Non tutti i trojan e gli spyware sono illegali. In alcuni casi sono gli stessi Governi o le forze di polizia a commissionare software in grado di “spiare” i propri cittadini. Non tutti ovviamente: nella stragrande maggioranza dei casi a finire nel mirino delle attività di controllo sono criminali, terroristi, pedofili, rapinatori e altri personaggi pericolosi che si desidera monitorare per prevenire lo svolgimento di attività illegali.

Per poter controllare le attività di questi soggetti è fondamentale disporre delle più moderne tecnologie informatiche, che debbono controllare a distanza computer, telefoni e apparecchiature informatiche dei bersagli senza il rischio che questi possano accorgersi di essere monitorati. Ecco, allora, entrare in gioco aziende specializzate nella realizzazione di “software-spia” in grado di installarsi e trasmettere dati alle forze dell’ordine, alle agenzie governative e a tutti gli enti preposti alla sicurezza.

Non solo Hacking Team. Ecco le principali aziende che vendono virus ai Governi

Prendono accordi con i Governi, elaborano e rivendono a cifre esorbitanti software informatici segretissimi, architettano i presupposti per le operazioni di polizia più importanti a livello globale. Sono le aziende che producono e vendono “spyware commerciale“, un business – del tutto legale – capace di generare grandi profitti e di collezionare, nel portfolio clienti, i nomi delle nazioni più potenti del mondo.

Chi vende virus ai Governi? Hacking Team

Hacking Team è una società italiana con sede a Milano, conosciuta in tutto il mondo per aver realizzato uno dei sistemi più efficaci per controllare un qualsiasi dispositivo informatico. Il cuore di questo sistema di intercettazione e controllo è rappresentato dal trojan RCS (Remote Control System), ribattezzato su alcuni mercati con il più poetico nome di “Galileo” o “Da Vinci”. Una volta installato all’interno del dispositivo da controllare, RCS è in grado di violare qualsiasi forma di protezione, dalla semplice password alla crittografia avanzata, permettendo così ai Governi e alle forze dell’ordine di controllare 24 ore su 24 criminali, terroristi, mercanti di droga e del sesso, trafficanti di armi e chiunque cerchi di compromettere la sicurezza di una nazione.

Il contagio di RCS avviene mediante installazione diretta del trojan (confezionato ad hoc in base alle richieste del cliente), che può mascherarsi all’interno di un software apparentemente “sano” o nell’allegato di una mail, sotto forma di pacchetto autoinstallante. Una volta attivato, RCS svolge la sua funzione senza minimamente alterare il funzionamento del dispositivo bersaglio e senza destare alcun sospetto nel soggetto controllato.

A seconda delle esigenze è possibile monitorare contemporaneamente da remoto obiettivi multipli, fino a circa centomila: a quel punto il Governo o la forza di polizia acquirente è libera di esercitare ogni forma di controllo sul microfono, la fotocamera, la rubrica, le mail, le chiamate e i messaggi del dispositivo infettato, utilizzare la localizzazione Gps, scaricare tutti i file presenti nella memoria e accedere ai software di messaggistica immediata come Skype e Whatsapp.

In poche parole, un controllo capillare e a 360° di tutte le attività informatiche dei sospetti, a prescindere dal sistema operativo utilizzato che può variare da Windows a OSx, da Android a iOS passando per i meno comuni Linux, Blackberry, Windows Phone e Symbian. Tutti i dati raccolti vengono criptati e trasmessi all’interno di una rete globale che “rimbalza” le informazioni attraverso una rete di 350 server sparsi nel mondo, al fine di far perdere le proprie tracce e di impedire a chiunque di risalire all’identità del “controllore”. Uno schema molto simile a quello impiegato dalla rete Tor e che fa leva su una serie di proxy nascosti che fungono da tramite fra l’obiettivo controllato e il “mandante” dell’operazione di spionaggio.

Chi vende virus ai Governi? La francese Vupen

Vupen Security è una società francese di sicurezza informatica con sede a Montpellier. Ha avviato le sue attività nel 2004 identificando le cosiddette vulnerabilità “zero-day” all’interno dei più famosi software del mondo, commercializzati da Microsoft, Apple, Adobe, Google e Mozilla.

Recentemente il team di Vupen ha scelto di non rivelare alle case produttrici le vulnerabilità identificate nei loro prodotti, ma di “venderle” alle nazioni e alle agenzie di sicurezza per monitorare obiettivi sensibili, esercitando attività di prevenzione nei confronti della criminalità. Si tratta, anche in questo caso, di un commercio legale di exploit contenuti nei più popolari programmi informatici, ad alta redditività. Per fare un esempio, Google istituisce ogni anno un premio in denaro pari a circa 60.000 dollari per gli hacker che riescono a evidenziare bug e criticità nei prodotti commercializzati dalla società di Mountain View.

Chaouki Bekrar, fondatore di Vupen, ha dichiarato in diverse sedi di voler tenere “segrete” queste falle di sicurezza per poterle rivendere ai propri clienti, insieme alle tecnologie necessarie per sfruttarle e poter così controllare i sistemi informatici dei propri “bersagli”. Simili tecnologie, sul mercato, possono valere ben oltre i 100.000 dollari e generare un business legale di grandi proporzioni.

