Il commento del VP Security Engineering di Barracuda Networks all’ultimo scandalo del ‘furto’ di documenti

President George W Bush visits CIA Headquarters, March 20, 2001.

Tre giorni fa WikiLeaks ha pubblicato “Vault 7”, una raccolta di quasi 9mila documenti sottratti alla CIA che dimostrano le sue capacità di violare i sistemi di sicurezza di computer, smartphone e persino di televisori e altri oggetti collegati a Internet per ottenere dati e intercettare le conversazioni ambientali.

“Le rivelazioni di Wikileaks su “Vault 7” hanno suscitato parecchio scalpore – commenta Slawek Ligier, VP Security Engineering di Barracuda Networks -. Da un punto di vista tecnico, tuttavia, non c’è nulla di particolarmente nuovo: si sapeva da tempo che molti degli “exploit” – i programmi che servono per sfruttare un bug o una vulnerabilità – fossero tecnicamente possibili. Non è un caso che il Presidente degli Stati Uniti usi un cellulare con disabilitate gran parte delle funzionalità che noi diamo per scontate: videocamera, microfono, browser.

Anche se non esiste un modo sicuro al 100% per garantire che i nostri dispositivi non vengano trasformati in piccole spie, ci sono cose che tutti noi, come società, dovremmo fare per rendere più difficili episodi come questo. A cominciare con introdurre l’obbligo di informare i fornitori dei dispositivi quando le vulnerabilità vengono scoperte.

A mio parere, la cosa più inquietante che emerge dal report di Assange è che le agenzie di Intelligence – e non solo la CIA – sembrino più interessate a scoprire e accumulare vulnerabilità per un prossimo exploit piuttosto che a lavorare con i fornitori per risolvere il problema.

Se la CIA è a conoscenza di uno specifico exploit, ci sono buone possibilità che anche MI6, FSB, MSS e il Mossad lo siano. Non fare nulla per risolvere le vulnerabilità sperando di essere gli unici a poterle sfruttare in futuro mette tutti quanti noi a rischio. Una “responsible disclosure”, ovvero il rendere pubblici i bug dei sistemi per incentivare il lavoro degli sviluppatori a proporre possibili soluzioni, è l’unico modo davvero efficace per risolvere il problema.

E gli utenti cosa possono fare per ridurre al minimo le possibilità di essere spiati attraverso i loro dispositivi? Ecco alcuni semplici consigli che vale la pena ribadire:

– Non effettuate il root o il jailbreak del vostro telefono
– Aggiornate i vostri dispositivi con l’ultima versione del firmware, specialmente se l’aggiornamento contiene fix per la sicurezza
– Scaricate le app solo dagli store legittimi, iTunes o Google Play
– Fate attenzione quando aprite gli allegati o cliccate sui link nei messaggi email. Assicuratevi che la vostra azienda disponga di valide soluzioni di sicurezza, comprese funzionalità di protezione avanzata dalle minacce. Oltre il 90% degli attacchi parte dalle email.
– Non navigate in siti che non conoscete e accertatevi che siano protetti: controllate sempre che ci sia l’icona con il lucchetto. Se avete dubbi, abbandonate il sito.

In conclusione, è necessario che l’interesse delle agenzie governative sia focalizzato sulla risoluzione delle vulnerabilità note nei prodotti presenti sul mercato piuttosto che sul loro accumulo per potenziali usi futuri. Come consumatori, abbiamo tutti la responsabilità di far sì che non sia così facile compromettere i nostri dispositivi. Dobbiamo collaborare per proteggere i vantaggi che Internet offre a tutti noi e assicurare che non vinca il lato oscuro”.