Parliamo dell’industria dell’insicurezza: Edward Snowden

AGGIORNATO 19:00 31/07/2021. Esiste una vera e propria industria dell’insicurezza: Il più grande pericolo per la sicurezza sono le aziende che dovrebbero garantirla. Quello che segue è tradotto dalla newsletter di Edwand Snowden “Continuing Ed — con Edward Snowden” del 26 giugno 2021. Ho applicato solo lievi ritocchi, per motivi tecnici, che non alterano il senso del discorso.

La prima cosa che faccio quando ricevo un nuovo telefono è smontarlo. Non lo faccio per soddisfare l’impulso di un riparatore, o per principio politico, ma semplicemente perché è pericoloso operare. Riparare l’hardware, vale a dire rimuovere chirurgicamente i due o tre piccoli microfoni nascosti all’interno, è solo il primo passo di un processo arduo. Eppure anche dopo giorni di questi miglioramenti di sicurezza fai-da-te, il mio smartphone rimarrà l’oggetto più pericoloso che possiedo.

Il Pegasus Project di questa settimana, costituisce uno sforzo di informazione globale da parte dei principali giornali per esporre le conseguenze fatali del gruppo NSO, il nuovo volto del settore privato di un’industria dell’insicurezza fuori controllo. Prima di questo, la maggior parte dei produttori di smartphone, e gran parte della stampa mondiale, hanno alzato gli occhi su di me ogni volta che ho identificato pubblicamente un nuovo iPhone come una minaccia potenzialmente letale.

Nonostante:

Nonostante quanto sopra elencato, è ancora difficile per molte persone accettare che qualcosa percepito come buono potrebbe in effetti non essere essere tale. Negli ultimi otto anni mi sono spesso sentito come qualcuno che cerca di convincere il proprio amico che si rifiuta di crescere a smettere di fumare e a ridurre l’alcol; nel frattempo, le pubblicità sulle riviste dicono ancora “Nove dottori su dieci fumano iPhone!” e “La navigazione mobile non protetta è rinfrescante!”

Nel mio infinito ottimismo, tuttavia, non posso fare a meno di considerare l’arrivo del Progetto Pegasus come un punto di svolta: una storia ben studiata, esauriente e francamente folle su un “cavallo di Troia” “alato” infezione denominata “Pegasus” che sostanzialmente trasforma il telefono in tasca in un dispositivo di localizzazione onnipotente che può essere acceso o spento, a distanza, all’insaputa di te, il proprietario della tasca.

In breve, il telefono che hai in mano è in perenne insicurezza, contagiabile da chiunque sia disposto a investire nella nuova “Insecurity Industry”. L’intera attività di questo settore consiste nel creare nuovi tipi di infezioni che aggireranno i vaccini digitali più recenti, gli aggiornamenti di sicurezza AKA. Per poi venderli ai paesi che occupano l’intersezione rovente di un diagramma di Venn tra “brama disperatamente gli strumenti di oppressione” e “manca gravemente la raffinatezza per produrli a livello nazionale”.

Un’Industria come questa, il cui unico scopo è la produzione di vulnerabilità, dovrebbe essere smantellata.

Anche se ci svegliassimo domani e il gruppo NSO e tutto il suo genere privato fossero stati spazzati via dalla consapevolezza pubblica, resteremmo nella più grande crisi della sicurezza informatica di sempre. Le persone che creano il software dietro ogni dispositivo di qualsiasi importanza. Le persone che aiutano a creare Apple, Google, Microsoft. L’amalgama di avari produttori di chip che vogliono vendere cose, non aggiustare le cose. Gli sviluppatori Linux ben intenzionati che vogliono aggiustare cose, non vendere cose. Sono tutti felici di scrivere codice in linguaggi di programmazione che sappiamo non essere sicuri. Perché? Beh, perché è quello che hanno sempre fatto e la modernizzazione richiede uno sforzo significativo, per non parlare di spese significative. La stragrande maggioranza delle vulnerabilità che vengono successivamente scoperte e sfruttate dall’industria dell’insicurezza sono introdotte, per ragioni tecniche legate al modo in cui un computer tiene traccia di ciò che dovrebbe fare, nel momento esatto in cui viene scritto il codice. Questo rende la scelta di un linguaggio una protezione cruciale… eppure è una di quelle scelte in cui quasi nessuno si impegna.

