skip to main | skip to sidebar
37 commenti

Wikileaks pubblica FinFisher, il software-spia usato dai governi contro i dissidenti e i giornalisti; coinvolta anche VUPEN (antivirus)

Oggi Wikileaks ha messo online copie di FinFisher, il software d'intercettazione venduto dall'omonima azienda tedesca ai governi, che spesso lo usano per spiare giornalisti e dissidenti. Il software è in grado di intercettare le comunicazioni e i dati di sistemi OS X, Windows, Linux, Android, iOS, BlackBerry, Symbian e Windows Mobile. Finfisher, normalmente accessibile a caro prezzo soltanto alle agenzie governative, è ora scaricabile qui allo scopo di consentire a tutti (in particolare ai creatori onesti di antivirus) di analizzarlo e realizzare difese.

Finfisher ha fruttato ai suoi creatori circa 50 milioni di euro. Questi sono alcuni dei suoi clienti: in Europa spicca l'Italia insieme al Belgio e ai Paesi Bassi. Insieme al software sono disponibili anche i log dell'assistenza clienti di FinFisher, che contengono dati molto interessanti, compresi gli indirizzi IP dei “bersagli” e degli “agenti”.

Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).

Giusto per capirci: una società di sicurezza scopre una falla in un sistema operativo e invece di pubblicarla responsabilmente per consentirne la correzione, la tiene per sé e la rivela soltanto a chi realizza prodotti di sorveglianza. Questo significa che la falla nota non viene corretta neppure nei sistemi degli utenti onesti e innocenti.

Qui non si tratta più di argomentare se sia giusto o meno che un governo che voglia definirsi democratico abbia strumenti di sorveglianza così potenti e pervasivi, perché c'è sempre chi invoca la scusa (discutibile) che questi strumenti sono necessari per la lotta al terrorismo e al crimine organizzato. Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante, lasciando che continui a esserci (e sia scopribile da malintenzionati) in tutte le auto di quella marca. Compresa la vostra.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (37)
Grande paolo e grande wikileaks, tra le poche voci libere in questo schifo di mondo nazista.
Un bel colpo inferto ai disonesti, agli assassini ed a chi è anche peggio di loro.
Assurdo. Se non fornissero le prove sarebbe difficile crederci....
Ad ogni modo spero che alla Vupen saltino diverse teste e che l'azienda chieda scusa ufficialmente.
Con un aggeggino del genere c'è poco da fare anche con roba tipo truecrypt (ormai andato anche lui): keylogger + screen capture rendono vane ogni crittazione... se qualcuno ha qualcosa da nascondere è bene che sia offline e che ci resti!

Disgustosa l'etica che porta a non rivelare i dettagli di nuovi exploit ma che li vede rivenduti...

Comunque è interessante un commento dei report di assistenza dove un utente ha segnalato che l'infezione veniva rilevata da Norton in modo generico...
ma quindi come difendersi da questo ?
usare solo sistemi operativi open come linux ? e nel mobile? tornare ai vecchi nokia 3310 ?
dotarsi di una VPN ? usare un firewall non hardware, usando ad esempio iptables ?
è tutto molto belloe divertente, ma impraticabile ai più.
io ho deciso di stare nel mezzo: uso sistemi tracciabili, ma con moderazione ed evitando se posso.
voi ?
non ti puoi difendere infetta qualsiasi cosa, l'unica difesa è non avere un pc/smartphone/tablet
Notizia di portata tellurica e dirompente, e naturalmente i quotidiani generalisti nemmeno una riga (o almeno non una riga visibile).
A non essere complottisti, questi ci fanno diventare tali...
Poi non c'è da stupirsi se la paranoia dilaga.
a me pare che la vupen non faccia antivirus ma scopra falle
da un lato propone servizi di protezione dai tentativi di attacco 0 days dall'altro offre le stesse falle alle autorità per le indagini
C'è gente che ha fatto notare che il maggior contributo al kernel Linux viene da RedHat e che il maggiore cliente di RedHat siano le forze armate USA.

