Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “arianna.bo*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).
Se usate Firefox aggiornato siete a posto, ma se ne state ancora usando versioni vecchie avete un grosso problema: qualcuno ha avuto accesso all’elenco riservato delle sue falle di sicurezza irrisolte e l’ha sfruttato per creare attacchi informatici. Per un anno intero. Ed è successo perché uno dei manutentori è stato così ingenuo da usare altrove la stessa password che usava per accedere a quest’elenco delicatissimo e se l’è fatta fregare.
L’annuncio, con PDF esplicativo, non mena il can per l’aia: Bugzilla, il sistema informatico utilizzato da Mozilla (la comunità degli sviluppatori di Firefox) per gestire le informazioni sui problemi di sicurezza del popolarissimo browser, è stato violato. L’aggressore è riuscito a procurarsi un accesso all’account di un utente privilegiato di Bugzilla e ha potuto quindi consultare tutte le informazioni riservate sulle falle irrisolte in Firefox e altri software sviluppati da Mozilla. In barba alle regole basilari della sicurezza, l’utente aveva infatti riutilizzato la propria password di Bugzilla su un altro sito (non identificato nell’annuncio), che è stato violato, saccheggiandone le password.
In effetti è un metodo geniale per procurarsi tecniche d’attacco: invece di studiare il software e cercarne faticosamente le falle, basta entrare nell’account di uno sviluppatore di quel software e leggere la documentazione che descrive con precisione le vulnerabilità ancora aperte. E per entrare nell’account dello sviluppatore basta sfruttarne le imprudenze banali.
L’aggressore ha avuto accesso ai dati riservati sicuramente da settembre 2014, ma ci sono indizi che suggeriscono che l’intrusione fosse già in corso da settembre 2013. L’intruso ha consultato ben 185 falle riservate di Firefox, 53 delle quali riguardavano vulnerabilità gravi: di queste, dieci non erano state corrette pubblicamente al momento in cui sono state viste dall’aggressore. Mozilla ritiene che almeno una di queste dieci sia stata sfruttata dall’aggressore per attacchi informatici. Ne aveva parlato ai primi di agosto, senza dire nulla della violazione, annunciando che c’era una pubblicità su un sito russo che attaccava gli utenti di Firefox usando quella falla e ne rubava file sensibili per mandarli a un server situato a quanto pare in Ucraina.
Tutte le falle carpite dall’aggressore sono state risolte con la versione di Firefox 40.0.3, pubblicata il 27 agosto scorso. Se state usando questa versione, questa fuga di dati non ha effetto sulla vostra sicurezza. Se state usando versioni precedenti, datevi una mossa e aggiornatevi.
Adesso che i buoi sono scappati, Bugzilla ha imposto l’uso dell’autenticazione a due fattori per tutti gli sviluppatori e sta limitando l’accesso ai dati più sensibili. Un po’ come mettere finalmente una serratura alla porta di casa dopo che sono passati i ladri e hanno trovato la porta aperta. Complimenti vivissimi.
Questo articolo vi arriva grazie alla gentile donazione di “giorgiorod*” e “adrianaci*” ed è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2013/02/15.
Il micro-articolo qui sopra si riferiva all’asteroide DA14, il cui passaggio a circa 25.000 chilometri dalla Terra era preannunciato da tempo e che secondo alcuni catastrofisti avrebbe colpito il nostro pianeta causando grandi sconquassi. Come previsto, invece, DA14 è passato senza danni.
Tuttavia proprio lo stesso giorno è arrivata a sorpresa una meteora sopra la Russia. Questa meteora non c’entra nulla con DA14 (traiettoria troppo differente e anticipo troppo grande) ma, a seconda delle dimensioni (se superiori a 10 metri), potrebbe essere considerata un asteroide e ha effettivamente “colpito” la Terra… o meglio, si è disintegrata fragorosamente nell’atmosfera, spaccando parecchie finestre con la propria onda d’urto e riuscendo forse a far arrivare al suolo qualche frammento. Non è proprio un impatto da fine del mondo con tanto di mega-cratere, ma è pur sempre un impatto spettacolare (con l’atmosfera, non con la superficie). Per cui ad alcuni questo mio “NO” così categorico sembra un epic fail.
A me no, ma posso vivere anche con un epic fail controverso appiccicato addosso (ne ho di peggiori e di ben più meritati). Per cui vada per l’epic fail, perlomeno perché avrei dovuto titolare “Domani la Terra verrà colpita dall’asteroide DA14?” invece di parlare genericamente di “un” asteroide. Pensavo che il link all’articolo di Plait, dedicato a DA14, chiarisse a cosa mi riferivo, e le probabilità che proprio oggi, nel giorno del passaggio ravvicinato di un asteroide, saltasse fuori un altro asteroide ancora più ravvicinato erano infinitesime. Così ho scommesso e ho perso. Lezione imparata, grazie!
Vista la mia apparente capacità di predire al contrario il futuro, provo a fare un’altra previsione: domani riceverò un milione di euro in regalo? NO.
Questo articolo vi arriva grazie alle gentili donazioni di “piergiorgio” e “liciapar****”. L’articolo è stato aggiornato dopo la sua pubblicazione iniziale.
In un paese ansioso e privo di certezze è bello poter contare su alcuni punti fermi. Uno è la totale, inappellabile, fisiologica inettutidine informatica dei politici e dei governanti. Come possano avere la presunzione di governare (o di voler governare) un paese questi individui che non hanno alcuna familiarità con le tecnologie di base del secolo in cui vivono è un mistero per me insondabile. Questi sono cavernicoli che vogliono insediarsi nella stanza dei bottoni di Chernobyl.
