SI CHIAMA Pandemic, un nome che non richiede grande immaginazione. La pandemia creata dalla Central Intelligence Agency doveva rimanere segreta per cinquanta anni. E invece viene rivelata oggi da WikiLeaks in esclusiva con Repubblica. Si tratta di documenti particolarmente significativi, se si considera il panico scatenato da "WannaCry", che tre settimane fa ha infettato decine di migliaia di computer in tutto il mondo, e che presenta delle caratteristiche comuni con Pandemic, anche se lo strumento di Langley si dimostra di ben altra complessità.Che cos'è Pandemic?È un software malevolo (malware) creato per la prima volta dalla Cia nel 2014, che colpisce i computer con sistema operativo Windows, sfruttando le reti locali (Lan) - quelle che si trovano comunemente nelle aziende, università, redazioni dei giornali, ospedali - e il protocollo SMB, usato per condividere file, stampanti e fare altre operazioni sulla rete Lan.

Le informazioni contenute nei manuali rivelati da WikiLeaks sono estremamente tecniche, ma il concetto alla base di questo strumento è semplice: per diffondersi, la pandemia deve infettare il "file server", ovvero il computer della rete utilizzato per scaricare file aziendali o anche aggiornamenti del software e degli antivirus. È a quella macchina che, normalmente, si connettono tanti utenti della Lan per fare il download di programmi e di documentazione di vario tipo. Una volta che Pandemic lo ha compromesso, chi prova a scaricare un file riceve "una sorpresa": invece dell'aggiornamento o del documento legittimo, Pandemic gli invia del malware e così lo contagia, diffondendo l'infezione.Le caratteristiche che accomunano WannaCry e Pandemic sono evidenti: entrambi prendono di mira i PC con sistema operativo Windows, si diffondono su reti locali e usano il protocollo SMB, ma Pandemic si dimostra uno strumento intelligente e versatile. A differenza di WannaCry, che è semplicemente un ransomware, ovvero un software che cripta i file del computer infettato e chiede un riscatto per decifrarli, e si limita a replicarsi sfruttando una vulnerabilità di SMB, Pandemic permette di installare tanti tipi di malware sui computer in cui si diffonde e consente anche di escludere certi gruppi dalla pandemia, per esempio, lasciando fuori l'amministratore di sistema della rete, in modo che quest'ultimo non si accorga dell'infezione o perlomeno non se ne accorga subito, dando così modo a Pandemic di espandersi.I documenti segreti rivelati oggi da WikiLeaks sono manuali tecnici: pubblicarli non è pericoloso, nel senso che non si tratta di malware che potrebbe essere utilizzato da criminali e spie. Al contrario, ora che sono nel pubblico dominio, le aziende antivirus hanno in mano informazioni tecniche precise per rilevare questo software malevolo e aggiornare i sistemi in modo da neutralizzarlo. Pandemic è più difficile da contrastare del ransomware che ha creato il panico in tutto il mondo: per debellare quest'ultimo bastava riparare la vulnerabilità del protocollo SMB che il ransomware sfruttava, per Pandemic questa soluzione non funziona, perché non sfrutta falle nel protocollo. Per contrastarlo è necessario individuare il malware sulla macchina su cui si è installato e questi manuali aiutano a farlo, perché rivelano che cos'è Pandemic e come funziona.Pandemic è una delle cyber armi della Central Intelligence Agency contenute nell'enorme database Vault 7, che WikiLeaks ha iniziato a rivelare nel marzo scorso mandando su tutte le furie la Cia. Ma proprio il confronto tra WannaCry e gli strumenti di Vault 7 ci permette di capire l'operazione che sta facendo l'organizzazione di Julian Assange.Per diffondersi e colpire, WannaCry sfruttava una vulnerabilità del protocollo SMB, chiamata EternalBlue, che proveniva dall'arsenale di un'altra temibile agenzia americana di intelligence: la National Security Agency (Nsa). È importante capire che tanto la Nsa quanto la Cia hanno perso il controllo delle loro cyber armi. Come questo sia accaduto non è chiaro, ma una cosa è certa: oggi pericolosi ordigni cibernetici creati dalle due potenti organizzazioni di spionaggio sono in circolazione, creando gravissimi rischi per la sicurezza delle reti di stati, aziende, università e infastrutture di tutto il mondo.Mentre però le cyber armi della Nsa sono finite diffuse su internet senza alcuna precauzione da un misterioso gruppo di nome Shadow Brokers, le cyber armi della Cia vengono pubblicate con tutta una serie di accorgimenti da parte di WikiLeaks, che fin dall'inizio ha fatto molta attenzione a non diffondere pericolosi software malevoli, a omissare i nomi degli agenti della Cia che vi hanno lavorato, a cercare di allertare le aziende di software affinché aggiornino i loro sistemi in modo da neutralizzare questi armamenti, e infine ad allertare l'opinione pubblica sulla proliferazione e sulla pericolosità di queste cyber armi che, se finiscono nelle mani sbagliate, sono una minaccia per chiunque, non solo per 007 e terroristi, come ha dimostrato il caso WannaCry.Gli Shadow Brokers hanno agito da untori del web, incuranti dei criminali che possono sfruttare strumenti come EternalBlue per mettere a segno pericolosi attacchi come WannaCry, WikiLeaks, invece, ha scelto una diffusione responsabile, come ha anche riconosciuto il guru della sicurezza informatica, l'americano Bruce Schneier, in un commento fatto al nostro giornale , e in uno pubblicato sulla r ivista americana Atlantic Più che pubblicare responsabilmente, però, l'organizzazione di Julian Assange non può fare: chiudere le falle della sicurezza dei sistemi informatici, infatti, spetta alle aziende di software, che devono aggiornare i loro sistemi e i loro antivirus. Nessuno può farlo per loro. Un gigante come Cisco ha ammesso pubblicamente di averlo fatto. "Cisco mette la sicurezza dei suoi clienti davanti a tutto", dichiara l'impresa a Repubblica, aggiungendo di aver "immediatamente fatto partire un'indagine sui dati circoscritti che emergono da Vault 7 e di aver così individuato una vulnerabilità che richiede l'attenzione dei nostri clienti". Il 17 marzo scorso, secondo quanto ci fa sapere l'azienda, Cisco ha emesso un'allerta sicurezza per una vulnerabilità che interessa una serie di prodotti e "da allora in poi", spiega, "ha iniziato a pubblicare aggiornamenti software per le versioni colpite".Mentre le aziende e il pubblico capitalizzano il valore delle informazioni rivelate da WikiLeaks, però, Julian Assange e il suo staff scontano il prezzo di queste rivelazioni. Tra un attacco furioso da parte del capo della Cia, Mike Pompeo, e la promessa dell'Attorney General Jeff Sessions di perseguire duramente WikiLeaks, Assange non ha neanche provato a mettere un piede fuori dall'ambasciata dell'Ecuador a Londra, nonostante ormai l'inchiesta svedese sia completamente crollata.