Immagine: Lia Kantrowitz

Chi ha paura di Kaspersky?

Siamo stati all'ultima conferenza di Kaspersky Lab, dove l'azienda di antivirus russa mette in mostra le sue migliori ricerche, fa banchettare concorrenti e giornalisti e compromette le operazioni spionistiche americane.

|
25 maggio 2018, 11:06am

Immagine: Lia Kantrowitz

Siamo all'inizio di marzo, in un hotel a cinque stelle di Cancun: le luci si spengono, la stanza si fa buia e una donna che indossa uno splendente vestito bianco appare su uno schermo grande quanto il palco.

“Benvenuti al Security Analys Summit 2018,” dice la donna, riferendosi a quello che è conosciuto come SAS, il convegno annuale organizzato dalla società di anti-virus russa Kaspersky Lab. Secondo l’azienda quest’anno la conferenza ha attratto 320 persone, 231 delle quali non erano impiegati Kaspersky. C’erano israeliani, europei, americani, russi e altri ancora. Tra i partecipanti esperti del settore, agenti delle forze dell’ordine e hacker che sono soliti lavorare per le agenzie di spionaggio americane e britanniche.

“Per il decimo anniversario del SAS abbiamo creato qualcosa di speciale. È una nuova storia, con nuove regole e nuovi ruoli,” dice la donna nel video. Le luci lampeggiano nella stanza, la musica sparata a tutto volume e otto attori, che indossano costumi del vecchio West che ricordano la serie TV Westworld, appaiono sul palco.

“Benvenuti a SAS X World, un posto dove l’unico limite è la tua immaginazione,” dice la donna, citando ancora una volta la serie TV. “Rispondi alla domanda principale, chi sei davvero?”

Vitaly Kamluk, ricercatore del GReAT di Kaspersky Lab, parla al SAS. (Immagine: Kaspersky Lab)

Per Kaspersky Lab è un modo involontariamente appropriato per aprire il suo evento più grande, dal momento che molti partecipanti e il mondo della cyber security in generale chiedono la stessa cosa all'azienda.

Kaspersky Lab si è invischiata in una crisi ancora in corso. Sulla scia dell’inchiesta del Congresso sulle ingerenze russe nelle elezioni presidenziali americane del 2016, il governo degli Stati Uniti ha proposto e alla fine approvato un divieto federale e un’epurazione da tutte le agenzie governative del software di Kaspersky Lab. I governi britannici e olandesi hanno quindi seguito la stessa strada.

Il divieto governativo si è anche riversato sul settore privato. Best Buy ha fermato le vendite del software, alcuni dei clienti di Kaspersky Lab nella finanza hanno abbandonato la società, e più recentemente Twitter ha vietato all’azienda di fare pubblicità sulla sua piattaforma.

Intanto, diversi articoli d’inchiesta hanno sostenuto che il software della società abbia aiutato i servizi segreti russi a rubare documenti strettamente confidenziali da un appaltatore dell’Agenzia per la Sicurezza statunitense (NSA). La mossa più recente dell'azienda per mostrarsi indipendente dal governo russo è stata annunciare un nuovo data center in Svizzera che conterrà le informazioni dei clienti negli Stati Uniti, Europa, Giappone, Corea, Singapore e Australia.

Allo stesso tempo, Kaspersky Lab continua ad avere una buona reputazione nell’industria. Il suo team di ricercatori è ampiamente stimato grazie alla sua abilità di scovare sofisticati malware governativi — indipendentemente da dove provengono — e i suoi software sono considerati tra i migliori per la rilevazione di malware sul proprio computer.

Quindi cos’è davvero Kaspersky Lab? L'azienda, che esiste da 20 anni, e che è la protagonista dietro a uno dei più popolari programmi antivirus del mondo è un braccio del Cremlino di Vladimir Putin? Oppure l’autoproclamatasi “azienda che salva il mondo” è una vittima della propaganda protezionistica del governo statunitense? Il SAS è semplicemente un evento con open-bar per creare contatti professionali, dove l’azienda mostra gli ultimi lavori dei suoi ricercatori — i quali sono considerati tra i più rispettati cacciatori di malware al mondo? Oppure è una possibilità per l'azienda per rivelare delicatissime operazioni di intelligence americane attualmente in corso, e — come qualcuno nel mondo della cyber security mi ha detto — forse una chance per le spie di tenere i partecipanti sotto controllo?

Sono volato fino alla costa caraibica del Messico per scoprirlo.

Poco dopo il video promozionale, la donna vestita in bianco termina il suo intervento, Eugene Kaspersky, il cinquantaduenne fondatore russo della compagnia, sale sul palco. La sua barba un po’ incolta e i suoi glaciali occhi blu riflettono le luci nella stanza altrimenti buia.

“Non sono un relatore di questa conferenza,” ha detto Eugene Kaspersky. “In realtà ci sono davvero poche conferenze nelle quali non parlo, e il SAS è uno di questi eventi. Sicché non sprecherò il vostro tempo. Voglio godermi questo evento con voi. Grazie a voi e torniamo al lavoro.”