Mi riferisco, l’avrete intuito, alla reazione isterica per il Googlebombing che coinvolge il Presidente del Consiglio. Qualcuno ha scoperto che digitando “fallimento” o “miserabile” in Google e poi cliccando su “Mi sento fortunato”, compare il curriculum di Berlusconi.
Santi numi! Panico! Chi sono questi potentissimi vandali che hanno piegato il Grande Google ai loro inquietanti voleri? Saranno gli “hacker dei centri sociali” di meneghina memoria? Saranno i terroristi islamici? Saranno gli anarco-insurrezionalisti? Sarà Google che è diventato autocosciente come Skynet in Terminator?
Leggo con orripilata incredulità sul Corriere la reazione ferma e risoluta del commissario dell’Autorità per le garanzie nelle Comunicazioni, Enzo Savarese:
dopo molte segnalazioni pervenute, ha chiesto di verificare modalità, responsabili e mandanti dell’azione di pirateria informatica. A quanto si apprende, sarebbe stata attivata la Polizia postale.
È possibile, tuttavia, che Savarese sia vittima del travisamento del solito giornalista disinformato, disinformatico e disinformante. Stando al blog di Alessandro Longo, segnalato dai commenti qui sotto, Savarese infatti:
ha solo detto ai giornalisti che avrebbe indagato (che è la risposta scontata, di prassi, quando un giornalista ti chiama e ti chiede che farai come Autorità), non ha confermato che si trattava di pirateria informatica. Gli ho parlato poco fa e mi ha confermato che crede che il Google bombing non è illegale.
Sempre nello stesso articolo del Corriere apprendo la brillante esternazione di Jacopo Venier, esponente di un partito che taccio qui per pudore. Dice il Venier:
Anche il più importante motore di ricerca su internet contribuisce così a chiarire quale sia il reale bilancio di cinque anni di governo della destra.
Poi ha la decenza di ammettere la sua abissale ignoranza informatica:
Non sappiamo quali magici meccanismi hanno portato a questo risultato ma è evidente che esiste una intelligenza “artificiale” che ha individuato i veri fallimenti ed i veri falliti di questa epoca.
Mi capita fra le mani, poi, il Giornale di sabato 8 aprile 2006, che spara questa cannonata a pagina 6:
HACKER CONTRO PALAZZO CHIGI – Inserendo su Google le parole “miserabile” e “fallimento” e cliccando sul bottone “sono fortunato”, si apriva la pagina del sito di palazzo Chigi con la biografia di Berlusconi. Gli hacker contro il sito del governo, ma il sistema di difesa dalle intrusioni esterne ha retto. “Non è la prima volta che capita – dice il responsabile del sito, Fabrizio Casinelli – e anche questa volta la difesa del sistema è stata perfetta.
Considerato che il sito del governo non è sotto attacco, non stupisce che il suo “sistema di difesa” abbia retto. È come dire “Cesira, sai che oggi c’è stato un terremoto in Guatemala eppure la nostra casa in Toscana è ancora in piedi? È fatta proprio bene!!”. Stupisce, invece, che il Casinelli dichiari queste cose. Posso soltanto sperare in un altro travisamento giornalistico, ma sarebbe il male minore soltanto per modo di dire.
Signori miei, prima di lasciarsi andare a reazioni ed esternazioni di questo genere, sarebbe buona cosa chiedere lumi a qualcuno competente in materia, così non vi viene il coccolone. Non c’è bisogno di scomodare la Polizia Postale, che ha ben altre gatte da pelare: basta chiedere, per esempio, a un figlio o un nipote che usa Internet. Se gli fate notare trafelati l’increscioso “attacco hacker” che ha colpito Google, vi spiegherà, scuotendo sconsolato il capo, che cos’è l’antica tradizione satirica del googlebombing, poi tornerà tranquillo a scaricare musica e chattare con la morosa.
Non è in corso alcun attacco a Google. Non c’è alcuna “pirateria informatica”. Non c’è alcuna “intelligenza artificiale”, anche se sa il cielo quanto sarebbe bello averne un po’ per sopperire al vistoso deficit di quella naturale. Né ci sono “magici meccanismi”. Molto più banalmente, un certo numero di persone ha creato nelle proprie pagine Web dei rimandi che collegano le parole “fallimento” e “miserabile” alla pagina Web del curriculum di Berlusconi. Non è difficile. Guardate, si fa così:
Google non fa altro che rilevare questi rimandi, come fa del resto per tutti gli altri rimandi (in gergo si chiamano link)presenti in Internet, e valutare periodicamente qual è il rimando più frequente associato a una certa parola o frase. Se il rimando più frequente associato alla parola “fallimento” è la pagina del Presidente del Consiglio, indica tale pagina come risultato maggiormente corrispondente alla parola “fallimento”. È un meccanismo automatico che non comporta alcuna presa di posizione da parte di Google. Google funziona così, punto e basta.
Questo meccanismo è conosciuto come Googlebombing, appunto, ed è in uso da anni in vari paesi come forma di satira e di protesta e come burla; ma forse eravate troppo presi dai balletti della politica per accorgervene. Ne sono già stati vittima, in passato, Tony Blair, George W. Bush, John Kerry, Lula Da Silva, il politico svizzero Christoph Blocher, il presidente filippino Arroyo, i fondamentalisti cristiani, la Microsoft, Scientology e tanti altri: la lista completa è nell’enciclopedia gratuita Wikipedia, in inglese e (in forma concisa) in italiano.
Basta che un po’ di persone (non ce ne vogliono tante) si mettano d’accordo su un termine e lo associno tante volte, in tante pagine differenti, al bersaglio prescelto. È una cosa che si può fare sia per motivi satirici, sia per scopi sociali: per esempio, a dicembre 2005 ci fu un Googlebombing che associò la parola “regali” al sito dell’UNICEF.