Chi vende virus ai Governi? I tedeschi della Gamma Group

Gamma International GmbH è un’azienda tedesca con sede a Monaco, attiva nel campo della produzione e commercializzazione di sistemi di sorveglianza informatica sotto il nome di Gamma Group. Grazie alle sue sedi in Europa, Asia, Medio Oriente e Africa, Gamma Group fornisce sistemi di sorveglianza avanzata, monitoraggio di dispositivi informatici e training specializzati a Governi, agenzie di intelligence e forze dell’ordine in tutto il globo.

Grazie a partnership strette negli anni con aziende di sicurezza informatica, Gamma Group è in grado di fornire soluzioni su misura e personalizzabili dai propri clienti, per rafforzare la sicurezza delle nazioni e favorire la prevenzione delle attività criminali.

Gamma Group è famosa nel mondo per aver realizzato il software di sorveglianza FinFisher, conosciuto anche come FinSpy. A differenza della concorrenza, FinFisher si configura come una vera e propria suite a disposizione dei Governi: un tool di intrusione consente al cliente di abbattere le protezioni del computer (o altro dispositivo informatico) bersaglio iniettando un trojan confezionato su misura, eludendo password e sistemi crittografici a protezione dei file.

A questo punto entrano in gioco FinFisher Relay e FinSpy Proxy, le componenti della suite che raccolgono i files dai computer infettati e che monitorano in tempo reale tutte le attività, dalle telefonate alla ricezione delle e-mail, dalle conversazioni di Skype ai numeri della rubrica. Tutti i dati raccolti sono quindi consultabili dal cliente attraverso FinSpy Master, il software di controllo che agisce secondo lo stesso schema del software RCS dell’italiana Hacking Team. Tra i servizi post-vendita a Governi e agenzie di sicurezza figurano anche training operativi, consulenza specialistica e supporto online.

Chi vende virus ai Governi? La Endgame

Endgame Inc. è una società statunitense con sede ad Arlington, Virginia, attiva dal 2008 nella vendita di piattaforme informatiche per l’identificazione e lo sfruttamento delle vulnerabilità di software e sistemi operativi. L’azienda è stata fondata da Chris Rouland, ex dipendente di CIA e ISS, allo scopo di produrre malware commerciali e sistemi di difesa informatica destinati ai servizi di intelligence, a cui si sono aggiunti nel 2011 servizi di vendita legati a vulnerabilità zero-day contenute nei più noti software globali.

Tra i principali clienti di Endgame figura la National Security Agency americana (NSA) e altre agenzie di sicurezza americane, oltre a una serie di clienti privati con attività di monitoraggio, test e controllo delle relative reti informatiche.

Attacchi, leaks, questioni etiche e “guerre” tra hacker

A più riprese si è dibattuto circa l’eticità di queste attività. Scoprire una vulnerabilità informatica, evitare accuratamente di comunicarla alla software house di competenza e “rivenderla” a privati o Governi in cambio di denaro è considerata un’attività riprovevole per molti hacker “etici”. Soprattutto quando la lista dei clienti delle suddette società viene tenuta segreta, alimentando dubbi e supposizioni su un possibile commercio con Paesi dittatoriali e di regime in grado di utilizzare gli strumenti informatici acquistati per monitorare e perseguire oppositori politici, attivisti, giornalisti e blogger indipendenti.

È il caso ad esempio di Hacking Team: a seguito dell’attacco informatico subito dell’azienda milanese il 6 luglio 2015, il gruppo hacker “Phineas Fisher” ha diffuso sulla Rete l’intero contenuto dei server, inclusi i trojan utilizzati dal sistema RCS e venduti ai Governi per monitorare i soggetti considerati pericolosi.

Tra i documenti diffusi figurano inoltre, nelle liste degli acquirenti, Paesi inseriti nelle blacklist europee e americane accusati di calpestare i diritti umani come Sudan e Azerbaijan. La fuga di notizie ha quindi alimentato i sospetti di numerosi attivisti della Rete, che avevano alimentato dubbi in merito al “doppio taglio” che la vendita di simili strumenti informatici avrebbero potuto rivestire in Paesi non democratici, trasformandosi da strumenti di difesa in armi di oppressione.

La questione è più che mai aperta: con le guerre del futuro che si combatteranno sempre di più sulla Rete e sempre meno nel mondo reale, il possesso di trojan e malware capaci di bucare le difese nemiche e controllare le mosse dell’avversario in tempo reale si rivelerà essenziale.

In questo scenario le questioni morali si intrecciano con quelle economiche e con le ingenti cifre spese dai Governi per accaparrarsi le tecnologie più efficaci (alcuni leaks parlano di centinaia di migliaia di euro, per non dire milioni, sborsati da alcune nazioni per disporre dei trojan più efficaci). Lo scandalo NSA e il WikiLeaks ha aperto uno dei vasi di pandora più controversi del ventunesimo secolo, rivelando al mondo quanto la privacy dei cittadini sia effimera e sacrificabile rispetto al “bene comune” e alla lotta al crimine sponsorizzata dai Governi.

Le guerre si sono combattute per millenni con pietre e bastoni, poi con le armi da fuoco, oggi con i computer, il denaro e il controllo della privacy: strumenti diversi fra loro ma accomunati da un tratto comune, la capacità di essere impiegati per fare del bene o del male. E la capacità di scegliere, da sempre, spetta all’uomo.