“Non esiste un malware buono. Mai.”

Kaspersky, il cui vero nome è Yevgeny Valentinovich Kaspersky, si è laureato in una scuola del KGB prima di diventare un imprenditore nella cyber security. È apparso reticente ad affrontare la controversia tra la sua compagnia e il governo statunitense. È stata forse una voluta mossa strategica per lanciare il messaggio che, nonostante tutto il trambusto nei notiziari, Kaspersky continua ad andare avanti.

Eugene Kaspersky si è rifiutato di parlarmi durante il SAS, ma in seguito ha accettato di rispondere alle domande via e-mail. Nella nostra corrispondenza scritta, ha rigettato le preoccupazioni sul futuro dell’azienda, dicendo che i risultati economici dell’azienda nel 2017 sono stati “positivi”, e che rimane operativa negli Stati Uniti e in Occidente. (Alla fine dell’anno scorso, l’azienda ha chiuso uno dei suoi uffici negli Stati Uniti.)

“Non posso fare previsioni sul lungo termine, ma quest’anno è andata come sempre,” ha detto Eugene Kaspersky.

Durante i due giorni del convegno, alcuni ricercatori dell'azienda sono stati felici di parlare dei polveroni che si sono ammassati attorno la società.

“Avrete sentito tutti le fake news di propaganda su Kaspersky che ruba documenti classificati,” dice scherzando Brian Bartholomew, un ricercatore di Kaspersky Lab, durante un dibattito nel primo giorno del SAS riguardante la disinformazione e le fake news. “Ragazzi, siete abbastanza intelligente per capire che è tutto una stronzata.”

Il format del dibattito di Bartholomew assegnava ai relatori una posizione che essi dovevano difendere, al di là di ciò che davvero pensavano. I relatori erano incoraggiati a parlare chiaramente, quasi in modo satirico. Bartholomew stava chiaramente cercando di fare il simpatico, anche se lui e i suoi colleghi insistono che l'azienda sia innocente e che sia stata trattata ingiustamente dalle autorità e dai medie americani.

“Non abbiamo nessun problema con il governo statunitense, sono loro ad averli con noi,” ha detto Vitaly Kamluk, un altro ricercatore di Kaspersky Lab, durante una conferenza stampa la mattina del primo giorno del SAS. “Facciamo solo il nostro lavoro e lo facciamo bene.”

Il capo di Kamluk, il capo del GReAT, il Kaspersky Lab’s Global Research and Analysis Team, allo stesso modo ha difeso la lunga storia dell'azienda nel dare la caccia a tutti gli hacker, inclusi quelli legati a uno stato nazionale, siano essi americani, russi o da qualsiasi altro paese. All’inizio di questo mese, GReAT ha scoperto una campagna di cyber-spionaggio portata avanti da un team che il Kaspersky Lab ha chiamato ZooPark, il quale altri nell’industria credono sia connesso al governo iraniano, un alleato della Russia.

“Qualcuno si è lamentato — o piuttosto si potrebbe dire ha piagnucolato — che siamo troppo aggressivi quando si tratta di trovare malware o trovare i burattinai dietro la minaccia,” mi ha detto Raiu. “Vorrei che: sì, dannazione! Non c’è modo di essere troppo aggressivi quando si tratta di trovare i cattivi in un malware.”

Questo è un mantra che arriva dall’alto.

“Abbiamo solo una regola nelle nostre ricerche — individuiamo e facciamo rapporto su tutti i malware; non è importante quale linguaggio essi parlino, le origini o gli scopi,” ha detto Eugene Kaspersky a Motherboard. “Non può esistere un malware buono. Mai.”

Il palco principale al SAS 2018. (Immagine: Kaspersky Lab)

KASPERSKY LAB CONTRO IL GOVERNO

Le tensioni tra il governo statunitense e Kaspersky Lab risalgono alla metà del 2017, ma si sono intensificate a ottobre, quando il New York Times e il Wall Street Journal hanno lanciato una vera e propria bomba. Nel 2015 degli hacker del governo israeliano sono entranti nei server di Kaspersky Lab, un incidente di cui la società era a conoscenza ma che ha minimizzato dicendo che nessun dato sensibile era stato rubato. Tuttavia, secondo nuove relazioni, gli hacker hanno visto in tempo reale come le spie russe abbiano usato l’antivirus di Kaspersky Lab per esaminare documenti classificati e sensibili del governo statunitense, per poi rubarne qualcuno.

