Due giorni fa, con il tweet del 7 marzo che vedete qui, WikiLeaks ha fatto scoppiare una bomba i cui effetti sono ancora tutti da scoprire.
Wikileaks ha pubblicato sul proprio sito migliaia di documenti riservati della CIA (la Central Intelligency Agency, che tutti conosciamo) che svelano un programma di sorveglianza totale denominato “Vault 7” (Vault significa “cripta” o anche “camera blindata”, cioè caveau). Si tratta probabilmente della più grande fuga di notizie del genere dai tempi delle rivelazioni di Edward Snowden (2013).
COSA È SUCCESSO REALMENTE?
Il giorno martedì 7 marzo WikiLeaks ha pubblicato sul proprio sito ben 8.761 documenti riservati provenienti dalla CIA e riguardanti un programma di cyberspionaggio a livello mondiale. In questo link al sito Wikileaks si trova – disponibile per tutti – l’intera documentazione, che WikiLeaks definisce “The first full part of the series, “Year Zero“, facendo supporre che queste rivelazioni siano solo la prima parte di una lunga storia. Viene poi detto che i documenti provengono dal network di alta sicurezza interno al Centro per la Cyber intelligence (CCI) di Langley (Virginia), un dipartimento che alla fine del 2016 contava più di 5mila dipendenti. Dai documenti diffusi da Wikileaks emerge anche che il consolato americano a Francoforte era la base europea di queste operazioni della CIA.
Viene così svelato un gigantesco programma mondiale di hacking, realizzato con un arsenale di captatori informatici e software spia usati per rubare informazioni a società statunitensi ed europee. Queste cyber-armi potevano violare qualsiasi dispositivo, dagli smartphone, Android ed Apple, ad alcuni modelli di smart TV. Il programma per spiare le smart TV è denominato “Weeping Angel” (angelo piangente) e – ci spiega WikiLeaks – è stato sviluppato dall’Embedded Devices Branch (EDB): riesce a trasformare alcuni modelli di Tv di marca Samsung in microfoni, vere e proprie stazioni di ascolto in remoto. In pratica le TV hackerate sembrano spente, ma in realtà risultano accese per registrare le conversazioni ed inviarle via Internet ai server della CIA.
Altri malware realizzati dalla CIA erano in grado di prendere il controllo da remoto di veicoli dotati di guida automatica come camion, furgoni o automobili di ultima generazione. Secondo WikiLeaks “lo scopo di tale controllo non è specificato, ma avrebbe permesso alla CIA di impegnarsi in omicidi insospettabili e quasi non rilevabili“. Si potrebbe realizzare il “delitto perfetto”?
Ovviamente anche i dispositivi mobili erano obbiettivi della CIA: il suo dipartimento Mobile Devices Branch (MDB) ha sviluppato software-spia per controllare gli smartphone da remoto. I telefoni infetti potevano essere programmati per inviare alla CIA informazioni sulla geolocalizzazione, registrazioni audio, testo trasmessi dagli utenti, così come si poteva attivare – di nascosto – la fotocamera del telefono e il microfono. Gli obbiettivi erano sia i dispositivi Apple (iPhone ed iPad), sia quelli Android. Sembra che siano state trovate (ed usate?) 14 vulnerabilità nel sistema iOS di Apple e 24 in Google Android.
Teniamo presente che nel momento in cui un software spia riesce ad entrare in uno smartphone ed a prenderne il controllo, vengono neutralizzati anche i sistemi di crittografia dei messaggi, usata dai vari sistemi di messaggistica come WhatsApp, Telegram e Signal. In pratica, se il software inoculato dalla CIA è dentro al nostro smartphone, può leggere i messaggi come li leggiamo noi, anche senza bisogno di conoscere le password dell’applicazione.
