Cerca nel blog

2011/10/12

Governo tedesco accusato di iniettare malware

Dalla Germania un trojan commissionato dal governo


Il Chaos Computer Club tedesco ha annunciato, pochi giorni fa, di aver analizzato un malware per Windows capace di intercettare le comunicazioni via Skype, registrare le digitazioni e accendere di nascosto la telecamerina del computer per poi trasmettere i dati raccolti a due server negli Stati Uniti e in Germania. Il malware è anche aggiornabile da remoto e utilizzabile per installare altri programmi sul computer infettato.

Niente di speciale, fin qui: ma il creatore di questo software ostile, battezzato R2D2 dal CCC (nomi alternativi: Bundestrojaner o 0zapftis), non è una banda di criminali. È la società tedesca Digitask. E il committente è il governo tedesco, che ha confermato i sospetti iniziali del CCC. Digitask ha venduto il malware di stato ai governi dell'Austria, della Svizzera e dei Paesi Bassi. In almeno un caso, il trojan è stato installato sul laptop di una persona sospetta durante le procedure d'immigrazione all'aeroporto internazionale di Monaco.

Può sembrare preoccupante che un governo faccia fabbricare cimici informatiche e le installi di nascosto, ma questo genere di attività fa parte del lavoro d'indagine di oggi, che fa leva anche sui dispositivi digitali utilizzati dalle persone sospette. La vera preoccupazione, semmai, è che questo genere di intrusione totale nella vita di una persona venga utilizzato senza le adeguate tutele di legge: per esempio, in Germania questo genere di malware può essere usato soltanto se ci sono vite in pericolo o per tutelare beni dello stato, e in ogni caso soltanto con l'autorizzazione di un giudice.

Ma R2D2 è espandibile ed è progettato male, tanto da essere pericoloso anche per chi è innocente. Una volta iniettato può essere aggiornato da remoto. Cosa ancora peggiore, altre persone, al di fuori della polizia, possono prenderne il controllo o manipolarne i risultati. Scrive il Chaos Computer Club:

L'analisi ha inoltre rivelato gravi falle di sicurezza che vengono aperte dal trojan nei sistemi infettati. Gli screenshot e i file audio che invia sono cifrati in maniera incompetente e addirittura i comandi dal software di controllo verso il trojan sono completamente privi di cifratura. Né i comandi verso il trojan né le sue risposte vengono autenticati o protetti nella loro integrità. Non solo dei terzi non autorizzati possono prendere il controllo del sistema infettato, ma anche aggressori con competenze di medio livello possono collegarsi alle autorità, spacciarsi per una istanza specifica del trojan, e inviare dati falsi.

Se può essere accettabile, in alcuni casi, che un governo spii in modo così intrusivo persone sospettate di gravi crimini, non è assolutamente accettabile che lo faccia usando strumenti grossolani che possono essere abusati sia dai sorveglianti, sia da qualunque criminale informatico, con estrema facilità. Questa vicenda è la versione statale del disastroso trojan XCP della Sony del 2005. Chiunque può usare questo trojan governativo. In sintesi, il governo tedesco ha dato un sacco di soldi dei contribuenti a degli incompetenti che in nome della sicurezza hanno inconsapevolmente regalato le nostre chiavi di casa ai criminali.


Se vi interessano i dettagli tecnici, è stata diffusa online una presentazione della Digitask, tratta da questa conferenza, che spiega come funziona R2D2 e quali funzioni possono essere aggiunte. L'analisi impietosa di F-Secure è qui e qui. Le FAQ di Sophos sono qui. La scelta del nome deriva dal fatto che una stringa nel trojan, usata per iniziare la trasmissione di dati, è C3PO-r2d2-POE: una chiara allusione a Star Wars.

La domanda forse più interessante, a questo punto, è cosa devono fare le società che producono antivirus. Devono agevolare le autorità e non rilevare il malware di stato, in modo da non interferire nelle indagini, oppure devono tutelare gli utenti a prescindere da chi fabbrica e diffonde il software ostile? Molte società antivirali hanno scelto la seconda strada, per la semplice ragione che non hanno modo di sapere se il trojan è stato piazzato dalla polizia o da un criminale. Symantec, invece, in passato ha scelto di non rilevare malware governativo. Se volete sapere se il vostro antivirus funziona contro R2D2 e quindi il suo produttore ha scelto di stare dalla parte dell'utente, Siamogeek.com ha pubblicato il link per scaricare una copia del malware. Siate prudenti.

Ogni tanto qualcuno mi chiede a cosa servono gli hacker. La risposta è in casi come questo: a tenere in riga chi vuole abusare del potere e dell'autorità che gli è stata conferita e a evitare che si causino disastri con la scusa di un'arrogante e maldestra lotta al crimine e al terrorismo. In altre parole, a gridare che il re è nudo.


Fonti aggiuntive: Austrian Police to use crime-busting Trojans (2007), Swiss coder publicises government spy Trojan (2009), Berlin's shaky Trojan horse (2011), Several German states admit to use of controversial spy software (2011), German Government's Skype Spying Tool has Holes, Hackers Say (2011).

Nessun commento: