CIA, Anno 0

Logo di Wikileaks
Logo di Wikileaks

WikiLeaks (dall’inglese leak «perdita», «fuga [di notizie]») è un’organizzazione internazionale senza scopo di lucro che riceve in modo anonimo, grazie a un contenitore (drop box) protetto da un potente sistema di cifratura, documenti coperti da segreto (di Stato, militare, industriale, bancario) e poi li carica sul proprio sito web. WikiLeaks riceve, in genere, documenti di carattere governativo o aziendale da fonti coperte dall’anonimato e da whistleblower (ovvero membri di un’organizzazione che ne espongono le pratiche illecite, illegali o non etiche).

Il modus operandi tipico di WikiLeaks consiste in una prima analisi per fltrare tutti i dati che ritiene pericoloso pubblicare (che siano dati personali o, in questo caso, il codice sorgente di software malevoli) e poi nella pubblicazione a scaglioni dei dati ricevuti. Non viene svolto alcun lavoro redazionale, i dati vengono caricati così come sono (infatti non è raro imbattersi in discussioni totalmente scorrelate), lasciando al lettore il compito di farsi un’idea e costruire dei filtri.

Vault 7

Nelle ultime ore è stato rilasciato un nuovo e preoccupante blocco di leak riguardanti la CIA (circa 8.000 documenti, sotto il titolo di “Vault 7”) con l’aiuto di Bestbug (ex compagno di studi che si occupa di Analisi del rischio) parleremo di alcune informazioni che riteniamo più preoccupanti che emergono da una prima analisi:

Secondo i documenti, la CIA avrebbe un malware per iPhone, Android, smart TV, smart car e pc

Logo dell'Information Operations Center, la branca della CIA dedicata all'hacking
Logo dell’Information Operations Center, la branca della CIA dedicata all’hacking

Sottolineiamo il “secondo i documenti” perché non solo la CIA e la Casa Bianca hanno rilasciato un secco no-comment sull’intera questione (come è abbastanza tipico in questi casi), ma stanno anche già spuntando i primi annunci dei produttori dei dispositivi attaccati, che dicono di aver già individuato (e quindi neutralizzato) diverse falle di sicurezza menzionate nei leak usciti ad oggi.

I bersagli

Al momento, sappiamo che la CIA ha preso di mira:

  • Smart tv: dal leak pubblicato sembrerebbe che in particolare le smart TV Samsung siano nel mirino di questo malware che “simulerebbe lo spegnimento del device” e permetterebbe di recuperare in un qualunque momento le conversazioni fatte davanti al televisore.
  • Smart car: in questo caso la ricerca puntava a infettare smart car gli obbiettivi non sono del tutti chiari in questo caso.
  • Smart phone: non potevano mancare numerose tecniche per controllare remotamente gli smartphone
  • Pc e router: sembra infine che la CIA abbia investito anche molte risorse  per riuscire ad spiare utenti windows e router oltre che ad aver sviluppato malware “multi-piattaforma” sia per osx e linux

Inoltre sembra che abbia usato a proprio vantaggio bug non noti di svariate applicazioni, i cosiddetti 0-days (normalmente, una volta individuate queste vulnerabilità, si procede alla rivelazione di comune accordo con il produttore/manutentore del software coinvolto, mentre la CIA ha tenuto per sè quanto scoperto).

Non nascondiamo che, se questi leak venissero confermati anche solo in parte, sarebbe uno dei più grandi attentati alla privacy dallo scandalo Snowden. Questo darebbe finalmente dibattito al problema della “cyber war” un tipo di guerra sottile che risulterebbe particolarmente subdola, ci conferma Bestbug, perché, mentre la guerra convenzionale ha dei costi e una quantità di infrastrutture coinvolte non nascondibile, un tool per la “cyber war” una volta sviluppato sarebbe davvero difficile da trovare a meno di leak come questo. Ma anche in caso di leak i rischi che si corrono sono enormi: in fondo chiunque (con un minimo di background, si intende) può usare uno strumento del genere, una volta che lo trova “caduto da un camion”. Non sembra, però, che la cosa abbia mai preoccupato particolarmente la CIA: tutti gli strumenti di cui abbiamo appreso nei leak pubblicati ad oggi risultano “non classificati” in termini di restrizione di accesso. È il livello di sicurezza più basso previsto dalla CIA.

Come proteggersi

La prima domanda che ci si pone in questi casi è sempre la stessa: io sono a rischio? In questo caso, la risposta è “difficilmente”. Sebbene ogni specifico tool di cui siamo a conoscenza sia effettivamente un rischio per chiunque abbia l’oggetto per cui è costruito, non si tratta di strumenti di sorveglianza di massa (come erano, invece, quelli esposti da Snowden) ma di strumenti mirati a sorvegliare persone specifiche. Sono strumenti costosi e rischiosi per la CIA stessa, perché sfruttano vulnerabilità che, se scoperte, verrebbero naturalmente neutralizzate dai produttori e ogni installazione aumenta il rischio di essere trovati. Prevedibilmente, i produttori degli apparecchi attaccati stanno già lavorando a delle patch per eliminare le falle di sicurezza che hanno permesso alla CIA di realizzare questi strumenti, ma nulla ci dice che non ce ne siano altri, già in giro o in fase di produzione. Anche l’installazione di questi strumenti non è completamente senza rischi: Weeping Angel, il software che trasformava la vostra smart tv in un microfono, richiede l’accesso fisico al televisore per essere installato.

Come possiamo proteggerci? I consigli che ci troviamo a dare sono sempre gli stessi:

  • Non aprite email che ritenete sospette: ci sono sempre più attacchi che vengono diffusi tramite email
  • Non aprite siti che non sono ritenuti sicuri: un’altra tipica fonte di attacchi sono i siti web. Sebbene un sito web possa interagire in pochissimi modi con il vostro sistema, sono più che sufficienti a infettarlo.
  • Non scaricate app al di fuori dell’app store e comunque controllate sempre i permessi richiesti da quest’ultime (esempio: perché il blocco note dovrebbe avere accesso alla fotocamera?)
  • Mantenete il vostro software aggiornato (se non avete buone ragioni di sospettare che l’aggiornamento stesso introduca vulnerabilità) nessun programma nasce perfetto e non tutte le vulnerabilità sono immediatamente visibili. Mantenendo il vostro software aggiornato, eliminerete numerose vulnerabilità.
  • Usate plugin per la connessione sicura: come ad esempio HTTPS Everywhere (qui i link per firefox e chrome)
  • Usate la crittografia, nessuno dei tool pubblicati finora è riuscito a violare i messaggi di app che cifrano end-to-end (come Signal e Whatsapp). Se anche il vostro telefono (o pc) dovesse risultare compromesso, i dati cifrati sarebbero molto difficili da rubare (e tendenzialmente ci vorrebbe accesso fisico al dispositivo).
  • Non sbattete le palpebre, è il solo modo per difendersi da un Angelo Piangente

Cercheremo nei prossimi giorni per quanto possibile di tenere sotto controllo possibili sviluppi della situazione, nel frattempo vi lasciamo il link dove trovare tutte le informazioni.

Bestbug & Lorenzo

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: