiLeaks sembrano comunque riguardare falle in buona parte risolte dai responsabili dei sistemi operativi negli ultimi anni, quindi la diffusione di informazioni sulle loro caratteristiche non dovrebbe costituire di per sé una minaccia (a patto di avere aggiornato il proprio software).

Come la CIA trova le “zero day”
Non tutte le falle di sicurezza, soprattutto le più gravi, sono state identificate dagli agenti della CIA. I documenti elencano altre agenzie di intelligence che hanno fornito la loro collaborazione, o per lo meno condiviso alcune informazioni, e citano anche alcune aziende private che si occupano di sicurezza informatica. Questo significa che in alcuni casi la CIA acquista le “zero day” da terzi, attraverso un mercato riservato e piuttosto oscuro. Edward Snowden, diventato famoso per avere diffuso le informazioni riservate sui programmi di sorveglianza di massa della NSA, ha scritto su Twitter che i documenti provano per la prima volta che il governo degli Stati Uniti paga per mantenere non sicuri i software.

If you're writing about the CIA/@Wikileaks story, here's the big deal: first public evidence USG secretly paying to keep US software unsafe. pic.twitter.com/kYi0NC2mOp

— Edward Snowden (@Snowden) March 7, 2017

Lo sfruttamento delle “zero day” era emerso già in passato, per esempio nel caso molto complesso del virus Stuxnet contro il programma nucleare iraniano. L’ex presidente degli Stati Uniti, Barack Obama, si era impegnato per limitare l’utilizzo di queste falle da parte delle agenzie di intelligence, con una iniziativa per fare in modo che le “zero day” fossero comunicate il prima possibile ai produttori di software, per risolverle e rendere più sicuri i loro sistemi.

Smartphone
Gli agenti della CIA si sono concentrati soprattutto sugli smartphone, tra i dispositivi elettronici più utilizzati al mondo e che raccolgono buona parte delle informazioni personali di chi li utilizza, dalle foto ai dettagli per entrare negli account di posta elettronica, senza dimenticare la possibilità di individuare la loro posizione sfruttando GPS, WiFi e connessione cellulare. Un documento diffuso da WikiLeaks descrive almeno 25 sistemi per ottenere il controllo di un dispositivo Android, e altre 14 soluzioni per condurre attacchi contro iOS. Le “zero day” sfruttate sono datate e sono state probabilmente già risolte tutte da Google e Apple, i rispettivi proprietari dei due sistemi operativi. Nei documenti non si cita nemmeno iOS 10, la versione più recente del sistema operativo per iPhone e iPad, che non risulta quindi essere stato attaccato nel periodo di riferimento dei file diffusi da WikiLeaks (fine 2015 – primi mesi del 2016). Essendo passato un anno, è probabile che nel frattempo la CIA abbia elaborato nuove tecniche e identificato qualche decina di altre “zero day” potenzialmente sfruttabili.

L’utilizzo delle vulnerabilità sembra essere particolarmente efficace sui dispositivi Android. Nei documenti si parla per esempio di alcune soluzioni per ottenere un accesso in remoto agli smartphone, quindi senza dovere entrare fisicamente in contatto con il dispositivo. Di solito si ottiene questo risultato inducendo il proprietario del telefono ad avviare un file che sfrutta la falla di sicurezza, a sua insaputa. È sufficiente un allegato in una email o un link che rimanda a un sito contenente istruzioni per avviare automaticamente il codice malevolo. Sono anche descritte tecniche per arrivare ad avere privilegi di “root”, i massimi possibili, garantendo non solo l’accesso ai dati del telefono, ma anche alle sue funzionalità come fotocamera, microfoni e accesso alla rete cellulare. Con questi privilegi si può per esempio avviare la videocamera per spiare l’ambiente in cui si trova lo smartphone, senza che il proprietario se ne accorga.

Su iOS i dettagli sono meno chiari e ci sono più che altro riferimenti a sistemi per violarne alcuni livelli, come per esempio le limitazioni che riguardano l’accesso delle app ad altre parti del sistema operativo. Un esperto di sicurezza ha comunque spiegato a Wired che, con la combinazione di queste soluzioni, è probabile che la CIA sia stata in grado di ottenere il controllo di un iPhone: “il primo caso in cui ci sono prove concrete” su qualcosa del genere.

