Lo scandalo "Pegasus".

Ho visto di sfuggita , mentre ero in Italia limitato da un 4G che non e' un vero 4G se non sulle statistiche, dello scandalo Pegasus. Dico di sfuggita perche' avendo solo la TV per pochi giorni, quando ero dai suoceri, se ne e' accennato solo per nascondere il fatto.

Adesso che ho di nuovo una connessione mi sono messo a cercare, e ho capito cosa sia successo.

Allora: il nome "Scandalo Pegasus" e', come al solito, e' sbagliato. Sarebbe come dire che lo scandalo di una prostituta ninfomane sia di aver fatto sesso con un certo Beppe Rossi, e chiamarlo "Scandalo Beppe Rossi".

No, non funziona cosi'. E lo scandalo "Pegasus" dovrebbe chiamarsi "Scandalo Google", o "Scandalo Apple", a seconda.

Pegasus, di per se', e' uno dei tanti software venduti ai governi, che sono capaci di infettare i vostri cellulari e prendersi, direttamente dalla sorgente, i vostri dati. Sin qui tutto bene, pochi mesi fa, anche in Italia , si discusse della possibilita' (per le forze dell'ordine) di installare dei "Trojan di stato", il che vi fa capire (viste le capacita' informatiche dello stato: chi lavorerebbe per uno stipendio da poliziotto quando sa fare un trojan?) che esista un fiorente business di questi prodotti.

Ma questo e' proprio il punto: come e' possibile promettere che una vulnerabilita' rimanga al suo posto?

Cioe', immaginate la scena: lo stato compra un trojan horse. Lo installa in una rete di mafiosi, e comincia ad ascoltarli. Visto che c'e' il "fumus", mette degli infiltrati. Improvvisamente, Google fa un upgrade e il trojan smette di funzionare: il buco alla sicurezza (grazie al quale il trojan funziona) si e' chiuso.

Si, e' vero che possiamo cercarne altri e costruire un altro trojan, ma alla fine abbuiamo tre agenti infiltrati che si sono infiltrati in un pilastro di cemento armato e un'inchiesta da buttare.

Quindi la domanda e': come garantiamo che il prodotto funzioni? Cioe', siete israele e avete infiltrato i fisici iraniani che lavorano alla bomba atomica. Improvvisamente esce un antivirus che becca il trojano e lo disattiva. Magari per sbaglio. Che facciamo? Aspettiamo che Tel Aviv faccia bum? Speriamo di avere un'altra backdoor per domani? E se non arriva domani ma la settimana prossima?

Capite bene che se vogliamo usare questa roba per questioni "mission critical", occorre un qualche tipo di QA. Cioe' di Quality Assurance. Non puo' succedere che un governo perda un'intera rete di intercettazioni solo perche' Avast fa un update. Non ha senso. E se pensate che Avast sia un'esagerazione , immaginate un'azienda come McAfee , diretta da un personaggio (appena defunto) come John McAfee: quanto potevate davvero controllare un personaggio del genere?

Allora, torniamo al punto: come funziona?

Funziona che Google e Apple e tutti quanti (tranne chi non lo fa, come Huawei, e allora viene emarginato) si IMPEGNA a tenere attive alcune backdoor, e quando le chiude SI IMPEGNA coi governi (perche' esistono delle leggi che lo impongono) a tenere aperte alcune "backdoor".

Usando queste backdoor, i sistemi di spionaggio, (trojan, malware diversi ed altro) riescono sempre a penetrare un dato cellulare con il margine di certezza che serve per queste operazioni.

Tutto cio' e'  possibile perche' l'esistenza delle backdoors e' GARANTITA DAL PRODUTTORE.

Non si tratta quindi di uno scandalo "Pegasus", ma di uno scandalo "android", di uno "scandalo IOS", eccetera.

Cioe' di uno "scandalo google" o di uno "scandalo Apple".

La verita' e' che un servizio telco non puo' andare live ed essere venduto se non si garantiscono delle backdoor alle forze dell'ordine. E la verita' e' che il vostro Apple versione sarcazzo puo' essere venduto SE E SOLO SE il governo puo' entrarci.

Una volta inserite queste "porte segrete" per entrare nel vostro cellulare, il secondo problema e': per quanto tempo queste porte segrete rimarranno segrete?

Probabilmente per alcuni mesi. Sia le aziende produttrici che i governi hanno dei turnover, e non puoi riformattare il cervello di un tizio solo perche' si e' licenziato oppure e' andato in pensione.

Di conseguenza, subito dopo aver creato, che so io, le backdoor per il nuovo OSX o per il nuovo Android, passano un paio di mesi e lo know-how e' gia' arrivato alle aziende che producono questi trojan, attraverso quei mercati ove si comprano gli zero-day.

MA, ripeto, il problema e' l'origine: niente di tutto questo sarebbe davvero possibile se i produttori non obbedissero all'obbligo legale di inserire delle backdoor nei cellulari.

Finira' mai questo fenomeno? In assenza di competizione, ovviamente no.

Potete prendere come riferimento, oltre alla questione RISC-V, notizie come questa:

Russian Company Tapes Out 16-Core Elbrus CPU: 2.0 GHz, 16 TB of RAM in 4-Way System
MCST’s Elbrus-16C contains 12 billion of transistors and hits 750 GFLOPS FP64

questa ormai chiara complicita' dei produttori con le "case produttrici di software di spionaggio" sta spingendo tutti i paesi all'indipendenza informatica. Prima lo ha fatto la Cina , poi arriva un paese come la Russia, che e' molto piu' piccolo, e si fa il suo processore.

Questa corsa all'indipendenza riguarda anche il mobile:

Android 10 ported to homegrown multi-core RISC-V system-on-chip by Alibaba biz, source code released
AOSP effort could help bring GUIs to industrial, IoT, embedded gear

E ovviamente, oltre server e mobile, anche i desktop:

World’s First Desktop PC RISC-V Board Meets AMD Radeon RX 6700 XT
Gaming on RISC-V?

Manca poco tempo all'indipendenza del silicio di ogni blocco geopolitico ; dopodiche' si passera' al software.

Questo ovviamente ridurra' i paesi europei a decidere da chi farsi spiare, oppure costruire il proprio silicio prima, e il proprio software dopo.

Perche' prima o poi sara' chiaro, e sara' detto, che i cellulari cinesi e quelli russi sono stati IMMUNI da "Pegasus", e qualche domanda se la faranno anche i piu' stupidi.

Loweel

Loweel