Risulta poi che la CIA avesse sviluppato anche sistemi automatizzati multi-piattaforma di malware di attacco e di controllo che riguardano tutti i principali sistemi operativi: Windows, Mac OS X, Solaris, Linux. Per questi attacchi sono stati sviluppati malware che sfruttavano vulnerabilità cosiddette “zero day” (quelle non ancora scoperte e per questo più pericolose), malware dai nomi fantasiosi quali: Hive, Hammer Drill, Brutal Kangaroo, Cutthroat, Swindle ed altri ancora. Molti di questi attacchi venivano portati con sistemi relativamente “rudimentali”, quali DVD o chiavette USB (quindi metodi che richiedono l’accesso diretto al computer).
Nella ricca documentazione esposta da WikiLeaks si svela anche l’esistenza di un gruppo denominato “Umbrage Team” che opera sotto il controllo della divisione Remote Devices Branch all’interno del CIA Center for Cyber Intelligence. Il suo scopo è quello di svolgere azioni di hackeraggio “sotto copertura”, simulando le tecniche di pirateria informatica usate da altri hacker (in pratica fare “depistaggi”).
Anche Kaspersky in questi ultimi anni ha dichiarato di aver scoperto malware che sembrano essere stati sviluppati dalla CIA. Il nome in codice interno che Kaspersky utilizza per tracciare le operazioni di hacking della CIA è “The Lamberts”. Un altro nome, utilizzato da Symantec, è Longhorn, dietro al quale ci sarebbe sempre la CIA.
Anche il gruppo di cybersecurity cinese Qihoo 360 ha rivelato i cyberattacchi provenienti dalla CIA contro la Cina ed ha classificato come APT-C-39 quello che hanno definito “CIA Hacking Group”.
L’ASPETTO PIÙ INQUIETANTE
Secondo WikiLeaks, la CIA in questi ultimi anni ha “rastrellato” nel mercato nero del Darkweb molte vulnerabilità ed exploits (i software che sfruttano tali vulnerabilità) “zero days” che riguardavano i sistemi Apple, Google, Microsoft, Linux ed altri. Possedere vulnerabilità non conosciute dai produttori (dei sistemi operativi e dei software) pone la CIA in una posizione di grande vantaggio e dall’altra parte sottopone la popolazione e le infrastrutture critiche a rischio di attacchi da parte di servizi di intelligence stranieri o di cyber criminali, che potrebbero usare tali vulnerabilità.
Ma “giocare” con le armi può essere molto pericoloso… Nel mondo dell’informatica, ogni hacker troverà prima o poi un hacker più bravo e più furbo che “lo fregherà”.
Ed infatti è successo proprio questo, come scrive WikiLeaks: “Cyber ‘weapons’ are not possible to keep under effective control. Cyber ‘weapons’ are in fact just computer programs which can be pirated like any other. Since they are entirely comprised of information they can be copied quickly with no marginal cost“.
In pratica la CIA ha perso il controllo delle sue armi (le Cyber ‘weapons’) che sono state diffuse all’esterno: “Questa straordinaria collezione – spiega il sito di Wikileaks – che conta diverse centinaia di milioni di codici, consegna ai suoi possessori l’intera capacità di hackeraggio della CIA. Negli ultimi tre anni il settore di intelligence degli Stati Uniti, che si compone di agenzie governative come la CIA e NSA e loro fornitori, come Booz Allan Hamilton, è stata oggetto di una serie senza precedenti di esfiltrazioni di dati da parte dei suoi stessi collaboratori”.
Pare che il gruppo dirigente della CIA conoscesse già dall’anno scorso questa violazione dei loro dati, ma sono riusciti a mantenere la notizia segreta fino a due giorni fa. A seguito delle rivelazioni di WikiLeaks, ieri sia FBI che CIA hanno aperto un’indagine federale (secondo notizie CNN).