L’azienda ha inizialmente negato l’accusa, ma in un post di ottobre sul blog, Kaspersky Lab ha detto che nel 2014 il suo software ha automaticamente rilevato sul computer di un utente dei malware provenienti da un sofisticato gruppo di spionaggio. Per Kaspersky Lab il computer dell’utente è stato infettato con un malware, e i suoi antivirus hanno scoperto sia malware comuni che sospetti file .zip. Quei file .zip si sono rivelati come contenitori di un codice sorgente e di documenti classificati appartenenti all’Equation Group, il nome in codice che Kaspersky ha dato a un’unità di cyber spionaggio ampiamente riconosciuta come essere parte dell’NSA. Quando i ricercatori hanno avvertito Eugene Kaspersky della scoperta, secondo l'azienda, lui ha ordinato di cancellare il codice sorgente e i documenti.

La comunità dell’intelligence statunitense non ha per ora portato prove lampanti — perlomeno al pubblico — che questo incidente provi quello che è stato detto per anni: che Kaspersky Lab ha profondi, e pericolosi, legami con il governo russo.

Eugene Kaspersky ha detto a Motherboard che queste sfide sono basate “su nient’altro che chiacchiere e accuse non verificate,” e “nessuna prova di un qualsiasi illecito.”

Non si tratta solo di presunto spionaggio, tuttavia. Quelli che credono che la società sia solo una copertura per il Cremlino puntano ad alcune delle più importanti ricerche della compagnia.

Al SAS 2015, Kaspersky Lab ha pubblicato un approfondito rapporto che esponeva dettagliatamente le attività dell’Equation Group, che la società ha descritto come “gli dei del cyber spionaggio.” La società, come sempre, non ha identificato pubblicamente chi fosse dietro al soprannome del gruppo. L'azienda ha scritto che “o si trattava dello stesso gruppo, o hanno lavorato insieme strettamente” con gli sviluppatori del sofisticato e sfuggente Stuxnet, il malware creato per sabotare le centrali nucleari iraniane. Lo scorso anno, informazioni pubblicate da un gruppo misterioso che si fa chiamare The Shadow Brokers, hanno connesso l’NSA a Stuxnet.

Secondo due fonti che al tempo lavoravano con l’intelligence statunitense, l’NSA e la sua controparte militare, il Cyber Command statunitense, era a conoscenza che Kaspersky Lab avesse scoperto e rivelato il suo malware utilizzato per un’operazione di intelligence, già da un anno prima che la compagnia russa rendesse pubblica la ricerca sull’Equation Group. Le fonti hanno chiesto di rimanere anonime, in modo da poter discutere questioni sensibili di spionaggio.

“Quando il rapporto sull’Equation Group è diventato pubblico, tutto era stato insabbiato da mesi,” una fonte ha detto. “Eravamo in grado di vederli scoprire tutto in tempo reale, grazie alle funzioni dei loro virus "silenziosi". Una significativa parte dell’organizzazione fu riassegnata per gestire gli sforzi per seguire questo caso.”

Mi hanno persino detto che il governo statunitense inviò persone al SAS di quell’anno, poichè sapevano che Kaspersky Lab avrebbe parlato dell’Equation Group.

“Qualsiasi cosa troviamo, noi la pubblichiamo,” mi ha detto. “Nel bene e nel male.”

Quest’anno Kaspersky Lab ha sfidato ancora le operazioni di spionaggio statunitensi mentre ero al SAS. E questa volta le spie americane potrebbero non esserselo aspettato.

Il secondo giorno del summit, due ricercatori russi di malware di Kaspersky Lab sono saliti sul palco e hanno parlato di un malware recentemente scoperto che hanno chiamato “Slingshot”. Un malware che sarebbe diventato un esempio da manuale di come Kaspersky Lab possa essere vista, in base a chi lo stai chiedendo, sia come una buona squadra di cyber security, sia come un attore antagonista alle operazioni di sabotaggio americane in giro per il mondo.

Gli hacker dietro l’operazione, hanno spiegato i ricercatori, colpivano i router, nello specifico quelli negli internet cafè del Medio Oriente. Il giorno prima, durante un breve incontro con la stampa, Raiu, il capo del GReAT, ha detto che anche se l'azienda non conosceva chi c’era dietro Slingshot, sapeva che le abilità di questi hacker pareggiavano quelle dell’Equation Group e di Regin — un gruppo di cyberspionaggio ampiamente riconosciuto come essere parte dell’agenzia di spionaggio britannica GCHQ.

Escludendo la relazione e il comunicato stampa, l'azienda non ha dato molta importanza a questa ricerca. È stata presentata ai giornalisti e ha ricevuto un po’ di copertura, ma rispetto ai report sull’Equation Group di tre anni prima, Slingshot è stato a malapena messo a registro.

L’impatto del rapporto di Kaspersky su Slinghost non sarebbe stato capito fino a due settimane dopo la conferenza, quando un ufficiale di intelligence anonio ha detto a CyberScoop che, rivelando Slinghshot, Kaspersky Lab aveva compromesso un’azione in corso condotta dal Department of Defense’s Joint Special Operations Command (JSOC), pensata per scovare terroristi di al Qaeda e dell’ISIS.

