skip to main | skip to sidebar
30 commenti

Governo tedesco accusato di iniettare malware

Dalla Germania un trojan commissionato dal governo


Il Chaos Computer Club tedesco ha annunciato, pochi giorni fa, di aver analizzato un malware per Windows capace di intercettare le comunicazioni via Skype, registrare le digitazioni e accendere di nascosto la telecamerina del computer per poi trasmettere i dati raccolti a due server negli Stati Uniti e in Germania. Il malware è anche aggiornabile da remoto e utilizzabile per installare altri programmi sul computer infettato.

Niente di speciale, fin qui: ma il creatore di questo software ostile, battezzato R2D2 dal CCC (nomi alternativi: Bundestrojaner o 0zapftis), non è una banda di criminali. È la società tedesca Digitask. E il committente è il governo tedesco, che ha confermato i sospetti iniziali del CCC. Digitask ha venduto il malware di stato ai governi dell'Austria, della Svizzera e dei Paesi Bassi. In almeno un caso, il trojan è stato installato sul laptop di una persona sospetta durante le procedure d'immigrazione all'aeroporto internazionale di Monaco.

Può sembrare preoccupante che un governo faccia fabbricare cimici informatiche e le installi di nascosto, ma questo genere di attività fa parte del lavoro d'indagine di oggi, che fa leva anche sui dispositivi digitali utilizzati dalle persone sospette. La vera preoccupazione, semmai, è che questo genere di intrusione totale nella vita di una persona venga utilizzato senza le adeguate tutele di legge: per esempio, in Germania questo genere di malware può essere usato soltanto se ci sono vite in pericolo o per tutelare beni dello stato, e in ogni caso soltanto con l'autorizzazione di un giudice.

Ma R2D2 è espandibile ed è progettato male, tanto da essere pericoloso anche per chi è innocente. Una volta iniettato può essere aggiornato da remoto. Cosa ancora peggiore, altre persone, al di fuori della polizia, possono prenderne il controllo o manipolarne i risultati. Scrive il Chaos Computer Club:

L'analisi ha inoltre rivelato gravi falle di sicurezza che vengono aperte dal trojan nei sistemi infettati. Gli screenshot e i file audio che invia sono cifrati in maniera incompetente e addirittura i comandi dal software di controllo verso il trojan sono completamente privi di cifratura. Né i comandi verso il trojan né le sue risposte vengono autenticati o protetti nella loro integrità. Non solo dei terzi non autorizzati possono prendere il controllo del sistema infettato, ma anche aggressori con competenze di medio livello possono collegarsi alle autorità, spacciarsi per una istanza specifica del trojan, e inviare dati falsi.

Se può essere accettabile, in alcuni casi, che un governo spii in modo così intrusivo persone sospettate di gravi crimini, non è assolutamente accettabile che lo faccia usando strumenti grossolani che possono essere abusati sia dai sorveglianti, sia da qualunque criminale informatico, con estrema facilità. Questa vicenda è la versione statale del disastroso trojan XCP della Sony del 2005. Chiunque può usare questo trojan governativo. In sintesi, il governo tedesco ha dato un sacco di soldi dei contribuenti a degli incompetenti che in nome della sicurezza hanno inconsapevolmente regalato le nostre chiavi di casa ai criminali.


Se vi interessano i dettagli tecnici, è stata diffusa online una presentazione della Digitask, tratta da questa conferenza, che spiega come funziona R2D2 e quali funzioni possono essere aggiunte. L'analisi impietosa di F-Secure è qui e qui. Le FAQ di Sophos sono qui. La scelta del nome deriva dal fatto che una stringa nel trojan, usata per iniziare la trasmissione di dati, è C3PO-r2d2-POE: una chiara allusione a Star Wars.

La domanda forse più interessante, a questo punto, è cosa devono fare le società che producono antivirus. Devono agevolare le autorità e non rilevare il malware di stato, in modo da non interferire nelle indagini, oppure devono tutelare gli utenti a prescindere da chi fabbrica e diffonde il software ostile? Molte società antivirali hanno scelto la seconda strada, per la semplice ragione che non hanno modo di sapere se il trojan è stato piazzato dalla polizia o da un criminale. Symantec, invece, in passato ha scelto di non rilevare malware governativo. Se volete sapere se il vostro antivirus funziona contro R2D2 e quindi il suo produttore ha scelto di stare dalla parte dell'utente, Siamogeek.com ha pubblicato il link per scaricare una copia del malware. Siate prudenti.

Ogni tanto qualcuno mi chiede a cosa servono gli hacker. La risposta è in casi come questo: a tenere in riga chi vuole abusare del potere e dell'autorità che gli è stata conferita e a evitare che si causino disastri con la scusa di un'arrogante e maldestra lotta al crimine e al terrorismo. In altre parole, a gridare che il re è nudo.


