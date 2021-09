La storia di cui parlo qui è estremamente interessante in quanto fornisce innumerevoli spunti per analizzare l’attuale contesto cyber, che per molti aspetti ancora somiglia pericolosamente al Far West.

Cominciamo da un tweet inviato da Edward Snowden che esorta chi utilizza il popolare servizio Vpn (cos’è?) ExpressVpn a smettere di usarlo.

If you’re an ExpressVPN customer, you shouldn’t be. https://t.co/l8us92W0BQ — Edward Snowden (@Snowden) September 16, 2021

Per chi non conoscesse Edward Snowden, parliamo di un ex consulente informatico della Cia che ha svelato la sconvolgente attività di sorveglianza di massa messa condotta da alcuni governi all’insaputa dei cittadini. A causa delle sue rivelazioni ha dovuto abbandonato gli Stati Uniti e ha chiesto asilo in Russia. I dettagli rivelati da Snowden sulla complessa macchina di sorveglianza globale hanno creato imbarazzo agli Usa e ai membri dell’alleanza nota come Five Eyes, costringendoli a rivedere sistemi e metodologie alla base delle loro attività di intelligence.

Ma perché Snowden mette in guardia da ExpressVpn, che in realtà dovrebbe operare un servizio concepito per proteggere la privacy dei clienti? Qui la storia si complica. La scorsa settimana, l’azienda israeliana di sicurezza informatica Kape Technologies ha annunciato l’acquisizione di ExpressVpn, un accordo di circa 940 milioni di dollari che consentirà di raddoppiare la base di clienti complessiva, da quasi 3 milioni a oltre 6. Fin qui nulla di strano, tuttavia mentre si perfezionava l’acquisizione, tre ex dipendenti dell’agenzia di intelligence americana Nsa (Marc Baier, 49 anni; Ryan Adams, 34; Daniel Gericke, 40) hanno raggiunto un accordo di rinvio a giudizio che limita le loro attività future e il loro impiego. Il trio ha fornito servizi di hacking e relativa esperienza a una controversa società di sicurezza informatica degli Emirati Arabi Uniti, DarkMatter, nel periodo tra il gennaio 2016 e novembre 2019.

Il dipartimento di Giustizia degli Stati Uniti ha anche richiesto ai tre esperti il pagamento di quasi 1,7 milioni di dollari in sanzioni (rispettivamente, 750mila, 600mila e 335mila dollari) per risolvere la propria indagine relativa alle violazioni delle leggi statunitensi sul controllo delle esportazioni, sulle frodi informatiche e su accesso illegale ai sistemi informatici.

I tre sospetti hanno lavorato presso la società degli Emirati Arabi Uniti e hanno sviluppato almeno due exploit zero-click per il sistema operativo iOS di Apple, soprannominati Karma e Karma 2. In pratica, tre ex esperti dell’intelligence americana hanno sviluppato per un’azienda straniera alcuni codici in grado di compromettere iPhone ed iPad, senza alcuna iterazione da parte delle vittime.

Per una storia che viene alla luce, ve ne sono centinaia che restano in una zona grigia e che non verranno mai alla luce. Esperti addestrati da governi occidentali offrono consulenza ad aziende straniere che sono coinvolte in attività di sorveglianza e spionaggio che potenzialmente potrebbero prendere di mira esponenti dei governi stessi e certamente i loro cittadini. Tutto questo è sconcertate quanto intollerabile.

Il dipartimento di Giustizia statunitense ha anche ordinato agli ex dipendenti dell’intelligence di cooperare con il dipartimento competente e con i componenti dell’Fbi; inoltre è stato tolto loro in via permanente il nulla osta di sicurezza assegnato dagli Stati Uniti per le attività di intelligence condotte quando erano in servizio.

Manca tuttavia ancora un pezzettino della storia, che assume sempre più gli aspetti di un intrigo internazionale e che giustifica l’affermazione di Snowden, probabilmente preoccupato dal fatto che uno dei tre ex dipendenti dell’Nsa, Daniel Gericke, fosse proprio il Cio di ExpressVpn.