Computer
La CIA ha sfruttato diverse falle di sicurezza anche nei sistemi operativi Windows e macOS per computer. Nel caso di Windows sono riportate informazioni di vario tipo su strumenti per rendere molto semplice la violazione di un computer, utilizzando programmi con interfacce poco elaborate, che non richiedono particolari conoscenze informatiche una volta eseguito l’accesso non autorizzato. Le cose sono invece più complicate per macOS, che tradizionalmente è meno esposto a rischi legati al malware. Nei documenti si parla di un sistema per effettuare un attacco contro il BIOS, la parte di software che viene avviata ancora prima che si attivi il resto del sistema operativo. Si sapeva da tempo che si potesse fare qualcosa del genere sui computer di Apple, ma non era ancora successo di avere prove così concrete su tentativi eseguiti in più occasioni.

Cosa c’entrano i televisori
La parte più affascinante, ma forse sopravvalutata da molti media, riguarda le capacità sviluppate dalla CIA per sfruttare dispositivi diversi da computer e smartphone. In certa misura, qualsiasi sistema collegato a Internet può essere sfruttato a fini di spionaggio, naturalmente con risultati variabili a seconda delle sue capacità. Nei documenti diffusi da Wikileaks si parla di un programma di sorveglianza chiamato “Weeping Angel”, dedicato alla violazione delle cosiddette “Smart TV”, i televisori che si collegano a Internet e che utilizzano applicazioni, come per esempio Netflix per vedere contenuti in streaming. Questi televisori utilizzano un sistema operativo che può quindi avere vulnerabilità, a volte trascurate dagli stessi produttori visti gli scopi limitati per cui sono concepiti.

“Weeping Angel” ha sfruttato una o più vulnerabilità nel sistema operativo delle Smart TV Samsung per effettuare intercettazioni ambientali tramite il microfono dei televisori, che dovrebbe solo servire per inviare comandi vocali al posto del telecomando. A loro insaputa, gli obiettivi della CIA potevano essere ascoltati mentre parlavano nella stanza in cui era presente un televisore. Per sfruttare le vulnerabilità era comunque necessari intervenire direttamente sul televisore, tramite una chiavetta USB e, secondo le informazioni raccolte finora, sembra che fosse sufficiente scollegare e ricollegare il televisore dalla corrente elettrica per eliminare il malware.

Non è chiaro quanto fosse estesa, ma la pratica sta facendo molto discutere perché significa che potenzialmente buona parte dei dispositivi collegati a Internet e con un microfono potrebbe essere usata per spiare le conversazioni. Da tempo si sapeva di tattiche di questo tipo utilizzate per le webcam e i microfoni dei computer, mentre non c’erano molti elementi per ipotizzare che stesse avvenendo qualcosa di simile anche con i televisori. Non ci sono informazioni per confermare che ultimamente la CIA abbia sviluppato capacità per sfruttare altri dispositivi per le intercettazioni ambientali, come gli assistenti per la casa Echo di Amazon e Home di Google.

WhatsApp e la crittografia
Inizialmente WikiLeaks aveva scritto in un tweet (poi chiarito) che con i suoi strumenti la CIA è anche riuscita a violare le applicazioni per scambiarsi messaggi che usano sistemi di crittografia molto affidabili come WhatsApp e Signal. In realtà i documenti non dicono mai che la CIA sia riuscita a farlo, anche perché questo avrebbe conseguenze enormi su molti meccanismi usati online per criptare i dati e renderli illeggibili a chi non è il loro mittente e ricevente. Più semplicemente, gli agenti sono riusciti ad accedere ai messaggi scambiati tramite WhatsApp una volta che si sono inseriti nel sistema operativo degli smartphone dei loro obiettivi. Potendoli controllare a distanza, hanno potuto aprire le applicazioni relative e leggere i messaggi. Il sistema di crittografia delle app – che si basa sul possesso di chiavi condivise di sicurezza assegnate automaticamente al mittente e al ricevente senza le quali non possono essere decifrati i messaggi – è stato banalmente bypassato una volta che gli agenti hanno ottenuto il controllo dello smartphone. È una differenza essenziale: un conto è compromettere un telefono ottenendone il controllo, cosa che effettivamente è in grado di fare la CIA, un altro è superare un sistema di crittografia complesso come quelli usati da WhatsApp e Signal.

Cosa dice la CIA
Trattandosi di documenti riservati, la CIA non ha dato informazioni per confermare o meno l’autenticità dei file diffusi da WikiLeaks: “Non commentiamo in alcun modo l’autenticità o il contenuto di presunti documenti di intelligence”, ha detto il portavoce Dean Boyd. Altre fonti hanno comunque confermato che i documenti diffusi da WikiLeaks sono autentici e, da una prima analisi, anche gli esperti di sicurezza sono arrivati alla stessa conclusione.