Luigi Auriemma, 32 anni, e Donato Ferrante, 27, hanno fondato ReVuln, l'unica azienda di due connazionali che opera nel mercato delle "zero days vulnerabilities". E i loro servizi vengono utilizzati anche dalla Nsa. "La vicenda Snowden? Quella che sembra un'invasione della privacy può essere un modo per garantire la sicurezza"
Anche una minima falla in un programma di gestione della mail può diventare una porta attraverso cui violare i sistemi di sicurezza di uno Stato e metterlo in ginocchio: “Basta anche solo un banale software vulnerabile per compromettere un intero sistema”. Nel mondo sempre più interconnesso dalla rete, c’è chi quelle falle le va a cercare e le vende al miglior offerente. Luigi Auriemma, 32 anni, e Donato Ferrante, 27, non riveleranno mai chi sono i loro clienti. ReVuln, l’azienda che hanno fondato a Malta, è specializzata nell’individuare i bug presenti in software e hardware di larghissimo uso (come quelli firmati Microsoft, Apple o Samsung) o in sistemi informatici molto più complessi, e nel rivenderli: tra gli organismi che acquistano il tipo di servizi che loro offrono ci sono agenzie come la National Security Agency al centro dello scandalo Datagate, governi, multinazionali.
Una guerra fredda silenziosa, basata su un mercato in piena crescita in cui gli Stati pompano milioni per conoscere i segreti e le debolezze informatiche dei nemici. Si chiamano zero days vulnerabilities, sono le falle presenti in linea teorica in tutti i prodotti digitali connessi alla rete: una volta individuate, i gestori hanno meno di un giorno per risolverle prima che il sistema diventi attaccabile. Se fino a qualche anno fa gli hacker le segnalavano gratis alle case produttrici, oggi le vendono, anche agli Stati: Israele, Regno Unito, India, Russia e Brasile sono i paesi che investono di più, scrive il New York Times. Tra i fornitori di servizi in questo mercato dominato dalle start up Usa c’è ReVuln, l’unica italiana: “Riguardo la vendita di vulnerabilità di sicurezza non siamo a conoscenza di altre aziende simili”, racconta Auriemma al fattoquotidiano.it. I loro clienti, si legge sul sito della compagnia, sono i paesi membri della Nato o dell’Asean, agenzie di sicurezza, multinazionali, aziende del Fortune 1000. E l’Italia? “Non possiamo fornire questo tipo di informazioni”, spiegano. In un mondo in cui le vite della gente comune sono regolarmente spiate come dimostra il Datagate, le ragioni dell’etica si sovrappongono sempre più a quelle della difesa della sicurezza: “Nel nostro caso – continua Auriemma – le vulnerabilità sono utilizzate per difesa da chi usa prodotti che possono essere un potenziale target di attacco e dalle aziende che creano firme per i propri prodotti di sicurezza o forniscono bollettini sul tema”.
Gli allarmi sulla privacy, secondo i fondatori di ReVuln, hanno poca ragion d’essere: “Non essere a conoscenza di un problema di sicurezza non lo risolve. L’unico modo per essere sicuri è essere informati”. Ovviamente il meccanismo funziona anche al contrario: quando uno Stato è a conoscenza di una falla nel sistema di un paese nemico può utilizzarla per attaccarlo. E’ ciò che è avvenuto in Iran nel 2010: gli Usa riuscirono ad inoculare il virus Stuxnet nel sistema informatico della centrale nucleare di Natanz, allo scopo di comandare da remoto la velocità di rotazione delle turbine e danneggiarle. Per entrare nel sistema gli informatici statunitensi avevano sfruttato 4 vulnerabilità di Windows all’epoca non ancora scoperte. Lì nacque il mercato delle “zero days“. Un mercato in espansione in cui i prezzi salgono velocemente. I bug individuati dalla statunitense Netregard costano in media tra i 35 mila e i 160 mila dollari. E ora anche i giganti dell’IT cominciano ad investire: Google e Facebook li pagano fino 20 mila dollari, il mese scorso Microsoft ne ha offerti 150 mila. Ma i bug possono influire anche sulle vite delle persone comuni.
“Oggigiorno facciamo un uso notevole della tecnologia – spiega Auriemma – sia essa il computer, il telefonino o la tv. Una vulnerabilità in tali dispositivi può quindi dare accesso ad una parte della vita privata e delle informazioni di una persona, un’azienda o un governo”. Nel dicembre 2012 Auriemma ha scoperto un flaw in un diffuso modello di smart tv prodotto da Samsung: l’informatico italiano ha dimostrato come a causa del difetto sia possibile non solo rubare i dati di navigazione ma entrare nel cervello della tv e usarla da remoto, arrivando a comandare webcam e microfono per spiare ciò che fanno i proprietari dell’apparecchio nel loro salotto. Dalle case della gente comune, ai sistemi di sicurezza degli Stati. Una realtà parallela in cui il Datagate ha tutta l’aria di essere solo la punta dell’iceberg: “La vicenda Snowden? Quella che viene vista come un’invasione della privacy può essere davvero un modo per garantire la sicurezza dei cittadini. Ad esempio le telecamere nei negozi e nelle strade possono essere considerate invasive, ma sono un ottimo deterrente contro i crimini”.