Il captatore informatico “Trojan”: stato dell’arte e profili giuridici
Dai virus sul web alle intercettazioni tattiche e strategiche
L’utilizzo massivo di programmi informatici malevoli (malicious software) inoculati sui personal computers è storia vecchia che rimanda all’anamnesi del protocollo che Tim Berners Lee presentò al CERN di Ginevra con la realizzazione, all’alba degli anni ‘90, della prima piattaforma della grande ragnatela, il world wide web, con la nascita di quel sistema di lettura ipertestuale non sequenziale dei documenti con rimando agli hyper link, definita con il lessico Hyper Text Transfer Protocol.
Da qui, man mano, per ragioni di hackeraggio più o meno complesso, per questioni commerciali, di concorrenza aziendale, di propaganda di software di cyber security in contrasto -forse più correttamente “in concorso” – al dilagarsi dei virus informatici, si è andata sviluppando la progettazione di architetture malevole con l’impiego dei trojans.
In questo approfondimento non hanno rilievo quegli applicativi di business commerciale che, a vario titolo, utilizzano i malware per attività, ad esempio, di Looping (cioè finalizzata ad aprire continuamente pagine ogni qual volta si tenta di chiuderne una precedente), di “Mousetrapping” (idoneo ad alterare il funzionamento dei tasti di comando del mouse, così da impedire all’utente di abbandonare un sito esplorato), di “Startup File Alteration” (che impone l’indirizzamento ad un programma nella directory di avvio) o degli ormai rodati protocolli di estorsione cybernetica attraverso l’attività di manipolazione e di blocco di sistema con l’infezione da “Ransomware”, bensì quegli spyware che, per ragioni di intelligence, di spionaggio o di investigazione governativa sono stati progettati per essere inoculati clandestinamente sul device di un utente, al fine di impossessarsi della gestione silente ed anonima di quell’apparato.
Preliminarmente, l’attività di intercettazione spia viene definita convenzionalmente come attività di tipo strategico, oppure tattico, in relazione alle finalità dei relativi protocolli ed all’utilizzo, più o meno massivo, della stessa per la raccolta di comunicazioni, metadati e dati sensibili di una fascia di utenza.
Il distinguo tra i due modelli di captazione è stato recentemente descritto, in modo elementare quanto analitico, dal portavoce di Wikileaks, Juliane Assange, nel corso di un’ intervista rilasciata alla testata Guardian, ove è stato sottolineato che: “[…] Gli ultimi dieci anni hanno visto una rivoluzione nella tecnologia delle intercettazioni, dove siamo passati dalla intercettazioni tattiche alle intercettazioni strategiche. L’intercettazione tattica è quella che tutti conosciamo, dove alcuni soggetti diventano oggetto dell’interesse dello Stato o dei suoi amici: attivisti, trafficanti di droga, eccetera. I loro telefoni vengono intercettati, le loro mail vengono intercettate, i loro amici vengono intercettati, e via di questo passo. Siamo passati da questa situazione alla intercettazione strategica: dove qualunque cosa entra o esce da un paese, e per alcuni paesi anche le comunicazioni interne, viene intercettato e immagazzinato automaticamente e permanentemente. Permanentemente. É più efficace immagazzinare tutto che andare alla ricerca di chi vuoi intercettare […]. Così siamo arrivati al punto di congiunzione critico dove è possibile intercettare chiunque – ogni sms, ogni mail, ogni telefonata. Un kit prodotto in Sudafrica può immagazzinare e indicizzare l’intero traffico annuale di comunicazione di un paese di media grandezza a meno dieci milioni di dollari all’anno[…]”.
Si tratta di esempi di datagates inteminabili fino al recente scoop che avrebbe riguardato, oltr’Oceano, l’inoculazione massiva di trojan (questo è il nome del malware utilizzato come virus spia su un device elettronico) all’interno di smartTV e di altri apparecchi elettronici domestici che fruiscono di una connessione internet, ma anche il controllo di sistemi di sorveglianza passivi, pubblici e privati, dotati di dispositivi che rilanciano la trasmissione attraverso indirizzi IP.
