I virus informatici di Stato
Alcune tecniche di "intercettazione" usate per l'inchiesta Bisignani pongono nuove domande sull'adeguatezza e i limiti delle leggi vigenti
È passato quasi inosservato un passaggio di quanto raccontato ieri da Repubblica sul caso Bisignani e l’indagine sulla cosiddetta P4. In sostanza, i pm avrebbero intercettato molte comunicazioni dello stesso Bisignani infettando con un virus informatico un computer e trasformandolo di fatto in una cimice. “Un esempio di una tecnologia ‘da hacker’ utilizzata per fini nobili”, scriveva Alessio Sgherza, “come un Robin Hood che intercetta gli indagati per aiutare la giustizia”. Un trojan, un software nascosto installato con un file inviato via email – si chiamava “Querela” – e aperto incautamente. Un programma “sviluppato interamente dalle forze dell’ordine italiane”.
Alberto Berretti, matematico, docente universitario ed esperto di sicurezza informatica, ha fatto sul suo Tumblr alcune interessanti e centrate riflessioni su quello che questo significa per l’industria del software: intercettare una comunicazione tramite un virus informatico ha implicazioni molto diverse dalle tradizionali intercettazioni telefoniche.
Di questa vicenda si è parlato poco, meno di quanto sarebbe necessario, e non ho trovato in rete una quantità di informazioni sufficiente a parlarne in modo accurato. In questo breve post voglio fare solo un punto, a margine di alcune discussioni piuttosto lunghe fatte in alcuni thread su Facebook che ho potuto seguire.
Non pongo nemmeno lontanamente in discussione il fatto se l’operazione si sia svolta entro i limiti della legalità o meno. Considero ovvia una risposta affermativa a questa domanda: è evidente che chi ha svolto l’operazione si è posto il problema ed ha dato una risposta affermativa, dopo accurata ponderazione.
È legittimo tuttavia porsi il problema dell’opportunità di operazioni del genere, che è un problema ben diverso (e, direi, piú complesso) di quello della loro legalità.
Ma in questa sede non voglio pormi neppure questo problema. Una tumblerata dovrebbe essere una cosa breve, e questo post sta già avviandosi lungo una strada troppo lunga.
La questione che voglio sottolineare, e che è emersa nei citati thread su Facebook senza che gli altri amici capissero la questione, almeno mi sembra, è la differenza tra una tradizionale intercettazione telefonica o ambientale (o anche, al limite, l’intercettazione informatica condotta con metodologie TEMPEST, o piú banalmente con la cimice dentro la tastiera) e l’operazione condotta mediante quello che a tutti gli effetti deve essere definito come malware.
Un “virus di stato” “a fin di bene” è pur sempre un virus (worm, malware, etc.: informatiche maestrine con la penna rossa evitate di spaccare un capello in quattro, non è cosa). Il quale agisce sfruttando degli errori di programmazione nel sistema operativo o nelle applicazioni target dell’operazione.
Ora, il sistema operativo e le applicazioni non dovrebbero contenere tali errori, ma si sa, son sempre manufatti umani e come tali contengono imprecisioni e difetti: difetti che il produttore del sistema operativo e dell’applicazione ha il dovere perlomeno morale se non legale di correggere non appena ne venga a conoscenza. Un’altra parte nel gioco, il produttore di software per la sicurezza (ad es. antivirus), una volta che ti vende il prodotto che serve a attenuare i rischi conseguenti da imprecisioni e difetti nel sistema operativo e nelle applicazioni, ha un analogo dovere (morale se non legale) di darti un prodotto che funziona, cioè che effettivamente ti protegga da eventuali problemi con il sistema operativo o le applicazioni non ancora risolti.