Potrebbe essere solo un sospetto ma forse è proprio questo sospetto dietro alle decisioni di Russia e Cina di crearsi il proprio sistema operativo che, invece di essere forse bacato da NSA, sarà bacato dalle rispettive forze di sicurezza.
Analisi bellissima su https://citizenlab.org/storage/finfisher/final/fortheireyesonly.pdf son bravi, ma non tanto furbi a usare come "home" dei server registrati a nome dell'azienda...
Paolo, adoro la tua ingenuità. Ma ti indigni davvero perché una società di sicurezza - il che non significa sicurezza [di tutti] - non fa il bene dell'umanità ma pensa prima al proprio profitto? Vivi nei paesi occidentali, il profitto viene avanti a qualsiasi cosa. Questo manco mi tocca, firmerei col sangue perché tutti i nostri problemi fossero la VUPEN. Vai in un supermercato, guarda cosa ti danno da mangiare, guarda come lo producono (se poi ci sono bestie di mezzo guarda come le trattano). Esci dal supermercato, c'è la tabaccheria: ti vendono una cosa che ammazza tra tumori e malattie cardiovascolatorie quel centomila persone l'anno (Italia), oh, però c'è scritto. Ah, dimenticavo, crea dipendenza. A proposito di dipendenza: le macchinette al bar! Fantastico. Vado avanti?

Non voglio sminuire il tema della sicurezza, semplicemente non porrei l'accento sull'etica: siamo i paesi occidentali, l'etica la usiamo al posto della carta igienica.
Fx,

adoro la tua ingenuità

Io adoro la tua capacità di secernere giudizi su chi non conosci :-). Se denunciare un problema che sfugge ai più per te è ingenuità, va bene, chiamami ingenuo. Però occhio che il tuo dizionario e il mio non coincidono.


Vivi nei paesi occidentali, il profitto viene avanti a qualsiasi cosa

Mentre i paesi non occidentali sono popolati da angeli altruisti? Per favore, evitiamo queste mitologie da rimorso coloniale. Gli esseri umani sono fondamentalmente stronzi. Che siano orientali od occidentali non cambia nulla.
Come dico sul lavoro( in contraddizione coi miei capi) la sicurezza non sta tanto nell' elmetto, ma nella testa che c'è sotto.
NON cliccare mai ovunque, specie nelle installazioni: per chi non riesce a capire dove cliccare, c'è il programmino unchecky.
NON incrociare i dati, se tieni alla privacy: ad es. whatsapp ora appartiene a facebook. Se usi l'uno, disinstalla o non usare l'altro.
NON riempire moduli per la garanzia, servono solo a raccogliere informazioni.
NON dare facilmente il tuo numero di telefono o il tuo codice fiscale, tanto le tue tasse non te le pagano.
NON aggiornare sempre tutto: se il programma funziona, perchè aggiornare? l'aggiornamento può essere dannoso, e vale anche per le app.
NON leggere il disinformatico...se vuoi. Ma peggio per te. ;-)
Beh, ora che il malware è stato pubblicato è diventato inutile. Ovviamente ce ne sarà pronto un altro analogo e probabilmente nascosto meglio. Niente di nuovo sotto il sole.

Comunque, le falle di sicurezza si scoprono continuamente, se una società ne scopre una e non la rivela, è che diventa segreta. Quindi, molto probabilmente, come l'hanno scoperta loro la può scovare qualcun altro.

Ricordo che per funzionare questo malware deve infettare un computer o un cellulare specifico, non è che gira "in the wild" e si espande..
"C'è gente che ha fatto notare che il maggior contributo al kernel Linux viene da RedHat e che il maggiore cliente di RedHat siano le forze armate USA"

C'è gente che è paranoica e gira coi cappellini di stagnola.

Continuo a leggere che open source è sinonimo di sicurezza perché "chiunque può avere i sorgenti" quindi perché preoccuparsi?

Non vi fidate di Internet? Già perché vi ricordo che siete spiabili solo se vi collegate, quindi, banalmente, se avete dei segreti da proteggere non usatela, tutto qua.
@Paolo "Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante"

Mi dispiace ma secondo me l'esempio non calza. Il difetto non rende né impossibile né direttamente pericoloso usare il computer. A meno che tu non sia un malintenzionato. Ma siamo sempre lì, chi custodisce i custodi?
@Rico

Non aggiornare java o flash non è una buona idea.

Ora, se qualcuno non sa come trovare foto di topless in internet potrei anche dirgli un paio di indirizzi nell'orecchio, ma il problema nell'avere programmi con buchi può riflettersi, e molto gravemente, nel funzionamento del computer quando è off line.

Non tutti possono permettersi di avere più di un computer, e fra quelli che ne hanno più d'uno, non tutti hanno il concetto di tenere in tre o più chiavette usb un pacchetto di programmi da installare appena comprato il computer preposto a far triangoli, dopodichè in quel computer ci entrano solo chiavette usb appena scartate e formattate col napalm finchè non morirà di vecchiaia. (e ci mette parecchio, se non lo si usa per fare animazioni 3ddi caccia al mammut con ogni singolo pelo e filo d'erba calcolato indipendentemente dopo tre rimbalzi di fotoni.)
Paolo: 1) l'ingenuità era riferita (la punteggiatura in effetti poteva essere fuorviante) all'indignazione che hai espresso nei confronti di una società il cui scopo è fare profitto, non il bene nel mondo 2) il tono non era particolarmente serio, non fare lo svizzero :P (disclaimer: nemmeno qui sono particolarmente serio... Dato che non lo sono mai, posso dire quando lo sono e non viceversa, che faccio prima? =)

Per l'altro punto... Beh, ci sono sicuramente altre culture in cui i soldi hanno un valore diverso. E in ogni caso il nostro problema, a mio avviso, è la finanza: la tua preoccupazione non è più quella di fare il prodotto migliore al miglior prezzo, ma incrementare i ricavi all'infinito per compiacere gli azionisti. Da qui subentrano parecchie logiche perverse.
Sul fatto che siamo fondamentalmente stronzi sono parzialmente d'accordo. Ma non è quello il punto. Il problema è quando si è stronzi per scopo sociale e ci si struttura per raggiungerlo nel migliore dei modi. Un po' la differenza tra quello che ruba qualcosa da mangiare per sfamarsi e la criminalità organizzata.

Un giorno poi ci racconterai quando ti prendevano in giro da piccolo: non è la prima volta che esprimi disistima nelle persone. =) fanno cose brutte ma anche cose belle, suvvia. Più che esser stronzi io vedo molta inadeguatezza nell'affrontare con un po' di testa i problemi.
@puffolottiaccident: infatti tendo a non usare java e flash, noto per la loro vulnerabilità, comunque non sono proprio programmi ma plug-in, e fanno eccezione.
Pienamente d'accordo sulle pendrive USB, ricordo che all' ultimo G8 i russi le diedero in omaggio ai paesi membri, solo dopo un po di giorni un delegato si insospettì e la fece controllare: c'era uno spyware. ;-)
Un bischero, grazie per acer segnalato questo bel documento!

While there are undoubtedly legitimate
uses for targeted surveillance, historical abuses of secret surveillance are manifold. When
such activity is opaque and technological capabilities remain secret, citizens lack the
knowledge to fully comprehend the scope and nature of surveillance and hence lack ability
to challenge it.
Quanto ci vorrà per un falso rimuovi-malware che in realtà E' un malware?
Finfisher, normalmente accessibile a caro prezzo soltanto alle agenzie governative, è ora scaricabile qui allo scopo di consentire a tutti (in particolare ai creatori onesti di antivirus) di analizzarlo e realizzare difese.

A tutti? Quindi anche a chi ha qualcosa di pericoloso da nascondere?
Credo che sia rischioso bandire gli strumenti. Credo sia utile badirne certi utilizzi educandone all'utilizzo.
Che ne pensi Paolo?
@ Lupo

Quanto ci vorrà per un falso rimuovi-malware che in realtà E' un malware?

