Il tuo telefono ti spia?

Cinque domande a Corrado Giustozzi, esperto di sicurezza, per capire come funziona lo spionaggio telefonico, come accorgersi di essere spiati, come difendersi.

_your-phone-is-watching-you

Le rivelazioni di Edward Snowden sulle attività della Nsa (National security agency, Usa) da un lato, le insinuazioni americane sullo spionaggio cinese e russo dall'altro alimentano le paure di un mondo che si scopre orfano della privacy (vedi il video). Che la minaccia arrivi da oriente o da occidente, è forte il sospetto che i nostri cellulari - in particolare gli smartphone - possano essere attivati da remoto (da lontano e da qualcun'altro), senza che nemmeno ce ne accorgiamo, per inviare dati di vario genere: di geolocalizzazione (dove siamo), di traffico telefonico (con chi parliamo e per quanto), di traffico web (quali siti visitiamo) e via dicendo.
 
Abbiamo chiesto a Corrado Giustozzi, esperto di sicurezza delle informazioni e membro dell'Enisa, l'Agenzia europea per la sicurezza delle reti e dell'informazione, come questo accada e che cosa si può fare per difendersi.

Come si fa spionaggio telefonico?

Il modo più semplice è avere la collaborazione del gestore telefonico, soggetto a cui arrivano le informazioni dagli utenti. In Italia la magistratura, per le intercettazioni giudiziarie, opera così, rispettando ovviamente una procedura prevista per Legge. Negli Stati Uniti la Nsa è sospettata di aver preso, quando non estorto, accordi sottobanco con gestori telefonici e social network per avere accesso ai loro dati di traffico (vedi Gli Stati Uniti spiavano Cina e Hong Kong, NdR). Non tutti sono ovviamente coinvolti allo stesso modo in questa vicenda, alcune mie fonti sostengono che ad esempio Facebook sia molto scrupoloso nel difendere i dati degli iscritti.

Cellulari e smartphone possono essere modificati per spiarci?

Questa opzione è più complicata, perché si deve installare materialmente una backdoor (speciali software che garantiscono l'accesso aggirando le procedure di sicurezza, NdR) nel sistema operativo del cellulare, non rilevabile dall'utente. Attraverso questa "breccia" è possibile accedere a tutte le funzioni del telefono senza che il proprietario si accorga di nulla. In questo caso è più facile immaginare che la Nsa (o altri) ottenga da una certa azienda che la backdoor sia installata già in fase di produzione su tutti gli apparecchi, piuttosto che non un intervento selezionato solo su alcune partite di apparecchi. Tra gli addetti ai lavori si ritiene che negli anni '90 Windows si prestasse a operazioni di questo genere. L'intrusione è possibile anche se l'azienda decide di lasciare una vulnerabilità nel software conosciuta solo alla Nsa e che solo lei può quindi sfruttare. Il Nist (National Institute of Standards and Technology) americano è stato di recente coinvolto in uno scandalo per aver consigliato l'utilizzo di un certo algoritmo per la crittografia (il Dual_EC_DRBG, NdR), definendolo sicuro, in cui si è poi scoperto che la Nsa aveva inserito una backdoor.

Lo spionaggio è possibile anche senza backdoor o accordi coi gestori?

Assolutamente sì. In questo caso il sistema operativo del telefono viene infettato, come da un comune virus, e da quel momento inizia a trasferire informazioni. Un metodo semplice è quello di creare app divertenti e gratuite, e mentre l'utente gioca il cellulare viene sfruttato per fare altro: avere accesso alla rubrica, alle mail, ai dati di traffico eccetera. Alcuni documenti di Snowden coinvolgono il popolare gioco Angry Birds, anche se il produttore, Rovio, nega ogni coinvolgimento.

Ci si può difendere dalle backdoor?

Se il sistema operativo del telefono contiene una backdoor, per l'utente normale è impossibile scoprirlo. Allo stesso modo se la Nsa, o altri, prendono di mira proprio me, è quasi impossibile sfuggire. Il che crea dei gravissimi problemi quando un'agenzia di intelligence si mette a fare, per esempio, spionaggio industriale contro privati stranieri a favore delle proprie aziende nazionali. Anni fa il Parlamento europeo prese duramente posizione contro Echelon, il grande occhio con cui gli Usa osservano il traffico mondiale di e-mail, per aver sfruttato le informazioni raccolte per favorire la compagnia americana Boeing a discapito di quella europea Airbus in una trattativa commerciale con l'Arabia Saudita.

In quali casi ci si può proteggere?

È possibile difendersi se chi è interessato alla raccolta di dati fa una specie di pesca a strascico diffondendo malware tramite app, mail o siti internet. Per evitare di finire nella rete basta adottare comportamenti igienici: non scaricare giochini sui social network, non scaricare applicazioni che non siano certificate, non cliccare su un link senza aver verificato la reale pagina dove porta, non aprire allegati di mail sospette, installare difese attive, come ad esempio una crittografia personalizzata per le proprie mail importanti. Poi, ovviamente, è bene avere un antivirus anche sul proprio smartphone. Spesso lo si dimentica, ma i cellulari oggi sono molto più simili a computer che a telefoni.

11 Febbraio 2014 | Tommaso Canetta