La polizia di diversi Paesi europei si è infiltrata in Encrochat, un sistema di messaggistica crittografato ampiamente utilizzato nel mondo del crimine. L'operazione dimostra l'enorme difficoltà di creare modalità di comunicazione completamente sicure
Il 13 giugno, decine di migliaia di utenti EncroChat hanno ricevuto un avviso sul proprio cellulare: "Siamo stati infiltrati da entità governative". "Ti consigliamo di spegnere il dispositivo e di liberartene immediatamente." La raccomandazione di distruggere il dispositivo non è un tipo comune di notifica per gli utenti mobili. Ma EncroChat non era neanche un'app normale.
EncroChat ha venduto comunicazioni crittografate e anonime tramite un dispositivo mobile crittografato e un'applicazione di messaggistica. In un'operazione di almeno tre anni da parte della polizia francese e olandese, con la collaborazione di altre polizie, le autorità sono riuscite a infiltrarsi nel loro sistema: “Questo è uno dei maggiori fornitori di comunicazioni digitali crittografate con percentuale di utenti presumibilmente impegnati in attività criminali", afferma il comunicato stampa di Europol che ha fatto conoscere il lavoro della polizia. ….
"Una squadra di oltre 500 persone ha lavorato all'Operazione Venetic giorno e notte, con altre migliaia di agenti a controllare", ha dichiarato Nikki Holland, direttore delle indagini per la British National Crime Agency. ... "È stata l'operazione più ampia e profonda del Regno Unito contro il grande crimine organizzato, l'infiltrazione è stata come avere una persona all'interno di ciascun gruppo criminale". La polizia britannica ha arrestato 746 sospetti, oltre 50 milioni di euro in contanti e oltre due tonnellate di droghe.

Il quotidiano EL PAÍS ha parlato con un distributore mobile EncroChat in Spagna. La vendita di telefoni criptati è legale: “Dicono che sono i telefoni dei trafficanti di droga, ma c'è di tutto. Ho venduto questi telefoni a persone in giacca e cravatta, giudici, avvocati o polizia", spiega dopo aver chiesto l'anonimato per poter parlare liberamente di questa società, che gli devono dei soldi. Esistono molti profili possibili di persone che vogliono proteggere le loro comunicazioni da rivali, nemici o dal governo.
EncroChat non solo ha offerto messaggi impossibili da intercettare, ma anche totalmente anonimi. Quel cellulare non è collegato ad alcuna identità tramite la SIM, l'IMEI (l'identificatore del dispositivo) o altri account che l'utente potrebbe avere sul proprio cellulare. Ma nemmeno per il suo documento d'identità: "Era tutto in nero, non c'era fattura per nulla, non avevo bisogno di conoscere i nomi", dice il distributore. "I soprannomi degli utenti: cane nero, birra fredda, darthvader, kawasaki, il sistema li ha assegnati a caso o dietro specifica richiesta. Vuoi definirti volpe nera? Guardo nel database e se non è già in uso, inserirò blackfox per te”.

Un EncroChat costa 1.400 euro, e include un abbonamento al servizio per sei mesi. Se qualcuno volesse rinnovarlo, costa 1.600 euro: vale a dire, l'utilizzo di questo servizio per un anno intero costerebbe 3.000 euro. Ma solo con i prezzi si è già visto che l'azienda ha promosso il rinnovo del dispositivo, non l'abbonamento: “Coloro che hanno rinnovato erano giudici, avvocati, polizia. Le persone che li usano per cose confidenziali ma non devono scomparire. Gli altri usano il telefono per sei mesi e lo gettano via. Ne hanno acquistati quattro nuovi per la loro gente e quelli che li hanno lanciati li hanno gettati in mare", dice il distributore.
Il problema con la modifica dei dispositivi era la modifica del nome. L'agenda di un EncroChat consisteva in nomi, non numeri. Se ponchonegro voleva contattare caracortada, dovrebbe inviargli una richiesta e l'altro dovrebbe accettarla. Se non lo ha fatto entro 48 ore, la richiesta scompare. Gli utenti che volevano essere contattati dovevano scambiare il proprio nome in qualche altro modo.
Questo anonimato ha reso impossibile per la polizia collegare facilmente le identità, nonostante l'infiltrazione. Secondo le autorità, che hanno analizzato oltre 100 milioni di messaggi, EncroChat aveva 60.000 utenti, 10.000 dei quali nel Regno Unito, secondo la polizia britannica. I messaggi potrebbero rivelare indirizzi, incontri o spedizioni. Nonostante il probabile candore dei messaggi tra due trafficanti che pensano che nessuno li veda, capire chi sono esattamente è più complesso.

