Cerca nel blog

2016/08/19

L’NSA si lascia sfuggire armi informatiche segrete. Ora sono pubbliche

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento 2016/08/19 18:00. 

Non avrei mai pensato di poter dire di avere tra le mani una chiavetta USB contenente software segreto dell’NSA che consente di attaccare e scavalcare le difese di milioni di siti Internet, ma è successo. Ce l’ho qui, e come me ce l’hanno tanti altri informatici in tutto il mondo, perché il software è liberamente scaricabile, a patto di sapere dove trovarlo e come fare per spacchettarlo (non è difficile).

Il software NSA è stato raccolto e messo in circolazione pochi giorni fa da un’organizzazione che si fa chiamare Shadow Brokers (il nome è una citazione del videogioco Mass Effect). È diviso in due blocchi: una parte accessibile (un file compresso protetto con una password fornita insieme al file stesso), che contiene un campionario dimostrativo di strumenti d’intrusione usati dall’NSA, e una parte non ancora accessibile (fornita senza password), che a detta degli Shadow Brokers contiene strumenti NSA ancora più potenti ed è stata messa all’asta su Internet: la password verrà consegnata al miglior offerente. Pagamento in bitcoin.


Cosa c’è nel software pubblicato. Nella parte accessibile della vasta collezione di grimaldelli informatici ci sono istruzioni, script e file binari (catalogati in parte qui su Musalbas.com), concepiti principalmente per attaccare i vari firewall hardware fabbricati da aziende importantissime come Cisco, Fortinet e Juniper, scavalcarne le difese, prenderne il controllo e accedere ai server teoricamente protetti da questi firewall.

In pratica questi strumenti consentono a chi li usa di entrare impunemente e invisibilmente in un numero incalcolabile di siti Web e di computer di aziende, pubbliche amministrazioni e governi.


Non è una finta. Alcuni dei nomi degli strumenti resi pubblici compaiono nella documentazione NSA pubblicata da Edward Snowden (che ha ulteriormente confermato l’origine del materiale, anche con riscontri rispetto a documenti NSA inediti), e Cisco ha confermato che EXTRABACON, un componente del software pubblicato, contiene istruzioni per sfruttare una falla estremamente grave in tutte le versioni del suo prodotto Adaptive Security Appliance, che consente di sorvegliare tutto il traffico della rete difesa (sempre teoricamente) da questo prodotto.

La falla consente di accedere alla gestione del firewall senza conoscere né il nome utente né la password di amministrazione del dispositivo. Un disastro, insomma: e questo è solo uno degli strumenti d’attacco dell’NSA ora resi pubblici.


Chi è stato? L’identità degli Shadow Brokers che hanno realizzato questa rivelazione clamorosa è ignota: c’è chi teorizza che si tratti dei servizi di sicurezza informatica russi e chi pensa che ci sia di mezzo una persona all’interno dell’NSA. In entrambi i casi non ci sono prove certe, ma solo indizi e congetture.


Conseguenze a breve termine. Cisco sta già tentando di rimediare tramite aggiornamenti e avvertenze, e Fortinet sta facendo lo stesso, ma ormai il danno è fatto: i prodotti di sicurezza più diffusi delle più grandi aziende del settore sono risultati vulnerabili a vari attacchi finora segreti (e, fra l’altro, abbastanza banali una volta scoperti). Chi si fiderà più? Oltretutto la notizia di queste vulnerabilità arriva proprio nel momento in cui Cisco annuncia ricavi e profitti superiori alle attese ma anche una massiccia ristrutturazione che comporterà una riduzione del personale molto importante (fino al 7% su scala mondiale).

Le società che offrono sicurezza informatica stanno studiando avidamente questo software dell’NSA per includere nei propri prodotti la capacità di riconoscerlo e bloccarlo (alcuni prodotti già lo fanno). Possiamo quindi aspettarci una raffica di aggiornamenti di sicurezza a tutto campo, e soprattutto possiamo aspettarci le grida di dolore degli informatici e dei dirigenti delle aziende e dei governi quando si accorgeranno di essere stati bucati da parte a parte dall’NSA per anni, lasciandosi sfuggire i segreti interni e quelli dei clienti e dei cittadini.

Lo studio di questo tesoro d’informazioni segrete andrà avanti a lungo: chissà quali altre sorprese emergeranno. Già ora, a pochi giorni dalla pubblicazione, sono stati scoperti numeri di serie di specifici apparati Cisco e indirizzi IP di siti governativi cinesi.


