venerdì 7 luglio 2017

Wikileaks svela i Bothan della Cia

repubblica.it
di STEFANIA MAURIZI

Ispirandosi alla popolarissima serie di Guerre Stellari, i nerd della Central Intelligence Agency hanno creato BothanSpy, un tremendo malware per rubare le credenziali di accesso a chi si connette con il protocollo sicuro SSH. Doveva rimanere segreto fino al 2065, ma l'organizzazione di Julian Assange lo rivela in esclusiva con il nostro giornale

Wikileaks svela i Bothan della Cia


Sono umanoidi dall'aspetto felino, che hanno creato una micidiale rete di spie al servizio dell'Alleanza Ribelle per combattere l'Impero Galattico, ottenendo in particolare informazioni sulla Morte Nera, la stazione spaziale da combattimento che è l'arma totale dell'Impero. Si chiamano Bothan e vengono citati nel Ritorno dello Jedi, uno degli episodi dell'amatissima saga di Guerre Stellari. Ed è a loro che rende omaggio la Cia in un documento pubblicato  da WikiLeaks in esclusiva con Repubblica.

S'intitola BothanSpy, fa parte dell'enorme giacimento di file sulla cyber armi della Cia, Vault 7, che l'organizzazione di Julian Assange ha iniziato a pubblicare nel marzo scorso e contiene perfino frasi prese da Guerre Stellari, tipo "Molte spie di Bothan moriranno per portarvi queste informazioni, ricordate il loro sacrificio", classificate come "segreto/noforn", ovvero non solo segrete, ma non rilasciabili in copia a cittadini di nazionalità straniera. Una scelta bizzarra quella di proteggere le citazioni prese da un film visto da milioni di persone in tutto il mondo.

Ma il programma che descrive il manuale di BothanSpy non è affatto bizzarro, al contrario è temibile e intelligente. Sì, perché BothanSpy è un malware creato dalla Central Intelligence Agency per rubare le credenziali di chi si connette ai server di una società privata, di un'università o di un'organizzazione utilizzando il protocollo SSH, che di norma è considerato sicuro, tanto che viene usato dai tecnici informatici che gestiscono le reti dell'azienda o dell'organizzazione per collegarsi da remoto ai server e fare tutta una serie di operazioni, come installare programmi o gestire gli accessi da parte degli altri utenti, mantenendo la protezione che assicura la crittografia e che rende difficile per hacker, criminali o forze di intelligence spiare il tipo di intervento che i tecnici stanno facendo sui server aziendali.

Chi si connette con il protocollo SSH di norma ha un accesso ampio al sistema informatico dell'impresa, che può arrivare fino ai privilegi di amministratore (in gergo, sysadmin), una posizione questa che consente di fare qualsiasi tipo di operazione: prelevare documenti aziendali, modificarli, aggiungerli, distruggere dati, spiare sugli utenti del sistema, leggendone per esempio le email interne. Rubando username, password, chiavi crittografiche utilizzate da chi si connette ai server aziendali tramite SSH, la Cia può arrivare a fare di nascosto quello che vuole su quei sistemi presi di mira. È un po' come se entrasse nella sala di comando.

Si tratta di una strategia seguita non solo da Langley, ma anche dalla National Security Agency, come hanno rivelato i file di Snowden, in cui la Nsa scriveva: "Cosa può esserci di meglio che colpire direttamente chi ha in mano le chiavi del regno?". BothanSpy fa esattamente questo e lo fa per i computer che usano Windows: il sistema operativo più preso di mira in assoluto dalle cyber armi della Cia contenute in Vault 7. Ma la Central Intelligence Agency non si è lasciata sfuggire neppure la possibilità di fare la stessa operazione sui computer che utilizzano Linux, di norma meno vulnerabili, creando un malware che si chiama Gyrfalcon, anch'esso rivelato oggi da WikiLeaks, che ne pubblica due manuali utenti insieme con il file su BothanSpy.

È curioso leggere come nel documento su BothanSpy la Central Intelligence Agency si consideri parte dell'Allenza Ribelle, ovvero della Resistenza che combatte contro l'Impero Galattico, considerando che i critici vedono proprio nella Cia il braccio oscuro e operativo dell'imperialismo americano. La pubblicazione dei documenti segreti di Vault 7 va avanti ormai da quattro mesi. Nonostante la reazione furiosa di Mike Pompeo, il capo della Cia nominato da Donald Trump, WikiLeaks ha continuato a rivelare le cyber armi di Langley, consentendo all'opinione pubblica di conoscerle per la prima volta e a giganti come Microsoft o Cisco di riparare le vulnerabilità dei loro software sfruttati dalle cyber armi di Vault 7 per compromettere computer e reti (basta vedere una delle falle chiuse da Microsoft alle fine di giugno, esattamente pochi giorni prima della rivelazione da parte di WikiLeaks del malware Cia, Brutal Kangaroo.

Mentre il lavoro di WikiLeaks prosegue, Julian Assange rimane confinato nell'Ambasciata dell'Ecuador a Londra, dove ormai è recluso da cinque anni, nonostante nel maggio scorso la procura svedese abbia archiaviato l'inchiesta per stupro. Assange parlerà al G20 di Amburgo con esponenti del movimento politico DiEM25, insieme con Yanis Varoufakis, Srecko Horvat e l'avvocatessa per i diritti umani Renata Avila, con un intervento dal titolo: "Disobbedienza costruttiva! La resistenza al tempo del capitalismo basato sulla sorveglianza".