La trasparenza radicale è la migliore soluzione per esporre le ingiustizie in questo mondo tecnocratico, un mondo che sta cambiando più velocemente di quanto la legge riesce a fare?

Questa domanda è diventata ancora più rilevante per me, un attivista della privacy, quando mi sono ritrovato nell’archivio di Wikileaks, perché ho lavorato per Hacking Team nove anni fa.

La breccia nella compagnia italiana produttrice di malware è stato un evento unico per la diffusione di ogni singolo dettaglio su come operano questo tipo di compagnie.

Quello che ne è seguito è stato uno sforzo collettivo della comunità internazionale di Internet per capire quale era il significato. Gli hackers e gli attivisti per la privacy potevano scavare in profondità nell’enorme quantità di informazioni rilasciate e trovare la prova di come l’Hacking Team stava servendo le dittature.

Questo è stato un leak nell’interesse pubblico, e ho la sensazione che i danni personali e aziendali siano stati inferiori rispetto al miglioramento che la nostra società potrà trarne da tutto questo. Per raggiungere un tale miglioramento, però, dobbiamo concentrarci su un quadro generale più grande piuttosto che farci distrarre dai dettagli più succulenti.

Primo, fatemi descrivere la mia storia lavorativa e il mio coinvolgimento personale in diverse iniziative.

Nel 2006 lavoravo per l’Hacking Team. Ero già a quel tempo un attivista per la privacy, e il mio unico compito in HT era quello di consultare le aziende italiane private revisionando la sicurezza dei loro network (penetration testing). Niente a che fare con RCS, malware, trojans, attacchi alla sicurezza o cose simili.

Per favore, non prendetemi per un whistleblower: Non ho intenzione di parlare di qualcosa a cui ho lavorato, perché ho dato le dimissioni dalla compagnia molto tempo prima che la produzione di malware diventasse il core business model di Hacking Team.

Come attivista digitale e difensore dei diritti umani, con il mio background, ho realizzato che la discussione attorno ad Hacking Team stava mancando del contesto e volevo fornire la mia opinione su due aspetti che sono emersi durante le scorse settimane. Il primo riguarda le implicazioni fondamentali e il possibile abuso di potere che deriva dall’uso di queste tecnologie nelle società democratiche. Il secondo aspetto è la corsa al ribasso, in cui il valore economico dell’Internet Security è più importante della reale sicurezza degli utenti e delle infrastrutture critiche di Internet.

Questo è abbastanza per chiarire la mia situazione personale riguardo a HT, e quindi torniamo alla mia opinione informata su quello che sta accadendo.

La forza pubblica usa armi segrete

Iniziamo dalle implicazioni più spaventose di queste tecnologie. Questa settimana, sia tecnici esperti che gli altri hanno discerno e discusso tre cose: evidence planters, kill switches e backdoors.

Se anche solo uno di questi elementi fosse presente, nessuno dovrebbe fidarsi di un malware come uno strumento di uno stato democratico. Sono state fatte molte affermazioni circa la presenza di tali caratteristiche nascoste, ma vediamo nel dettaglio che cosa significano.

Un evidence planter può essere utilizzato per impiantare prove e rimuovere tracce dai dispositivi della vittima per fabbricare prove che possono essere portate in tribunale. Questo dovrebbe essere l’incubo di ogni Stato che opera in in uno stato di diritto.

Un kill switch fornisce all’agente l’abilità di spegnere un set-up creato per un utente. Anche se non sappiamo per certo se l’Hacking Team la usa o l’ha usata, questa tecnologia è menzionata in un numero considerevole di documenti come procedura di crisi. Questo significa che se un cliente ha violato le loro licenze (o comunque siano definite), Hacking Team può interrompere il servizio. E se non sappiamo se lo utilizzano e quando, i clienti del malware (e.s. gli stati) non lo sanno di certo. Immaginate le conseguenze che comporta il fatto che una compagnia privata ha più controllo sul software e sui dati dello stesso governo che li utilizza.

Una backdoor è una modifica tecnica nel software. Quando c’è una corrispondenza con una determinata condizione, il software funziona diversamente. Questo significa che gli sviluppatori di Hacking Team, in molti casi, possono potenzialmente beneficiare di questa conoscenza. Ad esempio, se vengono monitorati dal proprio stesso malware possono disattivare la raccolta dei dati. Considerando l’infrastruttura di comando e controllo che stavano replicando per ogni cliente, sarebbe stato possibile disabilitare o avere accesso alle inchieste dei clienti — come la DEA o i servizi segreti del Messico.

Le backdoors possono essere costruite in due modi: quello più semplice è ottnere una corrispondenza e modificare il comportamento. Tuttavia, se qualcuno analizza il codice può scoprire come funziona e usarlo per i propri scopi.

Se una “backdoor” di questo tipo esiste, verrà scoperta, adesso che il codice è stato diffuso in rete con un leak e messo a disposizione degli utenti di Internet.

Il secondo, e più furtivo, metodo per creare una “backdoor” è con una “bugdoor”. Diventa quasi invisibile anche a una lettura attenta del codice e ad un test del software.

Lo sviluppatore deve essere disposto a indebolire il codice, cimentandosi con una vulnerabilità che può essere utilizzata solo con una profonda conoscenza di tecniche offensive e del malware stesso.

I programmatori di Hacking Team li hanno entrambi.

Anche le bugdoors possono essere individuate, attraverso una profonda revisione dei parametri di sicurezza e con una procedura di test del software.

La domanda che dobbiamo porci è: Vogliamo vivere in una società in cui un singolo programmatore può abusare di tali possibilità?

