Rischio Cyber e Covid-19
21 Aprile 2020
Le nostre reti IoT casalinghe sono sicure?
27 Aprile 2020

Dallo Zeroday al sistema di Intelligence

Molto spesso parliamo di ZeroDay, del loro valore, del fatto che possono essere rivenduti a prezzi esorbitanti.

Come spesso abbiamo detto, la privacy in questo periodo è oggetto della massima attenzione. Se ne parla al telegiornale, se ne parlava a scuola, se ne parlava al bar (perdonatemi il passato, visto il regime di lockdown), ma di fatto la privacy inizia e finisce con l’avvento dei Social Network e con tutto quello che ruota attorno; e dopo il Datagate, Vault7 e Crypto-Ag, abbiamo abbondanti motivi per parlarne.

Gli Stati nazionali, sulla base delle loro costituzioni, acquistano strumenti di Intelligence per “controllare il crimine, per investigare sul terrorismo e salvare centinaia di vite umane”, così si legge sulle home-page dei siti delle aziende che vendono questo genere di sistemi.

Ma è possibile che tutto questo avvenga alla luce del sole?

Di recente Facebook ha fatto notizia denunciando la Israeliana NSO Group, la quale vendette a enti governativi il sistema Pegasus (armato da un potente Zeroday per Whatsapp) che ha consentito di violare circa 1400 utenti tra i quali personaggi politici, attivisti, ecc.

Ma per capire tutto questo e come funziona, dobbiamo seguire un filo logico.

Oggi negli smartphone abbiamo tutto: dall’accesso alla nostra banca alle chat con i nostri amici, colleghi, conoscenti. Abbiamo l’accesso all’email dell’ufficio e a quelle personali; abbiamo le nostre foto, le coordinate di dove andiamo e dove siamo stati, le nostre perversioni, insomma tutta la nostra vita. 

Immaginate se fossimo dei criminali e le forze di polizia accedessero a questo “ecosistema” di preziose informazioni, saremmo pressoché rovinati (e che “colpo grosso” sarebbe per le polizie di stato, vero?).

Ma accedere a un terminale di un individuo lo si può fare in diversi modi.

  1. Il primo modo, se se ne è il legittimo proprietario;
  2. il secondo, qualora lo smartphone venga perduto;
  3. il terzo, Attraverso backdoor progettate per scopi di spionaggio (appannaggio dei governi e delle agenzie di Intelligence, come ad esempio NSA, CIA, GCHQ, IDF, ecc… parlando di software americano);
  4. il quarto – il più ghiotto – sfruttando degli errori di scrittura del software, dei “bug” sconosciuti che fanno eseguire codice con i massimi privilegi su un software specifico o su terminale remoto.

Ecco appunto i famosi zeroday no-click RCE su sistemi quali IoS, Whatsapp, Android, che vengono acquisiti nel clear-web o nelle darknet a prezzi stratosferici da “Broker zero-day” con picchi di ricompense tra i 2 e i 3 milioni di dollari.

Quindi, se noi fossimo una agenzia che produce tool di spionaggio (ma chiamiamoli, in modo più mite e pacato, di Intelligence), quale sarebbe il nostro canale di approvvigionamento?

  1. Il ricercatore scopre una vulnerabilità zero-day che consente l’esecuzione di codice arbitrario su un WhatsApp senza l’interazione dell’utente;
  2. il ricercatore divulga privatamente a un Broker zero-day la vulnerabilità che gli riconosce 2.5 milioni di dollari per la scoperta, pagando di fatto il suo silenzio;
  3. il broker rivende ad aziende che sviluppano tool di Intelligence lo zero-day, magari attraverso un’asta privata. L’azienda che sviluppa sistemi di Intelligence si aggiudica lo zero-day a 4 milioni di dollari;
  4. su quello zero-day l‘azienda sviluppa un sistema (ovviamente per i soli enti governativi), che consente l’accesso completo ai dati di uno smartphone di ipotetica vittima (ad es. inviandogli un SMS o una chiamata WhatsApp senza avere interazione con l’utente), magari fornendo anche strumenti di controllo remoto e di dashboard.
  5. L’azienda rivende questo tool a 10 governi alla cifra di 2 milioni di dollari (passatemi il termine) a licenza.
  6. le revenue è presto fatta.

Ecco quindi che i governi possono beneficiare di questi strumenti per “prevenire il crimine e il terrorismo, e poter vegliare sulle nazioni con un grande occhio vigile”.

Ma dove è il confine tra legalità e illegalità?
Ogni fine giustifica un mezzo?
Rispetto alle possibili risposte esistono molte scale di grigio e non è facile rispondere.

Sicuramente, però, questa non è fantascienza.Parliamo di sistemi quali Karma, Pegasus e tanti altri ancora, creati in continuazione sfruttando questo sistema, fino a quando queste falle non verranno rese pubbliche da un ricercatore eticamente corretto o da una “spifferata”, in seguito a un eventuale ricatto, verso le stesse aziende che producono spyware.

Ma ricordiamoci di Eternalblue che ci insegna come passarono 5 lunghi anni prima che The Shadow Broket rubasse l’exploit dai server della NSA; e se così non fosse stato, i nostri sistemi Windows starebbero ancora ballando la Samba! (Perdonatemi la battuta… ma ci stava bene).

Questa è la realtà di oggi: la racconto nella convinzione sia importante che tutti la conoscano bene.

 

Articolo a cura di Massimiliano Brolli

Attualmente responsabile delle funzione di monitoraggio dei piani di sicurezza e delle attività di risk Assessment sui sistemi TIM e società partecipate, ha rivestito diversi incarichi manageriali in Telecom Italia e TIIT (Telecom italia information tecnology) spaziando da attività di governance e Audit di sicurezza ad  attività di gestione applicativa di piattaforme centralizzate con un passato nello sviluppo del software in società come IBM, 3inet, Praxi e Bnl oltre a numerose attività di docenza svolte su ambiti come uml, object oriented e differenti framework e linguaggi di programmazione.

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy