skip to main | skip to sidebar
16 commenti

No, la CIA non ti spia: Wikileaks gonfia la fuga di dati “Vault 7”

Ultimo aggiornamento: 2017/03/14 13:40. 

Martedì scorso Wikileaks ha diffuso circa mezzo gigabyte di dati e documenti che, a suo dire, provengono direttamente dagli archivi della CIA e rivelano molti degli strumenti informatici dell’agenzia governativa statunitense. La compilation, chiamata Year Zero, farebbe parte di una collezione più ampia che Wikileaks chiama Vault 7. Le prime verifiche indipendenti indicano che almeno alcuni dei documenti pubblicati sono autentici.

La rivelazione è molto spettacolare: nei documenti vengono descritti strumenti decisamente inquietanti, capaci per esempio di infettare qualunque smartphone, di prendere il controllo di qualunque Smart TV della Samsung e trasformarla in un microfono permanentemente acceso anche quando il televisore sembra spento, e soprattutto viene elencata una serie di falle informatiche presenti in vari prodotti, compresi i computer Windows e Apple e molti antivirus, e tenute segrete per poterle sfruttare al momento opportuno. Secondo Wikileaks la CIA avrebbe anche modi per “scavalcare la cifratura” che protegge WhatsApp, Signal, Telegram e molte altre app di messaggistica ritenute sicure. Ma se avete una Smart TV o uno smartphone o un computer e state pensando di buttarli e di rinunciare a difenderli perché la CIA vi spia, è il caso che prendiate un bel respiro e non vi facciate prendere dal panico. Anche se l’esame di questi circa 8700 documenti è appena iniziato, ci sono già parecchi miti da smontare.

Prima di tutto, come principio generale, quasi tutti gli strumenti di spionaggio catalogati da Year Zero sono concepiti per infettare un singolo dispositivo per volta (le TV Samsung vanno infettate infilando una chiavetta USB) e non consentono sorveglianze di massa. Le probabilità che la CIA si prenda la briga di infettare personalmente i vostri dispositivi sono quindi estremamente basse (se non lavorate in ambienti particolarmente delicati).

Se avete paura per la vostra sicurezza informatica, è infinitamente più probabile che subiate un attacco di phishing o di ransomware fatto a caso da una delle tante bande di criminali informatici o che il vostro collega devasti i computer dell’azienda scaricandovi giochini o video infetti o rispondendo alla mail di un funzionario nigeriano che gli offre di spartire una grande somma di denaro (un’industria truffaldina che racimola almeno un miliardo di dollari l’anno). Conviene concentrarsi sulla difesa da questi pericoli realistici e non su quelli ispirati da James Bond.

In secondo luogo, la fuga di queste notizie riservatissime ha molte conseguenze positive per noi tutti. Certo, è una figuraccia per la CIA, ma è anche una conferma chiarissima delle ragioni che avevano spinto Tim Cook, boss di Apple, a rifiutarsi di collaborare con gli inquirenti statunitensi nello sbloccare l'iPhone di uno dei terroristi dell’attentato di San Bernardino nel 2016. Cook diceva che creare un grimaldello capace di sbloccare quell’iPhone avrebbe compromesso la sicurezza di tutti gli utenti iPhone del mondo, perché prima o poi quel grimaldello sarebbe sfuggito al controllo del governo e sarebbe finito nelle mani sbagliate. All’epoca quest’ipotesi era sembrata un po’ fantasiosa ed eccessivamente priva di fiducia verso le autorità: adesso i documenti della CIA trafugati dimostrano che era corretta.

Una seconda conseguenza positiva delle rivelazioni è che adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle. Va notato che in questa prima tranche di documenti ci sono solo informazioni generali sugli strumenti d’attacco ma non ci sono gli strumenti veri e propri, per cui è difficile che i criminali informatici possano usare questa fuga di dati per creare nuovi attacchi.

Allo stesso tempo la pubblicazione dei documenti da parte di Wikileaks ha messo in luce un problema di sicurezza generale: è giusto che un governo scopra delle falle di sicurezza nei prodotti di largo consumo, usati dai suoi stessi cittadini e dalle sue aziende strategiche, e le tenga segrete per poterle sfruttare, invece di informare le aziende produttrici e consentire di correggerle? È vero che conoscere queste falle conferisce un vantaggio nella lotta al terrorismo e nel controspionaggio, ma allo stesso tempo compromette la sicurezza dei cittadini e delle infrastrutture che il governo è tenuto a proteggere, come nota la Electronic Frontier Foundation. È difficile argomentare in modo credibile che siccome da qualche parte ci potrebbe essere un terrorista che usa una TV della Samsung è meglio lasciare milioni di persone esposte al rischio di intrusione e di stalking. Per fare un paragone, è come se un poliziotto passasse davanti a casa vostra, si accorgesse che la serratura della vostra porta di casa è difettosa, e invece di avvisarvi che è meglio cambiarla se ne andasse via facendo finta di niente e prendendo nota del difetto, caso mai gli dovesse servire entrare di soppiatto.