Un ulteriore distinguo, all’interno delle sfera di intercettazione tattica, riguarda poi la possibilità di acquisire singole sessioni di traffico attinenti uno specifico bersaglio o, piuttosto, inglobare nel monitoraggio l’analisi del traffico relativo una determinata macroarea geografica, con l’applicazione di filtri di ricerca (ad esempio un prefisso telefonico ed una stringa iniziale di numerazione, come i telefoni aziendali 331/37######) o con l’individuazione di key word di ricerca semantica, con l’utilizzo di tecnologie di Intelligent Data Meaning.
Un esempio di attualità è quello utilizzato, nelle tecniche Soc.M.Int e di Social Analysis, per monitorare i “twit” di una certa zona ritenuta nevralgica, utilizzando il sistema di localizzazione attivato dall’utente sulla piattaforma Google.
La nascita degli spyware
L’attività di inoculazione di malware per ragioni di captazione clandestina nasce, parlando adesso di un contesto di intercettazione tattica tradizionale, per poter aggirare l’inibizione dell’intercettazione di flussi telematici soggetti a protocolli HTTPS che i sistemi di captazione, più o meno recenti, non sono stati in grado di intercettare, neanche con l’applicazione di sonde di ispezione sulla linea di trasmissione delle comunicazioni internet del bersaglio monitorato, in ingresso al Front End o sul Back End di quella linea.
Detta esigenza è diventata poi, sempre più stringente, con l’espansione globale della messaggistica non convenzionale, delle chat rooms e delle comunicazioni VoIP, cautelate da algoritmi proprietari, spesse volte invulnerabili, come Skype, WhatsApp, Messenger o Viber, con il parallelo abbandono della telefonia domestica, soppiantata dalle connessioni ADSL (Asymmetric Digital Subscriber Line) ed a fibra ottica, che sono riuscite per diverso tempo a bypassare i sistemi governativi di censura delle comunicazioni.
L’esempio più noto è calzante è l’espansione della videochiamata over internet protocol con gli algoritmi proprietari di Skype, come iLBC (Internet Low Bitrate Codec) e SILK (Super Wideband Audio Codec); una modalità comunicativa utilizzata da una parte all’altra del globo per ragioni di economicità, praticità, affidabilità qualitativa ma, soprattutto, di riservatezza, generando affanno nei Bureau di investigazione di mezzo mondo.
Ad onor del vero però, dal trasferimento di proprietà del marchio al gruppo Microsoft, avvenuto nel 2011, il nuovo gestore ha ritenuto opportuno rilasciare alle autorità governative statunitensi il brevetto “Legal Intercept” con patent application n. 20110153809, così da consentire l’installazione, in modalità nascosta, di alcuni “agenti di registrazione” sia sul computer del target oggetto di monitoraggio istituzionale, che sulla porzione della rete a pacchetto dove avviene la comunicazione VoIP.
Ma accanto alle comunicazioni foniche con l’utilizzo di algoritmi proprietari vi sono, anche, una miriade di conversazioni che, attraverso la messaggistica a pacchetto, transitano dal mittente al destinatario con protocolli end to end o, come sta per immettere sul mercato l’applicativo Telegram, in modalità peer to peer, così da rendere quasi invulnerabile la riservatezza delle comunicazioni.
Ed, ancora, applicativi che consentono all’utente di comunicare esibendo sulla rete identificativI IMEI o IMSI fake o, addirittura, di manipolare il “Caller ID”, mascherando il recapito telefonico chiamante (piuttosto che oscurarlo con la classica stringa di digitazione “#31#”) con l’attribuzione di un numero di telefono fasullo (tra le tante App per i dispositivi con tecnologia Android e iOS , molto diffuso è il programma spoof card).
Altre modalità di comunicazione privata riservata (non saranno qui trattate le comunicazioni di tipo militare e quelle governative che viaggiano, ad esempio, sulla piattaforma TErrestrial Trunked Radio, meglio noto con l’acronimo TETRA) beneficiano dei protocolli proprietari utilizzati da alcuni brand di media fascia, come in passato il Black Berry Messenger o, attualmente, la messaggistica iMessage e la videochiamata FaceTime per i sistemi operativi iOS.
