skip to main | skip to sidebar
20 commenti

“Cyberspionaggio” contro Renzi, Monti, Draghi e “20.000 vittime”: calma un attimo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete farne una anche voi per incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2017/01/11 22:20.

I media italiani si sono forse lasciati un po’ prendere la mano sulla notizia dell’arresto di due persone, Giulio Occhionero e Francesca Maria Occhionero, con l’accusa di spiare “politici e istituzioni, anche Renzi, Draghi e Monti” (RaiNews). Sarebbero “circa 20mila le vittime accertate sinora” dalla Polizia postale (RaiNews; Askanews/Cyber Affairs). Secondo AGI, il malware usato dagli accusati “controllava migliaia di politici italiani”.

RaiNews dice che fra gli “account ‘hackerati’... figurano anche quelli di Matteo Renzi, di Mario Monti, dell'ex governatore della Banca d'Italia Fabrizio Saccomanni; di Piero Fassino, Ignazio La Russa Mario Canzio e dell'ex comandante della Guardia di Finanza Saverio Capolupo. Spiati anche Vincenzo Scotti, Walter Ferrara, Alfonso Papa, Paolo Bonaiuti, l'ex ministro Maria Vittoria Brambilla, Luca Sbardella, Fabrizio Cicchitto, Daniele Capezzone, Vincenzo Fortunato, il ministro Paolo Poletti. L'ex presidente della Regione Campania Stefano Caldoro e il senatore Domenico Gramazio.”


Ho letto le 46 pagine dell’ordinanza di custodia cautelare pubblicata da AGI (con un lodevole atto di trasparenza e buon giornalismo digitale) per andare il più possibile alla fonte diretta e diradare la cortina fumogena del passaparola giornalistico. Dalla versione pubblicata manca, stando alla numerazione, la pagina 14 [2017/01/11 18:15: ho verificato che la pagina manca effettivamente e non si tratta di un errore di numerazione].

La pagina mancante (o altri atti che al momento non ho potuto esaminare) potrebbe cambiare molto le mie considerazioni, ma sulla base di quello che è stato pubblicato fin qui segnalo alcuni punti significativi e una correzione a una notizia errata pubblicata dall’Huffington Post.


20.000 vittime? Dipende cosa si intende per “vittime”. L’ordinanza, a pagina 12, parla di “un elenco di 18327 username univoche” di cui però solo 1793 sono “corredate da password”, e parla di “tentativi di infezione, più o meno riusciti”. Sottolineo il “tentativi”. Mi viene il dubbio che alcuni giornalisti abbiano considerato come vittime anche gli account che hanno soltanto subìto un tentativo di intrusione. Se uno username viene citato in questo elenco senza la rispettiva password, è probabile che l’intrusione in quell’account non sia riuscita. Conteggiare anche i tentativi falliti sarebbe ingannevole: con questo criterio, io dovrei considerarmi “vittima” e “hackerato” ogni volta che ricevo una mail con un malware allegato.

Fra l’altro, anche la conoscenza della password non sarebbe garanzia di intrusione riuscita. Se una vittima ha attivato l’autenticazione a due fattori (2FA o “verifica in due passaggi”), la sua password può essere trafugata ma non sarà utilizzabile da un aggressore (con la 2FA possono accedere all’account solo i dispositivi autorizzati dall’utente; gli altri, tipo quelli usati dall’aggressore, vengono bloccati e l’utente viene allertato). Spero e prego che i vari politici citati nelle notizie si siano dotati di 2FA sugli account. Lo so, sono un inguaribile ottimista.

Per contro, la tecnica d’intrusione descritta nell’ordinanza (invio di mail con un allegato contenente  un malware già conosciuto, denominato Eyepyramid, nulla di particolarmente sofisticato ma un semplice strumento di amministrazione remota o RAT) permetterebbe di monitorare da remoto il computer della vittima, se la vittima esegue il malware senza protezioni, e quindi di leggere o esportare la mail anche senza conoscerne la password.


