Si autodefinisce, non senza polemica ironia, il Darth Vader della sicurezza informatica. Ma anche il lupo di Vuln Street, dove Vuln sta per vulnerabilità del software. Semplificazioni giornalistiche, certo, che lui ha indossato insieme alla maschera del cavaliere Jedi sedotto dal Lato Oscuro, sfoggiata ormai in pianta stabile sul suo profilo Twitter. Sarà anche per questo che molti dei suoi colleghi non amano parlare con la stampa. Del resto lavorano in un mercato – quello della acquisizione e rivendita di exploit, ossia di codice che sfrutta un baco di un software per lanciare un attacco informatico – connotato dalla segretezza, e sempre più gomito a gomito con i governi. «Sarà dura trovare qualcuno disposto a parlare, chi fa quel genere di trading oggi è additato come mercante di morte o giù di lì», mi aveva avvisato un esperto italiano di cybersicurezza. Ed è vero, pochi nel settore vogliono parlare. Ma Chaouki Bekrar, il cattivo di Vuln Street, è abbastanza abituato ai riflettori. Se ne è appena puntato uno addosso sfidando la Apple.
Mentre infatti milioni di persone correvano ad aggiornare i propri iPhone e iPad all’ultimo sistema operativo della Mela – iOS 9, lanciato lo scorso 16 settembre – Bekrar, a distanza di neanche una settimana, ci metteva sopra tre taglie da 1 milione di dollari l’una. In pratica invitava i migliori hacker mondiali a fornirgli, in cambio di una lauta ricompensa, una tecnica capace di rompere il sistema di sicurezza degli iPhone e degli iPad e di prenderne il controllo da remoto, senza metterci le mani sopra, ma utilizzando come vettore di attacco una pagina web visitata dall’utente, oppure un sms ricevuto, o ancora una app del dispositivo.
Le tre taglie da 1 milione di dollari su iOS 9 che hanno fatto sobbalzare molti addetti del settore sono state messe da Zerodium, una piattaforma di brokeraggio fondata negli Stati Uniti lo scorso luglio da Bekrar, dopo essere stato per anni a capo della francese Vupen. Pure la sua precedente società, con sede a Montpellier, vendeva exploit – e tra i clienti aveva l’americana National Security Agency (Nsa) – anche se per trovare le vulnerabilità di un software e trasformarle in un attacco usava perlopiù risorse interne. Zerodium è invece un broker che compra exploit e li rivende. A governi, contractor, aziende. Stiamo parlando degli exploit più pregiati, gli 0-day o zero-day. Si chiamano così perché sfruttano vulnerabilità del software ancora sconosciute a chi lo ha sviluppato e agli utenti. Zero-day inteso come “zero giorni” da quando la vulnerabilità diventa nota: ovvero non è ancora nota se non all’attaccante (e magari ad altri come lui che l’hanno trovata indipendentemente).