Vault 7, Silicon Valley si difende dalla CIA

Milano – La vicenda Vault 7, l’enorme database di documenti riservati ottenuti da Wikileaks e di cui in settimana è stata rilasciata la prima porzione contenente le prime rivelazioni sugli strumenti che la CIA impiega per spiare a mezzo smartphone e PC i cittadini, sta costringendo aziende e nazioni a chiarire la propria posizione in merito. Così da Silicon Valley arrivano rassicurazioni sul livello di protezione offerto dalle versioni più recenti dei dispositivi e software lì sviluppati , mentre su entrambe le sponde dell’Atlantico si annunciano indagini per chiarire quale sia l’effettiva portata di quanto accaduto.

Iniziamo dalle aziende, come Google ed Apple, che hanno voluto mettere le mani avanti e spiegare ai propri clienti quale sia l’effettivo stato dell’arte della sicurezza dei rispettivi prodotti. Apple, ad esempio, ci ha tenuto a precisare come nei documenti fin qui rilasciati non sia fatta menzione di iOS 10 : l’ ultima release del suo sistema operativo equipaggia l’80 per cento degli iPhone e degli iPad in circolazione e “le nostre analisi preliminari indicano che molte delle vulnerabilità oggetto del leak sono state già patchate nell’ultima versione di iOS”. Di fatto , quindi, chi abbia aggiornato costantemente il suo telefono o tablet non dovrebbe correre rischi particolari.

Discorso simile quello imbastito da Google: “Rivedendo il documento, siamo certi che i nostri update di sicurezza e le protezioni di Chrome e Android mettano già al sicuro da queste vulnerabilità gli utenti” dice un portavoce dell’azienda. Naturalmente, come nel caso di Apple, anche a Mountain View precisano che la sicurezza è un tema in perenne evoluzione e che occore continuare a valutare i contenuti dei documenti di Wikileaks così come proseguire nello sviluppo del proprio software: nè Google e neppure Cupertino affermano di aver messo a disposizinone un sistema operativo a prova di CIA, ma di aver sempre avuto a cuore la privacy dei propri utenti e di continuare a lavorare in questo senso.

Ci sono poi altri aspetti da considerare nella vicenda, come il coinvolgimento esplicito di Linux: era improbabile che il sistema operativo open source per antonomasia non fosse oggetto dell’attenzione della CIA , vista la sua diffusione in ambienti professionali e nell’infrastruttura della Rete, ma dalla Linux Foundation fanno sapere che la natura stessa del kernel del Pinguino permette di arginare questo tipo di minacce con maggiore efficacia. Il CTO della fondazione, Nicko van Someren, spiega che le patch al codice di Linux vengono prodotte in poche ore o al massimo pochi giorni e rilasciate con altrettanta celerità: pertanto, grazie al contributo di migliaia di sviluppatori che scrivono e riscrivono materialmente il codice, anche la maggior parte delle vulnerabilità del Pinguino dovrebbero essere state eliminate. La Foundation offre anche il proprio supporto ad altri progetti open source per aiutarli a irrobustire il loro software.

Più attendiste per ora altre aziende coinvolte nel leak: sia Samsung che Microsoft hanno annunciato di stare valutando la portata delle rivelazioni contenute in Vault 7, così da poter stabilire quale sia la linea di condotta da seguire. Quella di Samsung è una delle situazioni più interessanti: si parla di smart TV perennemente in ascolto e trasformate in cimici che spiavano costantemente il soggiorno delle vittime, uno scenario che spinge a suggerire di disabilitare le funzioni di riconoscimento vocale e spegnere completamente le TV e non lasciarle in standby finché questo tipo di vulnerabilità non sia stata risolta. A parziale mitigazione del problema, va chiarito che non si parla in questo caso di exploit da remoto: l’attacco sarebbe possibile solo in locale, collegando una chiavetta USB a una delle porte presenti sullo schermo televisivo in questione. Per quanto attiene i messenger, va anche chiarito che la CIA non avrebbe trovato il modo di farne saltare la cifratura : quello che avviene, in realtà, è che i terminali vengono violati a monte della cifratura stessa, permettendo quindi di intercettare i messaggi prima che vengano codificati per essere spediti.

Tutto questo materiale in ogni caso ha trovato conferme solo indirette per ora riguardo la sua veridicità. Com’è ovvio la CIA si rifiuta di commentare la faccenda, visto che il leak danneggia inevitabilmente le tattiche di spionaggio portate avanti dall’agenzia. È molto complesso stabilire quale sia l’effettiva portata delle rivelazioni di Vault 7, sia per quanto attiene l’impoverimento degli strumenti dell’agenzia USA, sia per la portata etica delle tecniche adottate: rispetto alle rivelazioni di Snowden qui si parla di operazioni condotte in modo “ortodosso”, ovvero spionaggio ai danni di paesi terzi e dei loro cittadini , ma è aperto il dibattito sulla riservatezza tenuta in materia di vulnerabilità di software largamente diffuso tra i cittadini, lasciando questi ultimi alla mercè non solo delle spie governative ma pure dei creatori di malware motivati da ragioni economiche.

Di Vault 7 continueremo a parlare molto a lungo, visto che il caso sta assumendo anche una dimensione internazionale: la Germania ha già annunciato l’avvio di una indagine per chiarire il ruolo del Consolato USA a Francoforte nella vicenda (nei documenti di Wikileaks viene raccontato che sia quella la centrale da cui parte tutto lo spionaggio condotto all’interno dell’Europa), così come l’FBI ha deciso di indagare su chi abbia passato i documenti a Wikileaks. In Cina e Russia , due delle grandi potenze che da tempo ormai ingaggiano una sorta di guerra fredda digitale con gli USA, non mancano le reazioni: gli organi di stampa vicini ai rispettivi governi non mancano di sottolineare come gli USA portino avanti lo stesso tipo di campagne di cui periodicamente accusano le altre nazioni.

Luca Annunziata