Ma intanto il materiale fatto uscire è arrivato ad ex hacker e contractor del governo Usa, uno dei quali ha passato a Wikileaks questa documentazione. Una volta che una cyber arma viene “liberata” può diffondersi in tutto il mondo in pochi secondi, per essere utilizzata allo stesso modo da stati nemici, da organizzazioni cybercriminali ed anche da hacker adolescenti. Questa disattenzione della CIA (sarebbe più giusto definirla “negligenza”) causa un serio rischio di proliferazione delle cyberarmi. E da qui arrivare al Cyber warfare (la guerra cibernetica) il passo à molto breve…
LE REAZIONI DELLA CIA
Le rivelazioni di WikiLeaks hanno avuto un’enorme risonanza a livello mondiale, anche nei media più generalisti, a dimostrazione che oggi la Cyber Security interessa e riguarda tutti, nessuno escluso.
L’episodio dimostra che la CIA ha acquisito una indipendenza informatica dalla “sorella” NSA (National Security Agency), con disponibilità di mezzi e finanziamenti forse addirittura superiori. In altre parole la CIA acquistando progressivamente preminenza politica e di bilancio sulla NSA, è andata a creare nei fatti una “propria NSA”, ancora più potente e meno controllata.
Ma ci fa capire anche il livello di confusione e vulnerabilità dei sistemi di intelligence degli Stati Uniti, che in questa vicenda fanno una pessima figura. La CIA sapeva di aver subito intrusioni informatiche, ma ancora oggi non sembra in grado di conoscere quanto materiale “radioattivo” le sia sfuggito di mano. E chi se ne sia impossessato…
Le dichiarazioni della CIA sono state informali e di basso profilo, con frasi di prammatica quali: “Abbiamo agito nel rispetto della legge. Operiamo per difendere gli Stati Uniti dagli attacchi esterni…“. Si è cercato di accusare WikiLeaks (ed i media “liberal” come il New York Times) di cospirare contro la sicurezza nazionale. Frasi vaghe, ma poca concretezza.
COSA POSSIAMO FARE PER DIFENDERCI
È evidente che i rischi di essere attaccati sono cresciuti. Ma, come spiego nelle mie “Pillole di Sicurezza“, qualsiasi attacco che ci venga portato può avere successo se noi compiamo un azione che lo attivi (cliccare su un link malevolo in un messaggio ricevuto, aprire un allegato, inserire nel nostro computer una chiavetta USB di dubbia provenienza, ecc.). Infatti quasi tutti gli strumenti di hacking, anche i più sofisticati, non sono in grado di accedere senza il consenso dell’utente. In alternativa è necessario avere l’accesso fisico al dispositivo (almeno una volta).
Quindi occorre alzare il nostro livello di attenzione ed aumentare la nostra consapevolezza.
Dall’altra parte, Apple ha subito dichiarato che le vulnerabilità utilizzate dalla CIA sono state in gran parte sistemate, con le nuove versioni di iOS: “l’80 per cento degli utenti utilizza l’ultima versione del nostro sistema operativo. Le nostre prime analisi hanno evidenziato che la maggior parte delle vulnerabilità rese pubbliche oggi sono state già risolte nell’ultimo iOS. Ci impegniamo a lavorare su ogni vulnerabilità identificata“.
La stessa affermazione è stata fatta anche da Google: “Siamo certi che gli aggiornamenti di sicurezza e le protezioni di Chrome e Android già proteggono gli utenti da molte di queste presunte vulnerabilità“.
Siccome però pare che né Apple né Google siano al corrente di tutte le vulnerabilità, perchè la CIA non intende renderle note (!), WikiLeaks ha comunicato con una conferenza stampa che Julian Assange ha tenuto il giorno 9 marzo presso l’Ambasciata dell’Ecuador a Londra (dove è rifugiato) che darà alle aziende, comprese Apple e Google, tutte le informazioni sugli strumenti usati dalla Cia per gli hackeraggi. In questo potranno così difendersi con i necessari aggiornamenti di sicurezza.
Almeno fino ai prossimi attacchi…
© Copyright 2017 Giorgio Sbaraglia
All rights reserved.
