Vault 7 il nome che Wikileaks ha dato ad un dossier molto particolare, reso pubblico nelle ultime ore e destinato a creare un bel po’ di scompiglio non solo alla CIA – e conseguentemente fra i vertici del governo USA – ma anche a minare ulteriormente la fiducia che molti cittadini ripongono in parte delle istituzioni governative USA. Notizie di questo tipo ci possono anche far indignare, ma in un certo senso il vero shock arrivato qualche tempo fa, ai tempi di Prism, a cui seguirono diverse fughe di notizie sullo stesso tema come ad esempio quella di Chelsea Manning.
Un sentimento fra l’indignazione e lo stupore che esce un po’ attenuato dalle vicende precedenti, che gi ci avevano preparato ad una sorveglianza inconsapevole e globale potenzialmente capace di spiare ogni cosa. Cercheremo di esporre in modo semplice i dettagli emersi nella giornata di ieri, invitando per a una seria riflessione successiva all’iniziale e comprensibile indignazione. Partiamo gi da una premessa importante, ovvero che i leak di queste ore riguardano la CIA e non la NSA. Quest’ultima ha avuto un ruolo di raccolta informazioni pi massivo, indefinito, da sottoporre poi ed eventualmente a un team che ne sapesse trarre informazioni utili alla sicurezza nazionale.
Pensiamo quindi alla NSA come ad un immenso rastrello digitale, la cui capacit di archiviazione sfugge probabilmente alla normale comprensione. La CIA, acronimo di Central Intelligence Agency, un’agenzia di spionaggio civile del governo federale degli Stati Uniti d’America chiamata a ottenere e analizzare informazioni sulla sicurezza nazionale provenienti da tutto il mondo. Lo fa grazie a rapporti interpersonali (le classiche spie nel nostro immaginario comune), ma anche con operazioni militari sotto copertura o altre azioni top secret. Attenzione: le azioni della CIA non sono fatte a casaccio, ma sono mirate a specifici bersagli. Una premessa necessaria per placare quel probabile ingenuo allarmismo che potrebbe nascere dalla lettura dei paragrafi a seguire.
Non solo: il compito della CIA, cos come quello di ogni agenzia di intelligence/spionaggio, proprio quello di spiare ed cos da sempre. Non deve quindi stupire che il campo d’azione prediletto di queste agenzie sia oggi la tecnologia in tutte le sue applicazioni: computer, smartphone, router, Smart TV, tutto un potenziale mezzo per spiare, anche perch sono dispositivi che utilizziamo spesso e alcuni sono sempre con noi. Prendere il controllo anche parziale di questi dispositivi il sogno di qualsiasi agenzia di spionaggio, diventato realt in diversi casi. Ecco cosa emerso dagli oltre 8000 documenti.
“Weeping Angel”: la smart TV come microspia
(Rischi per gente normale? Praticamente nulli)
Sotto il nome di “Weeping Angel” si cela un progetto molto particolare della CIA, nello specifico del dipartimento Embedded Devices Branch (EDB): utilizzare le Smart TV come microspie sfruttando videocamere, microfoni e soprattutto la connettivit internet integrata. Nel gi citato dossier Vault 7 vengono citate come bersaglio prediletto le Smart TV Samsung (essendo le pi diffuse), a partire dal 2014. La strategia di infezione e controllo, realizzata in collaborazione con l’MI5/BTSS britannico, permette di registrare conversazioni sfruttando il microfono integrato (quello per i comandi vocali), a patto ovviamente che la conversazione avvenga in un locale silenzioso e nei pressi della TV. Viene simulato un finto spegnimento della TV, lasciando per attive le componenti interessate. I rischi per la gente comune che possiede una Smart TV sono praticamente nulli: non solo necessaria una installazione manuale del malware di controllo, ma funziona solo su apparecchi non aggiornati. Non solo, poich l’ultimo e pi importante punto che dobbiamo averla fatta davvero grossa per spingere un agente CIA ad entrarci in casa di nascosto e manometterci la TV. A meno di non avere qualcosa di davvero brutto da nascondere e di aver messo a rischio la sicurezza nazionale USA, possiamo dormire sonni tranquilli.
