Se serve un dato che sottolinei in modo chiaro quanto lo spyware commerciale sia diventato un rischio per tutti, è questo: i produttori di spyware nel 2023 hanno sorpassato i threat actor state-sponsored nello sfruttamento delle vulnerabilità dei sistemi operativi, Android in prima fila. Allo spyware commerciale è stato infatti collegato il 75% degli exploit zero-day catalogati da Google per Android e il 41% di tutti gli exploit in generale.

Quello dello spyware commerciale, si sa, è un vero e proprio ecosistema formato da software house e da diverse altre entità che operano in parte nella legalità, in parte in aree grigie dove non è semplice individuare azioni realmente illegali – anti-etiche certamente, ma quella è un’altra storia – e nemmeno una precisa catena di comando e di responsabilità. Operare in maniera poco trasparente, d’altronde, per queste aziende è opportuno e spesso necessario.

Di spyware o stalkerware commerciale se ne parla almeno da un decennio, ma prevalentemente come problema legato al rispetto dei diritti umani e della libertà di espressione in nazioni i cui Governi non amano gli oppositori (e ce ne sono anche in Europa, senza andare troppo lontano). O se ne è parlato in casi eclatanti in cui lo spyware è stato usato da alcune agenzie governative per spiare esponenti di altre nazioni, amiche o nemiche. Perché ora l’argomento dovrebbe essere di interesse anche per i “semplici” CISO aziendali?

Le ragioni possono essere diverse, spiega Brian Honan, esperto di cybersecurity che è stato consulente di Europol e di Enisa e anche fondatore del primo CERT irlandese. Innanzitutto, “se i vendor di spyware individuano nuove vulnerabilità e creano i relativi exploit, senza seguire affatto le normali regole di disclosure, nulla vieta che queste informazioni passino anche a normali cyber criminali”.

Ci sono però rischi anche più diretti per le imprese. Il CISO di una grande azienda, magari multinazionale, non può essere sicuro che nessun dipendente sia coinvolto in qualche attività, anche per noi banale, che non lo renda oggetto di sorveglianza, magari tramite uno spyware installato sul telefono o sul computer aziendali. “A quel punto lo spyware è nella rete della nostra azienda – rimarca Honan – e raccoglie informazioni che possono essere sensibili e private dal punto di vista dell’impresa. È per questo che, come mercato, dobbiamo chiedere che gli spyware siano più controllati e sottoposti a normative più severe”.

Un lavoro investigativo

Per limitare i vendor di spyware bisogna però prima identificarli chiaramente. E questo non è mai facile. “Dietro lo spyware in sé c’è un intero ecosistema che dobbiamo considerare nel suo complesso se vogliamo affrontare il problema. Un buon esempio è il consorzio Intellexa, che gli Stati Uniti hanno colpito proprio lo scorso marzo”, spiega Aude Gery, Senior Researcher di Geode - Geopolitics of the Datasphere, il centro di ricerca che l’Università di Parigi ha creato per studiare l’impatto che ha sulla geopolitica la Trasformazione Digitale.

Intellexa ha creato uno spyware – Predator – usato in almeno 25 nazioni ed è in effetti un esempio calzante della struttura a scatole cinesi che adotta chi produce e commercializza spyware. Nominalmente basata a Cipro, Intellexa è in realtà la combinazione di due reti di aziende collegate che, insieme, contano una decina di società dislocate ciascuna in una nazione diversa.

“Dietro Intellexa – spiega Gery - c’è poi una intera supply chain, perché alcune tecnologie e servizi sono sviluppati internamente ma altri vengono acquistati da terze parti, molte delle quali non sono nemmeno note. Identificare questa rete internazionale è molto complesso: bisogna raccogliere dati e informazioni da Paesi e da enti diversi, informazioni che le aziende del network spesso nemmeno rendono pubbliche, preferendo pagare multe piuttosto che essere più trasparenti”.

Questa struttura distribuita e “opaca” non ha solo il fine di evitare scomode investigazioni. Paradossalmente, serve anche a darsi una patente di rispettabilità quando serve. “Avendo sedi anche in nazioni europee, Intellexa ha potuto presentarsi come un’azienda della UE – spiega Honan – e quindi non solo vendere liberamente sul mercato europeo, ma anche presentarsi come impresa che, si presume, risponde alle norme ed ai principi etici europei”.

Cambio di rotta

L’azione del Governo USA contro Intellexa, ed altre simili di altre nazioni europee, indicano quantomeno l’inizio di un significativo cambio di rotta nella lotta contro gli spyware. “Per molto tempo – spiega Gery – il problema spyware è stato considerato una questione legata ai diritti umani. Il che è un controsenso per chiunque operi nel campo: è anche una questione di sicurezza nazionale e internazionale. La proliferazione di questi strumenti in generale è una minaccia per la sicurezza e la resilienza delle società”.

Certo non c’è da aspettarsi improvvise “conversioni” etiche dei Governi, che intendono combattere lo spyware con la metaforica mano destra ma intanto con la mano sinistra continuano a usarlo loro stessi, contribuendo alla sua proliferazione. È ormai opinione comune, però, che anche l’utilizzo “controllato” vada normato in maniere più restrittive, o quantomeno più precise.

“Nella legge internazionale – spiega Gery – non esiste un divieto specifico a sviluppare, commercializzare o usare spyware. Ma non siamo nemmeno in un vuoto legislativo: ci sono regole generali che comunque si applicano e che limitano il modo in cui i Governi possono usare questo tipo di strumenti”. Le norme più ovvie sono quelle legate al diritto alla privacy - “che non è assoluto – ricorda Gery – ma che può essere limitato solo in condizioni particolari” – ma ce ne sono anche diverse altre.

Quando entrano in campo interessi nazionali e globali, più la geopolitica, i tempi sono però inevitabilmente lunghi. “C'è una chiara mancanza di volontà – ribadisce Gery – da parte dei Governi di assicurarsi che le persone che sviluppano questi strumenti siano ritenute responsabili e che anche coloro che li usano siano ritenuti responsabili. Quindi le regole esistono, almeno alcune, ma manca l'applicabilità”.

Il ruolo di chi fa cybersecurity

Tutto questo non un gioco troppo difficile per chi fa semplicemente cybersecurity? Forse in parte, ma non del tutto: “È molto importante che il mondo della cybersecurity partecipi a queste discussioni, perché chi fa le leggi non è in grado di capire, da solo, le conseguenze tecniche delle norme stesse. E bisogna fare in modo che il legislatore non arrivi a leggi sbagliate”, ricorda Gery.

Anche i singoli CISO possono influenzare queste dinamiche apparentemente così lontane da loro: con le scelte di investimento che fanno. “Parlate con il vostro fornitore di soluzioni di endpoint protection, di XDR, di MDR… Chiedete se la sua soluzione è in grado di rilevare e di bloccare gli spyware. Se non è così, o se non ne è sicuro, magari rivolgetevi a qualcun altro che può garantirlo”, rimarca Honan. I budget degli utenti, insomma, influenzano i vendor che a loro volta influenzano (lecitamente) il legislatore. In altri campi ha funzionato, la speranza è che lo possa fare anche in questo caso.