Quella rivelazione ha cambiato completamente la storia di Slingshot. Non si era trattato soltanto di interessante rapporto presentato alla conferenza. Un talk e il conseguente post sul blog presentato a una conferenza a Cancun avevano costretto degli hacker dell’esercito statunitense avevano bruciato e abbandonato le infrastrutture digitali dedicate a un’operazione spionistica all’altro capo del mondo mirata alla cattura di alcuni dei più pericolosi terroristi.

“Non si può fare a meno di pensare che si sia trattato di una mossa calcolata di contro-terrorismo o una vendetta per le azioni dell'anno scorso” ha scritto su Twitter Michael Rea, un ricercatore sulla sicurezza a CrowdStrike, che ha lavorato nel mondo dell’intelligence statunitense.

Kaspersky Lab non la vede così. Invece, l'azienda ha asserito che i suoi ricercatori non conoscessero chi ci fosse dietro l’hack o chi fossero gli obbiettivi pianificati.

“Non conosciamo le identità degli hacker dietro Slinghsot APT o delle sue vittime,” ha detto Eugene Kaspersky. “Inoltre, non discriminiamo e non scegliamo i nostri casi di lavoro basandoci sulla nazionalità del malware o sugli intenti del suo autore — facciamo rapporto su tutte le minaccie, punto.”

Se la società sta dicendo la verità, allora nessuno ha avvisato il governo statunitense o il JSOC che le operazioni erano sul punto di essere compromesse. Un preavviso al riguardo non sarebbe stato inusuale, secondo l’ex ricercatore del GReAT Juan Andres Guerrero-Saade. (il JSOC ha rifiutato di rispondere a seguito della richiesta di commentare il fatto.)

“Se sai che stai rendendo pubblico qualcosa, vai e lo dici alle organizzazione che pensi siano coinvolte,” ha detto Guerrero-Saade, che ha lasciato l'azienda lo scorso anno e dice di non avere diretta conoscenza di Slingshot. “Vai a informarli. Nessuno qui [nell’industria] sta provando a sorprendere qualcuno.”

“A volte la macchina delle pubbliche relazioni va più veloce del buon senso."

Un altro ex ricercatore del GReAT in una chiacchierata online mi ha detto che il gruppo di solito “tenta di fare 'la cosa giusta' mentre cerca di rimanere apolitico.” Così, se Kaspersky Lab era a conoscenza della vera natura di Slingshot e ha comunque portato avanti la pubblicazione della ricerca, “non la chiamerei divulgazione responsabile,” mi ha detto il ricercatore in una chat, il quale ha chiesto di rimanere anonimo poiché non autorizzato a parlare alla stampa.

Sebbene i ricercatori di Kaspersky Lab non sapessero chi usasse Slingshot molti osservatori esterni, come Vesselin Bontchev, un ricercatore accademico al National Laboratory of Computer Virology presso l’Accademie delle Scienze bulgara, e il ricercatore sotto pseudonimo Odisseus, hanno presto concluso che dopo il talk è sembrato che dietro Slingshot ci fossero proprio gli americani. Inoltre al SAS, i ricercatori di Kaspersky Lab hanno fornito abbastanza indizi per dire che gli hacker dietro Slingshot potessero lavorare per il governo statunitese, forse per la CIA.

C’è una differenza tra cercare un malware e poi dibatterlo. Kaspersky Lab potrebbe aver fatto il lavoro dietro le quinte, rilevando Slingshot e impedendogli di infettare i computer dei propri clienti. I software di antivirus sono stati sviluppati per questo motivo. Invece, ha deciso di rendere pubblico Slingshot all’evento annuale di prim’ordine della compagnia, mettendolo sotto un vero e proprio riflettore.

Ci sono davvero pochi esempi di aziende di antivirus che pubblicano report su sospette operazioni di controterrorismo. La tendenza delle società di cyber security a evitare questo tipo di ricerche è un problema di cui raramente si è discuso in pubblico all’interno del mondo dell’intelligence. Tuttavia ci sono alcuni casi isolati di altre compagnie che pubblicano ricerche che svelano attività di sorveglianza controterroristica. Nel 2016 McAfee ha pubblicato una ricerca su uno spyware che aveva come obiettivo simpatizzanti dell’ISIS. Nel 2014, Symantec, Kaspersky Lab e The Intercept hanno scritto a riguardo di un’operazione dell’intelligence britannica chiamata Regin. A quel tempo, il CEO di una realtà della cybersecurity ingaggiato per investigare una breccia relativa a questa operazione mi ha detto che l’industria non ha reso pubblico Regin prima perchè “non volevamo interferire con le operazioni del NSA e del GCHQ.”

Raiu mi ha detto che non c’è una politica aziendale contro la ricerca di malware collegati a campagne di controterrorismo. Eugene Kaspersky me lo ha confermato in un’intervista via e-mail, il chè mette in contrasto la compagnia con il mondo in cui il resto dell’industria opera.

