martedì 11 marzo 2014

Il datagate di NSA per la militarizzazione di internet

By Edoardo Capuano - Posted on 10 marzo 2014

Trojan, reti di server nascosti, impersonificazione di siti noti, laptop manipolati. Esposta da Der Spiegel e da Jacob Applebaum la cassetta degli attrezzi del Datagate

Der Spiegel e il ricercatore di sicurezza Jacob Applebaum, quest’ultimo nella doppia veste di collaboratore della testata tedesca e di relatore al congresso annuale Chaos Computer ClubJacob Applebaum è anche uno degli sviluppatori di Tor e in questa conferenza (purtroppo solo in inglese per adesso - vedi video alla fine del post) affronta il problema della militarizzazione di internet.
Oggi hanno aperto la “stanza degli orrori” della Nsa svelando ALCUNE delle tecniche e degli strumenti, usati dall’agenzia americana per praticare una sorveglianza di massa e globale delle comunicazioni.

- Un invio a tappeto di spyware sui computer target.

- Intercettazioni telefoniche effettuate in un’area geografica attraverso l’uso di finte stazioni mobili GSM (costo: sui 40mila dollari).

La manipolazione diretta di hardware e laptop ordinati via internet dai target.

- L’uso di una rete segreta di server per battere sul tempo i fornitori di servizi cloud come Yahoo e inviare del malware impersonando il sito visitato da un utente.

- E addirittura l’uso di unità portatili che “irradiano” i target per visualizzare i loro monitor.

Si tratta di un fiume di informazioni e di dettagli che andranno vagliati con calma, ma per iniziare ad avere un’idea di cosa si tratta stiamo parlando di: malware che riescono a creare delle backdoor nei prodotti di Microsoft, Cisco, Huawei, Dell, Juniper, HP, Seagate, Samsung; attacchi al Bios dei computer, il che significa che anche se l’hard disk viene formattato e installato un nuovo sistema operativo, la backdoor non viene eliminata; attacchi che sfruttano i messaggi di errore di crash di Microsoft Windows: i rapporti inviati dal computer a Microsoft sul malfunzionamento del sistema per la NSA sono un’occasione ghiotta per spiare l’attività del PC, o meglio per ottenere un primo accesso passivo alla macchina. Significa che il computer non è ancora controllabile da remoto, ma che si possono vedere i dati inviati dallo stesso su internet. Questo tipo di informazione è usata quindi come trampolino di lancio per sfruttare altre vulnerabilità del computer e inserire del malware.

Tra l’altro l’operazione, secondo gli ingegneri della NSA, sarebbe così divertente che in una slide interna il messaggio di errore di Microsoft è stato sostituito con l’avviso: “Questo dato può essere intercettato da un sistema di Sigint (Signal intelligence) straniero per avere informazioni e violare meglio il tuo PC”.

A fare il lavoro sporco è l’unità TAO (Tailored Access Operations, “operazioni di accesso su misura”) della Nsa, l’Agenzia di sicurezza nazionale che presiede al sistema di sorveglianza globale esposto in questi mesi dal cosiddetto Datagate. La sua esistenza, come élite di hacker governativi d’attacco che spaziano dal controterrorismo ai cyber attacchi allo spionaggio tradizionale, era già emersa mesi fa, ma ora sono usciti molti dettagli interessanti sugli strumenti utilizzati da queste spie digitali.

Der Spiegel, significativamente, li chiama una “squadra di idraulici”, chiamati in causa quando falliscono metodi più tradizionali di accesso a un target. Il loro motto è “ottenere quello che è impossibile da ottenere” (getting the ungettable): diversamente da altri programmi di sorveglianza della Nsa qui non si punta alla pesca indiscriminata di informazioni, ma a una raccolta più qualitativa. Che però avviene usando tecniche che vanno ben oltre gli attacchi usati dai cybercriminali.

