Quando si chiacchiera di sicurezza informatica, invariabilmente spunta qualcuno convinto che a creare i virus siano le stesse società che producono i software antivirus. È falso, ma la verità non è così lontana da questa diffusissima ipotesi di complotto. In realtà il circuito nella creazione dei virus, nella maggior parte dei casi, segue uno strano percorso che ha caratteristiche piuttosto perverse. Il primo anello di questa catena è rappresentato dalle società di consulenza che analizzano sistemi operativi e software alla ricerca di possibili falle di sicurezza. Il loro scopo è quello di avvisare le aziende produttrici (dietro pagamento) in modo che possano metterci riparo. Tutto questo viene fatto in maniera riservata: le informazioni sulle vulnerabilità individuate vengono rese pubbliche solo quando il produttore ha pronta la soluzione e il relativo aggiornamento. È qui che entrano in gioco pirati informatici e hacker, che utilizzano le informazioni per creare strumenti di attacco e virus. Ovviamente i computer vulnerabili sono solo quelli non aggiornati o che non hanno un antivirus efficace. Purtroppo sono più di quanti comunemente si pensi.

Esiste però un altro caso, che riguarda le cosiddette “vulnerabilità zero-day” (giorno zero), molto più rare. Con questo nome si indicano le debolezze del sistema che non sono ancora state scoperte e per le quali non è pronta alcuna contromisura. Stuxnet, che rappresenta al momento uno degli esemplari di virus più evoluti in circolazione, deve la sua pericolosità proprio all’utilizzo di una vulnerabilità “zero-day”. Per realizzarlo, però, è stata necessaria la collaborazione di servizi segreti statunitensi e israeliani.

Qualche giorno fa, si è diffusa su Twitter la notizia che un gruppo di hacker avrebbe messo le mani su informazioni riguardanti vulenrabilità zero-day che gli permetterebbero di creare virus informatici estremamente sofisticati. La soffiata è stata diffusa tramite un account utilizzato da un hacker vicino ad Anonymous e che annunciava l’hacking dei sistemi di Vupen, una società specializzata in sicurezza informatica con sede in Francia. Secondo quanto riportato sul Web, sconosciuti sarebbero riusciti a violare i suoi sistemi e a mettere le mani sui dati contenuti nei server. La reazione dell’amministratore delegato della società Chaouki Bekrar è stata affidata a un “colorito” messaggio su Twitter che recita testualmente “l’immaginaria storia di una violazione è solo una stronzata, non è successo nulla”. Quale sia la verità è impossibile saperlo. Anche se la notizia fosse vera, una conferma probabilmente non arriverà mai.

Vupen, infatti, non è una società di sicurezza informatica come tutte le altre. Il suo compito è esattamente quello di cercare falle di sicurezza all’interno di sistemi operativi e software, ma tra le sue attività c’è anche quella che sul sito Web dell’azienda viene definita “offensive security”, ovvero strumenti che non servono a proteggere  i computer, ma a infiltrare sistemi informatici altrui. I suoi clienti sono servizi segreti e forze dell’ordine di mezzo mondo, che utilizzano i software della società francese per le loro indagini.

Consultando il sito Web della compagnia si scopre che le sue referenze sono di prim’ordine: qualche mese fa i suoi tecnici si sono aggiudicati la vittoria nel concorso Pwn2Own, la competizione che coinvolge hacker ed esperti di sicurezza di tutto il mondo, facendo breccia in Google Chrome. In pratica si tratta di un costruttore di “cyber-armi” che, normalmente, sono disponibili soltanto per i governi e i servizi militari in grado di assicurarsi i suoi servigi. Ora i prodotti di Vupen potrebbero essere nelle mani di qualcun altro.

Gli hacker che avrebbero messo a segno il colpaccio contro i server Vupen si troverebbero tra le mani 130 vulnerabilità “zero-day” e potrebbero quindi utilizzarle per i loro scopi. Tra questi, c’è anche l’ipotesi della semplice vendita. Secondo le stime che circolano sul Web, le specifiche di una vulnerabilità “zero-day” valgono intorno alle 1.000 sterline (1.500 euro). Ma stiamo parlando di vulnerabilità “base”, ovvero falle di sistema che non assicurano una vera intrusione. La merce pregiata prelevata dai sistemi di Vupen potrebbe invece valere intorno alle 100.000 sterline a pezzo. Facendo quattro conti, si tratterebbe di un “capitale” di quasi 20 milioni di euro. Tutto questo, ovviamente, se le indiscrezioni circolate sul Web corrispondessero a verità.