“Credo che sarebbe un problema se le aziende pensassero di restringere gli argomenti che i ricercatori possono indagare,” mi ha detto Raiu in un messaggio privato su Twitter.

Quando io e Raiu ci siamo incontrati al SAS, lui l’ha messa in un modo ancora più semplice quando abbiamo parlato della decisione della sua società di pubblicare ricerche sullo spionaggio governativo.

“Qualsiasi cosa troviamo, noi la pubblichiamo,” mi ha detto. “Nel bene e nel male.”

Sebbene sembri una bella frase d’effetto, rimane un modo di vedere le cose molto conveniente per Kaspersky.

“Ovviamente hanno ripetuto la loro posizione “una minaccia è una minaccia, e tutti sapete che stiamo solo cercando di bloccarle,” ha detto in un recente episodio del suo podcast di information security Risky Business, Patrick Gray. “Ma magari fare intere presentazioni che rendono estremamente ovvio che si tratta di operazioni di intelligence americane contro persone molto pericolose, forse è questo il problema che le persone hanno con il fatto, non che semplicemente hai schiacciato il loro malware.”

E non è necessariamente vero che Kaspersky Lab pubblica tutto ciò che trova. Specialmente negli ultimi anni Kaspersky Lab non ha pubblicato qualsiasi cosa. Come parte del suo modello di business la compagnia fornisce a una serie di abbonati a pagamento dei report privati su malware e gruppi di hacking, alcuni dei quali non vengono mai pubblicati.

Secondo Guerrero-Saade, occasionalmente, la asocietà ha trovato difficoltà a rinunciare all’attenzione pubblica che alcune ricerche raggiungono.

“A volte la macchina dei PR corre più veloce del buon senso,” ha detto, aggiungendo anche che non pensa che Kaspersky Lab fosse nel torto in questo caso.

A performance during the closing gala of SAS 2018. (Image: Kaspersky Lab)

LA GRANDEZZA DEL GRANDE

Kaspersky Lab deve la maggior parte dell’attenzione che ha ricevuto nell’ultimo decennio al GReAT, il tenace gruppo decenne di 40 ricercatori sparsi, tra gli altri, a Mosca, San Paolo, Miami e Buenos Aires. Questi cacciatori di malware sono responsabili per la ricerca e i blitz contro alcuni dei più famigerati gruppi di hacking dell’ultimo decennio.

Anche se non ha scoperto Stuxnet (che è stato trovato da Sergey Ulasen, un ricercatore sulla sicurezza che ha lavorato per VirusBlokAda in Bielorussia), il GReAT è stato uno dei gruppi più attivi ad averlo studiato a fondo, grazie all’identificazione della prima vittima del worm. È stato anche il primo a scoprire nuove operazioni del creatore di Stuxnet, incluse alcune che avevano come obiettivo computer in, tra gli altri, Iran, Siria, Sudan e Libano.

I ricercatori del GReAT sono stati anche i primi a sparare a zero sulle operazioni spionistiche russe, con un rapporto su un gruppo che hanno soprannominato Red October. Non è stata la prima e unica volta in cui hanno esposto hacker governativi russi. Il GReAT ha anche pubblicato report su altri gruppi collegati alla Russia, conosciuti come Sofacy e Cozy Duke, i quali sono diversi nomi in codice per il famigerato Fancy and Cozy Bear, ampiamente creduto di essere un gruppo di spie russe.

“Il GReAT è uno dei migliori team del suo genere. Forse è stato anche uno dei primi,” mi ha detto Martijn Grooten, un giornalista di Virus Bullettin.

I clienti di Kaspersky Lab che pagano per avere report privati sulle minaccia sono d’accordo.

“A mio modesto parere, quando si parla di APT, il GReAT è senza rivali,” ha detto una fonte che lavora per un governo e che è un sottoscrittore di Kaspersky Lab, utilizzando l’abbreviazione per Advanced Persistent Threats, un termine che nell’industria afferisce a gruppi di hacking governativi o altamente qualificati.

“Gli altri sono inferiori. Persino Symantec, che è il più popolare antivirus al mondo, non può tenere il passo,” la fonte, che ha richiesto di parlare in modo anonimo dal momento che non era autorizzata a parlare alla stampa, mi ha detto così. “Costin [Raiu] è di un altro livello.”

Gli stessi membri del GReAT non nascondono il loro orgoglio e l’ambizione della loro missione. Al SAS, durante un talk per celebrare l’anniversario dei dieci anni del team, Kamluk, uno dei ricercatori del gruppo, ha parlato circa l’hacking di Israele ai danni di Kaspersky Lab, dicendo che l’attacco era rivolto proprio al GReAT.

“Sono venuti per infettarci, per dare la caccia ai ricercatori e alla tecnologia che stiamo sviluppando per salvare il mondo,” ha detto.

Le relazioni del GReAT arrivano in prima pagina quotidianamente su siti come Motherboard, Wires e Forbes, ma anche in media più tradizionali come il New York Times e il Wall Street Journal.