Fonti aggiuntive: Austrian Police to use crime-busting Trojans (2007), Swiss coder publicises government spy Trojan (2009), Berlin's shaky Trojan horse (2011), Several German states admit to use of controversial spy software (2011), German Government's Skype Spying Tool has Holes, Hackers Say (2011).
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (30)
Decisamente, questa è la dimostrazione che in Europa la classe dirigente và completamente azzerata per far posto alle nuove generazioni. Quando chi ci governa sono dei tromboni nati all'epoca in cui l'elettronica era fatta di valvole e teleruttori, è ovvio che quando ci si pone il problema di utilizzare strumenti sofisticati si commettano certe sciocchezze affidando il lavoro a dei completi idioti. Amen. Almeno consoliamoci che la situazione non è così grigia (nel senso di capelli grigi) solo in Italia.
A me non stupisce così tanto :)
Anche in Italia esistono diverse società come quella citata...un esempio? http://www.hackingteam.it/
C'è pure la brochure :D :D :D
http://www.hackingteam.it/images/stories/RCS2011.pdf
Articolo interessante, grazie Paolo!

Scusa l'ignoranza ma non sono mai stato un'esperto di queste cose: per fare quella verifica devo scaricare una copia del malware e vedere se il mio antivirus (Avira AntiVir) blocca il download o l'installazione?
Il problema di "permettere" ad uno Stato di "intrufolarsi" nella vita privata di una persona è che si inizia SEMPRE con buone intenzioni e si finisce per ABUSARNE, anche per scopi decisamente privati (nel caso migliore)
A quel punto: chi controlla i controllori? e a sua volta chi controlla chi controlla i controllori? etc etc etc
Come si è appreso dai giornali ad agosto, anche in Italia questo tipo di software viene utilizzato secondo il quadro normativo "provvedimento di acquisizione di fonte di prova atipica" secondo quanto previsto dall’articolo 189 del codice penale.
Per esempio, ultimamente è stato utilizzato di recente dalla procura di napoli nell'ambito dell'inchiesta P4.
La versione italiana è stata creata C.S.H & M.P.S di Palermo ed è stato inviato via mail (con il nome Querela) ad una collabratrice di Bisignani, la cosa curiosa che si è appreso dai giornali è che lo stesso Bisignani era dotato dello stesso trojan che veniva utilizzato a sua volta per spiare politici e giornalisti, segno che il software non è solo disponibile alle forze dell'ordine....
Vorrei aggiungere un particolare. Per mia esperienza personale, con la tendenza a risparmiare su tutto che c'è oggi, non mi stupirei se questo malware fosse stato sviluppato da persone senza l'adeguata competenza giusto perché costavano meno.
:D Ma il vero trojan è il gatto in R2D2? :D
Trovo pure giusto che le forze dell'ordine si dotino di strumenti informatici per le intercettazioni. Del resto è come mettere una cimice (che non ho mai capito se sia un'invenzione di Hollywood oppure una cosa reale).

I fattori da considerare sono principalmente due:

Se questi strumenti informatici sono insicuri e si prestino ad abusi da parte di malintenzionati, la cura è peggio del male. Supponiamo che io sia intercettato e scopra il trojan sul mio pc. Potrei a questo punto inviare dati falsificati sfruttando le falle del programma e crearmi alibi oppure depistare le indagini...

Infine immagino che questo trojan giri solo su windows... quindi un criminale che usa macos o linux è avvantaggiato?
Domanda: è così facile scrivere un trojan?
Domanda2: usare linux o bsd (o cmq un OS "esotico" rispetto a win e mac) cambierebbe qualcosa?
Provato: vengono riconosciuti come Trojan/Backdoor da Microsoft Security Essentials su Win7 e le firme di oggi.
L'antivirus Symantec su Mac non permette di scaricare il file e riporta:

"Scan type: Automatic Scan
Event: Security Risk Found!
Security risk detected: Unknown Virus"
"In altre parole, a gridare che il re è nudo."

Eh ma allora, che si copra le pubenda! :D
fredant5,

i controllori dovrebbe controllarli il popolo in massa, e in massa agire per sbarazzarsene quando violano il mandato concessogli dal popolo.
Naturalmente 'sto coso funzionerà solo sotto windows. Quasi quasi installo una VM nuova e vedo verso chi va, così aggiorno tutti i miei firewall per bloccare quel traffico; così, per dare fastidio :P
Ecco, queste sono le vere cospirazioni! E come al solito chi le combatte davvero non sono persone che fanno illazioni senza prove, sono gente che si rimbocca le maniche, analizza, smonta e crea precisi rapporto d'indagine.
Palin: il fatto che l'antivirus sul Mac lo intercetti mi fa pensare che sia "multipiattaforma". Proverei a dare un occhiata al “coso" con un editor esadecimale, ma credo che sui vari siti tipo f-secure l'avrebbero scritto.
Grezzo wrote:
"Almeno consoliamoci che la situazione non è così grigia (nel senso di capelli grigi) solo in Italia."

