La decisione di bloccare un attacco informatico di livello “esperto” ha causato polemiche all’interno di Google dopo che è emerso che gli hacker in questione stavano lavorando per un alleato degli Stati Uniti.
di Patrick Howell O’Neill
Google gestisce alcune delle operazioni di sicurezza informatica più avanzate a livello globale. Con il suo team Project Zero, per esempio, rileva potenti vulnerabilità di sicurezza sconosciute, mentre il suo Threat Analysis Group contrasta direttamente l’hacking sostenuto dai governi, tra cui Corea del Nord, Cina e Russia. Queste due squadre hanno recentemente catturato un pesce inaspettatamente grosso: un gruppo di hacker “esperto” che sfrutta 11 potenti vulnerabilità per compromettere i dispositivi con iOS, Android e Windows.
Ma “MIT Technology Review” ha appreso che gli hacker in questione erano in realtà agenti del governo occidentale che conducevano attivamente un’operazione antiterrorismo. La decisione dell’azienda di fermare e pubblicizzare l’attacco ha causato una spaccatura interna a Google e ha sollevato interrogativi all’interno delle comunità di intelligence degli Stati Uniti e dei suoi alleati.
Un paio di recenti post sul blog di Google descrivono in dettaglio la raccolta di vulnerabilità zero-day che sono state utilizzate dagli hacker nel corso di nove mesi. Gli exploit, che utilizzavano tecniche mai viste prima, erano attacchi “watering hole” che utilizzavano siti Web infetti per fornire malware ai visitatori. Gli hack, risalenti all’inizio del 2020, hanno attirato l’attenzione degli esperti di sicurezza informatica grazie alla loro portata, raffinatezza e velocità.
Tuttavia, l’annuncio di Google ha omesso in modo evidente i dettagli chiave, tra cui chi era responsabile dell’hacking, chi era stato preso di mira e importanti informazioni tecniche sul malware o sui domini utilizzati nell’operazione. Almeno alcune di queste informazioni dovrebbero essere rese pubbliche in qualche modo e questa mancanza ha portato un esperto di sicurezza a criticare la mancanza di specifiche del rapporto definendole un “buco nero”.
“Diverse questioni etiche”
Le società di sicurezza chiudono regolarmente gli exploit che vengono utilizzati da governi amici, ma tali azioni sono raramente rese pubbliche. In risposta a questo incidente, alcuni dipendenti di Google hanno sostenuto che le missioni antiterrorismo dovrebbero rientrare nei limiti della divulgazione pubblica; altri ritengono che l’azienda abbia semplicemente messo in atto i suoi diritti e che l’annuncio serva a proteggere gli utenti e rendere Internet più sicuro.
“Project Zero si occupa della ricerca e della correzione delle vulnerabilità 0-day e della pubblicazione di ricerche tecniche progettate per far progredire la comprensione di nuove vulnerabilità di sicurezza e tecniche di sfruttamento in tutta la comunità di ricerca”, ha affermato un portavoce di Google in una dichiarazione. “Riteniamo che la condivisione di questa ricerca porti a migliori strategie difensive e aumenti la sicurezza per tutti. Non eseguiamo l’attribuzione della performance come parte di questa ricerca”.
È vero che Project Zero non attribuisce formalmente l’hacking a gruppi specifici. Ma il Threat Analysis Group, che ha anche lavorato al progetto, esegue l’attribuzione. Google ha omesso molti più dettagli oltre al nome del governo dietro gli hack e, attraverso queste informazioni, i team interni sapevano chi erano gli hacker e i loro obiettivi. Non è chiaro se Google abbia comunicato in anticipo ai funzionari governativi che avrebbe pubblicizzato e bloccato l’attacco.
Ma le operazioni occidentali sono riconoscibili, secondo un ex alto funzionario dell’intelligence statunitense. “Ci sono alcuni tratti distintivi in questo tipo di operazioni che non sono presenti in altre entità … lo si vede nel codice”, ha detto l’ex funzionario, che non è autorizzato a commentare le operazioni e ha parlato a condizione di anonimato. “Ed è qui che penso che entri in gioco una delle dimensioni etiche chiave. Il modo in cui si tratta l’attività di intelligence o l’attività rivolta all’ applicazione della legge sotto il controllo democratico all’interno di un governo rappresentativo legittimamente eletto è molto diverso da quello di un regime autoritario. La supervisione è insita nelle operazioni occidentali a livello tecnico, commerciale e procedurale”.
Google ha scoperto che il gruppo di hacker ha sfruttato 11 vulnerabilità zero-day in soli nove mesi, un numero elevato di exploit in un breve periodo. Il software che è stato attaccato includeva il browser Safari su iPhone, ma anche molti prodotti Google tra cui il browser Chrome su telefoni Android e computer Windows. Ma la conclusione all’interno di Google è stata che chi stava hackerando e perché non è mai così importante come le falle di sicurezza stesse. All’inizio di quest’anno, Maddie Stone di Project Zero ha affermato che è troppo facile per gli hacker trovare e utilizzare potenti vulnerabilità zero-day e che il suo team deve affrontare una dura battaglia per rilevare il loro utilizzo.
Invece di concentrarsi su chi c’era dietro, Google ha deciso di intraprendere un’azione più ampia nell’interesse comune. La giustificazione era che anche se oggi un governo occidentale fosse quello che sfrutta quelle vulnerabilità, alla fine sarnno usate da altri, e quindi la scelta giusta è sempre quella di correggere il difetto oggi.
Una denuncia in tempo reale
Non è la prima volta che un team di sicurezza informatica occidentale ha scoperto hacker provenienti da paesi alleati. Alcune aziende, tuttavia, seguono la politica di non esporre pubblicamente tali operazioni di hacking se sia il team di sicurezza sia gli hacker sono considerati “amichevoli”, per esempio se sono membri dell’alleanza di intelligence “Five Eyes”, che è composta da Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda. Diversi membri dei team di sicurezza di Google sono veterani delle agenzie di intelligence occidentali e alcuni hanno condotto campagne di hacking per questi governi.
In alcuni casi, le società di sicurezza ripuliranno il cosiddetto malware “amichevole”, ma eviteranno di renderlo pubblico. “In genere non attribuiscono operazioni con sede negli Stati Uniti”, afferma Sasha Romanosky, un ex funzionario del Pentagono che ha pubblicato una recente ricerca sulle indagini sulla sicurezza informatica del settore privato. Anche se la situazione di Google appare per certi versi insolita, ci sono stati casi in qualche modo simili in passato.
La società russa di sicurezza informatica Kaspersky è stata presa di mira nel 2018quando ha denunciato un’operazione informatica antiterrorismo guidata dagli americani contro membri dell’ISIS e di al-Qaeda in Medio Oriente. Kaspersky, come Google, non ha attribuito esplicitamente la minaccia, ma tuttavia l’ha smascherata e resa inutile, hanno detto i funzionari americani, il che ha causato la perdita dell’accesso a un prezioso programma di sorveglianza da parte degli agenti e persino la vita dei soldati sul campo.
Kaspersky era già oggetto di pesanti critiche per il suo rapporto con il governo russo in quel momento e la società, che ha sempre negato l’esistenza di un rapporto speciale con il Cremlino, alla fine fu bandita dai sistemi del governo degli Stati Uniti. Anche Google si è trovato in acque simili in passato. Nel 2019, l’azienda ha pubblicato una ricerca su quello che potrebbe essere stato un gruppo di hacker americano, sebbene non sia mai stata fatta un’attribuzione specifica. Ma quella ricerca riguardava un’operazione storica. I recenti annunci di Google, tuttavia, sono stati diversi perché hanno puntato i riflettori su quella che era stata un’operazione di cyber-spionaggio in tempo reale.
Chi viene protetto?
Gli allarmi lanciati all’interno del governo e di Google mostrano che l’azienda è in una posizione difficile. I team di sicurezza di Google hanno una responsabilità nei confronti dei clienti dell’azienda ed è ampiamente previsto che faranno del loro meglio per proteggere i prodotti, e quindi gli utenti, che sono sotto attacco. In questo incidente, è degno di nota il fatto che le tecniche utilizzate abbiano interessato non solo i prodotti Google come Chrome e Android, ma anche gli iPhone.
