I dati sono il nuovo petrolio. E se i governi negli Stati Uniti e in Europa stanno valutando le opportunità per capitalizzare questa nuova commodity, devono sapere che gli investimenti in sorveglianza possono velocemente tornare contro. Un nuovo report dei Laboratori di F-Secure sottolinea questi pericoli spiegando come uno strumento di sorveglianza venduto alle forze dell’ordine sia caduto nelle mani del Gruppo Callisto, e sia stato usato per attacchi informatici a ufficiali governativi, personale militare, giornalisti, e gruppi di esperti per raccogliere informazioni su politica estera e di sicurezza in Europa.
In particolare, lo strumento in questione è parte di ciò che viene chiamato Remote Control Systems Galileo. E’ stato rubato agli sviluppatori dell’azienda italiana Hacking Team nel 2015, e diffuso online. La ricerca dei Laboratori di F-Secure conferma che lo strumento è stato usato per raccogliere informazioni in Europa e nel Caucaso meridionale. Il Gruppo Callisto ha connessioni con diversi Stati, ma non ci sono evidenze tali da far capire chi possa essere dietro a tutto ciò.
Questo è un esempio di uno strumento di sorveglianza che è sfuggito al controllo. Erka Koivunen, Chief Information Security di F-Secure, dice che ciò non dovrebbe sorprendere, e i governi dovrebbero tenere questo esempio ben in considerazione quando discutono sull’eventualità di indebolire la sicurezza e la privacy del software e di altri prodotti per rendere la sorveglianza più semplice.
“La sorveglianza voluta dai governi con sistemi legali di supervisione e controllo è una cosa, ed è tipicamente ciò che i governi di democrazie ben funzionanti vendono ai cittadini in nome della sicurezza”, spiega Erka. “Ma cosa accade quando quelle capacità di sorveglianza cadono nelle mani di Stati avversari, criminali informatici, mercenari, attivisti o di qualsiasi altro malintenzionato? Questo è ciò che stiamo vedendo con il Gruppo Callisto, ed è ciò di cui i sostenitori della sorveglianza evitano di parlare.”
Erka, che ha portato la sua testimonianza come esperto nel Parlamento britannico nel 2015 in merito alla Snooper Carther (vd foto in copertina), ha allertato i politici inglesi dicendo che il genere di poteri che stavano assumendosi poteva benissimo cadere nelle mani degli avversari. Ha anche affermato che simili iniziative avrebbero potuto minare la sicurezza informatica a livello nazionale. L’uso di uno spyware governativo da parte del Gruppo Callisto rientra in questo caso e conferma quanto dice Erka.
E questo è un esempio che i governi dovrebbero tenere in grande considerazione prima di fare pressioni o addirittura legiferare forzando le aziende a fornire una minore sicurezza nei loro prodotti. La Commissione Europea ha recentemente annunciato che avrebbe presentando alle aziende tecnologiche delle opzioni su come offrire alle forze dell’ordine accesso alle informazioni digitali (come messaggi inviati via Whatsapp). Mentre il report dice che le opzioni andranno da misure volontarie a vere e proprie leggi, è chiaro che molti ufficiali governativi stanno ignorando il fatto che non possono aspettarsi di avere il monopolio sulle capacità di sorveglianza.
E come dice Erka, “i governi senza un piano B, senza ridondanze, dovrebbero stare molto attenti sul sacrificare la sicurezza in nome della sorveglianza. Poiché gli attaccanti stanno usando quelle capacità di sorveglianza contro di noi. E non parliamo di uno scenario ipotetico o distopico. E’ un dato di fatto.”
Articolo tratto da “The Callisto Group: Surveillance Tools Gone Wild”, di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.
Categorie