Il programma TURBINE della NSA può infettare con malware milioni di computer senza il minimo intervento umano. A darne notizia è ancora una volta The Intercept, con un lungo articolo che racconta come l'agenzia statunitense abbia realizzato un sistema d'infiltrazione avanzatissimo con la collaborazione dei colleghi britannici e giapponesi.
TURBINE è stato progettato per rendere più facile il lavoro agli hacker e ai cracker della NSA. Il sistema sostanzialmente automatizza gran parte delle attività di penetrazione nei computer bersaglio, "sollevando l'utente dal dover conoscere i dettagli", come si legge su un documento riservato. "Per esempio, un utente potrebbe chiedere tutti i dettagli sull'applicazione X senza dover sapere come e dove l'applicazione tiene i file, le voci di registro, i dati utente e così via".
Per capirlo, si può immaginare una spia seduta al suo terminale con accesso a - per esempio - 1.000 computer in giro per il mondo. L'operatore chiede al sistema i dati di Skype, Snapchat o Word e il sistema fa il resto. TURBINE ha quindi una potenza immensa, che la NSA usa tanto per l'intelligence (CNE, Computer Network Exploitation) quanto per attacchi distruttivi (CNA, Computer Network Attack).
Le stime più recenti parlano di circa 100.000 computer raggiunti, ma si tratta di dati ormai vecchi. È probabile che oggi il numero sia molto più alto e ancora in crescita. L'obiettivo d'altra parte è "dominare la rete", che è proprio il nome dell'operazione (Owning the Net), che solo l'anno scorso è costata 67,6 milioni di dollari.
TURBINE si declina poi in diversi elementi, ognuno con il proprio scopo preciso. UNITEDRAKE per esempio è progettato per infettare i PC con una serie di plugin per catturare dati dal microfono, la videocamera, la navigazione Interent, la tastiera, software di comunicazione come Skype, memorie USB e altro. Il sistema è inoltre pensato per catturare i dati prima che il computer li possa eventualmente proteggere con la crittografia.
Se l'obiettivo è cercare terroristi e criminali, quindi, è evidente che la NSA preferisce una sorveglianza a tappeto sui computer di tutti noi. Ma tra i bersagli preferiti ci sono anche gli amministratori (sysadmin) degli operatori telefonici, così da ottenere accesso a tutta la rete di comunicazione con un colpo solo. Tra i bersagli privilegiati ci sono inoltre "funzionari governativi" di tutto il mondo.
A computer e reti degli operatori telefonici si aggiungono i router industriali, vale a dire l'infrastruttura stessa della Rete. Una volta infettate queste macchine si possono usare per monitorare, deviare e alterare il traffico dei dati - e anche per inserire il malware con cui infettare i PC. Non si salvano nemmeno le VPN: i sistemi per prenderle di mira si chiamano infatti HAMMERCHANT e HAMMERSTEIN.
Se la NSA ritiene di aver individuato un soggetto pericoloso, poi, può ricorrere a strumenti distruttivi oltre che a quelli di intelligence descritti finora. QUANTUMSKY può bloccare l'accesso ai siti web, mentre QUANTUMCOPPER può impedire o danneggiare il download di dati. Il problema è che praticamente tutti i PC del mondo sono vulnerabili a questi attacchi.
Quanto ai metodi d'infezione, la NSA li usa tutti: la classica mail di spam non funziona bene come un tempo forse, ma ci sono i siti infettati ad hoc, la deviazione dei pacchetti, persino dei falsi server di Facebook che ingannano i browser e distribuiscono malware. A questo riguardo Jay Nancarrow (PR, Facebook) ha spiegato che non ci sono prove riguardo a quest'attività.
Il tempo necessario per un'infezione si limita a soli otto secondi. Per gli amanti del gergo tecnico si parla di attacchi "man in the middle" e "man on the side", perpetrati con strumenti che rispondono al nome di SECONDDATE e FOXACID. Il primo tra l'altro ha un doppio uso: "è progettato", scrivono Ryan Gallagher e Glenn Greenwal, anche "per lanciare estesi attacchi di malware".
Esperti di sicurezza del calibro di Mikko Hypponen (F-Secure) e Matt Blaze (Università della Pennsylvania) hanno espresso sgomento e preoccupazione di fronte a questa notizia. L'ulteriore estensione della sorveglianza globale sarebbe già un problema, perché si va ben oltre le azioni ragionevolmente accettabili per la ricerca di persone pericolose, ammesso che sia accettabile l'uso di malware in certi contesti. Ma comunque non è tutto: diffondere malware in massa infatti ci espone tutti al rischio di attacchi da parte di terzi, perché "quando mettono del malware sui sistemi", commenta Hypponen, "potenzialmente creano nuove vulnerabilità in questi sistemi, e li rendono più vulnerabili".
Forse però non dovremmo preoccuparci. Se davvero stiamo andando verso un mondo orwelliano fatto di sorveglianza e controllo totali, il problema del terrorismo sarà presto risolto: vivremo per un po' in un ambiente da "Brazil" (Terry Gilliam, 1985), ma presto arriveremo a una situazione più simile a quella di THX1138 (George Lucas, 1971).
Sempre che le ipotesi peggiori su questa faccenda si rivelino quelle corrette, naturalmente. D'altra parte nessuno può sapere cosa accadrebbe se domani dovesse arrivare al potere qualche poco di buono, qualcuno molto peggiore di quelli che già abbiamo e si trovasse tra le mani questi potentissimi strumenti.