Un crowdfunding per comprare gli exploit degli Shadow Brokers

Mag 31, 2017 Marco Schiaffino Hacking, Leaks, News, RSS 1

Si fanno chiamare “Shadow Brokers Response Team” e vogliono creare una squadra in grado di analizzare (e contrastare) i tool di hacking dell’NSA.

Una sorta di alleanza per scongiurare l’ipotesi di un nuovo attacco globale come quello di WannaCry. È questo, in sintesi, l’obiettivo dello Shadow Brokers Response Team, un gruppo di “white hat” capeggiato da Hacker Fantastic e x0rz, che ha avviato una campagna di crowdfunding sul sito Patreon.com.

L’obiettivo del crowdfunding è quello di raccogliere i 21.000 dollari (anche se il gruppo, probabilmente con base nel Regno Unito, sul sito “ragiona” in sterline) che gli permetterebbe di sottoscrivere l’abbonamento mensile avviato nei giorni scorsi dagli Shadow Brokers e che consente di avere accesso ai leak riguardanti gli strumenti di hacking sviluppati dall’NSA in loro possesso.

Per fare cosa? Come si legge nella pagina dedicata al crowdfunding, l’obiettivo del gruppo è quello di garantire un’analisi “aperta e trasparente” dei tool che verranno rilasciati, in modo da poter informare tempestivamente i produttori software potenzialmente vulnerabili e consentire a tutti di prevenire eventuali attacchi da parte dei pirati informatici.

Insomma: evitare che si ripeta quello che è accaduto con WannaCry, quando il mondo della cyber-security si è fatto trovare impreparato di fronte a un attacco che, tutto sommato, era piuttosto prevedibile.

Forse un po’ insolito e con qualche problemino etico, ma si tratta pur sempre di una risposta “dal basso” al rischio di un’altra crisi globale.

Secondo i promotori dell’iniziativa, lasciare che siano le stesse agenzie governative che hanno creato questi strumenti a gestire la situazione non è una soluzione auspicabile. “Nella migliore delle ipotesi gli strumenti e gli exploit rubati vengono resi pubblici e corretti dagli stessi attori che li hanno creati” scrivono nella pagina su Patreon.

“Nel peggiore degli scenari, questi strumenti finiranno nelle mani di criminali che li useranno per ulteriori attacchi”. Lo spauracchio agitato dallo Shadow Brokers Response Team è quello di altri episodi come quello del ransomware WannaCry, che però potrebbe coinvolgere anche altre piattaforme come iOS o Android.

Senza contare che in passato gli Shadow Brokers hanno lasciato intendere di essere in possesso di numerosi strumenti di hacking che consentirebbero di violare anche Windows 10 (che fino a questo momento non è stato travolto dai leak del gruppo hacker) così come la piattaforma SWIFT per le transazioni bancarie.

Insomma, secondo Hacker Fantastic e x0rz sarebbe meglio che queste informazioni venissero gestite in maniera trasparente da chi ha le risorse per analizzare gli strumenti degli Shadow Brokers e predisporre delle contromisure senza essere “inquinato” da altri interessi di tipo economico o strategico.

Ma come gestiranno i dati di cui verranno in possesso nel caso in cui riuscissero a raccogliere abbastanza denaro per pagare l’abbonamento di 100 Zcash (equivalenti appunto a circa 21.000 dollari) richiesto dagli Shadow Brokers? L’appello contiene un capitolo dedicato proprio a questo tema, nel quale i promotori assicurano che “le informazioni saranno rese disponibili a chiunque abbia supportato questa campagna”.

Il tutto, naturalmente, dopo una prima analisi che permetta di capire esattamente di che cosa si tratta. “Non vogliamo renderci responsabili di rilasciare informazioni che possano provocare ulteriori danni alle infrastrutture informatiche rendendole pubbliche troppo velocemente” precisano. “Ogni vulnerabilità zero-day identificata verrà immediatamente condivisa con i produttori di software in modo che possano mettere a punto una patch”.

Certo, l’operazione ha rilievi etici piuttosto controversi, di cui gli stessi promotori sembrano rendersi conto. Prima di tutto il fatto di foraggiare un gruppo che non si è fatto scrupoli di diffondere informazioni che hanno causato grossi problemi a centinaia di migliaia di persone.

A quanto pare, però, l’iniziativa sta riscuotendo un certo successo e, per il momento, il progetto ha già raccolto 24 adesioni per un totale di 2.225 dollari. Ne mancano “solo” 19.000 e la scadenza per accedere al leak degli Shadow Brokers è il 30 giugno.

Condividi l'articolo