L’attacco di WannaCry: militarismo contro avidità

Puntare il dito sul recente attacco ransomware WannaCry è iniziato sul serio e non mancano i colpevoli, sebbene la Corea del Nord sia l'obiettivo principale. Ma nel gioco della colpa sono emersi altri candidati alla critica - nientemeno che la NSA e la Microsoft.


A guidare la parata di esperti, sondaggi e dirigenti nel dare un'occhiata alla NSA e ai suoi simili è il presidente di Microsoft, Brad Smith (come ci si potrebbe aspettare, dato che sono stati i computer Windows a essere colpiti nell'attacco - ne parleremo più avanti).

L'offensiva della NSA "colleziona tutto", alimentata dal suo vorace appetito di informazioni, ha portato a "accumulare" debolezze del software. Ha quindi perso il controllo delle sue "armi", con grande dispiacere di Smith e altri. Affidando la situazione alla sicurezza degli armamenti militari, che è attentamente custodito, Smith ha affermato:

"Questo è un modello emergente nel 2017. Abbiamo visto le vulnerabilità memorizzate dalla CIA apparire su WikiLeaks, e ora questa vulnerabilità rubata dalla NSA ha colpito i clienti di tutto il mondo. Ripetutamente, gli exploit nelle mani dei governi sono trapelati di dominio pubblico e hanno causato danni diffusi. Uno scenario equivalente con le armi convenzionali sarebbe l'esercito degli Stati Uniti che avrebbe rubato alcuni dei suoi missili Tomahawk. E questo attacco più recente rappresenta un legame completamente non intenzionale ma sconcertante tra le due forme più gravi di minacce alla cibersicurezza nel mondo di oggi: l'azione nazionale-stato e l'azione criminale organizzata.

Indica un punto, ma ciò non esonera Microsoft in questo casino. Alla base del problema c'è l'accumulazione segreta di debolezze nei sistemi delle società da parte delle agenzie governative, di solito senza avvisare le società in questione di questi difetti. Se così fosse, allora Microsoft (in questo caso) avrebbe potuto riscrivere il suo software per correggere il problema.

Questo non è un caso, va notato. No, è uno sforzo dedicato e concertato per trattenere informazioni preziose da società private (e quindi dal pubblico) in nome della sicurezza nazionale. Questa iniziativa ha un nome: il Vulnerable Equity Process (VEP).

Il VEP intende bilanciare i vantaggi ottenuti mantenendo segreta una data vulnerabilità del software, rispetto ai potenziali rischi per il mondo in generale. Questo, a proposito, sembra essere un'immagine speculare di programmi meno formali, in base ai quali il governo ha rifiutato di perseguire convinzioni - e lasciare che i colpevoli camminino - piuttosto che rivelare i dettagli dei suoi affari segreti (in particolare nei casi di Stingray). In quei casi, il governo non avrebbe divulgato informazioni sui sistemi, per volere del produttore, Harris Corporation.

VEP è più pericoloso e il problema più diffuso rispetto al caso in cui i pubblici ministeri di Stingray lascino cadere le accuse. Quando le agenzie accumulano tali reperti di informazioni, stanno tentando il destino. È come una bomba a orologeria prima che l'informazione fuoriesca da cattivi attori. Washington, a quanto pare, ora è piena di perdite - forse più che mai.

Questo può spiegare l'attacco ransomware WannaCry. I custodi segreti della nostra nazione non sono stati in grado di proteggere le loro armi da artisti del calibro di Shadow Brokers e Wikileaks.

Il deputato della California Ted Lieu (D-CA), chiedendo la legislazione per affrontare la situazione VEP ha detto,

"L'attacco ransomware in tutto il mondo di oggi mostra cosa può accadere quando l'NSA o la CIA scrivono malware invece di rivelare la vulnerabilità al produttore del software."

Questo perché gli strumenti delle agenzie non solo sono stati violati e cooptati, ma sono stati armati contro importanti istituzioni a livello globale, tra cui ospedali, università e società.

C'è abbastanza colpa in questa debacle da aggirare. L'NSA è colpevole di scoprire le vulnerabilità in varie versioni di Windows e di scrivere programmi che consentono alle spie americane di penetrare nei computer che eseguono il sistema operativo Microsoft. Uno di questi programmi, nome in codice ETERNALBLUE, ha permesso a WannaCry di diffondersi in modo rapido e incontrollato come la scorsa settimana. No, l'NSA non ha creato WannaCry, ma la sua negligenza gli ha permesso di percolare.

Successivamente, Microsoft è colpevole, per aver consentito a milioni di utenti di utilizzare software obsoleti (alcuni della durata di 15 anni) e non aver indicato che questi utenti di vecchi software sarebbero vulnerabili alle nuove realtà. Infine, non possiamo trovarci (proprietari di computer e amministratori IT) senza colpa, per non mantenere aggiornato il software.

Naturalmente, dati i sistemi operativi scadenti di Microsoft, la sua scrittura di codici non sicuri e la caduta del supporto per le versioni precedenti di Windows ancora ampiamente utilizzate, la nostra negligenza è comprensibile. E così va il gioco della colpa.

È quasi una situazione di stallo, nella misura in cui le forze dell'ordine e i tipi di spia vogliono continuare a sviluppare armi nell'ombra, e aziende come Microsoft vogliono vendere prodotti, il che significa in avanti e verso l'alto, senza prestare molta attenzione a ciò che è accaduto prima. Chiamalo militarismo contro massimizzazione del profitto.

Qual'è la tua opinione? Dove stai? Ritieni che l'NSA abbia la precedenza sulle priorità di sviluppo per dissuadere gli avversari dalla privacy e dalla sicurezza del cittadino comune? O pensi che il pendolo abbia oscillato troppo verso la sicurezza nazionale a tutti i costi? Un'altra domanda importante da considerare: proprio dove si trova il cittadino medio in quella che sembra essere una corsa infinita verso il basso?

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me