La mia posizione personale sull’argomento

Sono favorevole al divieto di ogni tipo di mercato, che fornisce degli strumenti che hanno lo scopo di compromettere i dati delle persone. È inutile dire che sarebbe una completa utopia, perché c’è sempre almeno un soggetto nell’attuale catena di produzione di software di cui non ci si può fidare. Hanno i loro ordini del giorno in agenda e le loro intenzioni contorte del beneficiare di essa — e di danneggiare gli altri.

Affermando che ‘Il malware di Stato” deve essere proibito è come affermare di essere contro la sorveglianza in Internet: Io sono d’accordo!
Chi non sarebbe contrario? Ma è inevitabile e dobbiamo difenderci preventivamente.

Ogni stato dovrebbe garantire la sicurezza dei cittadini e non sfruttarne le debolezze tecnologiche. Questo comportamento, a lungo termine, tenderà a dividere la popolazione tra chi è tecnicamente competente e chi non lo è.
Questa è tecnocrazia.

Tale divieto sarebbe ignorato da parte delle agenzie militari e di intelligence, perché sarebbe una regolamentazione civile, e le aziende private resterebbero solo come dei fornitori.

L’unico ragionevole compromesso è una pesante regolamentazione su quando e dove queste potenti armi possono essere utilizzate. E sfortunatamente tutto questo viene influenzato dalle dinamiche politiche.

Ultimo ma non meno importante, la creazione di un recensore di terze parti (alcune autorità nazionali?). In grado di garantire l’assenza di operazioni attive (ad esempio la scrittura sui file, la manipolazione delle interfacce, l’attività di rete) e che autentichi crittograficamente il codice del malware.

Questo deve essere un gruppo separato di tecnici che garantisce per l’integrità del cliente, che controlla le caratteristiche tecniche del prodotto della società e garantisce che backdoors, kill switches o manipolazioni di funzionalità, non siano presenti.

Ma chi può farlo, visto che lo Stato italiano stava sostenendo l’esportazione verso il Sudan, è stato tra i top buyer e sosteneva Hacking Team per le indagini sugli ex dipendenti? È quasi impossibile ora fidarsi di uno stato.

Il comunicato stampa e la narrazione dei fatti

Il secondo punto su cui ho bisogno di fornire un contesto riguarda il comunicato stampa ufficiale di Hacking Team. Il modo in cui hanno incorniciato l’esposizione, è stato una sorprendente sovrastima dei loro prodotti. E il pericolo di rilasciare codice malware in un settore selvaggio è inferiore a quello che Hacking Team sta sostenendo. Le notizia che la fuga di informazioni un pericolo è stata ripetuta dai media internazionali e così hanno oscurato il fatto più importante: si tratta di un’arma per la trasparenza. I cittadini, ora consapevoli, sono in grado di fare pressione per una corretta regolazione del settore della produzione e vendita di malware. Il leak non è diventato un’arma nelle mani dei criminali, perché l’unico valore dell’arma è il segreto.

Nel mercato sotterraneo delle armi digitali, quando qualcosa di segreto diventa pubblico, perde subito il suo valore e prende il nome di “bruciato”.

La segretezza delle tecniche di attacco, come quella che stava abusando di una vulnerabilità di Flash, adesso è bruciata.

Hacking Team ha investito molto su competenze altamente pagate per trovare il modo di oscurare il loro malware dai software antivirus. Anche tutti questi investimenti sono bruciati.

Altri produttori di malware utilizzano una simile strategia di infezione, e anche la loro adesso si è indebolita. Ed è positivo, perché un sacco di attacchi di spionaggio sfruttano lo stesso tipo di iniezioni di rete, quindi è un altro punto a favore per la consapevolezza di utenti, sviluppatori e ricercatori.

Con tutte queste risorse bruciate, questa tecnologia non può rappresentare a lungo un pericolo per la società.

Per essere efficace, questa tecnologia deve essere una catena di segreti, avere dati di intelligence freschi sul bersaglio, e gli operatori all’attacco devono avere esperienza. Il comunicato stampa è solo propaganda, che distoglie l’attenzione pubblica dall’interesse pubblico di questo leak.

Un‘infinità di Leaks con informazioni rilevanti
e un sacco di storie personali

Trasparenza radicale, la pubblicazione senza revisione di tutto quello che riguarda un argomento o un soggetto, è essenziale in questa fase di passaggio dell’aumento esponenziale dei poteri digitali.
Fino a quando non miglioreremo la nostre leggi.

La trasparenza radicale non è santa, perché le informazioni personali che non hanno nulla a che fare, e che non riguardano, la società sono ora esposte per sempre, e le persone come me possono solo convivere con questo. Ma la gente all’interno del sistema dovrebbe considerare che questo è come interruttore di alimentazione e fischiare prima che accada il prossimo danno.

Quindi, se state lavorando in un business ambiguo non regolamentato…

Beh, sì, dovete soffiare nel fischietto, prima che qualcun altro soffi per voi anche a rischio per la vostra stessa vita.

Almeno il danno personale potrà essere contenuto e il problema verrà affrontato. Altrimenti, la Trasparenza Radicale colpirà la vostre vite, prima o poi, in questa epoca di bulimica raccolta dei dati.

Quando questo accade, l’ultima cosa che si vuole è dare un motivo agli abitanti di Internet per scavare legittimamente nella vostra roba. E se si fa parte di un business ambiguo non regolamentato, questa legittimità diventa abbastanza automatica.

Claudio Agosti (una volta vecna@hackingteam.it ), adesso è a TacticalTech alla guida del progetto https://trackography.org, e co-founder della piattaforma digitale di whistlebowing GlobaLeaks: https://globaleaks.org.