Nel 2019, l’agenzia Reuters ha pubblicato un report che descriveva in dettaglio l’attività di “una squadra segreta di hacker composta da mercenari americani” che si è unita a un progetto chiamato Raven”. Parliamo di un gruppo clandestino di esperti che ha aiutato gli Emirati Arabi Uniti a condurre un programma di sorveglianza e condurre attacchi ed eseguire operazioni di hacking.

Snowden quindi ha evidenziato come proprio coloro che si professano paladini della privacy abbiamo assunto un personaggio così controverso e messo alla guida della propria azienda. ExpressVpn ha pubblicato una risposta ufficiale che ha confermato l’accusa del dipartimento americano e di essere a conoscenza del fatto che il suo attuale Cio aveva collaborato con la controversa società straniera prima di entrare a far parte della società nel 2019.

L’azienda ha preso le distanze dalle attività di sorveglianza condotte da Stati come gli Emirati Arabi Uniti, ma ha sottolineato che non c’è alcun motivo di preoccupazione per i suoi clienti: “Troviamo profondamente deplorevole che le notizie degli ultimi giorni riguardanti Daniel Gericke abbiano creato preoccupazioni tra i nostri utenti e dato qualche motivo per mettere in discussione il nostro impegno nei confronti dei nostri valori fondamentali. Per essere completamente chiari, per quanto apprezziamo l’esperienza di Daniel e il modo in cui ci ha aiutato a proteggere i clienti, non giustifichiamo il Progetto Raven. La sorveglianza che rappresenta è completamente antitetica alla nostra missione”. Ancora: “Quando abbiamo assunto Daniel nel dicembre 2019, conoscevamo il suo background. Vent’anni nella sicurezza informatica, prima con l’esercito americano e vari appaltatori governativi, poi con una società statunitense che fornisce servizi di intelligence antiterrorismo agli Stati Uniti e a un loro alleato, gli Emirati Arabi Uniti, e infine con una società degli Emirati che fa lo stesso lavoro. Non conoscevamo i dettagli di alcuna attività riservata né di alcuna indagine prima della sua risoluzione questo mese. Ma sapevamo cosa avevamo costruito qui in ExpressVpn: un’azienda in cui ogni sistema e processo è rafforzato e progettato per ridurre al minimo i rischi di ogni tipo, sia esterni sia interni”.

ExpressVpn ha aggiunto di aver implementato più misure di sicurezza per garantire un servizio sicuro che protegga la privacy degli utenti. L’azienda ha annunciato audit supplementari che certifichino il livello di privacy offerto ai clienti: “Mentre siamo fiduciosi che il nostro impegno in questa missione sia incrollabile, comprendiamo che le azioni parlano più forte delle parole. Per cominciare, aumenteremo la cadenza dei nostri audit di terze parti esistenti per ricertificare annualmente la nostra piena conformità alla nostra Informativa sulla Privacy, inclusa la nostra politica di non archiviare alcuna attività o log di connessione. Questo è solo un primo passo e continueremo a impegnarci per guadagnarci la tua fiducia”, si legge in un post del blog di ExpressVpn dedicato alla questione.

Quali insegnamenti possiamo apprendere da questa storia? Ancora una volta il dio denaro riesce a imporre logiche e dinamiche che disprezzano profondamente la libertà di pensiero dei cittadini. Le attività di sorveglianza sono per molte imprese private un affare miliardario e poco contano gli aspetti etici e i divieti imposti da governi all’esportazione di tecnologie per la sorveglianza di massa. Cosa più grave è il coinvolgimento di esperti degli apparati di intelligence che sono stati accusati da Reuters di operare come mercenari.

Tutto ciò è profondamente triste, software di sorveglianza nelle mani di governi totalitari sono equiparabili a vere e proprie armi. Questi software sono utilizzati per spiare oppositori e dissidenti e le informazioni acquisite possono essere utilizzate per perseguire, torturare e persino uccidere coloro che non sono in linea con i governi che li usano.

Ora capirete perché ho utilizzato il termine Far West: non esistono regole e pene certe e troppo spesso è molto semplice raggirare divieti imposti alle esportazioni e all’offrire attività di consulenza strategica a governi e società straniere coinvolte in attività di sorveglianza.