Apple e Amazon smentiscono Bloomberg. Ma il pericolo dei ‘microchip spia’ resta reale
CommentiL’unico colpevole finora è Bloomberg. Si scherza, è ovvio, ma quando qualche giorno fa il settimanale BusinessWeek del colosso di informazione finanziaria ha tirato fuori la notizia dei “microchip spia”, è scoppiato il caos.
Diciassette fonti, rigorosamente coperte dal segreto professionale e dalla bocca cucita di chi ha realizzato lo scoop, hanno dichiarato che una trentina di aziende importanti e parecchie agenzie governative americane sono state oggetto di scorrerie informatiche da parte dei servizi segreti cinesi. Il “turismo” nei gangli delle reti telematiche sarebbe stato agevolato da microprocessori predisposti ad hoc e piazzati sulle schede madri di apparati Amazon e Apple adoperati da ignari utenti di rango.
È la storia, trita e ritrita, del “chipping” ovvero della tecnica di manipolazione dei processori direttamente in fabbrica per condizionare server, computer, tablet e smartphone fin dalla loro nascita. I dispositivi informatici con a bordo un chip “bacato” intenzionalmente dal costruttore finiscono con il fare cose all’insaputa e contro la volontà di chi li utilizza e possono anche non limitarsi ad agevolare il furto di dati.
Lo spettro infatti di questa tecnica è la paralisi sincrona di tutti gli apparati che basano il loro funzionamento su quel microchip, magari programmato per guastarsi puntualmente in una certa data, oppure al verificarsi di un determinato evento (lo scrivere una frase o il compiere una specifica azione) o ancora a fronte di una precisa sollecitazione o ordine che arriva via Internet da chi dispone degli strumenti per farlo.
Niente di nuovo. È faccenda ben conosciuta dagli addetti ai lavori che quando ne parlano incrociano il sorriso degli interlocutori increduli e addirittura dubbiosi sulla stabilità mentale di chi racconta la questione. A testimonianza della vetustà dell’angosciante problema se ne può trovare traccia in libri ormai fuori commercio: Roberto Di Nunzio e io ne abbiamo scritto a pagina 211 di Cyberwar, la guerra dell’informazione edito da Buffetti nel 1996 e a pagina 219 di Le Nuove Guerre pubblicato da BUR-Rizzoli nel 2001.
Ad ogni buon conto Aws (Amazon web services) e Apple hanno rapidamente gettato acqua sul fuoco, assicurando che le rivelazioni di Bloomberg BusinessWeek non trovano alcun riscontro concreto. Il National cyber security centre, articolazione specializzata del ciclopico Grande Fratello britannico GCHQ (il leggendario General Communications HeadQuarter), ha tenuto a far sapere che non si nutre alcun dubbio sulle dichiarazioni dei fornitori di hardware che Bloomberg addita come “pericoloso”. L’agenzia di stampa Thompson Reuters ha raccolto anche quel che bolle in pentola negli uffici del dipartimento statunitense di Homeland security: la consapevolezza di un simile rischio è accompagnata dal non aver alcun motivo di confutare l’attendibilità delle rassicurazioni di AWS e Apple.
È fin troppo naturale che si cerchi di riportare la calma, ma è altrettanto evidente la necessità che si arrivi presto a eradicare questo genere di preoccupazione. Il pericolo è fuori discussione e forse vale la pena cominciare a trovare idonee contromisure. Gli apparati informatici destinati ad assolvere funzioni critiche dovrebbero essere sottoposti a test viscerali: le tecniche di “reverse engineering” possono aiutare a scoprire cosa c’è davvero dentro le scatole che ospitano i circuiti elettronici, mentre l’installazione di appositi “filtri” può consentire di rilevare operazioni “strane” o quantomeno anomale ed impedirne l’esecuzione.
Le nuove guerre. Dalla Cyberwar ai Black Bloc, dal sabotaggio mediatico a Bin Laden
Evitare lo spionaggio (sia questo industriale, commerciale, militare, politico) è faticoso ma può rappresentare un obiettivo perseguibile (purché ci si rimbocchi le maniche senza perdere altro tempo). Il problema di un possibile “colpo apoplettico”, programmato ad arte dal produttore del chip, resta invece sul tavolo. Il grattacapo è di dimensioni enormi e impone un intervento istituzionale anche da noi perché sarebbe sgradevole leggere in futuro che qualcosa di analogo ha riguardato sistemi informatici pubblici e privati italiani.
Dalle chiacchiere (e ormai non si fanno nemmeno più quelle) si deve passare ad azioni rapide e concrete. Non può prevalere il confortante pensiero del “tutto è bene quel che finisce bene”. In primo luogo non è finito nulla e poi non è detto che finisca bene.
