Cerca nel blog

2014/09/15

Wikileaks pubblica FinFisher, il software-spia usato dai governi contro i dissidenti e i giornalisti; coinvolta anche VUPEN (antivirus)

Oggi Wikileaks ha messo online copie di FinFisher, il software d'intercettazione venduto dall'omonima azienda tedesca ai governi, che spesso lo usano per spiare giornalisti e dissidenti. Il software è in grado di intercettare le comunicazioni e i dati di sistemi OS X, Windows, Linux, Android, iOS, BlackBerry, Symbian e Windows Mobile. Finfisher, normalmente accessibile a caro prezzo soltanto alle agenzie governative, è ora scaricabile qui allo scopo di consentire a tutti (in particolare ai creatori onesti di antivirus) di analizzarlo e realizzare difese.

Finfisher ha fruttato ai suoi creatori circa 50 milioni di euro. Questi sono alcuni dei suoi clienti: in Europa spicca l'Italia insieme al Belgio e ai Paesi Bassi. Insieme al software sono disponibili anche i log dell'assistenza clienti di FinFisher, che contengono dati molto interessanti, compresi gli indirizzi IP dei “bersagli” e degli “agenti”.

Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).

Giusto per capirci: una società di sicurezza scopre una falla in un sistema operativo e invece di pubblicarla responsabilmente per consentirne la correzione, la tiene per sé e la rivela soltanto a chi realizza prodotti di sorveglianza. Questo significa che la falla nota non viene corretta neppure nei sistemi degli utenti onesti e innocenti.

Qui non si tratta più di argomentare se sia giusto o meno che un governo che voglia definirsi democratico abbia strumenti di sorveglianza così potenti e pervasivi, perché c'è sempre chi invoca la scusa (discutibile) che questi strumenti sono necessari per la lotta al terrorismo e al crimine organizzato. Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante, lasciando che continui a esserci (e sia scopribile da malintenzionati) in tutte le auto di quella marca. Compresa la vostra.

Nessun commento: