È passato quasi un anno dall’approvazione degli emendamenti legislativi riguardanti il “Bundestrojaner” da parte del governo tedesco. Questi emendamenti sono stati introdotti per permettere alle autorità di installare software e decrittografare l’uso privato di Internet senza consenso.
Ora alcune organizzazioni, oltre che alcuni privati, accusano il trojan federale di essere anticostituzionale. Il motivo è che oltre a comportare enormi rischi in termini di sicurezza in quanto sponsorizzato dallo Stato, il Bundestrojaner potrebbe venir impiegato troppo spesso e facilmente e quindi rappresentare una vera e propria minaccia per la privacy.
Che cos’è il Bundestrojaner?
Il Bundestrojaner è un software (o meglio un malware) in circolazione dal 2011, ossia almeno da quando il Chaos Computer Club lo ha scoperto. Questo software è stato sviluppato a scopo di sorveglianza delle telecomunicazioni, quindi per leggere email e chat e intercettare le telefonare fatte attraverso il computer o lo smartphone, sfruttando lacune di sicurezza di cui nessuno è a conoscenza.
Molteplici problemi
Ora vi starete chiedendo perché il Bundestrojaner abbia suscitato tanto scalpore. Ecco alcuni dei motivi:
Problemi di sicurezza: come ogni malware, anche quello del governo funziona sfruttando i bug e le lacune di sicurezza. Non rivelando intenzionalmente queste vulnerabilità, bensì facendo leva su di esse, il governo non solo arreca danni agli utenti di tutto il mondo, ma aumenta anche le probabilità che queste debolezze vengano utilizzate dai criminali.
Se ritenete che queste affermazioni siano esagerate, pensate a WannaCry. Questo ransomware è il miglior esempio di vulnerabilità non rese note sfruttate dal governo… e di criminali che non si sono lasciati sfuggire l’occasione.
Problemi di privacy: appena un anno fa il Bundestrojaner poteva essere utilizzato solo in casi estremi, ad esempio per rintracciare un sospetto terrorista. Ma con gli emendamenti dell’anno scorso le cose sono cambiate. Adesso praticamente chiunque sia sospettato di aver commesso un crimine, come il traffico di droga o la falsificazione di denaro, può essere vittima del malware.
Solo nel 2016 sono stati registrati 40.000 casi per i quali si sarebbe potuto fare uso di questo trojan. Una volta che il trojan ha infettato la vittima, questa diventa un libro aperto per chiunque vada a sbirciare tra le sue email, i messaggi Skype, le foto e i video delle vacanze: la vittima non avrà più nessun segreto. Il peggior incubo per chi tiene alla propria privacy.
L’accusa di essere anticostituzionale
Sono diverse le parti preoccupate per le conseguenze del Bundestrojaner che ritengono che i problemi siano di un’entità tale da essere portati di fronte alla Corte costituzionale federale (Bundesverfassungsgericht): tra queste l’associazione “Digitalcourage” che ha organizzato una petizione per supportare la causa, la società per la tutela dei diritti di libertà “Gesellschaft für Freiheistrechte” così come un paio di politici e giornalisti.
Ognuno di loro ha obiettivi diversi. Mentre Digitalcourage vuole eliminare completamente il malware di stato, la società per la tutela dei diritti di libertà GFF vuole soltanto limitarne l’impiego e assicurarsi che questo trojan venga utilizzato esclusivamente in casi estremi e che le lacune di sicurezza vengano rese note.
Il malware è sempre malware, a prescindere da chi ci sia dietro
Travis Witteveen, amministratore delegato di Avira, ha rilasciato una dichiarazione molto chiara sulle sanzioni e sull’uso del malware sponsorizzato dal governo: “I software che utilizzano le debolezze del sistema per manipolare e sfruttare un sistema senza avvisare l’utente e senza chiedergli l’autorizzazione sono considerati dannosi, a prescindere da chi vi sia dietro.
I governi che investono nella ricerca delle debolezze dei sistemi e non le comunicano al produttore di quei sistemi o software, in realtà stanno favorendo la criminalità invece di prevenirla.
Il governo tedesco dovrebbe utilizzare il denaro dei contribuenti in modo più appropriato e per garantire la loro privacy, non per creare ulteriori minacce cibernetiche”.
Questo articolo è disponibile anche in: Francese