Esistono già. Si chiamano scareware. E solo più subdoli del malware installato dalla mail di un amico infetto. Perché una volta infettato, vai alla ricerca dei tool per liberartene e capita, sempre più spesso, che il tool che trovi nella prima pagina di ricerca sia un malware a sua volta, venduto come tool per liberarti da quello che ti ha infettato. Se non si presta un minimo di attenzione (di solito sono pagine tradotte alla bell'e meglio) il rischio di contrarre un'infezione ancor più grave è alto.

Circa tre mesi fa, ne ho avuto per un sabato intero, grazie a "qualcuno-di-cui-non-farò-il-nome-ma-che-dorme-nel-letto-con-me" che cercando qualcosa in streaming "non ha cliccato niente, si è installato da solo"... Uno dei tool per rimuovere l'adware/malware "miracolosamente autoinstallatosi" era proprio uno scareware, linkato in sette righe sulla prima pagina di ricerca di Google.

Anzi, ad essere precisi, quelli di cui parlo io si chiamerebbero Rogueware, semplicemente Rogue o anche Fraud Tools.

Lo scareware invece è ancora assimilabile al malware ed al suo sistema di infezione via spam/email. Cambia nomea rispetto al malware per la modalità di inoltro, spesso attraverso messaggi allarmisti sulla sicurezza del proprio PC.
I complottisti direbbero che sarebbe ora di rinforzare le leggi sulla privacy
ma nel frettempo ci si può organizzare per la leggittima difesa.
- Tornare al vecchio Nokia/Ericsson con la batteria rimovibile.
- Cappellino e occhiali da sole in qualsiasi luogo pubblico.
- Stampare sulla T-shirt la scritta "Coopyright, la mia immagine mi appartiene,
dunque è vietato riprendere il soggetto con qualunque mezzo, film o telecamera,
senza avermi pagato i diritti d'autore."
- Utilizzare solo connessioni criptate e il vecchio pc386 per navigare in internet.
- Automobile a carburatore senza elettronica.
- Dipingere l'auto con la vernice sthealth aniradar.
- Indossare maglie con fili di rame antimicroonde.
@rico
"NON aggiornare sempre tutto: se il programma funziona, perchè aggiornare? l'aggiornamento può essere dannoso, e vale anche per le app."
Da informatico ti dico, dipende cosa stai installando e cos'è l'aggiornamento.
Se è una main version, sono generalmente d'accordo, almeno finché la versione è mantenuta (se ha un senso mantenerla, ogni software fa un po' storia a sé, 7-zip è fermo da anni eppure è considerato un validissimo software per archiviazione) .
Tuttavia se la nuova versione presenta miglioramenti O funzionalità utili vale la pena farci un pensierino.
Non aggiornare l'antivirus, ad esempio, è un errore.


Se, invece, sono patch vanno installate quanto prima, dopo un adeguato test. Le frasi generiche sono un po' fuorvianti ecco.
Gli esseri umani sono fondamentalmente stronzi
Seguire questo blog è sempre illuminante. Ecco come Paolo ha espresso in modo più efficace di san Tommaso la dottrina del peccato originale :-D
@Paolo Attivissimo
in particolare ai creatori onesti di antivirus

Dai per scontato che esistano :)
Qualcuno potrebbe argomentare che se un'azienda antivirus fosse così bbbbuona da avere davvero a cuore la privacy dei suoi clienti, avrebbe già trovato altri modi di procurarsi una copia del programma. Vuoi dire che prima della pubblicazione su Wikileaks NESSUNO aveva mai "piratato" FinFisher?

Mi hai fatto ricordare quando, ne "L'Acchiappavirus", dici che le ditte antivirus negano di realizzare loro stesse virus, secondo il principio per cui il vetraio non ha bisogno di chiedere al figlio di rompere i vetri altrui, ci sono già abbastanza vandali in giro. Però è un po' come chiedere all'oste se il vino è buono e se per caso ci ha messo del metanolo...

