Nel mondo della criminalità organizzata, la fiducia nei sistemi di comunicazione cifrata è stata per anni una delle basi operative più solide. I cartelli della droga, le mafie europee, le gang internazionali e numerosi gruppi criminali si sono affidati a dispositivi apparentemente sicuri come quelli distribuiti da EncroChat, Sky ECC e successivamente AN0M. La promessa era sempre la stessa: telefoni dedicati, senza GPS, senza microfono attivabile, con sistemi operativi customizzati, applicazioni cifrate end-to-end, e connessioni instradate su VPN private. Ma nessuna sicurezza, nemmeno quella più blindata a livello crittografico, può sopravvivere a una fiducia mal riposta nei punti centrali dell'infrastruttura.
Il caso EncroChat è stato emblematico. I dispositivi, Android con firmware modificato, erano forniti con una tastiera "sicura", funzioni di wipe automatico in caso di compromissione e una messaggistica cifrata. Tuttavia, a gennaio 2020, le autorità francesi e olandesi sono riuscite a compromettere i server principali, ospitati in Francia. L'attacco non ha riguardato la rottura della cifratura, ma l'iniezione di un malware installato via aggiornamento OTA (Over The Air) sui telefoni stessi. Questo codice malevolo ha permesso di estrarre le credenziali di sblocco dei dispositivi, leggere la memoria locale e intercettare in tempo reale ogni comunicazione. La fase iniziale si è concentrata sull’estrazione dei dati storici, mentre successivamente è stata avviata l’intercettazione live dei messaggi inviati. EncroChat ha inizialmente notato delle anomalie nel comportamento dei dispositivi, ma non è riuscita a bloccare l’azione prima che milioni di messaggi venissero raccolti e analizzati da Europol. Le conseguenze sono state devastanti: migliaia di arresti, tonnellate di droga sequestrate, e una rete globale di traffici improvvisamente allo scoperto.
Sky ECC ha rappresentato il successore ideale per molti criminali, convinti che l'esperienza passata avesse rafforzato le contromisure. Ma anche qui la fiducia è stata mal riposta. L’infrastruttura di Sky ECC, con server e VPN proprietarie, è stata compromessa non attraverso malware sui client ma tramite una combinazione di takeover dei server e accesso diretto ai messaggi in transito. Le autorità belghe e olandesi, ancora una volta in collaborazione con Europol, hanno intercettato il traffico diretto tra gli utenti e i server, riuscendo a leggere milioni di messaggi in tempo reale. Non è chiaro se sia stato compromesso l’algoritmo di cifratura o se si trattasse di un errore di implementazione nell’uso delle chiavi di sessione, ma il risultato è stato simile: la lettura sistematica di contenuti ritenuti inaccessibili, con arresti su larga scala e decine di operazioni coordinate in Europa. Alcuni ricercatori ipotizzano che Sky ECC abbia fatto uso di cifratura simmetrica mal implementata, con gestione centralizzata delle chiavi sul server, rendendo tutto vulnerabile in caso di compromissione del nodo centrale.
Il caso AN0M invece è stato completamente diverso. Qui non c’è stato nessun attacco, perché non c’era nulla da attaccare: era tutto controllato dall’FBI sin dall’inizio. Dopo la chiusura di Phantom Secure, uno dei distributori storici di dispositivi cifrati usati dalla criminalità, il suo fondatore è stato arrestato e ha accettato di collaborare con le forze dell’ordine. Da questa collaborazione è nato AN0M, un honeypot su scala mondiale. I dispositivi, anch’essi basati su Android, contenevano una chat cifrata accessibile solo tramite una “calcolatrice” nascosta. La crittografia era reale, ma ogni messaggio veniva silenziosamente inoltrato, in copia cieca, a un server di raccolta sotto controllo dell’FBI. Nessun exploit, nessun attacco remoto: tutto era semplicemente progettato per sembrare sicuro, mentre trasmetteva tutto il traffico. Il successo della piattaforma è stato favorito proprio dalla caduta di EncroChat e Sky ECC: molti criminali, rimasti senza canale, hanno iniziato a fidarsi di questo nuovo dispositivo, distribuito in modo controllato da intermediari fidati ma compromessi. In meno di due anni AN0M ha intercettato oltre 27 milioni di messaggi, e l’operazione si è conclusa nel giugno 2021 con arresti coordinati in più di 16 paesi.
E dunque...
Da un punto di vista tecnico, l’elemento ricorrente non è tanto la debolezza degli algoritmi di cifratura, ma la fiducia assoluta nei fornitori. Le architetture centralizzate, i server unici, gli aggiornamenti OTA non verificati, e l’assenza di auditing indipendente sono stati i veri vettori d’attacco. Anche la migliore crittografia non può difendere da un sistema in cui il gestore ha accesso al flusso cifrato o può alterare il firmware del dispositivo. I dispositivi di EncroChat sono stati violati via aggiornamento, quelli di Sky ECC tramite compromissione della rete server, e AN0M era progettato fin dall'inizio per fare da esca.
La lezione che emerge è che nessuna sicurezza può esistere senza un controllo decentralizzato, senza la verifica indipendente del codice e dell’infrastruttura, e soprattutto senza un modello di threat intelligence che consideri anche il comportamento degli attori umani e le dinamiche sociali della fiducia tra criminali e fornitori di tecnologia. Il concetto stesso di “telefono cifrato” chiuso, venduto come black box, è oggi un’anomalia: in uno scenario dove la supply chain è il primo bersaglio, la sicurezza reale può esistere solo se tutto il processo, dal bootloader all’applicazione, è trasparente e verificabile.
Si potrebbe pensare che esista un’alternativa più sicura: usare software open source, con cifratura end-to-end basata su protocolli moderni come Signal Protocol, distribuito su dispositivi generici, magari con sistema operativo hardened come GrapheneOS. Usare connessioni Tor o I2P, gestire chiavi PGP offline e messaggi cifrati out-of-band, magari su memorie transitorie (RAM-based) o tramite steganografia su immagini. Tutto teoricamente possibile.
Ma anche in questo caso, la sicurezza perfetta è un’illusione. Perché richiede disciplina, coordinazione, e soprattutto la certezza che tutti i partecipanti seguano le stesse procedure in modo impeccabile, costante e tecnicamente competente. Basta che un solo dispositivo venga sequestrato e mal gestito, che un’interfaccia venga lasciata aperta, che un’app venga usata per comodità, e tutta la catena crolla. La sicurezza, quando distribuita tra decine o centinaia di criminali, è tanto forte quanto l’anello più stupido.
Paradossalmente, quindi, l’unico sistema davvero sicuro sarebbe non comunicare affatto — o comunicare con mezzi analogici, come si faceva prima dell’era digitale. Ma anche lì, il rischio non scompare: diventa solo meno efficiente.
In conclusione, chi opera nel crimine e cerca una “cyber security” assoluta, finisce per cadere in una trappola tecnica e culturale. Ogni sistema chiuso, venduto come inaccessibile, può essere compromesso. Ogni sistema aperto, per quanto forte crittograficamente, può essere mal configurato. E ogni rete distribuita, se maleducata alla sicurezza, è solo un colabrodo distribuito.
Commenti
Posta un commento