C’è una taglia sulla tua privacy

Hacker’s Dictionary. Il Darth Vader della cybersecurity è pronto a pagare chi buca i sistemi di messaggistica come WhatsApp, Messenger e Signal

di ARTURO DI CORINTO per Il Manifesto del 9 gennaio 2019

La sicurezza totale non esiste. Soprattutto se parliamo di reti e dispositivi elettronici. Eppure in campo informatico è possibile adottare una serie di accorgimenti che rendono la vita difficile a spioni, ladri e truffatori che attaccano il nostro mondo digitale.

Abbiamo già parlato di come proteggere gli acquisti online ed evitare le aggressioni sui social, perciò è ora di pensare alla sicurezza dei sistemi di messaggistica a cui dedichiamo tante ore della nostra giornata.

Si tratti di WhatsApp, Messenger, iMessage e Telegram, oppure di Signal e Confide, tutti questi sistemi proteggono le nostre comunicazioni da intercettazioni private, sorveglianza non autorizzata e furto di dati grazie alla crittografia end-to-end, che nasconde il contenuto in chiaro del messaggio nel suo viaggio dal mittente fino al destinatario.

Funzionano tutti piuttosto bene e condividono in parte lo stesso software di cifratura. Quello che li differenzia è il modello di business sottostante. Essendo gratuiti come pensate che si facciano ripagare? Coi vostri dati. Signal non lo fa, essendo l’app realizzata e distribuita da un gruppo di visionari anarco-libertari con i capelli alla Bob Marley. Il loro modello di business è basato sulle donazioni e non sulla vendita a terzi dei nostri dati personali. Finanziata dalla Electronic Frontier Foundation e dall’Aclu. Signal è stata consigliata perfino da Edward Snowden.

Signal consente di messaggiarsi e (video)telefonare in sicurezza cifrando le conversazioni. Sì, anche quando parliamo al telefono. La conversazione cifrata, eventualmente intercettata da uno spione, il “man in the middle”, non potrà essere compresa proprio per questo motivo. Se lo spione si trova vicino a voi o se parlate ad alta voce vicino a una cimice ovviamente la crittografia non servirà a nulla. Se il vostro telefono è già compromesso prima di installare il sistema protetto, l’app non servirà e quello che digitate sullo schermo potrà comunque essere catturato e i vostri dati inviati a qualche sconosciuto.

Il software crittografico ci protegge. C’è però un modo per aggirare le protezioni di Signal e degli altri sistemi: scoprendo le vulnerabilità del software che non sono ancora note agli stessi produttori.

Siccome scoprire questi “buchi” nel software, le vulnerabilità, è un lavoro lungo e complesso, negli anni sono nate delle società che ne fanno commercio: pagano a caro prezzo la loro scoperta e poi la rivendono al miglior offerente, sia esso un governo o un gruppo criminale.

Ovviamente gli hacker che scoprono questi ‘exploit’ che in gergo si chiamano zero-days, possono comunicarli ai produttori, ai venditori, a singoli committenti o rivenderli nell’underground. Purtroppo molti le rivendono ai broker di cui parlavamo per due motivi: le loro aziende offrono cifre elevatissime e rendono semplice l’attribuzione della scoperta e la vendita dell’informazione.

Tra queste la più nota è Zerodium, una piattaforma online creata da Chaouki Bekrar, il Darth Vader della cybersecurity. Zerodium ha appena pubblicato la nuova lista delle ricompense per chi sarà in grado di dimostrare e vendergli la possibilità di bucare il sistema operativo dell’iPhone (2 milioni di dollari) e ha raddoppiato a un milione di dollari il prezzo degli exploit RCE (Remote Code Execution) per la messaggistica sicura, WhatsApp, iMessage, e delle app SMS di tutti i sistemi operativi mobili. Il prezzo degli exploit zero-day per Signal è rimasto come prima, a $ 500.000. Consigli? Uno solo: tenere sempre aggiornato il software che usate.