da Austin, Texas
Dove c’erano cowboy con il cappello vistoso e gli stivaloni d’ordinanza, ora ci sono mandrie di nerd in maglietta e scarpe da ginnastica. Il Far West rimane ancora una frontiera di conquista, ma del vetro e del cemento. Siamo ad Austin, a tre ore di volo da San Francisco, nell’erede designata della Silicon Valley americana. Complici una tassazione favorevole, un clima quasi californiano, un’università che domina il centro cittadino e sforna talenti a ripetizione, stanno migrando in massa i giganti dell’hi-tech, da Apple (1 miliardo di dollari d’investimento per un campus) a Google e Ibm.
C’è anche Trend Micro, uno dei leader globali della sicurezza informatica. Occupa un palazzetto anonimo nella zona nord della capitale del Texas, dove la quiete è soltanto apparente e lo spirito selvaggio del passato scalpita intatto davanti ai computer: qui opera un laboratorio specializzato nel dare la caccia alle vulnerabilità informatiche, le falle dei programmi in cui i pirati s’intrufolano per fare scompiglio e razziare il saccheggiabile. A scovarle provvedono 200 ingegneri, tutori della legge armati di mouse e non di lazo, più sarti che pistoleri: non inseguono gli hacker cattivi, piuttosto cuciono pezze per tappare quei buchi e rendere i software di nuovo impenetrabili.
Lo sceriffo del posto si chiama Brian Gorenc, un texano doc con gioventù da globetrotter al seguito del padre militare, aspetto mansueto e toni rilassati, un’ossessione per il suo lavoro che non fa nulla per nascondere. È il capo di questa task force di cui non abbiamo mai sentito parlare, ma che merita la nostra gratitudine: ha individuato e risolto problemi critici di soluzioni di Microsoft, Adobe, Oracle, ovvero i servizi che usiamo tutti i giorni. Non solo grazie ai 200 arditi locali, pochini in effetti, ma con il ricorso a uno stratagemma decisivo: pagare gli hacker affinché rivelino vulnerabilità pericolose. Offrire loro ricompense, taglie per scalpi in formato codice.
Così, la «Zero day initiative», questo il nome del programma diretto da Gorenc, ha distribuito finora 18 milioni di dollari, con premi da tre a sei cifre, punte da 100 mila dollari a bonifico. Conta 10 mila ricercatori iscritti, nel suo genere è diventata la principale iniziativa al mondo.
Ad Austin, però, non c’è tempo per crogiolarsi nella routine. Nelle stanze dei server multimilionari dove il rumore delle ventole sovrasta le parole, nelle stanze blindate che Panorama ha potuto visitare in esclusiva, ci si attrezza a reagire alle minacce all’orizzonte. Ecco la teca isolante che ricorda la bottega di uno scienziato pazzo: qui s’inserisce lo smartphone, tramite un cavo gli si inoculano le peggiori schifezze digitali in circolazione e lo si cura inserendo le mani in speciali guanti schermati. Come se fosse un paziente in quarantena.
Lo scatolotto non fa passare nessun segnale verso l’esterno, per evitare che il virus starnutisca dati infetti e contagi i telefoni nei paraggi. Sarebbe un disastro, un’epidemia. Ecco poi il cruscotto di un’automobile capace di guidare da sola, sezionato nei dettagli per comprendere come violarlo: «Abbiamo scoperto» spiega Gorenc «che si potrebbe prendere il controllo tramite il browser per navigare in internet. Le vetture evolute stanno diventando un bersaglio, così come i dispositivi medici. Ci stiamo lavorando. Il metodo è svolgere operazioni d’ingegneria inversa: di fatto, capiamo come i sistemi di ultima generazione possano essere compromessi e risolviamo il problema prima che ci arrivi qualcun altro. Riusciamo a intercettare le tendenze delle minacce con sei mesi d’anticipo».
Gorenc, lei sembra troppo ottimista. Cosa ci aspetta davvero?
Le vulnerabilità si concentreranno sugli oggetti connessi, sull’internet delle cose. C’è molta competizione, tanti produttori lavorano su margini sottili, fanno di tutto per uscire presto sul mercato e non danno priorità alla sicurezza. E se i pc si aggiornano in automatico, su quei gadget è di norma l’utente a dover provvedere. Quindi, anche quando una falla viene scoperta, rimane efficace a lungo per la nostra inerzia.
Che può succedere? Facciamo degli esempi.
Che un cybercriminale s’intrufoli nelle telecamere che teniamo in casa e controlliamo dal telefono, vedendo a sua volta quello che vediamo noi. La privacy dovrà affrontare violazioni di un altro livello e intensità. Oppure, abbiamo individuato un bug in alcuni apparecchi per le teleconferenze negli uffici, che accendeva i microfoni all’insaputa dei presenti e ascoltava le loro conversazioni carpendo segreti industriali. Da qui, si può giungere fino agli assalti alle infrastrutture critiche.