E comunque, ok, ora FinFisher è disponibile, ma anche se gli antivirus imparassero a riconoscerlo, agli autori basterebbe modificarlo quanto basta, oppure i servizi segreti passerebbero semplicemente ad un altro spyware.


La cosa triste di queste notizie (oltre alle notizie in sé ovviamente) è che ci spingono a pensare "a la complottista" (del tipo "se mi nascondevano questo, cos'altro mi nascondono?"). E intanto i complottisti, quelli veri, gongolano: "Visto? Visto? Noi l'avevamo detto! Noi avevamo ragione! Quindi abbiamo ragione anche su 11 settembre, scie chimiche, UFO, Luna, Kennedy, etc, e continueremo a rompervi le scatole anzi ve le romperemo più di prima!"

p.s. Ma togliendomi il cappello della Paranoia: il fatto che un Paese (ad esempio l'Italia) abbia acquistato uno spyware non dimostra automagicamente che lo installa di nascosto a cittadini non sospetti per fare monitoraggio "orwelliano". Anche Paolo nell'articolo dice "che spesso lo usano": non vuol dire che lo usino tutti per questo. O ci sono le prove, oppure ragioniamo davvero come i complottisti ("secondo Snowden la NSA spia tutto e tutti ERGO tutti i governi spiano tutto e tutti" è un po' come dire "la CIA ha la tecnologia per telecomandare un aereo ERGO anche gli aerei dell'11 settembre erano telecomandati").
Ciao don!
A questo indirizzo è possibile trovare l'articolo di Forbes, dato che attualmente redireziona ad una pagina di errore: https://web.archive.org/web/20120322090918/http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/
@Rico

Sulla sicurezza informatica, sul singolo computer e/o router ci sono problemi differenti, nei quali io vedo 3 tipi fondamentali di preoccupazione.

1) A causa di un malware il computer smette di funzionare correttamente ed io ne ho bisogno.

2) Uso il computer per far cose che alcune persone non devono intercettare, un malware potrebbe rivelare cose che vorrei tener nascoste, magari ad un concorrente o ad un ricattatore o alla polizia nel caso si usi il computer per commettere veri e propri reati.

3) Non faccio niente che debba tenere nascosto col computer, ma un malware potrebbe zombificarlo e la colpa di quello che ci fa un malintenzionato potrebbe ricadere su di me.
Anche la sola responsabilità senza la colpa sarebbe una seccatura.

Credo che quando diciamo "Java" e "Flash" stiamo parlando del secondo o del terzo caso, e non del primo.
ciao Stu :-)
saluti anche a Van Fanel e al Lupo della luna nonchè ovviamente a Paolo.
Mi spiace aver dovuto saltare anche quest'anno la cena disinformatica. Spero di recuperare l'anno prossimo o che ci si veda in qualche altra occasione.
Don: ho saltato pure io quest'anno. Rimedieremo, magari a Torino (anche se Milano mi sa di più "centrale")..
I complottisti direbbero che i software spia nel belpaese sono utilizzati per indagini
di mercato e per vendere prodotti mirati e pubblicita'
(che sarebbe l'utilizzo piu redditizio per questo tipo di software.)
I complottisti direbbero che per prevenire eventuali violazioni di privacy
sarebbe meglio rimuovere e distruggere la scheda wireless del notebook.
ciao don, benritrovato! :)
A proposito de "L'Acchiappavirus" ... Paolo, dovresti scrivere un "L'Acchiappaprivacy" o qualcosa del genere, una guida all'utonto che vorrebbe proteggersi da spiate inopportune ma non sa da che parte cominciare!
Le norme basilari di igiene informatica (non aprire allegati se non si è certi della provenienza) possono ancora creare fastidi persino a gentaglia di questo calibro:

"One of the major challenges for Law Enforcement are mobile Targets where no physical access to the computer system can be achieved and who do not open any infected Files which have been sent via E-Mail to their accounts."

...ma non è che ci sia da stare troppo tranquilli:

"FinFly LAN [...] is able to infect Files that are downloaded by the Target on-the-fly or infect the Target by sending fake Software Updates for popular Software."