Più sofisiticati protocolli di comunicazione sono veicolati da alcune aziende di nicchia che commercializzano devices di elevata fascia commerciale, detti crypto phone, dotati di algoritmi proprietari di cifratura in grado di criptare tutto il traffico in entrata ed in uscita, come il Black Berry Secusuite, adottato dal governo tedesco, o un noto telefonino in pelle di coccodrillo da 5 mila euro che, secondo le rilevazioni di un collaboratore, sarebbe stato utilizzato da uno dei più importanti ricercati alla macchia.
Fino alla comunicazione satellitare con dei tre sistemi di telefonia satellitare commercialmente noti, Thuraya, Iridium ed Inmarsat, ormai presenti sul mercato non professionale con adattatori telefonici GSM (come il Sat Sleeve) o apparati di comunicazione satellitare dedicati, a basso costo, con tariffazione a schede prepagate in unità/minuto di conversazione.
Ne è conseguita la commercializzazione, da parte di alcune aziende altamente specializzate, di sofisticate apparecchiature DHT (direct to home) e di altri dispositivi mobili e fissi di intercettazione tattica che, però, non sono da ritenersi compatibili, in un’ottica di spending review della spesa pubblica, ad un impiego standardizzato.
Ecco, allora, secondo i profili generali, la necessità di poter catturare dati e conversazioni che, attraverso i normali protocolli intercettivi, le autorità governative non sono state in grado di monitorare nel più recente passato.
Le criticità della Lawful Interception: i gestori telefonici
Un’altra questione di interesse sostanziale riguarda, da una focale comunitaria di Lawful Interception la risoluzione che, 17 gennaio 1995, il Consiglio Europeo aveva adottato per prevenire e contrastare il terrorismo e la criminalità all’interno degli stati membri, con la predisposizione – a carico dei “gestori telefonici” – di un sistema di gateways sulle dorsali parametriche di comunicazione.
Detta direttiva comunitaria era stata recepita in Italia soltanto nel 2003 con l’adozione del “CODICE DELLE COMUNICAZIONI ELETTRONICHE“, in sostituzione del preesistente Testo Unico delle disposizioni legislative in materia postale, di bancoposta e di telecomunicazioni del lontano 1973, introducendo un nuovo concetto nel diritto comunitario, la “prestazione obbligatoria per fini di Giustizia” da parte dei gestori telefonici.
Il problema sorto di lì a poco, ed ancora irrisolto, avrebbe riguardato l’individuazione fisica dei gestori telefonici che non sono oggi inquadrabili, ad esempio, in quei provider che forniscono applicazioni di messaggistica internet e di comunicazione VoIP: in buona sostanza TIM, come Vodafone, o Wind ed H3G, giusto per citate i marchi più noti in Italia, sono tenuti a fornire una prestazione obbligatoria per fini di Giustizia, rimanendo manlevate da questo onere tutte quelle “App” che utilizzano la connessione internet di un “gestore” al fine di consentire all’utente di “chattare” e conversare sui protocolli web, nonché quei brand che, nel costruire apparati di comunicazione elettronica in grado di sfruttare internet ed una connessione wi fi, dotano nativamente gli stessi devices di una piattaforma proprietaria di comunicazione.
Evoluzione delle spie telefoniche
Vediamo, adesso, prima di affrontare i profili giuridici del trojan, qual’è stata la sua evoluzione e le criticità incontrate, o ancora presenti, da un punto di vista applicativo.
Già ai tempi delle comunicazioni ETACS, quando ormai era diventato complicato seguire un bersaglio con le note valigette ITALCELL 900 in grado di catturare il segnale di trasmissione di un radiotelefono sui 900 MHZ, alcune aziende avevano sperimentato l’installazione miniaturizzata su alcuni telefoni cellulari di una microspia in radio frequenza con trasmissione a “spettro espanso”, geniale per i bassi consumi dovendosi alimentare dalla stessa batteria del telefono, così come per la modalità di trasmissione indecifrabile con il salto di frequenza, il c.d. Frequency-hopping spread spectrum, ma poco fruibile nel caso concreto.
Si trattava, nella pratica di un sistema farraginoso in quanto condizionato dalla necessità di agganciare a brevissima distanza il bersaglio, con tutte le altre problematiche connesse ad un rilancio R/F, dal fading, al muffling, al riverbero, fino ai tanti rumori additivi e convolutivi noti che “sporcano” un reperto fonico, ed attenuabili in parte con sofisticate tecniche di “speech enhancement”.