Ma vaff.....(*)

Ciao

Capelli d'argento Carson


(*) Vi sono talune parole ed anche frasi che, pur rappresentative di concetti osceni o a carattere sessuale, sono diventate di uso comune ed hanno perso il loro carattere offensivo, prendendo il posto nel linguaggio corrente di altre aventi significato diverso, le quali invece vengono sempre meno utilizzate; un simile fenomeno si è verificato rispetto a numerose locuzioni, quali ad esempio: “me ne fotto” in luogo di “non mi cale”; “è un gran casino” in luogo di “è una situazione disordinata” e del pari con riguardo all'espressione oggetto dell'imputazione, “vaffanculo”, la quale trasformatasi sinanco dal punto di vista strutturale (trattasi ormai di un'unica parola), viene frequentemente impiegata per dire “non infastidirmi”, “non voglio prenderti in considerazione” ovvero “lasciami in pace”.
CORTE DI CASSAZIONE, SEZ. V PENALE - SENTENZA 13 luglio 2007, n.27966
ok per vivere al sicuro (in questo momento) dovrei controllare i sorgenti della mia distro linux, del compilatore che li trasformera' in binari, del compilatore che trasformera' in binario il compilatore..e la finirei a questo livello :) detta cosi' sembra una barzelletta, pero' il fatto di poterlo fare non e' una cosa da poco
@Il Lupo della luna:

riguardo alla tua domanda 2: come scrive Paolo nel post, il malware è per windows (ed infatti si tratta di un un file .dll e un file .sys, innocui per chi usa linux). Quindi chi usa Linux ne è immune.

Nulla vieta, però, che si possa scrivere un malware analogo anche per Linux.

La domanda che mi pongo io è: ma ad un criminale basta usare linux per scampare a questa terribile minaccia? Se la risposta è sì, allora c'è da mettersi le mani nei capelli....
Il problema qui oltre che di diritto è tecnico. A parte gli antivirus che non solo devono rilevarlo, ma devono anche modificare la loro euristica, se un malvivente utilizza una distro Linux? Non parliamo poi di altri sistemi operativi meno diffusi come la famiglia BSD? Insomma ci vuole veramente poco per eludere questa cavolata! Per me è un gigantesco epic fail anche solo in merito al concetto.
Non c'è da stupirsi se alcuni criminali usano ancora i pizzini.
Il mio antivirus mi dice così:

Attenzione! Il vostro blog purtroppo non è più infetto dal benware Academia Pedantorum, che si attiva quando trova errori di grammatica.
Nel presente thread per esempio avrebbe detto:
"Va, voce del verbo andare, si scrive senza accento"

E anche:

"Un esperto si scrive senza apostrofo".

Che dite, non si potrebbe reinstallare?
@Paolo: Ogni tanto qualcuno mi chiede a cosa servono gli hacker. Risposta quantomai azzeccata. I veri hacker (aka smanettoni) non sono quelli che ti rubano la password, ma quelli che si siedono a fianco a te e ti spiegano come fare in modo che altri ti rubino la password.

@Stupor Mundi: per sapere se il tuo AV blocca quel malware, puoi scaricare i binari e scompattarli. Se l'AV non dice nulla, cambia AV!

@fredant5: gli hacker controllano i controllori. Ecco perche' bisogna combattere ogni tipo di ignoranza.
Il bello è che il virus funziona solo su Windows: dunque il governo discrimina tra utenti Windows e utenti Mac/Linux. XD
@matz però sappiamo che il nome del file sui sistemi unix non ne stabilisce il tipo quindi c'è poco da stare tranquilli.. ok magari questo coso specifico funziona solo con Windows ma non sono sicuro che non abbiano pensato ad altre versioni.
Il governo tedesco commissiona trojans.
Il nostro invece commissiona trojons!
:-)
@Stupor Mundi: per sapere se il tuo AV blocca quel malware, puoi scaricare i binari e scompattarli. Se l'AV non dice nulla, cambia AV!

Grazie mille! ;-)
Comunque, per stare sicuri, ho controllato e Clamav aggiornato lo identifica, quindi se volete fare un giro, potete scaricarvi questo antivirus gratuito e fare una scansione del vostro supporto di memorizzazione preferito (sai, a dire harddisk si offendono quelli che hanno l'SSD :)
Il governo tedesco commissiona trojans.
Il nostro invece commissiona trojons!


STRALOL!!
ma Paolo, non dirmi che quell'R2D2 è a casa tua!?