Se vuoi vedere il cambiamento, devi incentivare il cambiamento. Ad esempio, se vuoi vedere Microsoft avere un attacco di cuore, parla dell’idea di definire la responsabilità legale per il codice errato in un prodotto commerciale. Se vuoi dare a Facebook gli incubi, parla dell’idea di renderlo legalmente responsabile per tutte le fughe di dati personali che una giuria potrebbe riconoscere che siano state raccolte inutilmente. Immagina quanto velocemente Mark Zuckerberg inizierebbe a distruggere il tasto di cancellazione.

Dove non c’è responsabilità, non c’è responsabilità… e questo ci porta allo Stato.

L’hacking sponsorizzato dallo stato è diventato una competizione così regolare che dovrebbe avere una propria categoria olimpica a Tokyo. Ogni paese denuncia gli sforzi degli altri come un crimine, rifiutando di ammettere la colpevolezza delle proprie infrazioni. Come, quindi, possiamo affermare di essere sorpresi quando la Giamaica si presenta con la sua squadra di bob? O quando una società privata che si fa chiamare “Giamaica” si presenta e rivendica lo stesso diritto a ” fredde ” di uno stato-nazione?

Se l’hacking non è illegale quando lo facciamo noi, allora non lo sarà quando lo fanno loro, e “loro” equivale sempre più al settore privato. È un principio fondamentale del capitalismo: sono solo affari. Se lo fanno tutti gli altri, perché non io?

Questo è il ragionamento superficialmente logico che ha prodotto praticamente tutti i problemi di proliferazione nella storia del controllo degli armamenti. La stessa distruzione reciprocamente assicurata implicita in un conflitto nucleare è quasi garantita in un conflitto digitale, a causa dell’interconnessione della rete e dell’omogeneità.

Ricorda il nostro precedente argomento del Pegasus del gruppo NSO, che si rivolge in particolare ma non esclusivamente agli iPhone. Sebbene gli iPhone siano più privati per impostazione predefinita e, occasionalmente, meglio progettati dal punto di vista della sicurezza rispetto al sistema operativo Android di Google, costituiscono anche una monocultura: se trovi un modo per infettarne uno, puoi (probabilmente) infettarli tutti. Un problema esacerbato dal rifiuto da parte di Apple di consentire ai clienti di apportare modifiche significative al modo in cui funzionano i dispositivi iOS. Quando combini questa monocultura e il black-boxing con la popolarità quasi universale di Apple tra l’élite globale, le ragioni della fissazione per l’iPhone del gruppo NSO diventano evidenti.

I governi devono arrivare a capire che permettere – e tanto meno sovvenzionare – l’esistenza del Gruppo NSO e dei suoi colleghi malevoli, non serve i loro interessi. Indipendentemente da dove il cliente, o lo stato-cliente, si trovi lungo l’asse autoritario. L’ultimo presidente degli Stati Uniti passava tutto il suo tempo in carica quando non giocava a golf a twittare su un iPhone. Scommetto che metà dei funzionari più anziani e dei loro associati in ogni altro paese stavano leggendo quei tweet sui loro iPhone (forse sul campo da golf).

Che ci piaccia o no, avversari e alleati condividono un ambiente comune e ogni giorno che passa diventiamo sempre più dipendenti da dispositivi che eseguono un codice comune.

L’idea che le grandi potenze della nostra epoca – America, Cina, Russia, persino Israele – siano interessate, diciamo, a far ottenere all’Azerbaigian la parità strategica nella raccolta di informazioni è, ovviamente, profondamente errata. Questi governi semplicemente non riescono a cogliere la minaccia, perché il divario di capacità non è ancora svanito.