Le loro ricerche di alto livello hanno portato a qualche attenzione indesiderata per alcuni dei suoi membri.

Nel 2010, Raiu tornò a casa dopo aver parlato di Stuxnet. Secondo Raiu, quando è entrato nel salotto con sua moglie, ha trovato un cubo di gomma bianco con un messaggio scritto sopra: “prenditi una pausa.”

“È una situazione piuttosto spaventosa,” ha ricordato Raiu durante un talk nel 2015. “Vai a casa e trovi un regalo del genere sul tavolo.”

Raiu ha detto di essersi preso una pausa, ma poi di aver continuato. È fiero del lavoro del suo team, che spesso mette sotto scacco operazioni di agenzie di intelligence ben fornite di fondi e equipaggiamento.

“Se noi, una piccola azienda con 3.000 impiegati, possiamo fermare i malware prodotti da agenzie di intelligence che hanno 30.000 impiegati e con budget di miliardi di dollari,” ha detto Raiu a quel talk del 2015, “allora significa che probabilmente stiamo facendo qualcosa di giusto.”

Una panoramica aerea di una cena di gruppo durante il SAS 2018. (Immagine: Kaspersky Lab)

DENTRO AL SAS

La macchina delle pubbliche relazioni di Kaspersky Lab lavora senza tregua al SAS. Una dozzina di rappresentanti della stampa per l'azienda vaga per le sale riunioni e i party, chiacchierando con i reporter, mentre gli impiegati dell’hotel all’open bar versano litri di tequila. (Se Kaspersky Lab nel passato ha pagato alcuni reporter per presenziare al SAS, Motherboard mi ha pagato il volo fino a Cancun e l’hotel. In un precedente lavoro Kaspersky Lab aveva offerto di pagami il viaggio per andare al SAS e altri eventi, ma ho rifiutato.)

Un mercoledì, a una serata di cocktail liberi, mi sono trovato circondato da due pubblicitari di Kaspersky Lab provenienti da Mosca, non li avevo mai incontrati. Mi hanno fatto i complimenti per le mie inchieste, e ringraziato per essere venuto al SAS. Una dei due, Yuliya Shlychkova, ha detto di lavorare per l'azienda da 13 anni ed è stata sincera quando gli ho chiesto come è stato l’ultimo anno.

“Una vera sfida,” mi ha detto Shlychkova. “Forse l’anno più difficile.”

Il suo collega, Sergey Maleknowich, è d’accordo, dicendo che è stato difficile organizzare le conferenze quest’anno a causa delle “tensioni geopolitiche.”

Nonostante le tensioni e le sfide, la conferenza è ancora colma di hacker e ricercatori di alto profilo. Dato il ridotto numero di partecipanti, e a causa del fatto che tutti fanno base allo stesso hotel, e solitamente sono sempre agli stessi eventi, è facile incappare in persone interessanti. Quando sono arrivato al SAS, ho incrociato Ryan Naraine, un ex impiegato Kaspersky che aiuta ancora la compagnia ad organizzare la conferenza.

“Beviamoci uno shot,” mi ha detto Naraine. Quando abbiamo incrociato un altro partecipante, Naraine mi ha sussurrato: “Fa parte di di un agenzia di spionaggio.”

Discorsi e ricerche serie si fondono senza soluzione di continuità con l’apparentemente illimitato flusso di tequila. Il discorso d’apertura è stato affidato a Matt Tait, un noto ex hacker del GCHQ e di Google, che forse è più conosciuto per i suoi prolifici tweet pubblicati sotto il nome di @pwnallthethings. Tait, che ha parlato della storia della disinformazione, perlopiù russa, ha vinto la il premio come miglior oratore della conferenza. Quando è salito sul palco per riceverlo, ha scattato un selfie con lo stesso Eugene Kaspersky, che già aveva speso gran parte della serata con un drink in mano.

Dopo qualche minuto che aveva lasciato il palco, ho chiesto a Tait se avesse postato il selfie.

“Oh, no!” ha detto Tait tirando fuori il suo telefono. “Fammelo tweetare ora.”

Questo è il tipo di interazioni che Kaspersky Lab spera di incoraggiare al SAS.

“Freebies, bei momenti e alcol che scorre liberamente,” ha detto circa la reputazione del SAS, un ricercatore sulla sicurezza che non ha mai presenziato al SAS ma che è stato invitato diverse volte. “È un modo molto cinico, coreografato con attenzione, per provare a integrarsi con il mondo della sicurezza.” In altre parole, “è un modo per farsi strada in quel mondo con cibo e alcol.”

Violet Blue, un reporter che ha coperto questioni di cyber sicurezza per anni e ha precedentemente partecipato al SAS, mi ha detto che la conferenza è un caso di studio su come influenzare il mondo dell’information security e i giornalisti che ne parlano. Kaspersky Lab, Blue mi ha scritto in una mail, è “generoso, caloroso e gentile” verso tutti i partecipanti, inclusi quelli che vengono da gruppi che sono stati lasciati fuori dalla comunità tradizionale dell’information security.

“A Kaspersky non importa; rendono anche il più escluso degli stranieri (sì, specialmente quelli più influenti) parte di qualcosa,” ha scritto Blue. “Se stanno facendo un qualche tipo di campagna di influencing, si tratta di qualcosa di ammirevolmente viscido.”

“Il punto è duplice,” ha detto un altro ricercatore sulla sicurezza che ha richiesto di rimanere anonimo per paura di far infuriare il governo russo. “Prima di tutto, buone intenzioni. Secondariamente si tratta di spionaggio: valutare, arruolare e rubare dati sul posto.”

“Se stanno facendo un qualche tipo di campagna di influencing, si tratta di qualcosa di ammirevolmente viscido.”

Dan Guida, il fondatore dell’impresa Trail of Bits, ha finito per pentirsi di aver partecipato al SAS 2010 a Malaga, in Spagna.

“Mi sono divertito,” Guido mi ha detto. “Per loro era tutto qui, ‘Dan, questo importante ragazzo della community, supporta tutto questo’. Se parli a una conferenza il tuo nome dà credibilità. Ma tutto quello che ho avuto piacere di supportare è stato il viaggio gratis in Spagna.”

Guido ha apertamente criticato il SAS per essere un “un’opportunità creata di proposito dallo spionaggio russo per avvicinarsi ad hacker di loro interesse.” Guido ammette che qualsiasi conferenza di cyber security è una buona opportunità per arrivare o hackerare i partecipanti di interesse. Tuttavia il SAS è piccolo, e tutti sono quasi sempre nello stesso posto, anche durante una gita fuori porta o agli eventi notturni ricolmi di alcol (solitamente lontano dall’hotel del convengo), così Guido collega il prendere di mira le persone lì con lo “sfondare una porta aperta.”

Eugene Kaspersky ha decisamente rigettato queste accuse.

“Sembra un film di James Bond! Le persone credono a cose davvero folli,” ha scritto in una e-mail.

Per un altro partecipanti, questi sono preoccupazioni eccessivo, persino se i russi potessero raggiungere i partecipanti desiderati.

“Di base se il governo russo vuole i miei file, (a) possono ottenerli (b) non hanno bisogno di una conferenza di Kaspersky per farlo e (c) probabilmente non me ne accorgerei, neanche se stessi guardando, questo perché il FSB non cazzeggia in giro,” mi ha detto. “Mi sembra inoltre la conferenza sbagliato per provare a fare cose del genere.”

Ma non tutti ne sono così certi.

“Controlla i tuoi drink,” mi ha consigliato un partecipante di lunga data che ha chiesto di rimanere anonimo.

Mi hanno detto che ci sono stati diversi casi di partecipanti che hanno affermato di aver avuto cocktail in cui erano state mischiate droghe, o di persone che facevano irruzione nelle stanze di altri. Un’altra persona che aveva partecipato nel passato ha descritto un incidente simile, ma ha rifiutato di fornire particolari.

“Non ho alcun interesse a tornare,” mi ha detto un altro partecipante. “Ho avuto una strana sensazione per tutto il tempo in cui sono stato lì. È stato tutto molto losco. C’erano un sacco di persone con fare inquisitorio che uscivano fuori dal nulla. Per loro mi è sembrata una festa per la raccolta di informazioni. Ti fanno sbronzare e quindi si fanno strada in tutte le conversazioni che hai con le altre persone.”

Motherboard non è stato in grado di verificare in modo indipendente le specifiche di uno qualsiasi di questi casi. Eugene Kaspersky ha detto che lui “non ha mai sentito di incidenti del genere,” e un portavoce della compagnia ha detto che corrispondono al vero.

“Fornire ai partecipanti al SAS le migliori condizioni, inclusa la sicurezza, è in cima alle priorità degli organizzatori dell’evento,” ha detto un portavoce della compagnia in una e-mail. “I partecipanti al SAS possono indirizzare qualsiasi problema agli organizzatori dell’evento, e a oggi non abbiamo ricevuto nessun rapporto sugli incidenti di cui si è speculato.”

La grande maggioranza dei partecipanti a cui ho parlato gradiscono la conferenza. Molti di questi hanno partecipato svariate volte e hanno il SAS cerchiato in rosso sul proprio calendario. Alcuni di essi, inclusi quelli provenienti da compagnie avvesrsarie di Kaspersky Lab, hanno descritto il SAS come una delle migliori, se non la migliore, conferenza a cui siano mai stati.

“È un convegno fantastico,” mi ha detto Chris Sistrunk, un ricercatore sulla sicurezza di Mandiant, un concorrente di Kaspersky Lab. Guerrero-Saade lo ha chiamato “il Natale dei ricercatori.”