Si spieghi meglio.
Se i sistemi non sono messi in sicurezza, si può paralizzare un ospedale o spegnere una centrale elettrica, facendo mancare la corrente alla popolazione. È già accaduto in Ucraina.
A che scopo?
Creare agitazione politica, creare scontento a danno di chi guida un Paese. Oppure, precipitare una nazione nel caos, scatenare un diversivo mentre si sta sferrando un attacco militare. È evidente che un’arma cibernetica costi meno di una cinetica. Basta consultare i listini sul mercato nero: con 500 mila dollari si acquisiscono strumenti virtuali per mettere in crisi l’intelligence del proprio nemico, spiarlo, carpirne le strategie. È più dirompente ed economico di un missile da 100 milioni di dollari. Sempre più Stati si dedicano a ricerche di cybersecurity offensiva. Tali conoscenze li mettono in una posizione di potere.
Quali nazioni sono più avanti?
Non posso commentare questo punto, comunque è evidente che i grandi siano coinvolti.
Sta sottintendendo che un’arma virtuale sarà l’atomica del futuro?
Sì.
Anche il terrorismo saprà trarre vantaggio da queste nuove possibilità tecnologiche? Avremo camion guidati da remoto che andranno a schiantarsi sulle folle?
Alcune ricerche hanno dimostrato che si può manovrare una macchina a distanza. Con tutta l’elettronica installata a bordo delle auto, è concepibile un attacco che possa spedire un veicolo fino a una posizione predeterminata e provocare danni. Compromettendo un segnale radio, si possono persino muovere gru industriali perché facciano ciò che si vuole.
È spaventoso.
Io la vedo diversamente. Gli attacchi, in passato, sono stati possibili anche senza passare per vie informatiche. Stiamo tutti lavorando duramente per scongiurare queste eventualità. Ci immergiamo nello stesso mondo in cui agiscono i cattivi. È la vecchia guerra tra il gatto e il topo, vince chi va più veloce.
Per darvi il turbo, state mettendo parecchio denaro sul piatto. Fate shopping di minacce per poi disinnescarle.
È un approccio figlio di una logica. Siamo consapevoli di operare in un contesto che poggia su regole capitalistiche. Chi scopre una vulnerabilità di qualsiasi tipo, ha in mano un prodotto che fa gola a tanti, su tre diversi mercati.
Quali?
Quello nero, illegale, in cui chi compra una falla poi la riutilizza per colpire più persone possibile, in modo indiscriminato, per trarne il massimo profitto. Quello grigio, che secondo me è il più redditizio per chi vende, perché è alimentato dalle tasse dei contribuenti e si pone pochi limiti di spesa: è composto dai governi che, direttamente o tramite un broker, acquistano soluzioni per lo spionaggio o altre manovre di cui parlavamo prima. Chiedono l’esclusiva, così nessun nemico potrà avere accesso a quelle misure. Capita di continuo. Infine, ci siamo noi: il mercato bianco. Legale. Di fatto, almeno da un punto di vista etico, per un hacker si tratta di scegliere tra il peccato e il paradiso.
Il guadagno rimane sempre il motore principale?
Alcune persone contribuiscono in maniera anonima, sappiamo chi sono ma non divulghiamo la loro identità. Gli presentiamo un’offerta e spesso cercano di tirare sul prezzo. C’è invece chi lo fa per la gloria, per ottenere il rispetto nella comunità digitale. È mosso dall’ambizione di essere tra i migliori, vuole il suo nome pubblicato accanto a ogni scoperta.
E le aziende come la prendono? Come reagiscono quando andate a bussare alla loro porta e gli segnalate che hanno una grana da risolvere?
Dipende dalla loro maturità. Quelle grandi comprendono il valore enorme di ciò che gli stiamo sottoponendo e ci ringraziano. Altre negano, minacciano di portarci in tribunale. Solo quest’anno, abbiamo subito due azioni legali. Per fortuna, ci assistono ottimi avvocati.
Lei si limita a un ruolo di coordinamento?
Macché. Mi metto a caccia di nuove falle anche nel tempo libero. Non riesco a smettere, è una dipendenza. Ho contagiato mio figlio, si è appassionato alla materia.
La vede come un supereroe?
L’affascina il fatto che io lavori quotidianamente con gli hacker.
E lei, si considera un hacker?
Mettiamola così: mi considero un ricercatore. (O, per citare la sua biografia su Twitter, un «bug hunter». In sostanza, un disinfestatore).
© riproduzione riservata