Niente panico, quindi. I veri motivi di preoccupazione, semmai, sono che non sapete queste cose eppure pretendete di legiferare su Internet, e che quei pochi fra voi che capiscono la Rete vengono messi in un angolo. Così vi riunite come ciechi che dissertano sugli arcobaleni. Non stupisce che poi il sonno della ragione partorisca mostri liberticidi come la legge Urbani, coi suoi impossibili, kafkiani “bollini” SIAE da applicare ai siti.
I veri vandali di Internet non sono coloro che fanno googlebombing goliardico. Sono coloro che non sanno come funziona, ma pretendono di dettarne le regole, convinti di poter imbrigliare la Rete, come bambini che soffiano verso il cielo e s’illudono così di spostare le nuvole.
Figuraccia per la filiale francese della Universal Pictures: nell’ambito della propria lotta alla pirateria audiovisiva ha dato incarico a una società, la Trident Media Guard, di pattugliare Internet alla ricerca di violazioni del diritto d’autore e di denunciare gli indirizzi IP dei pirati per farli oscurare. Solo che fra gli indirizzi IP denunciati a Google, specificamente per aver piratato il film Jurassic World, c’è anche il 127.0.0.1.
Sì, avete capito bene: la TMG ha denunciato l’indirizzo IP del proprio computer, sul quale evidentemente c’era una copia (si spera legittima) del popolarissimo film. 127.0.0.1 è infatti per convenzione l’indirizzo locale di ogni dispositivo.
Il pasticcio ha naturalmente scatenato l’ilarità degli internauti ed è stato immortalato dal sito Chilling Effects, che si occupa della tutela degli internauti dalle denunce false o vessatorie. La domanda che molti si pongono, di fronte a incidenti come questo, è che se il sistema antipirateria della Universal è così impreciso da segnalare come pirata il computer sul quale lavora, quanti altri utenti denuncia e assilla senza reale motivo? Tanti, a quanto pare, perché fra i siti “pirata” denunciati da TMG c’è persino l’Internet Movie Database, un sito popolarissimo che cataloga i film ma non li offre per lo scaricamento.
Se in questi primi giorni le indagini giornalistiche per verificare eventuali collaborazioni dell’azienda italiana con governi repressivi sono state ostacolate dalla difficoltà tecnica di scaricare i 400 gigabyte di dati trafugati o di sfogliarne online le varie parti, ora chiunque può cercare in tutta la corrispondenza di HackingTeam con un semplice clic.
Per esempio, una ricerca di “IP address” insieme a “VPS” rivela molte comunicazioni interessanti e dettagli dell’infrastruttura di sorveglianza di HackingTeam. Una ricerca per “gov.sa” rivela comunicazioni con indirizzi governativi dell’Arabia Saudita, e così via. Altre parole chiave potenzialmente interessanti sono exploit, Eric.rabe, e.rabe, leak e leaker.
Dall’archivio di mail risultano scambi anche recentissimi con i servizi di sicurezza dell’Etiopia, come questa mail del 10 giugno 2015:
David, Giancarlo,tomorrow at midnight the temporary, read-only license we gave to INSA is going to expire. Since we issued this last license. We have not received any reply from them, on any channel.I would wait and see if anything moves on their side, or do you want to anticipate action (e.g., issue a new license)?Thanks,Daniele
E si vede anche il commercio di exploit (vulnerabilità) per Adobe Flash, negoziate da HackingTeam (grazie a @mme_bathory per la segnalazione):
Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita’ ma
stessi target) che aveva accorpato in un unica descrizione… abbiamo
preso uno… prendiamo l’altro?
#1,#2 (two 0days) Adobe Flash Player
versions: 9 and higher
platforms: 32- and 64-bit Windows, 64-bit OS X
price: $45k by three monthly payments
Gli chiederi semplicemente conferma che siano effettivamente due
distinte vulnerabilita’ in parti diverse del codice(per evitare che
patchato uno perdiamo pure l’altro).
Senno’ c’era anche l’opzione 3 (credo che 32-bit windows vada bene per
browser a 32-bit su architettura x64, da verificare nel caso):
#3 Adobe Flash Player
versions: 11.4 and higher
platforms: 32-bit Windows
payload: calc.exe is launched on Windows
price: $30k by two monthly payments
In pratica HackingTeam sta discutendo l’acquisto di vulnerabilità inedite per Adobe Flash che sono presenti in milioni di computer e invece di renderle pubbliche per consentire a tutti di essere più sicuri se le vorrebbe tenere per sé per usarle nei propri prodotti di sorveglianza. È l’equivalente di scoprire una malattia e tenere per sé la cura per farci dei soldi.
Ma non è il caso di pensare che HackingTeam sia l’unica a fare commerci loschi di questo genere. Un’altra mail di HT fa infatti quest’osservazione a proposito di ditte concorrenti:
Ribadisco l’importanza di prendere contatti: ci saranno un sacco di researchers asiatici e non solo con exploit da vendere e *****, te l’assicuro, compra in questo modo la maggior parte degli exploits che poi, debitamente controllati e ripuliti, vengono venduti a 10 volte il prezzo originario.
[…]
I HAVE strong, incontrovertible EVIDENCE that the most famous 0-day vendors (e.g., *****, *****) do NOT create/find/research the vast majority of the numerous exploits they sell.
According to my intelligence information I can tell you that only about ** 30% ** of the exploits in such famous 0-day vendors’ commercial catalogs have been internally researched.
That is, an amazing 70%, of the exploits actually commercially proposed by such exploits vendors are BOUGHT from THIRD PARTIES, then worked out, possibly enhanced, polished and eventually sold to their own clients with hefty profit margins.
