Insieme ad altri analisti e dipendenti dell’Nsa, era stato attirato negli Emirati Arabi Uniti dalla promessa di uno stipendio quattro volte superiore a quello che guadagnava in patria e dalla possibilità di vivere nel lusso esentasse del parco giochi del Golfo. A tutti era stato detto che avrebbero continuato a fare lo stesso lavoro di prima, con l’unica differenza che l’avrebbero fatto per un alleato degli Stati Uniti. Si trattava, dicevano i superiori, di un’estensione della guerra contro il terrorismo.

Evenden cominciò individuando e seguendo cellule terroristiche nei paesi del Golfo. Era il 2014, e il gruppo Stato islamico aveva appena assediato le città irachene di Mosul e Tikrit. Lui doveva tenere sotto controllo i jihadisti che cambiavano continuamente cellulare e usavano varie app per scambiarsi messaggi. A volte le immagini che intercettava erano agghiaccianti, ma cercava di convincersi di essere in missione. Laureato in teologia, avrebbe dovuto diventare un cappellano, ma la vita lo aveva portato su una strada diversa. All’inizio ad Abu Dhabi pensava di aver trovato il modo migliore per seguire la sua fede: dare la caccia a persone che volevano uccidere i cristiani.

Ma dopo qualche tempo Evenden fu assegnato a un nuovo progetto: dimostrare che il Qatar, vicino degli Emirati, stava finanziando l’organizzazione islamista dei Fratelli musulmani. Evenden spiegò ai suoi capi che l’unico modo per riuscirci era hackerare i sistemi informatici del Qatar. “Fallo”, gli risposero. E pazienza se il Qatar era un alleato degli Stati Uniti e se i superiori di Evenden, una volta entrati nelle reti qatariote, dimostrarono di non avere nessuna intenzione di uscirne. Presto Evenden e gli altri dipendenti della CyberPoint si ritrovarono a spiare i nemici degli Emirati in tutto il mondo, reali o immaginari che fossero: dirigenti della Fifa (l’organo di governo del calcio mondiale), oppositori della monarchia araba su Twitter e soprattutto la famiglia reale qatariota. I superiori di Evenden volevano conoscere la destinazione dei loro voli, le persone che incontravano e i contenuti delle loro conversazioni. A Evenden avevano detto che anche quell’attività faceva parte della missione, e che tutto era autorizzato dall’alto. Nella guerra contro il terrorismo condotta con armi digitali non c’era niente di proibito.

Tutte le giustificazioni furono spazzate via il giorno in cui le email della first lady degli Stati Uniti comparvero sullo schermo di Evenden. Alla fine del 2015 i collaboratori di Michelle Obama stavano definendo i dettagli di un viaggio in Medio Oriente. Sheikha Mozah bint Nasser al Missned, moglie dell’emiro del Qatar, aveva invitato Obama a partecipare al vertice annuale sull’istruzione a Doha, dove la first lady statunitense avrebbe potuto promuovere una sua iniziativa.

Obama e la sua squadra erano in contatto costante con Sheikha Mozah. Ogni email scambiata tra le due donne e i rispettivi staff (riflessioni personali, prenotazioni, cambi di itinerari, dettagli sulla sicurezza) finiva nei computer degli ex analisti dell’Nsa che lavoravano ad Abu Dhabi. “In quel momento ho pensato: ‘Non dovremmo farlo, non dovremmo spiare queste persone’”, ricorda Evenden. Mise la famiglia su un aereo e tornò negli Stati Uniti. Insieme ad alcuni colleghi decise di avvertire l’Fbi della situazione. Per proteggersi da possibili conseguenze, alcuni dipendenti dell’azienda riferirono del programma di hackeraggio alla Reuters, ma l’intercettazione dello scambio di email tra Sheika Moza e Michelle Obama non è mai venuta alla luce.

