Sono stati utilizzati numerosi strumenti di hacking e exploit apparentemente rubato dalla National Security Agency Stati Uniti.
I sostenitori della privacy hanno approfittato di questo fatto per rivendicare la posizione di Apple nella sua controversia con l'FBI all'inizio di quest'anno.
La scorsa settimana, gli hacker avrebbero rubato uno dei principali strumenti di spionaggio della NSA. E secondo più fonti, si sono offerti di venderli al miglior offerente.
La rapina è stata collegata all '"Equation Group", una squadra segreta di spie informatiche che si ritiene fosse associata alla NSA e dei suoi partner governativi. Il collettivo di hacker che ha rubato il malware ha rilasciato due serie di file. Includono un campione gratuito dei dati rubati, risalente al 2013. Il secondo file è crittografato e la sua chiave è stata messa in vendita a un'asta di Bitcoin, anche se molti hanno visto questa mossa come una semplice trovata fuorviante.
Tuttavia, l'attacco sembra essere reale, secondo l'ex personale della NSA che lavorava nella divisione di hacking dell'agenzia, nota come Tailored Access Operations (TAO).
"Senza dubbio, sono le chiavi del regno", ha detto un ex dipendente del TAO in dichiarazioni anonime al Washington Post. "Le cose di cui stiamo parlando sarebbero dannose per la sicurezza di molte grandi reti aziendali e governative, sia qui che all'estero".
"È una cosa grandiosa", ha detto Dave Aitel, ex ricercatore della NSA e CEO di una società di test di sicurezza. "Vorremmo andare nel panico." Il sito web di Wikileaks ha twittato che aveva anche i dati e che li avrebbe rilasciati "all'epoca".
La notizia della fuga di notizie è stata seguita da vicino dalle società tecnologiche, molte delle quali hanno dovuto affrontare tentativi da parte del Comitato di intelligence del Senato degli Stati Uniti per costringerle legalmente a fornire "assistenza tecnica" agli investigatori governativi alla ricerca di dati bloccati.
Il tentativo fallito di emanare questa legislazione è venuto dopo Apple ha pubblicamente affrontato l'FBI per l'insistenza dell'agenzia governativa sul fatto di creare una "porta di servizio" per il tuo iPhone, software iOS.
L'FBI ha affermato di aver bisogno del software per entrare nell'iPhone di proprietà di Syed Farook, uno dei terroristi dell'attacco dello scorso dicembre a San Bernardino, in California. Apple ha rifiutato di ottemperare all'ordinanza del tribunale sostenendo che ridurrebbe la sicurezza della crittografia dello smartphone e potrebbe cadere nelle mani sbagliate.
Ora, dopo che è trapelato un archivio top-secret di alcuni degli exploit della NSA in questo senso, i sostenitori della privacy rivendicano la posizione di Apple.
Come si è verificata la perdita
"La componente del governo che dovrebbe essere la migliore nel mantenere i segreti, non è riuscita a mantenere questo segreto in modo efficace", ha detto a Business Insider Nate Cardozo, consulente senior della Electronic Frontier Foundation.
La posizione della NSA sulle vulnerabilità sembra essere basata sulla premessa che i segreti non verranno da lì. Che nessuno scoprirà mai lo stesso errore, che nessuno userà lo stesso errore, che non ci sarà mai una perdita. Sappiamo che è un dato di fatto, che almeno in questo caso non è vero.
L'ex scienziato della NSA Aitel lo crede è molto probabile che tali informazioni siano uscite dalle strutture della NSA su una pendrive, che avrebbe potuto essere venduto o rubato. "Nessuno mette i propri exploit sul server" ha detto Aitel.
Un'altra possibilità suggerita dalla NSA è che il toolkit del malware sia stato rubato da un "server di staging" al di fuori della NSA. Questa posizione è stata citata anche da Edward Snowden, anche lui ha preso di mira la Russia come principale sospettato dietro la fuga di notizie.
Il dovere di informare
Alcuni hacker hanno anche sollevato nuove domande sugli aspetti legali dell'hacking governativo. Molti dei suoi "exploit", inclusa la fuga di notizie, non sono mai stati resi noti alle società il cui hardware è stato colpito.
Un quadro politico chiamato "Vulnerabilities Equities Process" (VEP) descrive come e quando lo Stato deve segnalare una vulnerabilità a un'azienda interessata se il rischio per la sicurezza è maggiore del vantaggio che può produrre.
L'FBI ha segnalato falle di sicurezza di Apple nelle versioni precedenti di iOS e OS X nell'ambito del framework VEP.
Tuttavia, Cardozo sostiene che le regole sono "completamente infrante" perché Il VEP è una politica non vincolante creata dall'amministrazione Obama e non un ordine esecutivo o una legge applicabile.. "Abbiamo bisogno di regole, e in questo momento non ce ne sono", ha detto Cardozo.