When at the conference, I urge you to start building up as many commercial relationships with new exploits researchers and minor/still unknown exploit vendors as possible. We need external resources in order to effectively compete, and win, in the 0-day game.
Così fan tutti, insomma, e allora facciamolo anche noi. Da notare che quella che per noi utenti è un’infezione potenzialmente devastante per loro è un game: un gioco. E a furia di giocare con i virus, se li sono lasciati sfuggire.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ste.simon*”, “davidedani*” e “matteo.cam*” ed è stato aggiornato estesamente dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:45.
Stanotte HackingTeam, la controversa società italiana che vende software di sorveglianza a governi d’ogni sorta e per questo è etichettata come “nemica di Internet” da Reporter Senza Frontiere, è stata violata massicciamente: questo è, perlomeno, quanto risulta a giudicare dai 400 gigabyte di suoi dati riservati che sono ora a spasso su Bittorrent, a disposizione di chiunque abbia banda sufficiente a scaricarli e tempo e competenza per analizzarli.
Anche l’account Twitter di HackingTeam (@HackingTeam) è stato violato ed è stato usato per pubblicare schermate del materiale pubblicato e tweet di sfottimento come quello mostrato qui sopra.
Dentro la collezione di dati trafugata, stando ai primi esami, c’è di tutto: registrazioni audio, mail, codice sorgente, credenziali di login per i siti di supporto di Hacking Team in Egitto, Messico e Turchia. Secondo l’analisi dell’elenco di file del pacchetto Bittorrent, i clienti di HackingTeam includono la Corea del Sud, il Kazakistan, l’Arabia Saudita, l’Oman, il Libano e la Mongolia; c’è una fattura da 480.000 euro al NISS (National Intelligence and Security Services) del Sudan, che secondo Human Rights Watch ha soffocato le proteste contro il governo facendo 170 morti nel 2013, e c’è una fattura da un milione di euro tondi alla Information Network Security Agency dell’Etiopia, eppure HackingTeam ha dichiarato di non fare affari con governi oppressivi.
Stando ai dati pubblicati a seguito dell’intrusione, ci sono clienti di HackingTeam nei seguenti paesi: Arabia Saudita, Australia, Azerbaigian, Bahrein, Cile, Cipro, Colombia, Corea del Sud, Ecuador, Egitto, Emirati Arabi, Etiopia, Germania, Honduras, Italia, Kazakistan, Lussemburgo, Malesia, Marocco, Messico, Mongolia, Nigeria, Oman, Panama, Polonia, Repubblica Ceca, Russia, Singapore, Spagna, Stati Uniti, Sudan, Svizzera, Tailandia, Ungheria, Uzbekistan, Vietnam.
Fra questi paesi quello più scottante è il Sudan, perché c’è un embargo ONU contro questo paese e un’eventuale violazione di quest’embargo da parte di HT sarebbe decisamente imbarazzante, viste anche le dichiarazioni passate di HackingTeam, secondo le quali ci sarebbe un “comitato legale” che “tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International”. Attenzione: “tenere conto” non è sinonimo di “rispettare”. E in un’intervista a Wireddi febbraio 2014 HT dichiarava che “Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne.” I risultati di questo lavoro si sono visti stamattina.
C’è anche, secondo Christopher Soghoian, un file Excel con tutti i clienti governativi, le date di primo acquisto da HackingTeam e i ricavi accumulati (maggiori dettagli negli aggiornamenti qui sotto).
Non è finita: alcuni screenshot rivelano pratiche di sicurezza davvero imbarazzanti per una società che si occupa di sicurezza informatica a livelli governativi. Ci sono le password di una persona dotata di account di posta su Hackingteam.com, conservate in chiaro in un file (forse custodito dentro un volume cifrato Truecrypt, comunque scavalcato) e costituite principalmente dalla parola Passw0rd usata ripetutamente per più siti.
E la stessa persona conserva sul computer di lavoro dei link a Youporn (aggiornamento 2015/07/11: potrebbe esserci una ragione di lavoro):
Ho contattato il CEO di HackingTeam per avere una dichiarazione sulla vicenda e sono in attesa di risposta.
Se i dati vengono confermati come autentici, è una carneficina digitale e la reputazione di HackingTeam ne esce a pezzi. Alcuni governi si cominceranno a chiedere in che mani hanno messo i loro affari più sensibili.
13:30. La vicenda sta scivolando rapidamente nel surreale. In tarda mattinata Christian Pozzi di HackingTeam si è affacciato su Twitter per dire che l’azienda ha inviato “una mail di massa a tutti i nostri clienti colpiti non appena abbiamo saputo dell’attacco informatico”. Una dichiarazione che suona decisamente come una conferma dell’autenticità dei dati in circolazione.
Non vorrei essere nei panni della persona di HT che deve spiegare ai servizi di sicurezza russi o di altri paesi che i loro dati riservati ora sono a spasso su Internet.
Non è finita: poco dopo che Pozzi ha tweetato la dichiarazione, anche il suo account Twitter è stato violato, probabilmente a causa di una password un tantinello ovvia come quelle mostrate qui sopra. Ora l’account Twitter risulta disattivato, ma non prima che ne siano stati catturati screenshot assolutamente epici.
Questa vicenda sta diventando un perfetto manuale di tutto quello che non va fatto quando c’è una violazione della sicurezza informatica. E anche di quello che non va fatto per evitare che si verifichi. Regola numero uno: quando succede un casino, stai zitto e lascia che parlino gli avvocati.