Poco tempo dopo essere tornato in patria, Evenden cominciò a ricevere messaggi su LinkedIn e telefonate da ex colleghi che lavoravano ancora per l’Nsa. Gli chiedevano consigli dopo aver ricevuto “allettanti offerte di lavoro” da Abu Dhabi. Nel 2020 le telefonate sono diventate martellanti. “Non andarci”, rispondeva Evenden. “Il lavoro sarà molto diverso da quello che ti aspetti”. Avrebbe voluto dire anche: “Pensi di essere un patriota, ma un giorno scoprirai di essere solo un mercenario in una corsa agli armamenti digitali andata per il verso sbagliato”.

Gli Stati Uniti hanno creato il mercato degli hacker trent’anni fa, e lo avevano monopolizzato. Poi, un po’ alla volta, ne hanno perso il controllo. Come boomerang, gli attacchi informatici si sono diretti verso Washington. Nonostante questo, nessuno nel governo statunitense ha mai pensato di cambiare strategia. Non è successo nel 2015, quando le email di Michelle Obama sono finite nella rete a strascico di un analista statunitense, e non sta succedendo oggi, mentre gli hacker russi entrano abitualmente nelle reti del governo statunitense.

Nel 2016, alcuni mesi dopo il ritorno a casa di Evenden, un hacker riuscì perfino a rubare gli strumenti che l’Nsa usava per hackerare. Il colpevole non sarebbe mai stato trovato, ma quegli strumenti sono stati usati prima dalla Corea del Nord e poi dalla Russia, nell’attacco informatico più devastante della storia.

Nei tre anni successivi l’Iran ha rimontato dalle retrovie digitali creando uno dei più prolifici eserciti informatici del mondo. La Cina, dopo una breve pausa, ha ricominciato a saccheggiare la proprietà intellettuale degli Stati Uniti. Washington sta ancora valutando i danni di un attacco di un anno fa, probabilmente sferrato da un’agenzia di spionaggio russa. Gli hacker hanno colpito la catena di distribuzione dei software, compromettendo il dipartimento di stato, il dipartimento del tesoro, i Centri per il controllo delle malattie infettive, il dipartimento dell’energia (compresi i suoi laboratori nucleari) e il dipartimento della sicurezza nazionale, cioè l’agenzia che dovrebbe proteggere il paese. Tutto questo non è stato scoperto da un dipendente dell’Nsa o grazie a un’operazione d’intelligence, ma perché il governo è stato avvertito da una società di sicurezza, la FireEye, che aveva individuato la presenza degli hacker nella propria rete.

L’arroganza – il mito di una superiorità globale, già smontato dalla pandemia di covid-19 – è il motivo per cui gli Stati Uniti si trovano in questa situazione. Pensavano di essere più scaltri dei loro nemici, e di fronte a un ordine mondiale sempre più virtuale erano convinti che la strategia migliore fosse moltiplicare gli attacchi invece di migliorare le difese. Questo anche se le infrastrutture americane diventavano sempre più vulnerabili man mano che tutto veniva collegato alla rete, dai depuratori alle ferrovie, dai termostati ai microinfusori usati per curare il diabete.

Da molto tempo l’Nsa pensa troppo ad attaccare e poco a difendere. Per cento hacker che cercano d’infiltrarsi nelle reti dei rivali – cercando i punti deboli da usare per operazioni di spionaggio o di guerra – l’agenzia ha un solo analista che si occupa di difesa.

Oggi gli Stati Uniti sono ancora la superpotenza cibernetica più avanzata del mondo, ma sono anche la più vulnerabile e quella che subisce più attacchi. Negli ultimi anni si è fatto spesso riferimento a un’imminente “Pearl Harbor informatica”. In realtà i timori di un attacco devastante – per esempio un’esplosione in uno stabilimento chimico dovuta a un soft­ware vulnerabile – sono un diversivo: gli Stati Uniti si trovano già in una situazione disperata. Tutto quello che valeva la pena rubare è stato rubato: i dati personali, la proprietà intellettuale, gli elenchi degli elettori, le cartelle cliniche e perfino le stesse armi informatiche.

