I bug nel software si smerciano come armi. C'è chi li scova per professione per rivenderli a cifre stratosferiche. È un commercio legale, e nell'ambiente si aggirano personaggi che amano presentarsi come se fossero Nicholas Cage nel film Lord o War; ma le implicazioni sono tutt'altro che uno scherzo.
Un buon esempio è il Team Vupen, di cui ha raccontato Andy Greenberg su Forbes. La società , fondata e guidata da Chaouki Bekrar, ha venduto falle di Google Chrome ai governi di mezzo mondo; altri hacker preferiscono darli alle aziende (Microsoft, Google, Mozilla, etc.), e queste spesso sono pronte a pagare. Il confronto però è molto difficile da gestire.
Vupen
Sì perché se Google è pronta a sborsare qualche migliaio di dollari, dall'altra parte c'è chi ne può metterne centinaia di migliaia sul tavolo. E poi c'è la questione etica: per qualcuno è giusto condividere le informazioni, per aumentare la sicurezza di tutti. Altri invece non la pensano così, e preferiscono il profitto.
Una realtà quasi scontata, che tuttavia apre la porta a scenari preoccupanti. Governi e autorità di tutto il mondo comprano questi strumenti per avere un vantaggio nelle indagini, o nelle cosiddette cyberguerre – immaginiamo per esempio un governo che usa questi dati per penetrare nei sistemi di un altro Paese. Inevitabilmente però i bug scoperti da Vupen possono servire anche a governi autoritari e dittature per tenere sotto controllo i propri cittadini, censurare la libertà di espressione, e reprimere – anche nella violenza e nel sangue – la dissidenza.
Bekrar afferma di controllare con molta attenzione i propri clienti, e di non vendere a governi che non abbiano un pedigree certificato in fatto di democrazia (uno o due dovrebbero esistere). Il problema è che dopo il primo passaggio di mani non c'è più controllo sulla circolazione d'informazioni. "Vupen non sa come vengono usati i propri exploit, e probabilmente non vuole saperlo, finché gli assegni sono coperti", ha spiegato Chris Soghoian, un'attivista per la privacy e i diritti umani che definisce l'azienda francese "Un moderno mercante di morte che vende i proiettili delle guerre digitali".
Il Grugq e la sua borsa di soldi
Tra l'altro Vupen è solo una delle aziende più note del settore, perché cercano visibilità , ma "è la Snooki di questa industria" spiega Soghoian, "cercano pubblicità ma non capiscono di non avere un minimo di classe. Sono il Jersey Shore nel mercato degli exploit".
La pensa diversamente "Il Grugq", un altro mercante di exploit che vive a Bangkok e che ama farsi fotografare con borse di contanti degne di un gangster. Per lui Vupen, che trova e vende i propri exploit, è un esempio da seguire nel settore.
Bekrar di certo non si sente in colpa per quello che fa. "Non lavoriamo tanto duramente per aiutare società multimiliardarie a rendere il proprio codice più sicuro. Se volessimo fare del volontariato, aiuteremmo i senzatetto".
Da un certo punto di vista non fa una piega. Se un exploit ha un valore commerciale tanto alto, perché darlo a Google per un decimo del prezzo? Di certo le grandi aziende del settore potrebbero pagare un po' di più, ma allo stesso tempo è un bene che non alimentino la corsa ai prezzi in questo mercato.
Mercanti di codice PHP colti sul fatto
Vale infine la pena di riflettere sull'equivalenza tra armi e bug software. È ragionevole pensare che un exploit nelle mani sbagliate abbia portato a violenze, soprusi e forse anche alla morte di qualcuno? Crediamo di sì, e se è così allora questo commercio dovrebbe avere regole come quello delle armi?
Forse sì, ma con le leggi arrivano di pari passo i criminali chi le violano. E l'idea che si finisca per contrabbandare codice come fucili forse non è delle più affascinanti, anche se di certo piacerebbe a scrittori come Bruce Sterling o William Gibson.
L'opinione dell'esperto
Abbiamo chiesto un'opinione anche a Luigi Auriemma, un noto esperto di sicurezza informatica noto in tutto il mondo, di cui abbiamo parlato anche la settimana scorsa, e prima ancora quando ha rivelato le vulnerabilità dei sistemi SCADA.
"È ovvio che il pensiero c'è sempre. Il problema della sicurezza è che ci sono numerose contraddizioni" ci ha detto, riferendosi al pensiero di vendere i bug al migliore offerente piuttosto che comunicarlo alle aziende. Per esempio "Microsoft riceve report di vulnerabilità nel suo software sempre e solo gratis (loro politica) ma al tempo stesso ha rapporti commerciali con partners MAPP a cui invia dettagli dei bugs e quindi lucrando (direttamente/indirettamente) su ciò".
"È difficile a quel punto pensare di fare la cosa giusta aiutando certe aziende, anche perché io non ho mai visto Symantec, Mcafee e le altre dalla parte dei buoni". E poi aggiunge "Vupen e le altre fanno una cosa molto semplice, ossia vendono vulnerabilità e rootkit a governi e soggetti dall'identità non proprio chiara, senza che nessuno, dalla stampa allo Stato con le sue leggi, dica nulla a riguardo. Anzi, dichiarano tutto apertamente andandone fieri e con risalto positivo dai media".
"Se la stessa cosa fosse fatta da un privato non oso neanche immaginare le ripercussioni, eppure io non vedo la minima differenza tra Vupen/altre aziende con un virus writer o chi vende vulnerabilità al mercato nero ai criminali per creare virus, botnet e fare intrusioni. Fanno entrami lo stesso lavoro".
"Non ti so dire chi stia sbagliando e chi no però io vedo delle contraddizioni mostruose ovunque e a questo punto inizio a pensare che quello veramente in errore sia proprio io", aggiunge Luigi. Non si tratta di guadagnare più o meno denaro, ma di fronteggiare "dubbi sul fatto che stia facendo o no la cosa giusta". Voi al suo posto cosa fareste?