Intanto emergono dati aggiuntivi: secondo le ricerche degli esperti, nei file trafugati ci sono dati e password dei clienti di HackingTeam, contratti, parametri di configurazione e un file particolarmente compromettente, che elenca lo stato dei vari clienti, con Russia e Sudan etichettati come “non supportati ufficialmente”:
14:10. La vicenda dovrebbe far riflettere, a mio avviso, su tutta la questione dei trojan di stato. Se, come sembra, il codice sorgente del malware creato da HackingTeam è stato pubblicato nel pacchetto di dati trafugati, questo dimostra concretamente quello che gli esperti dicono da anni: non c’è modo per un governo di creare un malware che potrà essere usato soltanto dai “buoni”. Il malware è malware. È tossico per tutti, esattamente come le armi chimiche o batteriologiche. E prima o poi sfugge di mano.
16:30. Un utente, “Phineas Fisher”, si è attribuito con un tweet (parzialmente confermato) il merito di quest’incursione e di quella ai danni di un’altra società dello stesso settore, Gamma, qualche tempo addietro. Intanto dal Torrent sono stati estratti e segnalati online dei file Excel (Client Overview*) nei quali ci sono i clienti e i loro indirizzi di mail e su Github sono stati pubblicati quelli che sembrano essere i codici sorgente trafugati. Ci sono persino degli screenshot dei desktop dei computer del personale della società. La situazione per HackingTeam, insomma, diventa sempre più disastrosa.
17:00. Apple avrebbe dato a HackingTeam un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo in teoria avrebbe permesso a HackingTeam di inviare alla vittima via mail o postare su un sito (non nell’App Store) un’app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.
18:00.C’è anche la Svizzera, e specificamente la Polizia Cantonale di Zurigo, fra i clienti di HackingTeam. Per la cifra non trascurabile di 486.500 euro la Kantonspolizei ha acquistato a fine 2014 da HT il Remote Control System Galileo (fattura numero 072/2014). Di questo acquisto ho conferma da fonte indipendente. Galileo è uno dei nomi usati da HT per indicare il proprio malware usato per intercettare i contenuti di smartphone (iOS, Android, Windows Phone, BlackBerry, Symbian) e computer (Windows, Linux, OS X) scavalcandone la crittografia. Galileo viene offerto vantandone l’uso per gestire “fino a centinaia di migliaia di bersagli”.
HackingTeam e i suoi clienti difendono spesso l’uso di malware di stato dicendo che è necessario per lottare contro terrorismo, narcotraffico e pedopornografia. Ma quando si parla di “centinaia di migliaia di bersagli” siamo nel campo della sorveglianza di massa della popolazione e quei reati non c’entrano nulla. A meno che qualche governo se la senta di dire che ha in casa centinaia di migliaia di terroristi, spacciatori e pedofili.
21:30. Si stanno accumulando molte domande, anche autorevoli (The Register, Kevin Mitnick), intorno ad alcuni pezzi di codice sorgente (come questo e questo) che a prima vista sembrano istruzioni per piazzare file di contenuto pedopornografico nei dispositivi dei sorvegliati. Prima di fare un’accusa così grave aspetterei un’analisi esperta di quel codice: non vorrei che si trattasse, per esempio, di semplici funzioni usate per creare un file dimostrativo per i test di funzionalità del malware. Quei nomi pippo e pluto, così tipici della programmazione fatta da italofoni, hanno l’aria di utenti demo.
22:45.Motherboard (Vice.com) scrive che HackingTeam “ha detto a tutti i propri clienti di interrompere tutte le attività e di sospendere ogni uso dello spyware dell’azienda”, riferendosi specificamente al software Galileo/RCS. Scrive inoltre che HT non ha più accesso alla propria mail e che probabilmente i 400 GB di dati sono solo una parte del materiale trafugato. L’intrusione sarebbe avvenuta entrando nei computer dei due amministratori di sistema di HT, Christian Pozzi e Mauro Romeo (sì, la persona che usa come password Passw0rd e lo fa ripetutamente è un sysadmin; non ridete). Nessuno dei dati sensibili era cifrato: passaporti dei dipendenti, elenchi di clienti, tutto in chiaro. Il profilo LinkedIn di Pozzi lo descrive come Senior System and Security Engineer, Hacking Team, April 2014 – Present (1 year 4 months).
Correzione: in una versione precedente di questo articolo avevo scritto che il profilo era stato cancellato; invece era online e c’era un errore mio nell’URL che stavo usando.
C’è anche di peggio. Sempre secondo le fonti di Motherboard, il software di HT ha una backdoor (probabilmente questa) che permette a HT di disattivare o sospendere il suo funzionamento, e questo non lo sanno neppure i clienti.
E ancora: ogni copia del software ha un watermark, per cui “HackingTeam, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. […] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a HackingTeam di spegnerli indipendentemente dal cliente e di recuperare l’indirizzo IP finale che devono contattare”.
Saranno contentissimi i clienti di HT, che volevano un prodotto che desse loro una backdoor per spiare i loro bersagli e invece si sono trovati con un prodotto che ha anche una backdoor che agisce contro di loro e rivela chi volevano spiare. Sembra un brutto remake di Inception.
Come se non bastasse tutta questa devastazione, su Twitter gira un umiliante abbinamento di carte: da una parte c’è un documento datato 2015 in cui il rappresentante all’ONU dell’Italia, Sebastiano Cardi, dichiara che HackingTeam al momento non opera nel Sudan e chiede che HackingTeam chiarisca se ci sono stati affari precedenti con il Sudan; dall’altra c’è una fattura di HackingTeam al Sudan datata 2012. Sarebbe interessante sapere come si sente ora Sebastiano Cardi.
Correzione: il paragrafo precedente è stato aggiornato per presentare più correttamente il ruolo di Cardi.