Renzi, Draghi, Monti sono stati violati o no? L’ordinanza è ambigua al riguardo: non dice chiaramente che gli account di questi tre esponenti delle istituzioni sono stati violati come sostengono le fonti giornalistiche. Indica soltanto le date dei tentativi di violazione di questi account, mentre per altri, legati a domini sensibili delle istituzioni come Interno.it, Camera.it, Senato.it, Esteri.it e Giustizia.it “o riconducibili ad importanti esponenti politici” precisa che sono “comprensivi di password”. Manca però la pagina 14, che potrebbe forse fare chiarezza [2017/01/11 18:15 Ho visionato la pagina mancante e, come confermato da AGI, non contiene alcuna indicazione che gli account di Renzi, Draghi o Monti siano stati violati e anzi sembra escluderlo. Attaccati? Sì. Violati? No. Scrive AGI: “la pagina 14 rivela che quell’elenco era sì di persone inserite nel database, ma senza che gli hacker fossero riusciti a violarne gli account”].

Non ho trovato nessuna dichiarazione diretta della Polizia Postale che dica che gli account di Renzi, Monti e Draghi sono stati effettivamente violati, ma solo affermazioni giornalistiche in questo senso: se avete dichiarazioni dirette degli inquirenti che mi sono sfuggite e confermano la violazione specifica, segnalatemele.

L’ordinanza, per contro, specifica chiaramente (a pagina 2) che alcuni dei tentativi di intrusione sono andati a segno e hanno permesso di acquisire “notizie che, nell’interesse politico interno o della sicurezza pubblica devono rimanere riservate”. Vengono citati, a pagina 13, “674 account, 29 dei quali corredati dalla relativa password”, riferibili a politici o imprenditori. Ventinove, non ventimila. Non voglio insomma sminuire la gravità dei reati commessi, ma precisarne l’effettiva entità e portata.


No, l’ENAV non è stata violata. Huffington Post scrive che gli Occhionero “hanno penetrato il 28 aprile 2016, ma già sotto controllo dall’inizio di gennaio - attraverso i computer dell’avvocato Francesco Di Maio, responsabile della sicurezza dell’Enav - l’intero sistema informatico dell’aviazione civile italiana, comprese tutte le comunicazioni relative”. Questa affermazione è stata smentita seccamente da Giovanni Mellini, che lavora nella sicurezza informatica dell’ENAV, in una mail che mi ha inviato e che cito testalmente con il suo permesso: “ENAV ed il suo SOC hanno segnalato al CNAIPIC in maniera responsabile e con evidenze uno 0day assimilabile ad un APT per le azioni istituzionali del caso e non c'è stata alcuna compromissione della nostra rete e nello specifico dell'account di Francesco Di Maio, il mio responsabile.”

Questo corrisponde a quanto dichiarato nell’ordinanza (pagine 1, 2 e 4): gli Occhionero sono indagati specificamente per aver tentato un’intrusione nei sistemi informatici di Francesco Di Maio (responsabile della sicurezza di ENAV) mandandogli il 26 gennaio 2016 “un messaggio di posta elettronica contenente un allegato malevolo (virus informatico EyePyramid), che una volta auto-installato nel sistema informatici [sic] dell’ENAV S.p.A., avrebbe permesso di accedere abusivamente al relativo sistema informatico”. Notate il condizionale “avrebbe”, che indica che l’auto-installazione non è avvenuta. Infatti l’ordinanza chiarisce poi che Di Maio “anziché visualizzarla e scaricarne l’allegato, provvedeva opportunamente ad inviarlo per l’analisi tecnica” a una società di sicurezza informatica.

La questione ENAV è particolarmente importante perché stando alle dichiarazioni del direttore della Polizia Postale e delle Comunicazioni, Roberto Di Legami [2017/01/11 10:55: ora rimosso dall’incarico], e riportate da Askanews/Cyber Affairs, è stata proprio la segnalazione del tentativo di intrusione ai danni dell’ENAV che ha portato alla scoperta delle attività degli Occhionero.

C’è ancora sicuramente molto da scoprire su questa vicenda, visto che i dati rubati erano custoditi negli Stati Uniti e quindi è coinvolta anche l’FBI. Staremo a vedere: nel frattempo, questa vicenda è di certo un monito per chiunque ricopra una carica importante a ricordare che la sicurezza informatica è una cosa seria e che pensare “ma chi vuoi che se la prenda con me” è un errore sul quale i criminali informatici contano quotidianamente.

