Si chiama Elcomsoft, è un’azienda russa attiva nel campo delle investigazioni digitali. Produce un software usato solitamente dagli esperti forensi o da aziende private per recuperare password e decriptare telefonini o computer. Un’inchiesta della RSI ora è in grado di svelare che questo applicativo russo viene utilizzato anche dalla Polizia Federale e da Armasuisse. In un periodo dove preoccupano gli attacchi informatici provenienti da Mosca, gli esperti mettono in guardia dai rischi che questo comporta.
Destinazione Praga? No Mosca…
Nel sito dell’azienda raggiungibile dalla Svizzera o dall’Europa, a un primo sguardo, si legge che Elcomsoft ha sede nel distretto di Bubeneč a Praga. Ma in realtà se si fa una ricerca più attenta si scopre che la sua sede è in Zvozdny Boul’vard a Mosca. L’indirizzo russo è stato cancellato dal sito solo dopo la guerra in Ucraina. Grazie al sito web.archive.org, abbiamo scoperto che nel novembre 2021, pochi mesi prima dell’invasione su larga scala da parte dell’esercito russo, la sede di Mosca dell’azienda era indicata sul sito aziendale.
E a Mosca l’azienda è ancora attiva oggi, come abbiamo potuto constatare anche dal registro di commercio russo. Anche su LinkedIn dipendenti, programmatori e il CEO di Elcomsoft che abbiamo rintracciato sono residenti nella Federazione Russa. Elcomsoft è stata fondata negli anni ’90. “L’azienda – leggiamo dal sito - offre soluzioni per penalisti e forze dell’ordine, nel campo dell’informatica forense, mobile e cloud.” Di fatto - tra le altre cose - produce software per recuperare password ed entrare nei telefonini o computer bloccati da password. Può servire ad esempio a entrare in un iPhone o un PC di indagati.
Fedpol e Armasuisse confermano l’utilizzo del software
Sul sito di Elcomsoft leggiamo che i suoi strumenti sono utilizzati “dalla maggior parte delle aziende“ della lista Fortune 500, da “unità militari, governi stranieri e tutte le principali società di contabilità”. Almeno questo stando a quello che afferma l’azienda. Noi tra i clienti abbiamo trovato anche l’Ufficio federale di polizia (Fedpol) e l’Ufficio federale dell’armamento (Armasuisse). Abbiamo chiesto delle conferme a entrambe le Istituzioni. Armasuisse ci ha risposto via mail spiegando che effettivamente ha “acquistato il software da questo produttore a scopo di test”. Non ci ha precisato tuttavia cosa significa test e come viene utilizzato il prodotto.
Fedpol inizialmente ci ha negato una risposta per motivi di sicurezza. Dopo alcune nostre richieste e grazie alla legge sulla trasparenza ci ha poi confermato che “nel 2024 ha acquistato licenze per 4 prodotti dell’azienda Elcomsoft”. La Polizia federale ci ha anche specificato che utilizza i prodotti esclusivamente in “offline” (cioè non connessi alla rete) e che nel corso degli ultimi anni ha “acquistato prodotti equivalenti i cui nomi nel tempo sono stati modificati”.
“Un software che equivale a un’arma”
Per Sebastien Fanti, già delegato alla protezione dei dati nel Canton Vallese ed esperto di queste tecnologie, l’utilizzo di un tale software pone seri dubbi per la cybersicurezza nazionale. “Questa è una società russa, che si occupa dello sviluppo di prodotti forensi per la sorveglianza. È un’azienda che è dunque soggetta alla legge russa - spiega Fanti - quindi potenzialmente le autorità e i servizi segreti di Mosca possono avere accesso ai risultati delle indagini che vengono svolte utilizzando questo software.”
Fanti non è rassicurato dal fatto che il programma verrebbe utilizzato da Fedpol in maniera “offline”. “È sufficiente - spiega l’esperto - che in un dato momento questo software entri in contatto con una qualsiasi rete che qualcuno possa accedere e rimpatriare tutti i dati. “Cosa garantisce che non ci sia una “backdoor”? Niente”, afferma Fanti. E queste “porte segrete usate per accedere ai computer molto spesso sono installate di default perché possono servire anche per manutenzione”. “Inoltre, - continua – delle backdoor possono essere installate per avere la certezza che lo strumento non si rivolterà un giorno contro il vostro stesso Paese.” Dunque, conclude Fanti “bisogna scegliere i propri partner con molta attenzione perché non si possono correre rischi. Bisogna privilegiare partner fidati che lavorano in un Paese in cui è assicurato il rispetto della legge e delle regole democratiche. Questo non è il caso della Russia.” Per l’esperto, questo software di sorveglianza “è un’arma. E dovrebbe essere trattato come tale.”