Inoltre le tecniche di intrusione descritte nei documenti resi pubblici fin qui non rivelano nulla di straordinario: si sospettava già da tempo che i servizi di sicurezza di vari governi ne disponessero e questi documenti non hanno sorpreso gli esperti. Semmai questi documenti sono interessanti perché mostrano dall’interno il modo di operare di una delle agenzie più segrete del mondo, spesso con risultati sorprendenti. Per esempio, i documenti trafugati mostrano che la CIA acquista attacchi informatici da società commerciali e da agenzie governative di altri paesi.

Per fare un altro esempio, i nomi dei vari strumenti d’attacco informatico sono presi spesso dalla cultura geek e giovanile. Spicca, per esempio, il programma Weeping Angel, “Angelo piangente”, che serve per attaccare le Smart TV: è una chiarissima citazione del telefilm britannico Doctor Who. Ci sono moltissimi nomi comici o ridicoli o citazioni da memi o videogiochi, come Philosoraptor o DRBOOM, e c’è addirittura una collezione di emoticon personalizzate (mostrata anche qui e nel documento originale): paradossalmente, questa fuga di dati umanizza parecchio gli operatori senza nome dell’agenzia.

Purtroppo il clamore giornalistico e un po’ di esagerazione drammatica stanno creando parecchi equivoci. Forse il più importante è che nei documenti resi pubblici non viene affatto detto che la CIA ha compromesso la crittografia di WhatsApp, Signal o Telegram, ma che è in grado di intercettare le digitazioni degli utenti in generale se riesce a infettare l’intero smartphone sul quale girano queste app. Quindi la sicurezza di queste app non è stata violata e non è affatto il caso di abbandonarle pensando “tanto è tutto inutile”: semplicemente, come per qualunque app, se il dispositivo è stato compromesso non c’è nulla che l’app possa fare per proteggere il suo utente. Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni.

Inoltre il fatto che la CIA sviluppi o tenti di sviluppare strumenti informatici d’attacco non significa necessariamente che li usi o che li abbia creati con successo. Per esempio, l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure. Di fronte al rischio quotidiano di un incidente stradale, questi pericoli finiscono per essere puramente teorici.

Se volete leggere i dettagli di questa vicenda, consiglio gli articoli di Stefania Maurizi su Repubblica e di Carola Frediani su La Stampa.


Fonti aggiuntive: Washington Post, The Register, Gizmodo, Reuters, The Intercept.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
Colpo di scena: un'agenzia di spionaggio fa spionaggio! Gosh, che scandalo!
Guardando la lista delle vulnerabilita' Android la cosa che mi sembra piu evidente e' la dipendenza da versioni di Android vecchiotte (4 o precedenti) o legate a determinati hardware. E' vero che esistono ancora molti terminali apparentemente vulnerabili (attorno al 30% sono ancora legati ad Android 4.4 ed inferiori) ma l'assenza di exploit su Android 5-6 e 7 mi sembra significativa
Tutto questo - Vault 7, Wikileaks, ... - rientra nella categoria "Scoperta dell'acqua calda". I merrrregani hanno una fifa matta che il resto del mondo decida di averne abbastanza di loro e fanno in modo di sapere ogni momento se qualcuno comincia a montare mire strane nei loro confronti, per poter agire in tempo al fine di smontare questi avversari. Comportamento tipico di ogni paranoico, solo in grande scala.
Dallo screenshot vedo anche un insospettabile Dugtrio

Non concordo con te Paolo, le falle di sistema per i cellulari non verranno patchate per milioni di utenti che smettono di ricevere aggiornamenti dopo 6 mesi dall'uscita del cellulare, o riceveranno una patch cumulativa tra mesi e mesi.
Insomma, nel frattempo saranno alla mercé di chi questi strumenti li saprà usare.
Per curiosità, va bene che la CIA si intrufoli nei nostri dispositivi per capire che ci stiamo dicendo. Ma allora mi pare di capire che Samsung o Google se vogliono possono accendere le telecamere di una smart tv o i microfoni di un cellulare per sapere che cosa sto dicendo. Non lo farà la CIA, ma loro possono farlo quando vogliono...o no?
Scusate, io leggo sempre ma non commento mai.
Questa volta c'è una cosa su cui sono competente e volevo segnalare che DR BOOM è un riferimento al gioco di carte Blizzard "Hearthstone: heroes of warcraft", non World of Warcraft.
Vedo che anche quelli di gizmodo lo segnalano erroneamente come tratto da World of Warcraft.