[2017/01/11 22:20. Questo argomento prosegue in questo articolo]


Fonti aggiuntive: Corriere del Ticino, AGI, Formiche.net, Rainews, Sole 24 Ore, AGI, Il Fatto Quotidiano, Federico Maggi, The  Guardian.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
Piccolo refuso, fine del quarto paragrafo:

"ua correzione" in "una correzione"

Scherzo del destino? Io non credo ;)
Sono allibito. Sistemi di posta elettronica che non scansionano gli allegati e li lasciano arrivare all'utente finale. Nel 2016, dopo tutto quello che é successo con i ransomware.
Io sono un po' perplesso su questa storia e anche alcuni giornali, ad esempio IlPost, non hanno ben chiaro cosa sia successo realòmente.

Il fatto che questi tizi agissero dall'Italia verso obiettivi italiani è curioso, normalmente si fa tutto dall'estero, possibilmente da nazioni che rendono difficile l'identificazione dal paese obiettivo. Essere identificati sulla base di un caso la dice lunga sul fatto che non si erano o non sapevano come coprire le tracce.

Qualche giornale ha poi raccontato il rocambolesco tentativo di cancellare prove da parte degli arrestati, forse vero, forse no, forse c'è qualcosa di vero.

L'impressione generale è che si tratti di dilettanti ma dopo il caso Hacking Team non saprei proprio. Forse mezzi dilettanti?
Sì, sei molto ottimista a pensare che abbiano attivato l'autenticazione a due fattori.
Comunque anche 1700, o anche "solO" 900 account violati non sono pochi considerato l'ambito.

" “notizie che, nell’interesse politico interno o della sicurezza pubblica devono rimanere riservate”. Non voglio insomma sminuire la gravità dei reati commessi, ma precisarne l’effettiva entità e portata"
Direi che non è poco.

Curioso di sapere chi fosse l'utilizzatore finale. Alcune idee le avrei, ma siamo ai limiti del complottista :) ... e meno male che non li hanno inviati su un server in Russia :)

Comunque il tutto mi sembra quasi surreale e proveniente da un romanzo di spionaggio, eppure è reale!