L’avvento della tecnologia Symbian avrebbe consentito, poi, ad alcuni ricercatori di sperimentare dei veri e propri agenti spia in grado di dialogare con una “coppia” di telefoni cellulari infettati, in un primo momento commercializzati clandestinamente per esigenze di spionaggio coniugale e domestico fai da te; detta tecnologia aveva, altresì, consentito lo sviluppo di sistemi di comunicazione cripto per anni utilizzata dai nostri apparati governativi di intelligence nelle comunicazioni interne.
La successiva evoluzione dei protocolli di comunicazione, dall’Edge, al 3G all’UMTS, all’HSPDA, fino al 4G ed alle comunicazioni VoLTE, ha man mano allargato lo spettro di interesse commerciale, con l’offerta di bundle appetibili per l’utente, con minuti, messaggi e pacchetti di traffico internet inclusi.
I primi trojan di captazione cellulare avrebbero avuto inizialmente vita breve, in primo luogo per ragioni legate all’autonomia d’impiego, in quanto l’attivazione del malware sull’apparato, seppur silente, aveva, sin da subito, registrato la criticità di discovery a causa dell’elevato consumo della batteria e del relativo surriscaldamento, parallelamente al consumo di traffico del pacchetto internet dell’utente nelle fasi di up/down load a comando dell’agente spia.
Con il consumismo più recente è avvenuta l’ingegnerizzazione di apparati elettronici portatili sempre più sofisticati, per qualità di schermo, di ripresa, di touch o di trasmissione, fino all’ottimizzazione dei consumi di alimentazione, pregi tecnologici che hanno consentito una ricerca scientifica più appropriata e lo sviluppo di spyware affidabili; de plano è stata anche risolta almeno in parte la problematica dei consumi di traffico internet, con la stipula di accordi di circostanza con i gestori obbligati alle prestazioni per interesse di Giustizia, al fine di mascherare i consumi sui contatori dell’utente.
Diversa, in vero, la problematica relativa all’inoculazione del virus, sia esso trasmesso da remoto con l’invio di un allegato malevolo, sia nel caso di una installazione forzata con la disponibilità fisica del device, sia ancora con l’acquisizione o meno dei privilegi di Root, ciò per via delle continue evoluzioni tecnologiche apportate dagli sviluppatori, in primis, sul sistema operativo Android (un noto marchio, ad esempio, ha sperimentato una piattaforma blindata all’interno dell’apparato, ove allocare dati sensibili, in grado di isolarne il contenuto dal sistema).
Più complessa, poi, la continua schermatura del sistema operativo effettuata sui protocolli iOS, non consentendo, nei tanti up grade di aggiornamento, la possibilità di effettuare un jailbreak del device (cioè di abbattimento del muro del sistema operativo così da poter aprire una falla ed installare applicazioni non rilasciate da Apple), utile all’ occultamento, tra le applicazioni dello store ufficiale, di un software spia.
Il captatore nel codice di procedura penale
Nelle attuali tipologie configurative, il captatore informatico è oggi in grado, quantomeno in linea generale, di aprire le impostazioni di sistema, di attivare l’impianto microfonico del device (e fare quindi da registratore vocale), di comandare in modo silente lo start della telecamera (e quindi funzionare da apparato clandestino di video ripresa), di generare uno screen shot dello schermo, di gestire la localizzazione GPS, di effettuare operazioni di “sniffing” tra le cartelle di posta, delle foto, di scartabellare tra i folder dei documenti, nelle applicazioni di messaggistica end to end, sui profili social, o di una video chat crittografata.
Insomma, un insidioso applicativo silenzioso, in grado di catturare tutti quei dati che, nel corso di una tradizionale intercettazione telematica, non possono essere forzati in apertura dall’operatore, seppur presenti nella griglia excel di storico dei dati, per via di quel “lucchetto” che protegge il sistema con il protocollo HTTPS.