Nella tecnologia come nella salute pubblica, per proteggere chiunque, dobbiamo proteggere tutti. Il primo passo in questa direzione, almeno il primo passo digitale, deve essere quello di vietare il commercio di software antintrusione. Non permettiamo un mercato delle infezioni biologiche come servizio, e lo stesso deve valere per le infezioni digitali. L’eliminazione della motivazione al profitto riduce i rischi di proliferazione proteggendo al tempo stesso il progresso. E anche lasciando spazio alla ricerca pubblica e al lavoro intrinsecamente governativo.

Sebbene la rimozione del software per intrusione dal mercato commerciale non lo porterà via dagli Stati, essa garantisce che gli spacciatori spericolati e i produttori di sesso criminale di Hollywood, sepolti dai soldi, non saranno in grado di infettare qualsiasi o ogni iPhone del pianeta. Mettendo in pericolo le lastre luccicanti dello status di classe.

Una simile moratoria, tuttavia, è un semplice triage: ci fa solo guadagnare tempo. Dopo un divieto, il passo successivo è la responsabilità. È fondamentale capire che né le dimensioni del business del Gruppo NSO, né le conseguenze che ha inflitto alla società globale, sarebbero state possibili senza l’accesso al capitale globale da parte di aziende amorali come Novalpina Capital (Europa) e Francisco Partners (USA). Lo slogan è semplice: se le aziende non vengono cedute, i proprietari dovrebbero essere arrestati. Il prodotto esclusivo di questa industria è il danno intenzionale e prevedibile, e queste aziende sono complici consapevoli. Inoltre, quando si scopre che un’impresa è impegnata in tali attività sotto la direzione di uno stato, la responsabilità dovrebbe andare oltre i codici civili e penali più banali per invocare una risposta internazionale coordinata.

Immagina di essere il comitato editoriale del Washington Post (prima dovrai liberarti della colonna vertebrale). Immagina di far assassinare il tuo editorialista e di rispondere con un appello sussurrato agli artefici di quell’omicidio che la prossima volta dovrebbero semplicemente compilare un po’ più di scartoffie. Francamente, la risposta del Post allo scandalo NSO è così imbarazzantemente debole che è uno scandalo in sé: quanti dei loro scrittori devono morire per convincersi che il processo non è un sostituto del divieto?

L’Arabia Saudita, usando “Pegasus”, ha hackerato i telefoni dell’ex moglie di Jamal Khashoggi e della sua fidanzata, e ha usato le informazioni raccolte per prepararsi al suo mostruoso omicidio e al suo successivo insabbiamento.

Ma Khashoggi è semplicemente la più importante delle vittime di Pegaso, a causa della natura a sangue freddo e macabra del suo omicidio. Il “prodotto” del gruppo NSO (leggi: “servizio criminale”) è stato utilizzato per spiare innumerevoli altri giornalisti, giudici e persino insegnanti. Sui candidati dell’opposizione, sui coniugi e sui figli dei bersagli, sui loro medici, sui loro avvocati e persino sui loro preti. Questo è ciò che le persone che pensano che un divieto sia “troppo estremo” si perdono sempre: questa industria vende l’opportunità di sparare ai giornalisti che non ti piacciono all’autolavaggio .

Se non facciamo nulla per fermare la vendita di questa tecnologia, non saranno solo 50.000 obiettivi: saranno 50 milioni di obiettivi. E accadrà molto più rapidamente di quanto ognuno di noi si aspetti.

Questo sarà il futuro: un mondo di persone troppo impegnate a giocare con i loro telefoni per accorgersi che qualcun altro li controlla.

Video e immagini in questo articolo sono tratti da Internet e/o dagli articoli citati o linkati, e appartengono ai rispettivi proprietari. Photo & video credits: video and images in this article are taken from Internet and/or from the articles cited or linked, and belong to their respective owners.