Elcomsoft indagata nel 2001 negli Stati Uniti
Elcomsoft era balzata agli onori della cronaca negli Stati Uniti ad inizio anni 2000 quando un suo programmatore venne arrestato e poi rilasciato per reati legati alla legge statunitense sul copyright. L’uomo venne assolto anni dopo. Più recentemente l’azienda è tornata a far parlare di sé perché ha fatto causa a un concorrente in Russia con l’accusa di avergli rubato un codice per penetrare in profondità negli IPhone. La controversia legale, come ha sottolineato Forbes, ha rivelato una debolezza e una possibile vulnerabilità nel sistema operativo iOS 16 di Apple. Non è chiaro se l’ultima versione di Apple iOS 17 i problemi siano stati risolti. Sul sito di Elcomsoft si legge tuttavia che il suo applicativo “Forensic Toolkit” funziona con tutte le versioni di iPhone e iPad anche iOS 17. Di questo, tuttavia, non abbiamo conferme.
Dubbi a Palazzo federale
L’utilizzo di questo software pone quesiti anche sotto la cupola di Palazzo Federale. Per Gerhard Andrey, consigliere nazionale membro della Commissione della politica di sicurezza e informatico di professione: “questo è un vero e proprio strumento per hackerare un iPhone.” “Se dipendiamo troppo dagli strumenti e dalle aziende estere che hanno sede in Paesi problematici per noi, come ad esempio la Russia, o la Cina, ciò costituisce un problema in generale. – continua il consigliere nazionale - ciò è ovviamente il caso per questo software, che è anche molto sensibile in termini di funzionalità. Serve per hackerare dei computer o dispositivi di Apple. Quindi è qualcosa di molto delicato.”
Anche per Andrey il fatto che venga utilizzato in “offline” cioè disconnesso dalla rete non è sinonimo di sicurezza al 100%. “In generale – spiega - questo tipo di applicazioni non vanno utilizzate connesse a Internet, perché sarebbe molto complicato e molto pericoloso per questioni di sicurezza”. “Però - aggiunge - ci sono ovviamente aggiornamenti che provengono da qualche parte. Se si tratta di un fornitore di servizi che non è in Svizzera, dunque per fare questo trasferimento di dati è necessario avere una buona gestione della sicurezza sul software.”
Prima una risposta poi il silenzio
Il ceo e cofondatore dell’azienda si chiama Vladimir Katalov, matematico laureato all’Istituto di ingegneria e fisica di Mosca; dal 1987 al 1989 è stato sergente dell’esercito sovietico. Katalov nel 2011 era stato interrogato negli Stati Uniti da due dipendenti governativi statunitensi; intervistato da Forbes, ha spiegato che gli agenti volevano informazioni se la sua azienda fosse legata al Cremlino e se il suo software avesse delle “backdoor” che avrebbero potuto consentire agli agenti di Mosca di accedere alle reti americane.
Inoltre gli avrebbero chiesto di consegnare un elenco di clienti e il codice sorgente. Katalov ha negato di avere collegamenti con l’intelligence di Mosca e anche che vi siano state delle vulnerabilità nascoste nei suoi prodotti. Negli anni Elcomsoft ha venduto anche ad aziende e forze di polizia negli Stati Uniti. Ad esempio tra i clienti figurava - tra gli altri - la Air National Guard. Da noi contattata la Guardia Nazionale aerea ha però negato di usare i software Elcomsoft. Ad oggi non sappiamo quante aziende e istituzioni negli USA utilizzano questi prodotti. L’FBI recentemente ha nuovamente messo in guardia sui rischi per la cybersicurezza derivanti dell’utilizzo di una serie di applicativi prodotti in Russia.
Abbiamo provato a contattare l’azienda. Inizialmente ci ha risposta il Ceo Vladimir Katalov in persona che si era detto favorevole a un’intervista. Tuttavia, alle nostre sollecitazioni e ai nostri quesiti non ha ancora fornito una risposta.