^^'
Premesso che qualsiasi dispositivo è vulnerabile con accesso fisico individuale, sarebbe utile sapere QUANTO tempo occorre al malintenzionato, e per ogni tipo di dispositivo.
Non necessariamente un agente CIA, basta un utile idiota armato di chiavetta usb o di scheda microSD.
Per fare un esempio sul singolo PC con Windows, a me occorrerebbero circa dieci minuti per fare danni seri (formattazione o iniezione di spyware), e non sono un professionista o programmatore, semmai smanettone casinista 😅
"Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni."

Mi scusi, da quando serve l'accesso fisico ad uno smartphone per infettarlo ? Se uno ha accesso fisico al dispositivo eventualmente fa un dump dei dati su di esso memorizzati mentre mediante l'infezione con un keylogger il monitoraggio è praticamente in tempo reale.

Certo: si può anche infettare un telefono, o un altro dispositivo, avendone avuto l'accesso fisico e non si nega che sia forse più facile ma non è strettamente necessario.

Sono molto d'accordo, invece sulla opinione di fondo dell'articolo a riguardo dell'eccessivo tasso di allarmismo su questa vicenda, considerando anche che buona parte di queste rivelazioni erano state largamente anticipate al tempo della vicenda "Hacking Team / Hacked Team"

Chiudo con una considerazione su questa affermazione:
"Inoltre il fatto che la CIA sviluppi o tenti di sviluppare strumenti informatici d’attacco non significa necessariamente che li usi o che li abbia creati con successo. Per esempio l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure."

Sarà, ma la sola idea che ci stiano - o ci abbiano provato - è di per se una cosa che disturba e no, non sono per nulla d'accordo con affermazioni che tendono a sminuire quanto questi leak ci raccontano.
Certo tutti sospettavano che la CIA ci spiasse. Il problema però non è quello, caro Paolo.

1) Sai perfettamente (o dovresti sapere) che una vulnerabilità non corretta può essere scoperta indipendentemente anche da altri ricercatori senza tanti clamori. E' corretto che la CIA lasci scoperti i propri cittadini? Sai perfettamente che molte di quelle vulnerabilità non saranno mai corrette dai produttori, che dismettono il supporto dopo 3 anni dall'immissione nel mercato (policy android).
2) Oltre ai comuni cittadini, risultano scoperte anche le istituzioni, questo poiché, per forza di cose, la CIA deve lavorare nel massimo segreto possibile. E' quindi corretto che siano a rischio senatori, uomini politici e forse lo stesso Presidente?
3) Dai leak risulta che dipendenti della CIA utilizzavano tali conoscenze per spiare mogli ed ex fidanzate. Cosa impedisce che siano utilizzati per fini meno puerili, magari al soldo di persone al di fuori dell'interesse dell'Agenzia e del paese? Che so, per danneggiare avversari politici?
4) In democrazia vige l'equilibrio dei poteri, ma la CIA risulta avere un potere enorme rispetto tutti gli altri contrappesi democratici. Non ti sembra che lo sviluppo di armi che possono essere facilmente utilizzate contro altri poteri dello stato sia un po' al di là della missione dell'Agenzia?

Più nel concreto, relativamente all'articolo e ai commenti precedenti:

5) La lista delle vulnerabilità è vecchia perché esfiltrata molto tempo fa. Il documento WL relativo alle vulnerabilità android lo datano al 2014, ben tre anni fa
6) "se si ha accesso fisico al terminale non ci si deve preoccupare di infezioni". Ma si tratta di exploit sia locali che remoti, caro Paolo, qui l'accesso fisico non c'entra nulla.
7) Relativamente ad infettare e controllare i veicoli, forse ti è sfuggito che due anni fa alcuni ricercatori indipendenti hanno dimostrato come è possibile prendere possesso e controllare una jeep Cherokee tramite wifi, il racconto che ne fa il giornalista è semplicemente terrificante. Quindi ti sbagli, il dubbio non è se siano stati in grado di farlo, ma quante altre auto siano scoperte e se questa tecnica sia mai stata utilizzata in operazioni coperte.
8) E 7+1, ora questi strumenti sono stati violati, cosa che prima o poi doveva succedere, come la vicenda delle chiavi TSA ha dimostrato anni fa. Questo pone grossi problemi, sia tecnologici che etici. E' giusto che un governo ponga a rischio i propri cittadini in questo modo?
9) la CIA era edotta del leak da diversi mesi. Ha comunicato ai vendor del problema ? (domanda retorica: no.)