Mentre diversi team tracciano le proprie linee, Project Zero si è fatto un nome affrontando le vulnerabilità critiche su Internet, non solo quelle trovate nei prodotti Google. “Ogni passo che facciamo per rendere difficile le 0-day, ci rende tutti più sicuri”, ha twittato Maddie Stone di Google, una dei membri più rispettati del team di sicurezza, quando è stata pubblicata l’ultima ricerca.
Tuttavia, sebbene proteggere i clienti dagli attacchi sia importante, alcuni sostengono che le operazioni antiterrorismo siano diverse, con potenziali conseguenze per la vita o la morte che vanno oltre la sicurezza quotidiana di Internet. Quando gli hacker sostenuti dallo stato nelle nazioni occidentali trovano falle nella sicurezza informatica, esistono metodi consolidati per calcolare i potenziali costi e benefici della rivelazione di una lacuna di sicurezza all’azienda interessata. Negli Stati Uniti si chiama “processo di gestione delle vulnerabilità”.
I critici temono che l’intelligence statunitense accumuli un gran numero di exploit, ma il sistema americano è un processo più formale, trasparente ed espansivo rispetto a quasi tutti gli altri paesi della terra, compresi gli alleati occidentali. Il processo ha lo scopo di consentire ai funzionari governativi di soppesare l’equilibrio tra mantenere segreti i difetti per usarli a fini di intelligence rispetto ai vantaggi più ampi di raccontare a un’azienda tecnologica una debolezza per risolverla.
L’anno scorso la NSA ha fatto la mossa insolita di prendersi il merito di aver rivelato un vecchio difetto in Microsoft Windows. Questo tipo di rapporto dal governo all’industria è normalmente tenuto anonimo e spesso segreto. Ma anche se il processo di divulgazione dell’intelligence americana può essere opaco, non tutti gli alleati statunitensi ne mettono in atto uno. In altre nazioni occidentali, processi simili sono più limitati, più segreti o semplicemente informali e quindi facili da aggirare.
“Il livello di supervisione anche nelle democrazie occidentali su ciò che le loro agenzie di sicurezza nazionale stanno effettivamente facendo è, in molti casi, molto inferiore a quello che abbiamo negli Stati Uniti”, ha detto Michael Daniel, che è stato il coordinatore della sicurezza informatica della Casa Bianca per l’amministrazione Obama. “Il grado di controllo parlamentare è molto inferiore. Questi paesi non hanno i rapporti solidi tra agenzie come negli Stati Uniti. Normalmente non sono una persona che si vanta degli Stati Uniti, ma questa è un’area in cui siamo più avanti rispetto ad altre democrazie occidentali”.
Il fatto che il gruppo di hacker colpito dall’indagine di Google possedesse e utilizzasse così tante vulnerabilità zero-day così rapidamente potrebbe indicare uno squilibrio problematico. Ma c’è la preoccupazione che le operazioni informatiche antiterrorismo in tempo reale vengano interrotte in momenti potenzialmente decisivi, senza la possibilità di riavviarsi rapidamente.
“Gli alleati degli Stati Uniti non hanno tutti la capacità di rigenerare intere operazioni con la stessa rapidità di altri giocatori”, ha detto l’ex alto funzionario dell’intelligence statunitense. I timori di perdere improvvisamente l’accesso a una capacità di exploit o di essere individuati da un obiettivo sono particolarmente alti per le missioni antiterrorismo, specialmente durante i “periodi di particolare esposizione”, quando è in corso un grande sfruttamento, ha spiegato il funzionario. È probabile che la capacità di Google di interrompere tale operazione sia la fonte di ulteriori conflitti. “Questo aspetto è ancora qualcosa che non è stato ben affrontato”, ha detto il funzionario. “Le persone si stanno solo ora rendendo conto che qualcuno come Google possa distruggere rapidamente così tante potenzialità”.
Foto: Unsplash