iPhone e telefoni Android, due gruppi di lavoro per monitorare le attivit
(Rischi per noi? Praticamente nulli)
Il Mobile Devices Branch (MDB) della CIA, il dipartimento che studia i possibili attacchi ai dispositivi mobile come gli smartphone e i tablet, ha ben due divisioni specializzate nello sfruttare falle di iOS (iPhone e iPad) e Android per tracciarne la posizione, intercettare messaggi vocali e testuali, prendere controllo di microfono e foto-videocamera. Il documento cita una unit specializzata proprio per iOS, nonostante la “bassa” diffusione a livello globale nel 2016 rispetto ai terminali Android (14,5% iOS, 85% Android). Non un segreto che iPhone sia un terminale molto utilizzato da quelli che nel testo vengono definiti come elite nel campo sociale, politico, diplomatico e aziendale, potenziali target della CIA (sebbene rimanga aperta la domanda se sia solo la sicurezza nazionale ad interessare o anche altre cosette). Si fa presto a dire cosa e chi, ma non il come. Il vero problema proprio questo: i team, insieme ad altri, sfruttano vulnerabilit definite “Zero Day”, ovvero quelle che non sono ancora note. Un tema spinosissimo, di cui parliamo ora.
Team di Ricerca per vulnerabilit “Zero Day”, il vero problema questo
(Rischi per noi? Indirettamente molto elevati)
Oggi il mondo della tecnologia un vasto campo di battaglia a guardie e ladri, in quell’affascinante e pericoloso contesto chiamato cyber-security. La sicurezza informatica vede aziende di primo piano dell’IT e della sicurezza impegnate contro un esercito di malintenzionati e truffatori di cui abbiamo dato accenno in questo articolo. Un mercato che muove ogni anno circa 100 miliardi di Dollari USA. Guardie e ladri, appunto, ma chi la guardia e chi il ladro? O chi sta alla finestra senza dire nulla? In base ai documenti resi pubblici, il team per prendere il controllo di smartphone Android dispone di un arsenale di oltre venti vulnerabilit Zero Day, le pi pericolose in assoluto, quelle che non vengono rilevate dagli antivirus perch non ancora note.
Ad oggi aziende come Apple e Google hanno reso i propri dispositivi delle roccaforti di sicurezza (almeno in teoria e soprattutto la prima), grazie a cifrature, sistemi blindati e una grandissima attenzione alla privacy dell’utilizzatore. Oggi difficile, difficilissimo scassinare questi sistemi, ma non certo impossibile. Si tratta pur sempre di codice, e non esiste il codice perfetto. Un team di esperti CIA sempre alla ricerca di quelle poche falle per utilizzarle a fini spionistici, le trova, ma non lo dice a nessuno. Logico e comprensibile (dal punto di vista CIA) se si intende sfruttarle per il maggior tempo possibile, ma un rischio enorme per tutti non segnalarle ad aziende IT e di sicurezza informatica. Anche perch come le han trovate loro possono averle trovate altri nel mondo, sfruttandole per fini non certo cos specifici ma rivolti al danno e alla truffa, e in questo caso il bersaglio pu essere chiunque, anche noi. Il fatto, sul quale giunto uno scontato no comment dalla CIA, di una gravit assoluta, un problema che avr fortissime ripercussioni all’atto pratico.
Il quadro assume toni ancora pi cupi se pensiamo che enti come NSA e CIA si sono rivelati veri e propri colabrodi, con fughe di notizie di centinaia di migliaia di documenti, anche tecnici, che potrebbero costituire una manna dal cielo per il mondo della criminalit informatica. La guardia che fa il ladro, non lo dice, ma pretende di essere comunque guardia. Cose da mal di testa al solo pensarci. Impedendo a societ specializzate di metterci al riparo da vulnerabilit come ransomware e furti di credenziali e denaro e su cui si spendono immense quantit di denaro. Quanti ransomware ci saremmo potuti risparmiare se la CIA avesse collaborato con il mondo della sicurezza informatica? Non lo sapremo mai.
Umbrage, depista e poi si vedr
(Rischi per noi? Indirettamente elevati)
Molte tecniche di spionaggio digitale, spesso molto complesse, possono ricondurre ad una specifica fonte, andando a costituire una sorta di impronta digitale. Per fare un esempio: un attacco complesso partito da un gruppo o agenzia cinese ha tratti caratteristici, cos come li hanno quelli dei russi o degli statunitensi. Son tecniche con molti passaggi e codice specifico, motivo per cui gli specialisti in sicurezza riescono con ragionevole certezza a capire con chi hanno a che fare a monte. L’attacco alla Smart Grid in Ukraina stato portato a compimento dai russi, perch da attente analisi successive si chiaramente riconosciuto il loro stile (anche se bastava la logica, visti i venti di guerra per la questione Crimea).