In questo preciso momento gli Stati Uniti sono hackerati così spesso che è praticamente impossibile tenere il conto, e per lo statunitense medio è molto difficile comprendere la portata di una minaccia che si presenta sotto forma di codici impossibili da decifrare per la maggior delle persone. Spesso questa minaccia sembra troppo distante per essere affrontata, ma le soluzioni esistono da decenni. Si è deciso di non adottarle perché i cittadini statunitensi volevano avere reti accessibili e comodità e il governo voleva spiare i suoi nemici. Così si è deciso di lasciare aperto uno spiraglio quando sarebbe stato meglio sprangare tutto.

C’è un motivo se gli Stati Uniti credevano di potersi difendere colpendo gli altri: sono bravissimi a condurre attacchi informatici. Nel 2007 il governo di Washington e quello israeliano avviarono un’operazione contro il sito nucleare iraniano di Natanz, distruggendo un quinto delle centrifughe. L’attacco, conosciuto con il nome di Stuxnet, si diffuse usando sette punti deboli nei software industriali della Microsoft e della Siemens. Stuxnet fu un successo: costrinse gli iraniani a ridimensionare le loro ambizioni nucleari ed evitò che gli israeliani bombardassero Natanz, rischiando di scatenare la terza guerra mondiale. Ma l’operazione mostrò agli alleati e ai nemici degli Stati Uniti il potere delle armi informatiche, cambiando l’ordine mondiale dei sistemi digitali.

Nel decennio successivo è partita la corsa ai nuovi armamenti. Molti analisti dell’Nsa hanno lasciato l’agenzia per creare aziende che producono armi informatiche. Alcune, come i Vulnerability Re­search Labs, in Virginia, hanno venduto questi strumenti soprattutto alle agenzie statunitensi e ai paesi alleati degli Stati Uniti, come Australia, Canada, Nuova Zelanda e Regno Unito. Altre hanno scelto un percorso più ambiguo: la Immunity Inc. ha lavorato prima per società di consulenza come Booz Allen, poi per l’azienda della difesa Raytheon, poi per i governi di Paesi Bassi e Norvegia, e infine per l’esercito turco.

Imprese come CyberPoint si sono spinte ancora più in là, spostandosi all’estero e condividendo strumenti e conoscenze che gli Emirati hanno usato per spiare i propri cittadini. In Europa i fornitori degli spyware del Pentagono, come Hacking Team, hanno cominciato a fare affari con la Russia e poi anche con il Sudan, che ha usato gli strumenti di spionaggio in modo spietato.

Mentre il mercato si allargava e sfuggiva al controllo dell’Nsa, gli Stati Uniti continuavano a portare avanti una strategia che Paul Nakasone, attuale direttore dell’Nsa, chiama “difesa attiva”, e che nella guerra moderna consiste nell’hackeraggio delle reti nemiche. È la distruzione mutua assicurata dell’epoca digitale. Gli Stati Uniti sono entrati nelle reti dei troll russi per dare una dimostrazione di forza, nelle strutture nucleari iraniane per distruggerne le centrifughe, nel codice sorgente dell’azienda cinese Huawei per spiare i suoi clienti in Iran, in Siria e in Corea del Nord, e per creare un sistema d’allarme che in teoria avrebbe dovuto permettere all’Nsa di sventare gli attacchi prima che fossero eseguiti.

Quando gli Stati Uniti hanno scoperto i punti deboli nei sistemi che governano il mondo digitale non lo hanno detto ai produttori di software, che avrebbero potuto provare a risolvere il problema. Hanno invece scelto di lasciare aperte quelle falle, nel caso in cui un giorno l’Fbi avesse voluto entrare nell’iPhone di un terrorista o l’esercito avesse deciso di colpire la rete iraniana. Basta dare un’occhiata agli attacchi subiti dagli Stati Uniti negli ultimi cinque anni per capire che la “difesa attiva” non sta funzionando. In un promemoria riservato del 2012, un’analista dell’Nsa sottolineava il problema: “Per qualche tempo attaccare i router è stato un ottimo affare per noi e per i nostri alleati, ma è sempre più evidente che altri paesi stanno facendo progressi e ora si stanno prendendo la scena”.

