La pubblicazione in rete nei circuiti Bittorrent e poi su Wikileaks dei dati riservati trafugati alla società di sicurezza informatica milanese HackingTeam ha suscitato un certo interesse voyeuristico negli affari spesso controversi dell'azienda e molte ipotesi fantasiose sui possibili autori dell'incursione, ma al di fuori della comunità degli informatici la vicenda è stata accolta con una certa indifferenza, specialmente a livello politico, nonostante gli sforzi di alcuni giornalisti di sottolineare l'importanza della questione. Un'azienda che vende software di sorveglianza è stata "bucata" e i suoi panni sporchi sono ora sotto gli occhi di tutti: e con questo?

Forse l'importanza e la gravità di quello che è successo a HackingTeam diventano più chiare se si adotta una metafora biologica: provate a sostituire software di sorveglianza con armi batteriologiche. Perché quello che faceva HackingTeam (oltre a svolgere parecchio lavoro eticamente ineccepibile, per esempio per le forze di polizia italiane o per verificare la sicurezza dei servizi bancari online) era produrre l'equivalente informatico di Ebola e offrirlo a governi senza scrupoli, dal Sudan all'Etiopia.

E lo faceva, a quanto risulta finora, prendendo precauzioni ridicolmente inadeguate, tant'è vero che s'è fatta sfuggire le materie prime per confezionare molti dei suoi virus più potenti. Questo ha costretto Microsoft, Adobe, Mozilla, Google e altri produttori di software popolarissimi a una raffica di aggiornamenti d'emergenza che continua da giorni, causando danni e disagi a milioni di utenti.

Proseguendo la metafora: sedicenti attivisti si sono introdotti nei laboratori (i computer di sviluppo) di HackingTeam e hanno rubato non solo le provette con i virus già pronti (il malware eseguibile), ma anche i manuali per confezionarli e gli ingredienti per crearli (il codice sorgente) e i nomi dei fornitori di questi ingredienti. Poi attivisti hanno messo il tutto in circolazione alla portata di chiunque, dando così il via a infezioni di massa (i criminali informatici, eterni opportunisti, li hanno usati subito per infettare siti e attaccare i computer indifesi degli utenti). Se tutto questo vi ricorda in dettaglio la trama de L'esercito delle 12 scimmie, avete perfettamente ragione. E il finale è altrettanto sconfortante.

Infatti il pericolo più profondo e pervasivo del caso HackingTeam non è la fuga di notizie su indagini riservate o la collaborazione dell'azienda con governi impresentabili: è l'indifferenza diffusa di fronte alla fabbricazione di vere e proprie armi informatiche di massa senza nessuna salvaguardia efficace contro furti, proliferazioni e abusi da parte di aziende non soggette ad alcuna reale supervisione. È come se permettessimo di fabbricare Ebola negli scantinati e con le finestre aperte.

Mentre per i laboratori nei quali si sviluppano armi batteriologiche è istintivamente evidente a chiunque che sono indispensabili norme e tecnologie di isolamento e riduzione dei rischi e quindi si è arrivati a una regolamentazione internazionale severa (non perfetta ma piuttosto efficace) e a una mentalità della sicurezza di tipo militare, gli ambienti di sviluppo di software ad alto rischio come quelli di HackingTeam sono lasciati tranquillamente al fai da te. L'accordo di Wassenaar, spesso citato su quest'argomento, riguarda soltanto le esportazioni di tecnologie a doppio uso, compreso il software d'intrusione, ma non tocca la questione della sicurezza nella loro produzione.

Nel caso di HackingTeam, l'inadeguatezza di quest'approccio disinvolto è dimostrata non solo dalle comunicazioni interne dei suoi dipendenti (mail contenenti password e altre perle) e dalle schermate catturate di nascosto addirittura ai computer degli amministratori di sistema dell'azienda (immortalati a giocare a Solitario e a scaricare film su eMule), ma anche dall'enorme quantità di dati sottratti: 400 gigabyte di mail, software, manuali, contabilità, elenchi di clienti e fornitori. Farsi soffiare tutti questi dati non vuol dire che le difese non hanno retto: vuol dire che proprio non c'erano.

Va detto che la scarsa sicurezza interna non è un problema esclusivo dell'azienda milanese: anche una società concorrente, l'altrettanto controversa Gamma International, si è fatta sottrarre 40 gigabyte di dati scottanti nel 2014. E va detto anche che la pubblicazione in Rete dei dati, invece di affidarli per esempio alla selezione oculata di Wikileaks o di altri esperti, è stata una scelta irresponsabile. Ma queste fughe massicce dimostrano il rischio che i governi corrono affidando indagini delicatissime ad aziende incapaci di gestire la riservatezza e usando strumenti che nelle mani sbagliate possono causare disastri.

Il paragone con le armi batteriologiche è calzante anche in un altro senso: i software d'intrusione sviluppati da HackingTeam e da altre aziende concorrenti non sono semplici grimaldelli rubapassword. Sfruttano difetti segreti dei nostri telefonini, dei nostri computer e delle nostre infrastrutture per scavalcarne le difese.

Alcuni di questi software offerti da HackingTeam e altri, i rootkit, sono anche in grado di sopravvivere alla formattazione o alla sostituzione del disco perché si annidano nel BIOS (un componente fondamentale di tutti i computer, che presiede alla lettura e scrittura dei dati). Nelle mani sbagliate possono compromettere la sicurezza dei sistemi bancari o delle infrastrutture vitali di un paese o trasformarsi in strumenti di sorveglianza di massa (HackingTeam si vantava del fatto che il suo software-spia RCS/Galileo potesse monitorare anche "centinaia di migliaia di bersagli" contemporaneamente).

Fondamentalmente, il modello imprenditoriale di queste società è scoprire difetti nelle tecnologie e nelle infrastrutture che usiamo quotidianamente e dalle quali dipendiamo e poi, invece di segnalarli ai produttori affinché li correggano, tenerli segreti e monetizzarli. Il risultato è che i nostri computer, telefonini, server aziendali, impianti industriali restano vulnerabili a qualunque aggressore che riesca a mettere le mani su questi difetti, come è successo in questi giorni.

Così fan tutti, per carità: ma il caso di HackingTeam indica che è ora di chiedersi se vogliamo continuare a farlo affidandoci a custodi così maldestri e più in generale se ricorrere a questo software estremo sia un rischio realmente giustificato e necessario.