Si tratta, cioè, di un espediente che, allo stato dell’arte, non è solo idoneo all’effettuazione di una intercettazione giudiziaria di conversazioni, di comunicazioni telefoniche, di altre forme di telecomunicazione o di una intercettazione di comunicazioni tra presenti (ex art. 266 commi 1 e 2 del codice di procedura), o ancora di mera intercettazione di comunicazioni informatiche o telematiche (ex art. 266 bis), bensì di un captatore che ha le potenzialità di perquisire, sequestrare, cancellare i contenuti di un apparato elettronico, da qui violando privacy, riservatezza, domicilio virtuale di un bersaglio investigato, ma anche alterare, inquinare o distruggere la crime scene informatica.
La dottrina sta da tempo interessandosi alla complicata questione riguardante, non la mera intercettazione “ambientale”, bensì l’esistenza di potenzialità insidiose connotate da una portata devastante ed incontrollabile; sul tema anche la giurisprudenza, seppur ancora pallidamente, ha iniziato a fornire orientamenti di massima agli addetti ai lavori, quantomeno in relazione al locus in cui è avvenuta la captazione di una comunicazione con il “troiano”.
Nello specifico, i presupposti a puntello delle intercettazioni tra presenti per esigenze giudiziarie nel processo penale, fanno richiamo alla possibilità di effettuare l’attività all’interno dei perimetri del privato domicilio e più genericamente dei luoghi indicati dall’art. 614 del codice penale, a condizione che vi si stia, lì, svolgendo l’attività criminosa.
La disciplina derogatrice, apportata dal legislatore nel 1991 per contrastare la criminalità organizzata, aveva poi ampliato lo spettro, prevedendo che: “quando si tratta di intercettazione di comunicazioni tra presenti disposta in un procedimento relativo a un delitto di criminalità organizzata e che avvenga nei luoghi indicati dall’articolo 614 del codice penale, l’intercettazione è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa”.
Ne consegue che l’espediente dello spyware su un telefono cellulare, finalizzato alla mera intercettazione “ambientale”, potrebbe determinare un utilizzo isterico ed incontrollato del sistema ad “occhi chiusi””: da casa, al lavoro, ai mezzi di trasporto, agli esercizi pubblici, ad altre private dimore, alle tante camere caritatis, siano esse studi professionali o aree soggette a regime di extraterritorialità giuridica, così alle volte violentando il principio generale di inviolabilità del domicilio privato ( art. 614 c.p.), altre volte interferendo nella vita privata (art. 615 bis. c.p.), o contrastando con le garanzie di libertà del difensore, dell’investigatore privato e del consulente tecnico (art. 103 comma 5 c.p.p.).
Sul tema, le Sezioni Unite della Suprema Corte di Cassazione, al quesito se “ anche nei luoghi di privata dimora ex art. 614 cod. pen., pure non singolarmente individuati e anche se ivi non si stia svolgendo l’attività criminosa – sia consentita l’intercettazione di conversazioni o comunicazioni tra presenti, mediante l’installazione di un captatore informatico in dispositivi elettronici portatili”, avevano risposto che “limitatamente a procedimenti relativi a delitti di criminalità organizzata, anche terroristica (a norma dell’art. 13 d.l. n. 152 del 1991), intendendosi per tali quelli elencati nell’art. 51, commi 3-bis e 3-quater, cod. proc. pen., nonché quelli comunque facenti capo a un’associazione per delinquere, con esclusione del mero concorso di persone nel reato”, l’attività di captazione potrà avere luogo.
La criticità sulle intercettazioni dinamiche tra presenti abbraccia, ad onor del vero, un ambito ben più vasto che spazia dall’ agente attrezzato per il suono attrezzato con il c.d. bodycell, alle attività di intercettazione e di protezione individuale a cura dei teams di prossimità a supporto degli agenti undercover.
A queste elencazioni vanno aggiunte le possibilità di ricorrere allo strumento dell’intercettazione di comunicazioni tra presenti, fuori dalle proiezioni del codice di procedura quale mezzo di ricerca della prova, in uno scenario “preventivo” (ex art. 226 att. Cpp), nonchè in un contesto di vigilanza sul rispetto delle prescrizioni in materia di misure di prevenzione, o di attività di intelligence governative demandate alle due agenzie di informazione e sicurezza dello Stato, AISI ed AISE.
