Ho installato sui miei dispositivi un software per il “parental control”, controllo genitoriale, che non ha nulla da invidiare ai malware usati per lo spionaggio digitale. Ecco tutto quello che è riuscito a sapere di me. Non c’è stato bisogno di setacciare il deep web, la parte nascosta di internet a cui si accede tramite Tor, il sistema di comunicazione anonima. Né di rivolgersi a un’agenzia investigativa specializzata. È bastata una semplice ricerca su Google. Un’ora di lavoro e voilà: su due miei dispositivi, un pc e uno smartphone, ho installato un malware, cioè un programma malevolo in grado di monitorare le mie attività quotidiane. Perché il cyberspionaggio non è solo a portata di Hacking Team, la nota azienda milanese che confeziona dei sofisticati sistemi spia per i governi. Al contrario, la sorveglianza fai-da-te è meno complessa di ciò che solitamente pensiamo. Del resto, la cronaca sembra dimostrarlo: pare che Eye Pyramid, virus che ha infettato i computer di politici, banchieri e imprenditori, fosse tutt’altro che complesso.
Tipi di malware. Fare delle stime precise è un’utopia, dato che non si tratta di un mercato regolamentato. Ma in Rete si trovano centinaia di trojan “cattivi”. Basta dragare un po’ i forum, fino a trovare il link giusto. Tantissime le varianti, però in generale sono tre le categorie distinguibili: i malware utilizzati a scopi criminali, quelli creati a fini investigativi, e altri sfruttati per il cosiddetto “parental control”, controllo genitoriale. Ho scelto uno dei tanti software appartenenti all’ultima tipologia proprio per facilità d’acquisto e uso: vengono persino pubblicizzati come dei sistemi efficaci per il monitoraggio dei propri figli.
Un Rat – strumento di amministrazione remota – non molto bravo a mimetizzarsi, cosa che invece i sistemi professionali fanno più o meno bene. Chi un po’ capisce di tecnologia ha buone probabilità di scoprirlo. Tuttavia, a livello di potenzialità non ha nulla da invidiare ai suoi parenti che servono a spiarci. Ed è utile per avere un’idea di quali informazioni questi mostriciattoli siano in grado di carpire una volta che infettano cellulare e computer.
L’acquisto. Il primo passo è stato l’acquisto della versione premium del software: 30 dollari per tre mesi che, in teoria, mi permettono di controllare fino a dieci dispositivi. In pratica, lo uso solo per il mio MacBook Pro e il mio Huawei Mate S. Poi l’installazione: più semplice del previsto, anche se per sicurezza mi sono fatta aiutare da un informatico (io non lo sono). Fila liscia sul Mac: scarichiamo il programma, lo avviamo, lo nascondiamo, e lo lasciamo funzionare in sordina. Qualche difficoltà in più la dà Android. Nulla di irrisolvibile, in meno di mezz’ora il gioco è fatto. Tutti i dati che il malware raccoglie da questo momento in poi finiscono in un database cloud, sulla nuvola. Praticamente, devo inserire le credenziali fornite al momento della compera su un sito: qui posso vedere quel che viene catturato.
Che cosa ha saputo di me. Apy kid, come ho soprannominato il mio amico dalle orecchie e gli occhi grandi, mi ha fatto compagnia per oltre un mese. È venuto con me a Fes, in Marocco, agli appuntamenti di lavoro, alle feste. Ovunque. Ho deciso di guardare per la prima volta che cosa accumulava della mia vita dopo due settimane. Ciò che mi ha subito colpita: le foto immortalate in automatico dalla webcam del pc, sia a ogni riavvio che in svariati momenti della giornata. Io che guardo assorta lo schermo, io che mangio, io che mi asciugo i capelli. Io in biancheria intima. Stop: ho immediatamente deciso di mettere un adesivo nero per “proteggermi dalla cam”. La geolocalizzazione ha fatto cilecca sullo smartphone, meno male. Ma non sul computer: sa sempre dove sono.
Altra settimana, altra sbirciata. Vedo le istantanee scattate con il cellulare, il contenuto di molti messaggi spediti, delle chat su Facebook e WhatsApp. Non solo: pure diverse bozze di testi scritti e poi non inviati. L’orario delle chiamate ricevute, effettuate, e verso quali numeri. Ascolto l’audio registrato durante la telefonata: si sente solo la mia voce, flebilmente quella dall’altra parte della cornetta. Ci sono gli screenshot dello schermo del Mac, c’è quanto tempo sono stata online (troppo), su quali siti (Repubblica.it in cima alla classifica), per quanti minuti. Ovviamente c’è ogni ricerca sul web. In sintesi: ad Spy kid non è sfuggito quasi nulla.
Vulnerabilità. Certo, il programma in questione non è il massimo se si vuole sorvegliare una persona a sua insaputa. Ma “trovare software migliori e che si autoinstallano dopo un click, come quello usato da Occhionero per esempio, non è affatto più ostico”, ci spiega Simone Margaritelli, hacker e analista di malware. Ugualmente elementare è infettare qualcuno. “La maggior parte di questi sistemi non si basa su attacchi sofisticati, è puro spear phishing: basta una settimana per raccogliere notizie sulla vittima, come la rete di contatti e le sue informazioni reperibili sui social, per poi mandarle delle email che risultano plausibili e indurla così a cliccare su qualcosa che infetterà lo smartphone/pc”. Pratiche quotidiane per proteggersi: “Non aprire file sconosciuti, non lasciare i propri dispositivi incustoditi, dotarsi di un buon antivirus, evitare password troppo semplici, cambiarle spesso, aggiornare sempre il sistema operativo”, conclude Margaritelli.
Rischi legali. Ma se un fidanzato installa un malware del genere sul pc della propria ragazza commette reati? “Sì”, avverte l’avvocato Stefano Aterno. “Se il programma è impiegato sfruttando tutte le sue potenzialità si incorre in: accesso abusivo a sistema informatico, sottrazione di posta elettronica, trattamento illecito dei dati personali, intercettazione
abusiva di comunicazioni telefoniche e telematiche. Spesso – prosegue Aterno – scatta una misura cautelare, ai domiciliari o in carcere. E, se in dibattimento viene provata la responsabilità, la pena detentiva può variare da un anno/un anno e mezzo fino a tre anni”.
Lascia un commento