23:00. È una disfatta totale: sono finiti online anche gli estratti conto delle carte di credito dei membri di HackingTeam, i file audio, gli screenshot di Pozzi che ha in archivio il file pirata di Cinquanta sfumature di grigio, si collega dal lavoro a un desktop remoto e lo usa per scaricare film pirata su Emule e altre chicche. Vediamo quali altre sorprese ci porterà la notte.
23:55. Vorrei concludere la giornata con un grandissimo grazie pubblico a tutti i lettori che mi hanno aiutato a raccogliere al volo i pezzi di questa vicenda; senza di voi non sarebbe stato possibile, ma siete troppi per potervi ringraziare uno per uno. A domani!
2015/07/07 10:40. Ho sistemato alcune imprecisioni nel testo di questo articolo e ne sto preparando uno supplementare con gli aggiornamenti della notte e del mattino. Eccolo.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mauriziosi*”, “mauro.oli*” e “italoiv*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:25.
Continua la saga della colossale fuga di dati (almeno 400 gigabyte) dalla società di sicurezza informatica italiana HackingTeam, iniziata epicamente ieri mattina e descritta in questo mio articolo. Questo articolo verrà aggiornato man mano che arrivano nuovi dati.
Chi è stato?
Il presunto autore dell’incursione si fa chiamare “Phineas Fisher” e ci sono alcune conferme indipendenti della validità della sua rivendicazione. Stanotte ha tweetato (immagine qui accanto) che scriverà come ha fatto a penetrare in HackingTeam “quando avranno avuto tempo di fallire nel capire cosa è successo e avranno cessato gli affari.” Cattivello, ma anche astuto nell’atteggiarsi a novello Robin Hood.
L’ipotesi, avanzata da alcuni, che l’incursione sia stata opera di una società di sicurezza rivale non ha alcuna prova a sostegno; inoltre, a giudicare dall’approccio alla sicurezza comicamente dilettantesco usato da HackingTeam, non sembra affatto necessario invocare il talento di esperti per spiegare l’intrusione, per cui è poco credibile. Motherboard è riuscita a contattare brevemente Phineas Fisher e autenticarne parzialmente il ruolo.
L’altra ipotesi, ossia che i dati messi in circolazione siano in tutto o in parte inventati, non è credibile, non solo per la quantità immensa dei dati stessi, ma anche perché HackingTeam ha ammesso che le sono stati rubati dei dati.
Conseguenze per Hacking Team
Quanto sarebbero gravi, dal punto di vista legale, le azioni compiute da HackingTeam? L’europarlamentare olandese Marietje Schaake ieri ha scritto che la vendita di questo software al Sudan “non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945, 2091 e 2138, ma […] violerebbe anche la Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014 riguardanti le misure restrittive in considerazione della situazione in Sudan”. La Schaake aveva già presentato, un paio di mesi fa, un’interrogazione parlamentare sui possibili abusi del software di HackingTeam contro giornalisti e difensori dei diritti umani in Marocco. Ora chiede alle autorità italiane di indagare su HackingTeam.
HackingTeam dichiara, nella propria Customer Policy, di fornire il proprio software soltanto a governi o agenzie governative, ma dai dati trafugati stanno emergendo rapporti e fatture di vendita a società private. Nella stessa Policy HT dichiara anche di non vendere a governi presenti nelle liste nere USA, UE, ONU, NATO o ASEAN, ma ha venduto per esempio al Sudan (nei dati c’è una fattura al governo di quel paese). E i rapporti con il Sudan sono proseguiti almeno fino a gennaio 2014, nonostante le dichiarazioni del portavoce di HackingTeam che minimizzano dicendo che la fattura risale al 2012 e quindi è pre-embargo ONU. I dettagli sono in questo mio articolo.
Come già detto ieri, inoltre, HackingTeam avrebbe mentito anche ai propri clienti governativi, installando nel proprio software una backdoor (controllo remoto) senza dirlo ai clienti stessi.
La collezione di exploit di HT veniva aggiornata anche attingendo disinvoltamente agli exploit pubblicati in Rete dai ricercatori di sicurezza.
Su un piano individuale, i dati trafugati contengono moltissimi dati di persone che lavorano per HT o di loro familiari: foto, numeri di carte di credito, conti correnti, clienti e fornitori, siti frequentati e relative password, dati anagrafici e altro ancora. Queste persone dovranno cambiare tutti questi dati, ove possibile, per evitarne abusi e saccheggi.
Conseguenze per i governi clienti
Fondamentalmente, tutti i clienti che hanno pagato centinaia di migliaia di euro a HackingTeam si trovano adesso con un prodotto inutilizzabile. Una bella fregatura. Non solo HT ha chiesto di sospenderne l’uso, ma sono stati trafugati gli exploit che lo costituivano e che gli consentivano di attaccare in modo invisibile. Questi exploit erano i gioielli della corona di HT e ora verranno eliminati con gli aggiornamenti degli antivirus e del software commerciale, per cui HT ora probabilmente non ha più un malware da vendere.
Conseguenze per noi utenti: nuove falle rivelate, sfruttate e da turare
Iniziano ad emergere le prime conseguenze tecniche della rivelazione del codice sorgente dei prodotti di HackingTeam: oggi Tor Project dice che HT ha tentato di violare la sicurezza del loro software ma finora non sono emersi exploit di HT contro Tor, ma terranno d’occhio gli sviluppi.
È presumibile che a breve i principali antivirus riconosceranno il malware di HackingTeam, se non lo fanno già, e quindi molti dei soggetti sorvegliati si accorgeranno di essere stati messi sotto sorveglianza. Potrebbero essere ben poco contenti di scoprirlo. MIkko Hypponen di F-Secure mi ha confermato che il loro software già bloccava il malware di HT, come confermato dalla documentazione interna di HT che ora è pubblica. Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l’anno.