Giulia Lasagni, in un recente approfondimento per la rivista Diritto Penale Contemporaneo sull’uso dei captatori informatici, ha posto poi in evidenza le tante criticità riguardanti l’utilizzo del know how del privato nell’attività di remote forensic, atteso che l’attuale protocollo di noleggio, inoculazione e gestione remota dei trojan avviene, in modo pressoché esclusivo, facendo ricorso all’art. 348 comma 4 del codice di procedura, che conferisce alla polizia giudiziaria la facoltà di “avvalersi di persone idonee le quali non possono rifiutare la propria opera”.
Nell’evidenziare la necessità di prevedere stringenti forme di protezione nell’uso delle nuove tecnologie informatiche per esigenze investigative, ha precisato la giurista che:
“[…] È già stato sottolineato in dottrina come le registrazioni effettuate tramite captatori informatici, di per sé, possano anche non richiedere il contributo di soggetti terzi rispetto agli inquirenti, con la conseguenza che l’attività di remote forensics rischia di passare totalmente nelle mani del tecnico nominato ausiliario di polizia giudiziaria.
Per sopperire alla mancanza di trasparenza sulle modalità di svolgimento delle operazioni, potrebbe quindi essere opportuno promuovere l’installazione generalizzata sui dispositivi comuni (quali smartphone, computer, tablet) di strumenti tecnici atti a prevenire materialmente l’illecita intrusione da parte delle forze dell’ordine (e non solo).
Parallelamente, protocolli chiari e pubblici dovrebbero essere stabiliti con i produttori dei dispositivi per consentire lo svolgimento delle operazioni investigative ogni qual volta ne sussistano i presupposti di legge. […]”.
La questione del captatore informatico è stata oggetto di recente de jure condendo con la stesura di un articolato disegno di legge sulla Giustizia, da pochi giorni approvato al Senato.
Con altro approfondimento saranno curati, nei dettagli, contenuti e criticità di quel progetto che, di primo acchito, presenta una serie di perplessità meritevoli di analitico commento.
Appare evidente che, in conclusione, l’uso di tecnologie che trasportiamo (B.Y.O.D.), indossiamo (W.Y.O.D) o che guidiamo (Car to Car) nel quotidiano, dagli smartphone, agli smartwatch, ai phablet fino ai tablet ed ai nuovi veicoli intelligenti – divenute una sorta di extension of man, avrebbe ipotizzato Marshall Mc. Luhan in Understanding media – corre il rischio di diventare una grossa falla della nostra privacy in assenza di una severa disciplina di settore.
Non a caso, dopo il chiassoso datagate ETISALAT (Emirates Telecommunications Corporation) del 2009, a seguito della disclosure di INTERCEPTOR SS8, che aveva monitorato negli Emirati migliaia di utenti equipaggiati di apparati telefonici Black Berry, il più recente flop di spionaggio con il trojan risale a quando, due anni addietro, un programma spia realizzato da una azienda di Hacking italiana aveva fatto il giro del mondo, palesando criticità e falle di instabilità del sistema, da qui iniziando a mettere “la pulce nell’orecchio” ad esperti, giuristi fino ai semplici cittadini.
A cura di: Michelangelo Di Stefano
Dottore in Giurisprudenza, in Comunicazione Internazionale, specialista in Scienze delle Pubbliche Amministrazioni ed esperto in Criminologia, è un appartenente ai ruoli della Polizia di Stato.
Si interessa da oltre venti anni di tecnologie avanzate nelle intercettazioni audio video e localizzazioni, con approfondite ricerche nel settore della comunicazione in ambito investigativo e forense.
E’ esperto di balistica a tiro curvo, di topografia e cartografia militare, di analisi e profiling, con specializzazioni in campo nautico, subacqueo e nel settore delle operazioni investigative speciali sotto copertura.
Ha maturato esperienza trentennale nella P.A. presso i Ministeri della Difesa, del Tesoro ed Interno, è stato formatore e componente di comitati scientifici di alcuni atenei, scuole internazionali di management e di riviste di informazione e formazione giuridica, nel settore delle scienze criminologiche applicate alle investigazioni, all’intelligence ed al contrasto al terrorismo.