Dai documenti emerge che una speciale unit CIA, la Umbrage, dispone di una libreria immensa di malware creati da altri stati (fra cui la Russia), che vengono utilizzati per depistare e confondere gli inquirenti, spesso statunitensi. Un po’ come sparare a qualcuno con una pistola che poi ripoter le impronte digitali di un’altra persona. Fare il lavoro sporco per poi dare la colpa ad altri. Niente di nuovo in campo spionistico, per carit, ma ora tutto il mondo sa che la CIA dispone di queste librerie e le ripercussioni sul piano politico e di rapporti fra Stati potrebbero essere importanti.
Un esempio? I pi informati ricorderanno lo scambio di accuse fra Obama/Clinton e Trump/Putin in campagna elettorale, discutendo di una influenza russa sulla campagna stessa e di come vi fossero le prove che ci fosse avvenuto. In base a quanto emerso ora non si pu essere certi di nulla. Anche altre nazioni potrebbero avere la loro libreria di malware non propri, ma ora certo che gli USA ne dispongono. Un attacco con firma russa sar davvero russo? O no? Crollano un po’ di certezze e tutto si complica, cos come possono complicarsi le relazioni fra Stati come gi detto, con potenziali problemi per tutti.
Fine Dining, spionaggio ” la carte”
(Rischi per noi? Praticamente nulli, pi una curiosit)
Emerge dalle carte anche la procedura per porre sotto osservazione uno specifico bersaglio. Un funzionario CIA, di rango elevato, risponde alle domande di un questionario. Abitudini del soggetto, dispositivi utilizzati, marchio, tempo di permanenza medio al PC… insomma, tutto quello che pu servire per cucire su misura un malware specifico finalizzato allo spionaggio. Il documento, chiamato in codice Fine Dining, viene poi sottoposto a un’altra sezione che procede, nella pratica, a installare tutto quello che serve. Anche in questo caso c’ del lavoro manuale da fare sui dispositivi, anche se esistono gruppi di lavoro per “bucare” da remoto tutti i sistemi. Si fa l’esempio di sistemi MacOS, Windows e Linux, oltre a specifiche pen drive USB da collegare (s, come nelle serie TV), malware per router (sempre connessi!), mail malevole sperando in un click involontario dell’utilizzatore e via dicendo.
Fiducia tradita, ancora una volta
Cercando di riassumere in breve un tema molto complesso, siamo di nuovo di fronte a un caso di fiducia tradita. Non tanto per lo spionaggio attraverso la TV, che sar sicuramente quello che la gente ricorder di pi (abbiamo visto che sono azioni mirate e non certo semplici), quanto per l’esistenza di due pesi e due misure sul tema della sicurezza nel suo complesso. Sicuramente ci pu infastidire quel senso di vulnerabilit diffusa ogni qualvolta tocchiamo un apparecchio elettronico, alla luce di queste notizie che talvolta emergono. Ognuno pu pensarla a proprio modo: c’ chi alza le spalle, dicendo di non aver nulla da nascondere, altri ne escono pi infastiditi (pur non avendo comunque nulla da nascondere), ed hanno ragione tutti.
Sapere per che ci sono enti (e quello della CIA per l’Europa, Africa e Medio Oriente ha base nella civilissima Francoforte, sempre secondo il documento) che lavorano incessantemente per trovare vulnerabilit nei sistemi, oltre che a crearne di propri, senza collaborare con chi vigila sulla sicurezza, un caso bomba che avr ripercussioni. Non solo: abbiamo visto che CIA e NSA hanno fallito miseramente cercando di proteggere la propria, di sicurezza. Una vulnerabilit Zero Day pu essere pagata milioni sul mercato nero, e la fuga di notizie e documenti abbiamo visto che prassi ormai comune. Le autorit sono per ora chiuse nell’imbarazzo del no comment, ma prima o poi qualcuno dovr dire qualcosa. Sar nostra premura seguire la questione con particolare interesse.