La sede della NSA a Fort Mead, Maryland, Stati Uniti (AP Photo/Patrick Semansky, File)

La NSA ha dato una mano a Microsoft

In un'insolita ammissione pubblica, l'agenzia di spionaggio statunitense ha fornito i dettagli su una pericolosa falla di sicurezza (aggiornate Windows)

La sede della NSA a Fort Mead, Maryland, Stati Uniti (AP Photo/Patrick Semansky, File)

Microsoft ha diffuso un aggiornamento per Windows 10 e alcune altre versioni del suo famoso sistema operativo per rimuovere una falla di sicurezza che poteva essere sfruttata per installare codice malevolo (malware) sui computer, all’insaputa dei loro proprietari. Gli aggiornamenti di sicurezza sono frequenti, ma la differenza rispetto al passato è che in questo caso il problema è stato segnalato pubblicamente dalla National Security Agency (NSA), l’agenzia di intelligence degli Stati Uniti nota per le sue attività di sorveglianza delle telecomunicazioni. Storicamente la NSA ha spesso preferito tenere per sé le informazioni sulle falle di sicurezza nei sistemi operativi, con l’obiettivo di sfruttarle nell’ambito dei programmi di controllo delle attività informatiche, anche su scala globale.

La falla di sicurezza riguarda Windows 10, il sistema operativo più recente di Microsoft, Windows Server 2016 e Windows Server 2019. Il problema è nel sistema di certificati che Microsoft utilizza per assicurarsi che i programmi installati e gli aggiornamenti siano autentici, in modo da ridurre il rischio di installare virus o porzioni di codice che potrebbero danneggiare il computer, aprendo vie di accesso secondarie ai dati che contengono, all’insaputa dei loro proprietari. Sfruttando la falla, una persona malintenzionata avrebbe potuto aggiungere una firma digitale fasulla, riuscendo quindi a far passare per buono un malware e a sfruttarlo per ottenere il controllo del computer.

Microsoft ha detto di non avere ricevuto nessuna notizia circa lo sfruttamento di questa falla di sicurezza, che del resto fino a qualche giorno fa non era nota. Windows 10 ha come impostazione predefinita l’installazione automatica degli aggiornamenti di sicurezza di questo tipo, quindi entro pochi giorni la maggior parte dei computer che lo utilizzano non dovrebbe più correre rischi. Di solito quando viene annunciato un aggiornamento per una falla di sicurezza c’è una corsa a comprenderne il meccanismo, per poterla sfruttare prima che sui computer sia installata la soluzione.

La NSA lavora costantemente per cercare problemi ed errori di programmazione nei sistemi operativi più diffusi, proprio per poterli sfruttare a proprio vantaggio nell’ambito dei suoi piani di sorveglianza. Dopo la diffusione di una grande quantità di informazioni riservate sulle proprie attività, soprattutto da parte di Edward Snowden, e le numerose inchieste giornalistiche che seguirono, la NSA ricevette molte critiche per la scelta di non rendere note – nemmeno ai produttori del software interessato – le falle di sicurezza che aveva identificato. Una politica che almeno in un caso aveva portato a esiti allarmanti, secondo gli esperti di sicurezza informatica.

All’inizio del 2017, alcuni responsabili della NSA comunicarono a Microsoft di avere scoperto da tempo una vulnerabilità di Windows, ma di avere subìto una fuga di notizie che l’aveva resa nota al gruppo di hacker Shadow Brokers. Tra i dati persi, forse diffusi da alcuni agenti della NSA, c’era un codice informatico diventato poi noto come “Eternal Blue”. Microsoft diffuse velocemente un aggiornamento di sicurezza, ma diversi computer rimasero ugualmente senza protezioni.

In seguito, un gruppo di hacker della Corea del Nord lavorò sul codice realizzando “WannaCry”, un malware che fu poi sfruttato per bloccare l’intero sistema informatico del servizio sanitario del Regno Unito, che si basava su una vecchia versione di Windows. La falla di sicurezza fu anche sfruttata da un gruppo di hacker russi per condurre altri attacchi, tra i più grandi e gravi nella storia dell’informatica, bloccando i sistemi informatici di alcune grandi aziende compresa Maersk, l’enorme multinazionale responsabile di buona parte del trasporto marittimo di merci.

Quando divenne noto il suo coinvolgimento, la NSA negò ogni responsabilità, sostenendo che i malware fossero stati realizzati dalla Corea del Nord e dalla Russia. Molti esperti di sicurezza, e alcuni agenti della stessa NSA in forma anonima, fecero però notare che la pratica di nascondere ai produttori di software le falle scoperte sui loro programmi, nella speranza di sfruttarle per lo spionaggio, fosse chiaramente alla base dei danni causati da Eternal Blue, costati svariati milioni di dollari alle stesse aziende statunitensi.

La decisione finale sul mantenere il segreto su una falla di sicurezza informatica o rivelarla ai produttori come Microsoft viene spesso assunta dalla Casa Bianca. Durante l’amministrazione di Barack Obama, per esempio, fu formalizzata una procedura per farlo. Il governo di Donald Trump ha confermato che qualcosa di simile esiste ancora oggi, ma il governo non fornisce da tempo dati aggiornati su quante falle di sicurezza siano rese pubbliche e quante mantenute segrete, con l’obiettivo di sfruttarle in altro modo.

In passato la NSA aveva già fornito informazioni a Microsoft su problemi legati a Windows, ma aveva sempre evitato qualsiasi coinvolgimento pubblico, evitando di smentire o confermare le proprie segnalazioni. È quindi la prima volta che la NSA segue una strada più aperta, come ha spiegato la responsabile della sicurezza informatica dell’agenzia, Anne Neuberger: “Volevamo seguire un nuovo approccio nel condividere e lavorare per creare fiducia nella comunità della sicurezza informatica. Assicurare che le vulnerabilità possano essere attenuate è una priorità assoluta”.

Per ora non è chiaro se la segnalazione pubblica sia l’inizio di un nuovo metodo di collaborazione e comunicazione della NSA o solamente un caso isolato. L’agenzia raccoglie alcuni degli ingegneri informatici più esperti e capaci al mondo, specializzati proprio nella ricerca degli errori di programmazione e delle falle presenti nei sistemi operativi e programmi più diffusi. Se la comunicazione pubblica delle loro scoperte diventasse la norma, si potrebbero risolvere per tempo molti dei problemi di sicurezza che inevitabilmente interessano i sistemi informatici e di comunicazione. Diversi osservatori sono però scettici su questa circostanza, considerati i casi del passato recente legati alle attività della NSA tenute in gran segreto.