Solo nel 2017, quando gli strumenti dell’Nsa furono sottratti e usati contro gli Stati Uniti, si capì la gravità della situazione. L’agenzia aveva tenuto segreta una vulnerabilità nel software Microsoft per più di cinque anni, rivelandola all’azienda solo dopo aver subìto l’attacco. Troppo tardi. Un mese dopo, quando la Corea del Nord sfruttò quella falla, le imprese, le scuole e gli ospedali non avevano ancora messo in sicurezza i loro sistemi. Poi la Russia approfittò dello stesso difetto per sferrare un attacco che decimò le scorte di vaccini della Merck, costò 400 milioni di dollari alla Fedex e impedì ai medici di accedere alle cartelle cliniche dei pazienti. Secondo le stime, le perdite economiche causate dall’attacco ammontano a dieci miliardi di dollari.

E arriviamo all’attacco scoperto dalla FireEye a fine 2020, ribattezzato SolarWinds, dal nome dell’azienda che è stata presa di mira. La SolarWinds vende software alle agenzie governative, agli operatori che gestiscono le reti energetiche e a centinaia di aziende. Ora gli esperti del governo stanno dando la caccia a ogni vettore e backdoor (accessi segreti al sistema) usata nell’attacco. A volte gli Stati Uniti hanno risposto agli attacchi informatici con incriminazioni, sanzioni o contrattacchi. Il presidente Joe Biden ha chiesto di stanziare altri dieci miliardi di dollari per la sicurezza informatica, e il 4 febbraio ha dichiarato che gli Stati Uniti stanno “lanciando un’iniziativa urgente” sulla cibersicurezza per migliorare la “preparazione e la resistenza nel ciberspazio”.

Ma nel caso di SolarWinds ci vorranno mesi, forse anni, per trovare tutti i punti d’accesso usati dagli hacker. Gli Stati Uniti potranno uscire dal pasticcio in cui si trovano solo smettendo di essere vulnerabili. Per i cittadini questo significa una vita meno comoda: dovranno aggiornare i loro software e cambiare regolarmente le password, dovranno attivare la doppia autenticazione ed evitare di cliccare sui link sospetti. Le aziende, da parte loro, dovranno testare il codice durante la progettazione e non quando è già nelle mani degli utenti. In futuro bisognerà usare schede elettorali compilate a mano e scollegare i sistemi che governano le centrali nucleari, gli equipaggiamenti medici e il traffico aereo.

Per il governo un buon modo di cominciare sarebbe fissare delle regole per impedire alle aziende che lavorano per l’Nsa, come quella che aveva assunto Evenden, di fare il lavoro sporco per conto di altri governi. Di sicuro è arrivato il momento di chiudere tutte le porte e le finestre che non avrebbero mai dovuto rimanere aperte.

Per decenni il lavoro di Jim Gosler, ex analista della Cia e dell’Nsa, è stato proteggere la popolazione e i segreti degli Stati Uniti, evitando che l’opinione pubblica sapesse quanto fosse concreto il rischio di un attacco informatico catastrofico. Oggi anche Gosler sostiene che l’unica cosa da fare è prendere atto della vulnerabilità del sistema. “Gli attacchi del passato non avevano conseguenze per i cittadini, ma con SolarWinds potrebbe essere diverso”, mi ha confessato Gosler di recente. “E stata un’operazione incredibilmente invasiva. Gli hacker sono arrivati a un passo dalla rete elettrica. Siamo coinvolti tutti”. ◆as

Nicole Perlroth è una giornalista statunitense che si occupa di sicurezza informatica per il New York Times. Negli Stati Uniti ha da poco pubblicato This is how they tell me the world ends, sulla guerra globale dell’informazione.