Armi informatiche dell'NSA rese pubbliche e messe all'asta

La vicenda è iniziata sabato scorso con la diffusione di materiale segreto apparentemente proveniente dall'NSA, l'Agenzia per la Sicurezza Nazionale statunitense. Tramite un account Twitter denominato theshadowbrokers è stato diffuso il link ad un pastebin (applicazione web che permette di caricare e condividere in rete testi online) contenente i percorsi per scaricare circa 300MB di exploit e scripts. Stando a quanto riportato da Shadow Brokers, tali ''armi informatiche'' sono state sviluppate dall'Equation Group, un gruppo di hacker legato all'NSA. Unitamente al materiale diffuso in rete, il gruppo ha pubblicato un manifesto con il quale ha messo all'asta parte del materiale sottratto, quello contenente le armi informatiche più pericolose, chiedendo un pagamento in bitcoin. 

Il materiale rubato contiene, inoltre, una parte resa disponibile pubblicamente costituita da file binari e script che consentono di attaccare i firewall hardware realizzati da importanti aziende come Cisco che, ha avvalorato la pericolosità di tali strumenti pubblicando nelle scorse ore un nuovo Security Advisor che descrive la vulnerabilità sfruttata da uno dei malware (apparentemente) sviluppato dall'Equation Group. Si tratta di una vulnerabilità particolarmente grave, che colpisce l'Adaptive Security Appliance di Cisco e che permette di accedere alla gestione del firewall senza necessità di conoscere nome utente e password del dispositivo. Si tenga presente che quella appena descritta non è che una delle armi informatiche diffuse. 

Di fatto utilizzando le ''armi digitali'', in linea teorica, è possibile aggirare senza eccessiva difficoltà sistemi di sicurezza di siti web e computer aziendali di amministrazioni ed enti pubblici. A distanza di alcuni giorni dalla diffusione della notizia, quindi, la vicenda assume contorni molto diversi da quelli di una rivendicazione priva di fondamento da parte di un gruppo in cerca di visibilità: le armi informatiche - quanto meno quelle analizzate dagli esperti del settore - sono reali, efficaci e sono frutto di un lavoro di utenti molto esperti. Kaspersky Lab, tra gli altri, ha avvalorato l'ipotesi della riconducibilità del materiale diffuso all'Equation Group e, di conseguenza, all'NSA.

Posto che il materiale diffuso dal gruppo Shadow Brokers provenga, come sembra dall'NSA, resta da stabilire come sia stato possibile effettuare la sottrazione, chi si nasconde dietro all'enigmatica sigla e quali sono le finalità reali che hanno motivato l'azione. In tutti e tre i casi si possono avanzare ipotesi e speculazioni, non confortate - per evidenti ragioni - da conferme ufficiali. A tal proposito risulta interessante analizzare l'opinione di Edward Snowden, l'ex-informatico della CIA che, grazie alle sue rivelazioni, ha dato il via al datagate.

Secondo Snowden, il materiale è stato sottratto da un server esterno di appoggio nel quale si è infiltrata la NSA, server a sua volta violato dal gruppo Shadow Breakers. La NSA resta infatti spesso in ascolto nei server di comando dei malware per sottrarre gli strumenti hacking e disporre delle risorse per individuarli. Gli avversari della NSA, aggiunge Snowden, operano secondo le stesse modalità e, talvolta, riescono a raggiungere lo scopo. Gli hacker della NSA, solitamente, rimuovono i tool di hacking (i binari) dai server compromessi, ma la procedura potrebbe non essere stata effettuata correttamente, forse per semplice pigrizia, prosegue l'esperto. La NSA ha subito in altre occasioni tale tipologia di attacchi, ma l'elemento inedito, ha aggiunto Snowden riguarda il fatto che la notizia e il materiale sottratto sia stato pubblicato in rete. Secondo un'altra ipotesi, la consistenza del materiale diffuso è tale da lasciar supporto una sottrazione attuata da un soggetto che ha avuto accesso ad un'area di sicurezza e che è riuscito a trasferire le informazioni su una chiavetta USB. 

Altro nodo da sciogliere riguarda chi ha compiuto l'attacco e perché. A tal proposito Snowden attribuisce alla vicenda un peso valutabile sotto il profilo diplomatico piuttosto che esclusivamente su quello dell'intelligence e punta l'indice verso la Russia. La sola motivazione della vendita all'asta non appare sufficiente a giustificare il gesto, anche tenuto conto dell'esito della medesima che, a pochi giorni di distanza dalla pubblicazione della rivendicazione, aveva raggiunto offerte per la modica cifra di 1,6 bitcoin, pari a circa 900 euro. Obiettivo ultimo sarebbe inviare un avvertimento agli Stati Uniti, un atto intimidatorio in risposta alle sanzioni che gli States potrebbero applicare alla Russia a seguito del furto delle email e dei dati dai server dal comitato che guida il partito democratico USA. Se fosse vera l'ipotesi prospettata, sarebbe verosimile attendere una risposta degli States, ma, per il momento, si tratta di speculazioni non confortate da ulteriori indizi.

Un effetto immediato il gesto di Shadow Brokers lo sta producendo sia sulle aziende produttrici dei firewall hardware violati, sia sulla stessa NSA. Aziende come Cisco, Fortinet e Juniper stanno correndo ai ripari rilasciando aggiornamenti e patch correttive delle falle nella sicurezza evidenziate dal materiale diffuso dal gruppo di hacker, ma, parallelamente, l'immagine della NSA viene ancor di più compromessa, tenuto conto che si trattava di vulnerabilità di cui l'Agenzia di Sicurezza Nazionale statunitense era a conoscenza da anni e che ha scelto di non comunicare alle singole aziende per non compromettere, evidentemente, l'attività di sorveglianza.