Vault7, la CIA e il controllo


Il 7 di marzo, WikiLeaks ha rilasciato centinaia di documenti che sarebbero stati attribuiti alla CIA, facenti parte della documentazione di tecniche e strumenti di spionaggio elettronico e cyberguerra, raggruppati ed identificati con il nome di Vault7.

Da queste importanti rivelazioni, tuttavia, dobbiamo estrarre le giuste informazioni per non ricadere nel solito clamore allarmistico e, per quel che ci è possibile, anche tentare di tutelarci.

Che la CIA spii infatti non dovrebbe scandalizzare nessuno e neppure il fatto che utilizzi un qualsiasi dispositivo connesso ad internet, come una smartTV (che è un grande tablet connesso alla fin fine) o attraverso qualsiasi altro device IoT.

Io stesso ho spiegato, con le parole più semplici che sono riuscito ad usare, nel video che segue come sia facile entrare in una webcam mal progettata (per errore o intenzionalmente) e spiare la vita del malcapitato di turno. 

COME SPIARE DA UNA WEBCAM

Se posso farlo io, figuriamoci la CIA. 

Qui viene il primo punto: alcuni sistemi utilizzati dalla CIA, sono utilizzabili allo stesso modo da criminali comuni senza budget milionari. Di conseguenza adottare le contromisure base dovrebbe essere un comportamento naturale anche di chi non è oggetto delle attenzioni del Grande Fratello, cioè la maggior parte di noi.

Soprattutto chi lavora nel campo dell’industria e innovazione dovrebbe avere particolare cura anche solo di limitare il numero di webcam e microfoni negli ambienti di progettazione di brevetti innovativi. Il natro isolante sulla webcam o meglio l’utilizzo di sistemi privi di input audio/video e output audio, meglio ancora se air gapped, per quanto appunto la CIA abbia strumenti per bypassare questa tecnica di isolamento e dato che la sua concezione teorica, per quanto geniale, ancora una volta non è spaziale, potrei dedurre che anche chi fosse dedito allo spionaggio industriale potrebbe facilmente implementare protocolli di comunicazione tali da bypassare un airwall.

Il resto del problema è chiaro: troppi dispositivi connessi ad internet privi di un naturale supporto a fixare falle di sicurezza. Non tutti possiamo aggiornare il firmware di una ipcam o di un frigorifero o di uno smartphone con Android 2 ancora vivo e vegeto. C’è semplimente un ecosistema sterminato di dispositivi bucati e dal software obsoleto. Questo pone il classico dilemma descritto da vari esperti di sicurezza: Io Governo, mi preoccupo di tappare una falla per rendere più sicuro il mio popolo o la lascio aperta fin tanto che è segreta e la sfrutto contro il mio nemico, rischiando di subire attacchi a mia volta? 

Poi c’è il pressoché monopolio dell’hardware e del software. Nei computer i sistemi operativi più diffusi come anche l’hardware più diffuso è di origine statunitense ed è chiuso. Paradossalmente per avere la pseudocertezza di non acquistare un prodotto affetto da backdoor intenzionali, dovremmo utilizzare un sistema operativo GNU/Linux completamente libero (o BSD) su un SOC ARM altrettanto open source (certo non possiamo controllare transistor per transistor se corrisponde al progetto) e affidarci al controllo della community.

Oltre che a tentare di limitare gli input e cercare di utilizzare sistemi più aperti possibile, dalla documentazione di Vault7 si evince una cosa fondamentale, che è la stessa poi descritta da Snowden relativamente l’NSA: la crittografia funziona. A meno infatti di problemi di implementazione e di errato utilizzo, la matematica crittografica garantisce la nostra privacy verso tutti, che essi siano criminali, spie industriali e governative. Imparare ad utilizzare la crittografia è l’unico modo attuale per proteggere davvero la nostra privacy. Trovate su questo blog, alla pagina GPGeist alcuni consigli base per cominciare ad utilizzare la segretezza offerta da questo tipo di tecnologie. 

Ricordo, in conclusione, che il fatto che la CIA o la NSA effettuassero spionaggio non era nulla di rimarcabile; un po’ come stupirsi che 007 fosse una spia. Il vero problema fu che l’NSA eseguisse operazioni di massa  anche sugli stessi statunitensi come sui paesi alleati per avere posizioni di vantaggio diplomatico (ma questo era già prevedibile).

Per il resto non dobbiamo stupirci se un ente con la capacità di sniffare il traffico mondiale, non sfrutti tale capacità a suo vantaggio. Possiamo solo chiedere più riservatezza e operare nel modo più corretto possibile per autotutelarci.

Advertisements
Questa voce è stata pubblicata in android, apple, elettronica, GNU Linux, Google, informatica, news, software libero, windows e contrassegnata con , , , , , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...