Ci sono dei benefici per tutti noi: l’esame dei file di HT ha rivelato che l’azienda usava anche falle di Adobe Flash per infettare i propri bersagli. Una di queste falle (CVE-2015-0349) era già nota ed è stata corretta di recente, mentre un’altra sfrutta un exploit che ha effetto anche sulla versione più recente di Flash Player per Windows, Mac e Linux, che è la 18.0.0.194. Questo secondo exploit, finora sconosciuto, è stato subito sfruttato dai criminali informatici non appena è stato reso noto, secondo Trend Micro; ora potrà essere corretto, consentendo di eliminare una vulnerabilità (CVE-2015-5119) alla quale sono stati esposti tutti gli utenti Flash del mondo e di cui HackingTeam era a conoscenza (tenendosela però ben stretta). Adobe ha annunciato per domani (8 luglio) il rilascio di un aggiornamento d’emergenza di Flash che chiude questa seconda falla. Google sta già inviando l’aggiornamento agli utenti di Chrome, secondo quanto riporta Brian Krebs.
L’analisi dei file di HackingTeam ha inoltre permesso di scoprire che l’azienda sfruttava una falla di Windows presente in tutte le versioni, da XP a 8.1, e basata sull’uso di un file di font appositamente confezionato. Non è noto quando Microsoft rilascerà una correzione.
Lexsi.com, uno dei clienti di HT, ha inviato una richiesta di rimozione a Musalbas.com, uno dei siti che ospita una copia d’archivio dei dati trafugati, dicendo che si tratta di materiale sensibile e riservato. Su questo non c’è dubbio, ma è totalmente inutile chiudere un pezzetto del recinto quando i buoi sono scappati da un pezzo e si stanno moltiplicando allegramente ovunque.
Analisi dei file
Premessa importante: il materiale pubblicato in Rete contiene moltissime immagini della sfera privata di persone legate a HackingTeam, di persone esterne a HT e anche di bambini. Nelle foto e nei video non c’è nulla di imbarazzante, provocante o pertinente per eventuali indagini giornalistiche, per cui credo che sia doveroso rispettare la privacy di queste persone estranee ai fatti e di questi minori che non hanno alcuna colpa. Lascio quindi in pace chi non c’entra.
Gli screenshot pubblicati dall’intrusione includono immagini anche recentissime (primi di luglio) dei desktop dei PC Windows dei due amministratori di sistema e contengono di tutto: dati di richiesta del passaporto per un familiare, sessioni di Solitario e altri giochi (Command and Conquer, mi pare), conversazioni WhatsApp e Facebook, sessioni di scaricamento film su eMule, taglie di reggiseno usate come risposte alle domande d’emergenza per recupero password. Al di là del contenuto relativamente frivolo, l’esistenza di questi screenshot dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi. Questo indica che la sottrazione dei dati non è stata commessa semplicemente copiando i file dai computer e dai server, ma anche infettando direttamente i computer degli admin. Che figuraccia.
Almeno una delle password elencate nei file trafugati è obsoleta (ne ho avuto conferma dall’azienda interessata); potrebbero anche esserlo le altre e comunque sarebbe saggio, da parte dei membri di HT, cambiare tutte le proprie password su qualunque servizio (e magari attivare l’autenticazione a due fattori, che non sembra ci fosse), oltre che cambiare tutti i dettagli delle proprie carte di credito, i cui numeri e altri dati sono recuperabili dai file in circolazione.
I file audio finora esaminati sono semplici test e non contengono nulla di significativo dal punto di vista tecnico.
Le mail catturate (interi file PST da vari gigabyte ciascuno) appartengono a molte persone legate a HackingTeam e includono, fra le altre cose, un messaggio nel quale si dice che il sistema RCS di HackingTeam in Colombia è dentro l’ambasciata degli Stati Uniti, dove c’è anche “un altro strumento di intercettazione… che riceverà tutto il traffico degli ISP colombiani”, a conferma del fatto che l’intercettazione di massa preventiva è una prassi del governo degli Stati Uniti.
I nomi degli utenti sono stati mascherati da me; la pecetta non è nell’originale.
Non mancano perle come questa: il CEO di HackingTeam, David Vincenzetti, che dice che non serve ricorrere alla crittografia perché tanto non hanno nulla da nascondere.
Al tempo stesso, notate con quanta circospezione HT parla, in una mail interna, del “cliente E.” che è stato mollato (va detto) da HT dopo che Citizen Lab e Human Rights Watch hanno segnalato gli abusi commessi dal cliente. Notare che la cartella di mail è denominata “EH_Etiopia”, per cui non è difficile per chi analizza questi dati capire quale paese sia il “cliente E.” in questione. I “rapporti di CitizenLab” di cui parla sono probabilmente questi, che denunciano l’uso del malware di Hacking Team contro giornalisti etiopi a Washington.
Niente da nascondere. No, assolutamente.
Ma cosa si aspettavano quelli di HackingTeam quando hanno venduto il proprio software di sorveglianza a un governo come quello dell’Etiopia? Che, con tutti i problemi drammatici che ha quel paese, l’avrebbero usato per sorvegliare pedofili e spacciatori? Siamo seri. Vendere malware a governi di questo genere è esattamente come fare i trafficanti d’armi.
La notizia che un attacco informatico rivendicato dall’ISIS è riuscito addirittura a bloccare le trasmissioni televisive di un’emittente francese, TV5Monde, e prendere il controllo del suo sito Web e dei suoi account Facebook e Twitter, ha suscitato scalpore e preoccupazione, ma molti indizi suggeriscono che il successo dell’incursione potrebbe non essere merito della sofisticazione tecnica degli aggressori.
