Scoperta una nuova vulnerabilità su WhatsApp e qualcuno, si dice la nota azienda israeliana produttrice di sistemi di sicurezza NSO Group, ha trovato il modo di sfruttarla per installare uno spyware su dispositivi IoS e Android. Nulla di nuovo sotto il sole, e così tutti continuano a preoccuparsi per la ragione sbagliata. Lo spionaggio tra Stati, aziende e persone è vecchio quanto il mondo e con l’avvento delle tecnologie dell’informazione i novelli James Bond hanno abbandonato la Walter PPK a favore della tastiera.
Anche questa vicenda sembra rientrare in un ambito del genere dato che da Facebook fanno sapere che l’infezione ha riguardato pochi utenti, e che perciò si è trattato di un attacco mirato. Quindi stiamo assistendo a un “banale” caso di spionaggio per il quale il comune cittadino dovrebbe sentirsi più indignato che in ansia. Viceversa, quello che dovrebbe suscitare una certa angoscia è il costante aumento delle vulnerabilità e dei conseguenti strumenti per colpire i sistemi ovvero i malware, che di solito sono composti da due componenti: il vettore e il carico attivo, tecnicamente il “payload”.
Quando si parla di nuovi malware il riferimento è di solito alla parte di “trasporto”. Essa sfrutta la vulnerabilità per fare in modo che il carico attivo raggiunga l’obiettivo e produca i suoi effetti. Se volessimo paragonarlo a un oggetto reale, si può pensare a un missile intelligente che può trasportare una testata nucleare, convenzionale o chimica indifferentemente. Un mezzo di questo tipo, nelle mani sbagliate, potrebbe essere utilizzato con finalità distruttive o letali. Cosa accadrebbe se penetrasse nei sistemi di una banca compromettendo i dati dei conti correnti o degli investimenti? Quale sarebbe il destino dei pazienti di un laboratorio di analisi se modificasse arbitrariamente i dati delle analisi? In entrambi i casi si tratterebbe di disastri (direi più il secondo del primo).
A tutto questo si aggiunge un elemento tutt’altro che trascurabile. Per disporre di un singolo missile intelligente ci vuole più o meno un milione di dollari, al contrario una vulnerabilità può costare appena qualche migliaio di dollari, e per giunta partendo da esse si possono creare un numero infinito di “missili virtuali” a costo zero.
Indignarsi di qualcuno che potenzialmente potrebbe spiarci, e non preoccuparsi che qualcun altro possa ucciderci, lo trovo piuttosto stravagante.