Uno degli aspetti più inquietanti del sistema utilizzato dalla Nsa per spiare utenti internet si chiama però QUANTUMTHEORY (vedi le slides), ed in parte era già emerso. Solo che ora ci sono molti più dati sul suo funzionamento. Si tratta di un sofisticato sistema per infettare computer target, che va oltre la tradizionale pratica di inviare mail spam con link malevoli, ancora oggi uno dei sistemi più diffusi per entrare nel pc di qualcuno. Questa tecnica viene usata soprattutto quando i target visitano siti come Facebook, Yahoo, LinkedIn (aziende i cui data center erano giù stati oggetto di spionaggio da parte della Nsa) ed è stata impiegata ad esempio dalla GCHQ (i servizi inglesi che collaborano con la Nsa) per attaccare la telecom belga Belgacom.

Il sistema si basa su una rete parallela e segreta di computer usati dalla Nsa, un network ombra di router e server controllati di nascosto dagli americani, ottenuta in molti casi hackerando computer altrui. La rete setaccia quello che le passa fra le maglie alla ricerca di impronte digitali di possibili target: elementi cioè che aiutino a identificarli, come indirizzi mail e cookies. Una volta raccolte abbastanza informazioni sulle abitudini dei target, la squadra TAO passa alla modalità di attacco: dunque non appena arriva fra le sue mani un pacchetto di dati associabile al target, il sistema si attiva, determina quale sito il target sta per visitare e fa intervenire uno dei suoi server coperti, ovvero la rete nota in codice comeFOXACID. A quel punto il target viene fatto connettere al sito finto della Nsa e non a quello autentico che cercava di raggiungere. Così la pagina manipolata dalla Nsa trasferisce del malware all’utente sfruttando delle vulnerabilità del suo software. La tecnica è una vera e propria corsa, una gara di velocità tra server, perché il punto è battere sul tempo quelli dei siti che si “impersonano”. A volte per fortuna, non riesce, ma spesso funziona.

Un sistema di questo tipo è stato utilizzato dalla Nsa per hackerare il sito del consorzio SEA-Me-We, il quale opera l’omonimo cavo sottomarino che attraversa il Mediterraneo passando anche per Palermo: tra le aziende che lo gestiscono c’è pure Telecom Italia Sparkle.

Il cavo era giù stato indicato come uno dei possibili elementi “attenzionati” della GCHQ, ma ora abbiamo un’indicazione più precisa. Infatti il 13 febbraio 2013 gli hacker del TAO hanno ottenuto accesso al sito di gestione del consorzio raccogliendo informazioni sul network, dopo aver violato il sito interno di uno degli operatori del consorzio.

Perché la difesa della sovranità nazionale dell'Italia e della sua sicurezza cybernetica si ferma al largo dei nodi della sua rete domestica. Di Mazara del Vallo e di Olbia, di Otranto e Civitavecchia, di Savona e Palermo (fonte Repubblica)

“La Nsa vuole spiare su di voi, non solo sulle vostre macchine: vuole la sorveglianza totale”, ha dichiarato Applebaum nel corso della sua applauditissima presentazione. Dove ha esposto numerosi sistemi di monitoraggio della agenzia americana, collegati al sistema QUANTUM appena descritto. Tra questi, TURBINEche pratica la deep packet injection; cioè dopo aver vagliato i flussi di pacchetti che scorrono in alcuni punti controllati della Rete (attraverso la deep packet inspection di un programma chiamato TURMOIL), inietta un attacco. In alcuni casi, ha spiegato il ricercatore – che è tra i principali sviluppatori di Tor – “se visiti alcuni siti vieni colpito automaticamente: allora mi spiegate che tipo di attacco personalizzato sarebbe? Questa è la militarizzazione di internet, siamo sotto una legge marziale. È una strategia che punta a rendere internet insicura e a lasciare noi vulnerabili personalmente e socialmente: tutto ciò viene fatto nel nostro nome ma senza il nostro consenso”.

E senza che i politici e i giudici che dovrebbero sovraintendere a certi processi riescano anche solo a capire di che si tratta, ha aggiunto il giovane. Del resto basti pensare che la Nsa conserva i dati raccolti per ben 15 anni.

Ciliegina sulla torta del discorso di Applebaum: alcune slide mostrano come la Nsa usi anche degli strumenti che irradiano i target con un generatore a onde continue CW (continuos wave radar unit) per riuscire a visualizzare i loro monitor. Proprio ieri sera Julian Assange, intervenuto via Skype al congresso del CCC, aveva ammonito la platea dicendo che la sua (la nostra) è l’ultima generazione libera.


0 commenti:

Posta un commento