Condivido il commento di Alessando Vaschetto, neanche io considero i leaks così una stupidaggine come traspare da questo articolo.
forse ti è sfuggito che due anni fa alcuni ricercatori indipendenti hanno dimostrato come è possibile prendere possesso e controllare una jeep Cherokee tramite wifi

No, non gli è sfuggito:
http://attivissimo.blogspot.it/2015/07/come-prendere-il-controllo-di-unauto.html?m=1

HappyCactus, ma ciao. Vengo a dirti due parole in amicizia, almeno per questo primo round.



"happycactus ha commentato:
Certo tutti sospettavano che la CIA ci spiasse. Il problema però non è quello, caro Paolo.



1) Sai perfettamente (o dovresti sapere) che una vulnerabilità non corretta può essere scoperta indipendentemente anche da altri ricercatori senza tanti clamori. "




Attivissimo minimizza? Giusto le bufale.
Ad esempio, chiaramente NON sta dicendo che gli hole trovati non dovessero essere denunciati ("Per fare un paragone, è come se un poliziotto passasse davanti a casa vostra, si accorgesse che la serratura della vostra porta di casa è difettosa, e invece di avvisarvi che è meglio cambiarla se ne andasse via facendo finta di niente e prendendo nota del difetto, caso mai gli dovesse servire entrare di soppiatto" , secondo te, che intendeva, che il poliziotto dell'esempio è uno in gamba e da imitare? ) o riparati (anzi: "adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle" che significa? Che non contano nulla?)




"2) Oltre ai comuni cittadini, risultano scoperte anche le istituzioni, questo poiché, per forza di cose, la CIA deve lavorare nel massimo segreto possibile. E' quindi corretto che siano a rischio senatori, uomini politici e forse lo stesso Presidente?"



Beh, ma dove l'avrebbe detto Attivissimo? Lui ha solo evidenziato una clamorosa Bufala:

Milioni (di milioni?) di persone hackerate e lurkate tutti i giorni per tutto il giorno??

Certo che no: servirebbero decine di migliaia (ma anche milioni di milioni) di persone addette all'ascolto - avete mai provato a registrare una lezione o una conferenza di due ore e poi a "sbobinarla"? Quanto tempo ci avete messo? E seguivate una persona sola...



(continua)
"3) Dai leak risulta che dipendenti della CIA utilizzavano tali conoscenze per spiare mogli ed ex fidanzate. Cosa impedisce che siano utilizzati per fini meno puerili, magari al soldo di persone al di fuori dell'interesse dell'Agenzia e del paese? Che so, per danneggiare avversari politici?"


Ma assoultamente nulla; come nulla vieta a mogli e mariti di rivolgersi a Tom Ponzi o agli avversari politici di chiedere aiuto (sarà sicuramernte aggratis) alle mogli degli agenti dela CIA. O magari a quegli stessi agenti...



"4) In democrazia vige l'equilibrio dei poteri, ma la CIA risulta avere un potere enorme rispetto tutti gli altri contrappesi democratici"


Non erano agenti che, in prevalenza, spiavano i relativi consorti? E nel tempo libero anche qualche Capo di Stato e persino figure minori come Renzi - che però è un uomo relativamente giovane e magari c'era la moglie di Bond che se lo filava volentieri, chissà... ma certo che la cosa è seria, più o meno come è serio il IV° potere e il mazzo così che hanno fatto ad alcuni politici che avevno un po' troppo potere in campo mediatico.

Esattamente come bene faceva quel tale a lamentarsi della posizione dominante di Google nel mondo dei motori di ricerca - aspetta, come si chiamava quel tale? Ah sì era Bill Gates. Come dargli torto?





"Non ti sembra che lo sviluppo di armi che possono essere facilmente utilizzate contro altri poteri dello stato sia un po' al di là della missione dell'Agenzia?"


Perché, sei di quelli che credono che la CIA abbia una missione tipo "Per il Bene dell'Umanità" o "Sempre Onesti Noi Cavalieri Bianchi"?




Dài, HappyCactus, scendi dall'albero...



" 'se si ha accesso fisico al terminale non ci si deve preoccupare di infezioni'.


Ma si tratta di exploit sia locali che remoti, caro Paolo, qui l'accesso fisico non c'entra nulla"


L'accesso fisico c'entrava con alcuni dispositivi particolari - le smart TV, mica i cellulari. Per i cellulari, basta un aggiornamento di Crash Bandicoot creato ad arte e il gioco è fatto. Piccolo problema: devi passare dagli store in mano alle major a cui stai cercando di forzare la mano, oppure convincere la gGente ad installare da fonti non sicure- ce la si può fare, la media è parecchio bassina, e non solo tra i passeri, a quanto pare. Ma perché allora non andare direttamente alla fonte di tutte le raccolte dati? Tipo passi da mr Telecom e gli dici: "il signor HappyCactus è sospettato di preparae un attentato contro il signor Capo Di Stato Ics, pertanto, per motivi di sicurezza Mondiale richiediamo di ascoltare tutto quel che il signor HappyCactus (e limitrofi) dice col suo phone. Già che ci siamo, ci ascoltiamo volentieri anche quello che dice il signor Capo di Stato di cui sopra, tanto per essere sicuri che non sia vittima di nigeriane procaci". E il gioco è fatto senza dover crackare nulla. Ovviamente SE puoi dimostrare che ci sono problemi di sicurezza di un certo tipo, ovvero se non si tratta di stabilire chi fa sesso con chi...





Non si può che concordare con Attivissimo quando vi (= a voi, comuni mortali, che a Montecitorio o limitrofi non entrate e che non siete imparentati strettamente con agenti della CIA) ricorda:
"Le probabilità che la CIA si prenda la briga di infettare personalmente i vostri dispositivi sono quindi estremamente basse (se non lavorate in ambienti particolarmente delicati [e aggiungo io, se non siete parenti].

Se avete paura per la vostra sicurezza informatica, è infinitamente più probabile che subiate un attacco di phishing o di ransomware fatto a caso da una delle tante bande"



Bufala:

La CIA sa fare tutto alle tue spalle

Bum! E infatti Attivissimo te lo dice chiaro: "i documenti trafugati mostrano che la CIA acquista attacchi informatici da società commerciali e da agenzie governative di altri paesi"

Stendiamo un velo pietoso sui nomi dei fantastici tool, chiaro indice che la CIA si è rivolta ad adolescenti e tartdoadolescenti (i migliori, in effetti) per bucare mr Google, mr Facebook, mr Android e mr Windows. Che poi, di mr windows non ti esce dìbbàse una pacth al mese da anni a questa parte? Di che ti stupisci? Del fatto che alla CIA dessero da lavorare anche ai figli non ancora maggiorenni?...
(continua)
Quanto a questi:
"8) E 7+1, ora questi strumenti sono stati violati, cosa che prima o poi doveva succedere, come la vicenda delle chiavi TSA ha dimostrato anni fa. Questo pone grossi problemi, sia tecnologici che etici. E' giusto che un governo ponga a rischio i propri cittadini in questo modo?
9) la CIA era edotta del leak da diversi mesi. Ha comunicato ai vendor del problema ? (domanda retorica: no.)"


Dove Attivissimo non sarebbe d'accordo? Rileggi dall'inizio: patch da fare, serrature da aggiustare.


E sono stato buono. Metti il caschetto se intendi proseguire, però.


(Fine. Per ora)
Mika,

Questa volta c'è una cosa su cui sono competente e volevo segnalare che DR BOOM è un riferimento al gioco di carte Blizzard "Hearthstone: heroes of warcraft", non World of Warcraft.

Grazie della correzione, ho rimosso il riferimento.
"Una seconda conseguenza positiva delle rivelazioni è che adesso le aziende che producono hardware e software possono sapere di queste falle tenute nascoste e correggerle. Va notato che in questa prima tranche di documenti ci sono solo informazioni generali sugli strumenti d’attacco ma non ci sono gli strumenti veri e propri, per cui è difficile che i criminali informatici possano usare questa fuga di dati per creare nuovi attacchi."

E poi boh, ti accorgi che uno strumento che usi tutti i giorni è citato ed è già corso ai ripari: https://notepad-plus-plus.org/news/notepad-7.3.3-fix-cia-hacking-issue.html (CIA, che ti spii? :D )