Sto leggendo l'ordinanza di custodia cautelare e c'e' un dettaglio interessante: gli accusati hanno usato una versione regolarmente licenziata di una libreria (MailBee) il che ha permesso loro di essere avvisati dall'(ignaro?) fornitore della libreria quando la societa' di analisi che agiva per conto di ENI l'ha contattato per tentare di farsi comunicare le generalita' del titolare della licenza.
Da quello che si capisce la strategia di attacco è stata niente affatto sofisticata. Semplicemente un codice eseguibile inviato in allegato ad una mail. Mi chiedo come sia possibile che a persone che girano con la scorta armata non sia imposto uno straccio di amministratore di rete esperto in sicurezza che blocchi gli eseguibili non autorizzati nel loro PC/smartphone.
Esistono una moltissimi strumenti, alcuni abbastanza semplici da usare, che consentono di proteggere un PC consentendo l'esecuzione del solo codice installato dall'amministratore. Questo semplice accorgimento in congiunzione con un buon antivirus ed un mailserver che blocca gli allegati contenenti codice eseguibile consente di proteggere una rete dal 99% degli attacchi. Nella mia rete con centinaia di PC e smartphone ricevo centinaia di tentativi di attacco ogni giorno e non mi posso certo affidare al buon senso che le persone dovrebbero avere prima di aprire una mail o un collegamento web
C'è un altro refuso "direttore della Polizia Postale" va sostituito con "EX direttore della Polizia Postale"... :)
Prima cosa: grazie Paolo per questa tua analisi in tempi record!
Quindi alcune mie rapide considerazioni.
1. Ogni volta che scoppia un caso giudiziario c'è sempre una prima fase in cui i media esagerano la portata della notizia, "è la stampa bellezza!" (cit.) e anche in questo caso, come hai sottolineato tu, si arriva a scrivere 20000 vittime bla bla bla
2. Come spesso accade si esalta il ruolo di certi attori, in questo caso gli Occhionero, definiti come massoni, super esperti informatici, introdottissimi in certi ambienti (MPS come poteva mancare in questi giorni), grande appassionata di maratone (che ci azzecca?). A mio avviso i due hanno tentato di accedere a certi account per scopi di insider trading visto il principale lavoro che svolgevano: broker
3. ENAV pare ne esca benissimo: ha subito un tentativo di intrusione e lo ha subito denunciato, se stanno così le cose vuol dire che la sicurezza lì funziona
Grazie ancora Paolo e a presto.
Francesco
Il problema, come ho già detto, non è nel numero degli attacchi, ma in quello delle potenziali vittime. Anche solo il fatto che si tenti di penetrare sistemi sensibili dipende dalla valutazione che, con tutta probabilità, è stata fatta della loro vulnerabilità.
Aggiungo che gli attacchi, come alcuni hanno sagacemente fatto notare sono sempre preceduti da tentativi di social engineering, e questo rafforza quanto sopra.
Infine, ma non ultimo, mi lascia perplesso il fatto che i due soggetti incriminati conducessero le loro attività da anni e che, a quanto pare, siano stati individuati per puro caso, il che probabilmente indica la totale assenza di attività di monitoraggio, controllo e prevenzione di certi sistemi e istituzioni.
Se a tutto questo si aggiunge la notizia che il capo della polizia ha rimosso il direttore della polizia postale che ha condotto l'inchiesta, per non averlo informato dell'inchiesta, allora non resta che una conclusione: Bananas aspettaci, stiamo arrivando!
@Scatola Grande
Non ho ancora letto tutta l'informativa, che è lunga e dettagliata, ma da una prima occhiata m'è parso di capire che per gli attacchi usassero Tor, e che l'identificazione è avvenuta attraverso il server di controllo della botnet, localizzato negli stati uniti e collegato a un dominio registrato tramite servizio di anonimizzazione, ma che è stato comunque ricondotto a loro attraverso ulteriori accertamenti.
Bravo Paolo, come al solito non ti sfugge niente! L'ordinanza di custodia cautelare che abbiamo reso disponibile sul sito dell'Agi ha una numerazione di 47 pagine. Ma, in effetti, manca la pagina numero 14. A giudicare dalla precedente, la numero 13, dovrebbe contenere una lista di esponenti politici, ma purtroppo non ne abbiamo certezza perché quella pagina manca dalla ordinanza che siamo riusciti ad intercettare. Magari qualcuno dei tuoi o nostri lettori ci può aiutare a pubblicare anche quella pagina mancante. Grazie e buon lavoro. Prat
Io mi domando invece come sia possibile che i PC di personalità di spicco di importanti istituzioni, grandi aziende e studi legali che trattano transazioni molto riservate e danarose, non vengano regolarmente analizzati e bonificati (senza contare l'apparente assenza di altre misure di protezione passiva come antivirus nei server di posta elettronica e sui client, DMZ, firewall in uscita ed entrata etc

---Alex
mah.. alla fine della fiera, i giornalisti veri ormai.. non esistono.. esistono solo le testate.. che vogliono avere un bel page rank.. bà!!
Meno male che Paolo, ci sei te.. un piccolo lumino.. in questo buio pesto.. di falsità..
Da grande voglio essere come Paolo Attivissimo!!
P.S. ho 32 anni
Stando a Repubblica il capo della postale Dilegami è stato rimosso dall'incarico sembra per non aver informato i vertici istituzionali dell'inchiesta.
Comunque mi fa un certo effetto leggere di gente spiata per anni con un malware che pare essere noto
[quote]una notizia errata pubblicata dall'Huffington Post[/quote]
Straaaaanooooo
Si sa perchè il direttore della polizia postale è stato rimosso?
Sarà da complottista ma sembra strano che venga rimosso il direttore della polizia postale (ma forse ho capito male io) dopo un simile successo.
Se poi verrà "promosso" (o spostato) anche il gip che conduce le indagini la cosa si fa molto più che sospetta.
@Unknown Non é questione di scansionare o no gli allegati, ad esempio molti RAT sono costruiti ad-hoc e non sono rilevabili con nessun antivirus, esistono però sistemi che rilevano le anomalie su una rete oppure che analizzano il comportamento degli eseguibili sul pc, che avrebbero sicuramente aiutato a rilevare prima il malware.
CNAIPIC... di certo gli americani sono più bravi a inventare le sigle per servizi governativi.
La butto giù: S.C.U.D.O, Sistema Cybercrimine Unificato Difesa Ostilità.
Ma ci sono tante altre possibilità, e non sono bravo con le parole.

Ho guardato ora l'ordinaza e....la pagina 14 c'e'!