L’ex impiegato di Kaspersky Lab Ryan Naraine su un bus di ritorno da una notte al SAS. (Immagine: Lorenzo Franceschi-Bicchierai/Motherboard)

KASPERSKY LAB, AMICO O NEMICO?

Durante la serata di chiusura del SAS 2018, mentre ex spie, hacker governativi e impiegati di Kaspersky Lab ballavano e bevevano tequila, non ho potuto fare a meno di pensare a un momento all’inizio del 2013 a un evento di un giorno di Kaspersky Lab a New York. Ho partecipato all’evento con molti altri giornalisti, alcuni dei quali la compagnia aveva fatto arrivare dall’Europa nel tentativo di farsi benvolere dalla stampa e dall’industria della sicurezza.

Tutti sono stati invitati per una lussuosa cena su una nave che ha fatto il giro di Manhattan. Più tardi quella sera, Eugene Kaspersky si è fermato a ogni tavolo per salutare i partecipanti. È successo pochi mesi dopo che la rivista Wired ha pubblicato un approfondito profilo di Eugene Kaspersky e dei suoi legami con lo spionaggio russo (come stagista per Wired, al tempo feci qualche ricerca minore per quel pezzo.)

Eugene e la compagnia non erano stati felici dell’inchiesta. Così tanto che Paul Roberts, allora scrittore a Threatpost, un blog di cyber security completamente finanziato da Kaspersky Lab, mi ha detto che era stato licenziato per aver retweetato l’inchiesta con l’account Twitter ufficiale della pubblicazione. L’ordine da Mosca, mi ha detto Roberts, era di non mostrare apprezzamento o rispondere al pezzo. (Eugene Kaspersky ha detto che Threatpost è un “team indipendente” sul quale l’azienda non ha “autorità editoriale.”)

“Cosa ne pensa dell’articolo di Wired?” ho chiesi a Kaspersky, mentre girava tra un altro giornalista italiano e me.

Kaspersky, tenendo in mano un bicchiere di quella che sembrava vodka, fece un passo indietro, si fermò e il suo viso si contorse in una smorfia. “Sai,” disse, “Penso che Symantec abbia pagato per quell’articolo.” Quando gli ho chiesto nuovamente di quell’incontro per questo articolo, Kaspersky ha detto di non ricordarsi quella conversazione, “ma Symantec paga per articoli denigratori verso di noi mi sembra alquanto improbabile.”

Cinque anni dopo, osservando il party nelle ultime ore al recente SAS, mi sono ricordato che Kaspersky Lab ha sempre affrontato una dura battaglia nei paesi occidentali, dal momento che si tratta di un’azienda russa. Spesso i critici hanno accusato ingiustamente la compagnia di andare a caccia solo di hacker governativi dei paesi occidentali, nonostante abbia spesso documentato operazioni di hacking governativi in qualsiasi parte del globo.

Lo stesso, quando si parla di operazioni di intelligence del proprio governo, si può dire per molti dei concorrenti di Kaspersky Lab, incluse compagnie americane.

“So dalle altre aziende che preferiscono evitare di scrivere riguardo campagne collegate al governo statunitense, o che qualche volta ricevano richieste dall’amministrazione di non pubblicare quaclosa,” ha detto una fonte che lavora nell’industria degli antivirus e che ha chiesto di rimanere anonima. “Questo può essere sia per il ‘non voler rovinare le investigazioni in corso’ ma anche i governi sono clienti molto importanti.

A causa delle loro ricerche apparentemente senza discriminazione, e a causa delle loro abilità tecniche, alcuni esperti dell’industria considerano i ricercatori del GReAT come i migliori. Il chè ci riporta a una domanda posta dall’attrice nel discretamente sopra le righe video promozionale del SAS: cos’è Kaspersky Lab, veramente?

Quando mi sono preparato per andare al SAS, sono stato più premuroso del solito: ho bloccato i miei normali account e-mail, e ho portato con me solo iPhone e Chromebook puliti, come alcune persone mi hanno consigliato. Il mondo della cyber security è abitato da hacker, criminali e spie. Sono estrememente vigili, alcuni direbbero paranoici, perchè vedono ogni giorno come la tecnologia viene manipolata e utilizzata per fare del male alle persone.

È possibile che il governo statunitense stia prendendo di mira Kaspersky Lab per le presunte connessioni con le spie russe, per la sua inclinazione a esporre al pubblico operazioni di hacking americane durante i suoi convegni in località esotiche. O forse Kaspersky Lab è solo la vittima di una nuova guerra fredda, giacchè non ci sono ancora reali e pubbliche prove del coinvolgimento con il governo russo.

Il governo statunitense, che secondo alcune testimonianze sta pensando di imporre nuove sanzioni sulla compagnia, chiaramente non vuole che ci si fidi di Kaspersky Lab. Intanto la compagnia afferma che le sue relazioni e report sono indirizzati a chiunque, “nel bene, e nel male.”

Fidatevi a vostro rischio e pericolo.