Il suo successo è stata la sua fine
….. Sembra che l'operazione sia iniziata in Francia quando la polizia ha scoperto il sistema mobile di diversi detenuti. In che modo la polizia smetterà facilmente di infiltrarsi in uno strumento utilizzato da migliaia di potenziali criminali? È come essere in grado di guardare da una finestra in una stanza in cui vengono commessi crimini.
"Nella sicurezza informatica, se hai un obiettivo sulla fronte e sei ricercato, in un modo o nell'altro arriveranno a te", afferma Javier Agüera, cofondatore di Barbara IoT e di Blackphone, una società dedicata proprio ai cellulari sicuri. “La polizia aveva questo obiettivo, ma non ha nemmeno dovuto fare operazioni particolarmente complicate. Hanno approfittato della rete e dei telefoni fisici. Niente è sicuro al 100%".

Questo è quello che è successo. Quando ti cercano, dimentica le chat sicure. "Quindi stavo dicendo loro di parlare di ciò di cui hanno bisogno, ma per cose delicate... muovi il culo e parla di persona", dice il distributore EncroChat. Le conversazioni davvero segrete hanno una sola soluzione: di persona. Per le organizzazioni con molte risorse, esiste la possibilità di creare un sistema di comunicazione ad hoc a cui non ha accesso nessuno diverso dal gruppo scelto. Ma anche questo non è del tutto certo: “La crittografia è matematica e programmazione. Richiede l'assunzione di un team di esperti e, per una frazione del denaro che molte di queste reti criminali trasferiscono, possono essere create ad hoc ed esistono”, afferma Agüera. “Allo stesso tempo, è anche vero che meno utenti ha una tecnologia, più è probabile che si verifichino guasti. In più reti commerciali come Signal, i fallimenti emergono di più e ci sono più occhi".

La grande domanda che resta da fare è come le forze di sicurezza hanno fatto per smantellare la rete. E qui non esiste un singolo percorso. La spiegazione discreta nella nota ufficiale di Europol è che la polizia francese aveva scoperto che "la società operava da server in Francia" e che, "alla fine, era possibile mettere un dispositivo tecnico che andava oltre la crittografia e aveva accesso alla corrispondenza degli utenti".

Gli esperti consultati da EL PAÍS concordano sul fatto che un pacchetto malware inviato tramite un aggiornamento ai dispositivi è il metodo più probabile. Ciò può anche essere fatto in diversi modi, spiegano. Vi sono, tuttavia, almeno altre due possibilità che possono essere considerate.
La prima, che la crittografia era mal eseguita e accessibile. Le formule che consentono la crittografia sicura richiederebbero anni di potenti computer per essere risolte…. Non bisogna dimenticare che, alla fine, EncroChat è ancora un'azienda che si è arricchita offrendo un servizio che si è concluso con un fallimento.
Il distributore spagnolo non ha quasi mai avuto lamentele: “Solo un cliente mi ha chiamato e neanche io ero molto incazzato. Gli ho detto che c'era stata una piccola violazione della sicurezza. Ma una settimana dopo gli ho detto di gettare il telefono nella fogna. L'aveva comprato tre settimane prima e non ho mai più avuto sue notizie", spiega. Anche il distributore stesso, da parte sua, era coinvolto: “Quando ho chiamato qualcuno a Madrid, non hanno più usato il telefono e quando sono entrato nel portale per gestire i miei clienti, non esisteva più il portale stesso”.
La seconda possibilità è che un dipendente specifico, infiltrato o nascosto all'interno dell'organizzazione possa posizionare direttamente il malware. A peggiorare le cose, il dispositivo stesso potrebbe già trasportare malware di serie. EncroChat ha usato i cellulari spagnoli BQ Aquarius per una stagione, prima di produrne uno specificamente chiamato Carbon. Entrambi potrebbero essere infetti. EL PAÍS ha ripetutamente scritto a BQ senza ottenere una risposta.

Può esserci un telefono sicuro?
La sfida - fallita - di EncroChat porta alla domanda se sia possibile un telefono sicuro. "La maggior parte di questi telefoni sicuri non funziona", afferma Simón Roses, esperta di sicurezza informatica e insegnante nel corso online C1b3rwall. Questi dispositivi non sono fatti ad hoc. I membri del consiglio di amministrazione di una grande azienda potrebbero voler comunicare in questo modo. La polizia francese ha messo a dispsizione un e-mail nel caso in cui vi siano cittadini "in buona fede" che hanno usato EncroChat senza commettere reati e intendono chiedere che i loro messaggi vengano cancellati dal database.
Dal momento in cui un sistema ha successo, attirerà l'attenzione. E appariranno buchi: "Se si dispone di sistemi con un guasto che possono essere intercettati dalla polizia con l'autorizzazione di un giudice, lo stesso metodo può essere utilizzato da un utente malintenzionato con intenzioni diverse", ricorda Agüera. È un argomento in sospeso con una soluzione molto complessa. Ma ha un modello di business chiaro e ci sono già aziende in attesa di occupare lo spazio EncroChat.

(Da un articolo di Jordi Pérez Colomé, pubblicato sul quotidiano El Pais del 10/07/2020)

 
  CHI PAGA ADUC
l’associazione non percepisce ed è contraria ai finanziamenti pubblici (anche il 5 per mille)
La sua forza economica sono iscrizioni e contributi donati da chi la ritiene utile
DONA ORA