Breaking3zero.com ha pubblicato una propria ricostruzione sorprendentemente dettagliata degli eventi, ma non è chiaro quali siano le sue fonti e se la ricostruzione abbia riscontri. Si sa di certo, invece, che in più occasioni le interviste in video ai giornalisti di TV5Monde mostrano sullo sfondo, oppure su un Post-it, delle password perfettamente leggibili anche in video, come si vede qui sotto.
Queste password sono ancora in bella vista anche dopo l’attacco. Una di esse è lemotdepassedeyoutube, ossia “la password di Youtube”, a protezione (si fa per dire) di un account Youtube di TV5Monde, come ha notato su Twitter l’utente pent0thal guardando questo video, girato dopo l’attacco, dal quale è tratto il fotogramma mostrato qui sopra. Nella stessa immagine, sempre alle spalle dell’intervistato, si legge anche chiaramente la parola Instagram e un altro dato che ha tutta l’aria di essere una password (TV5131W).
Se questo è il livello di attenzione alla sicurezza adottato dal personale della redazione di TV5Monde, la spiegazione più probabile dell’attacco è che qualcuno della redazione abbia abboccato a una classica mail di phishing oppure che qualcuno abbia notato le password sullo sfondo in qualche diretta televisiva e che non fossero attive le misure di sicurezza basilari, come la verifica in due passaggi (o autenticazione a due fattori).
Nessun “hacker” ultrasofisticato al soldo dell’ISIS, insomma, ma tanta superficialità di cui qualche dilettante esaltato ha approfittato, ottenendo un risultato spettacolare all’apparenza ma in realtà banale nella sostanza. Va notato, fra l’altro, che gli aggressori hanno bloccato le trasmissioni ma non sono riusciti a mandare in onda dei propri video, e questo è un altro indicatore della portata relativamente limitata dell’attacco: non hanno preso il controllo, ma hanno semplicemente spaccato tutto. Siamo ben lontani da prodezze come quelle di Captain Midnight e di altri negli anni Ottanta negli Stati Uniti, che avevano messo in onda delle proprie trasmissioni al posto di quelle normali.
Un’altra dimostrazione della pochezza degli attacchi attribuiti all’ISIS o a suoi simpatizzanti è l’altro bersaglio preso di mira in questi giorni e segnalato con drammaticità per esempio da 20min.ch: i boy scout svizzeri. Non sto scherzando. Seriamente, ISIS, ve la prendete con un sito dei boy scout? Ci fate la figura dei bulletti che rubano le caramelle ai bambini e si sentono eroi.
In realtà basta un giro sui siti che catalogano i defacement (attacchi di puro vandalismo) per scoprire che lo stesso aggressore che ha violato un sito dei boy scout svizzeri se l’è presa con tanti altri siti di vari paesi, tutti accomunati dal fatto di essere siti di piccolo calibro, con difese scarse o inesistenti.
Insomma, non c’è nessun supercriminale in ballo e la Svizzera non è particolarmente presa di mira. In sintesi, incidenti come questi non devono indurre al panico, ma vanno considerati come una buona occasione per mettersi, finalmente, a imparare per bene e mettere in pratica le regole di base della sicurezza informatica invece di appiccicare al monitor password scritte sui Post-it.
Il voto elettronico è oggetto di grande interesse in molti paesi, ma è anche irto di sfide tecniche e di sicurezza non banali. Imparare dagli sbagli altrui, in questo campo, è molto salutare. E lo stato statunitense della Virginia ha commesso uno sbaglio epico con il proprio sistema di voto informatizzato.
Il sistema, denominato WINVote, era un vero colabrodo, come spiega il rapporto delle autorità locali. Le password di amministrazione erano ridicolmente facili, come per esempio abcde; la password predefinita era admin. Le macchine avevano una connessione Wi-Fi permanentemente accesa e usavano una cifratura debolissima, il WEP, consentendo facilmente a chiunque di intercettare e manipolare i dati trasmessi. Ciliegina sulla torta, il sistema operativo era Windows XP Embedded 2002, mai aggiornato, privo di qualunque patch di sicurezza e vulnerabile ad attacchi noti sin dal 2004.
Anche dal punto di vista fisico il sistema WINVote era un capolavoro d’inettitudine. I suoi dispositivi di voto avevano porte USB accessibili e la stampante e il pulsante d’accensione erano protetti da una serratura che poteva essere aggirata facilmente. I database contenenti i risultati di voto erano in chiaro e modificabili con qualunque software comune di editing.
Potreste pensare che questo tipo di vulnerabilità, completamente inaccettabile in un apparato dal quale dipende un evento delicato ed essenziale come una votazione, sia stato scoperto durante la valutazione preliminare del sistema di voto. Assolutamente no: WINVote è stato usato in Virginia per oltre un decennio ed è stato ritirato soltanto dopo anni di proteste degli esperti di sicurezza della Electronic Frontier Foundation.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “anna_cine*”. Se vi piace, potete incoraggiarmi a scrivere ancora.
L’account Twitter autenticato @SanremoRai ha al momento come ultimo tweet un invito a visitare un sito di video porno.
Complimenti ai responsabili dell’account per questa svolta nel marketing e nella gestione della sicurezza informatica.
Ho segnalato pubblicamente il problemino su Twitter e avvisato @rainews un’oretta fa e non è ancora cambiato nulla: il pornotweet è ancora al suo posto, ricevuto da 92.000 utenti.
Ovviamente sconsiglio vivamente di visitare il sito reclamizzato senza abbondanti protezioni antimalware. Fra l’altro, uno dei video proposti dal sito reclamizzato dall’account della Rai riguarda Belen Rodriguez e se non erro risale a quando lei era minorenne, per cui scaricarlo o fornirlo può implicare il reato di pedopornografia.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “arianna.bo*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).