Strategie da ripensare. La questione più spinosa, però, è che le falle dei prodotti di sicurezza Juniper, Fortinet e Cisco erano note da anni (almeno dal 2013) all’NSA, che invece di segnalarle a queste aziende le ha tenute per sé. In altre parole, i servizi di sicurezza americani hanno volutamente lasciato falle gravissime nei prodotti fabbricati da aziende di sicurezza informatica americane e utilizzati da amministrazioni, ospedali, aziende civili e militari americane. Il risultato è che chiunque altro abbia scoperto la stessa falla e se l’è tenuta per sé come ha fatto l’NSA – per esempio un governo o un gruppo di criminali – ha avuto la stessa possibilità di accedere, invisibilmente, a tutte le aziende e amministrazioni pubbliche (americane o di altri paesi) che usano i firewall vulnerabili.

Se l’NSA avesse invece informato le case produttrici delle proprie scoperte, consentendo di correggere le falle, avrebbe aumentato la sicurezza di tutte le aziende e di tutti gli enti statunitensi al prezzo di perdere qualche appiglio nelle proprie attività di sorveglianza e di aumentare anche la sicurezza degli altri paesi (sia quelli che considera formalmente alleati, sia quelli che considera rivali). Questa scelta verrà probabilmente messa in discussione per capire se è davvero conveniente, soprattutto adesso che è diventata di pubblico dominio.


Epic fail. L’NSA, ovviamente, ha rimediato una figuraccia, facendosi sfuggire un arsenale di armi digitali che ora saranno inutilizzabili (verranno riconosciute dai prodotti di sicurezza informatica aggiornati) e dimostrando di essere tutt’altro che infallibile. Dopo lo smacco delle rivelazioni di Snowden, uno degli enti governativi più segreti degli Stati Uniti viene messo a nudo con un livello di dettaglio mai visto. Questo incidente è l’equivalente informatico di un laboratorio di armi chimiche o batteriologiche che si dimentica una valigetta di fiale letali in un bar malfamato. Una situazione come questa era impensabile fino a poco tempo fa.


Conseguenze in casa nostra. Se gli americani devono fare i conti con le proprie agenzie top secret che minano la sicurezza nazionale invece di rinforzarla e che non sanno custodire le armi segrete, anche altrove ci sarebbero delle riflessioni importanti da fare. Nei paesi dove si usano o si vogliono introdurre i malware di stato (“virus” da usare per infettare i dispositivi dei sospettati e sorvegliarli), come si appresta a fare per esempio anche la Svizzera (con la nuova legge federale sulle attività informative), è doveroso chiedersi se fabbricare questi virus sperando che restino per sempre soltanto nelle mani delle autorità sia credibile o se sia meglio concentrarsi su altre tecniche d’intercettazione altrettanto efficaci ma meno rischiose.

Se neanche l’NSA è in grado di custodire i propri malware senza farseli rubare, che speranze hanno le agenzie di sicurezza di altri paesi che hanno risorse enormemente inferiori? Il disastro di Hacking Team non ha insegnato niente? E l’idea di mettere dei virus sui dispositivi dei sorvegliati, dove possono essere catturati e studiati facilmente per poi ritorcerli contro i mittenti, è davvero saggia? Non è un po’ come infettare un criminale con una malattia e poi sperare che il contagio non si diffonda per sbaglio anche ai cittadini innocenti?

Per finire, questa vicenda andrebbe ricordata da chi, ogni tanto, pretende che si creino dei passepartout o delle backdoor nelle app di messaggistica o nei dispositivi di telecomunicazione, in modo che gli inquirenti possano sorvegliare facilmente le comunicazioni. Dopo che l’NSA s’è fatta soffiare addirittura i propri strumenti di hacking, sarà difficile affermare seriamente che non c’è pericolo che questi passepartout vengano rubati.




Fonti aggiuntive: TechCrunch, Punto Informatico, Ars Technica.

19 commenti:

Guido Pisano ha detto...

come si dice, volevano suonare...

Diego de Felice ha detto...

Il problema più grosso è che tantissimi non sapranno neanche di avere queste vulnerabilità in casa per lungo tempo a causa di disinteresse verso le fonti che parlano di vulnerabilità. Altri ancora piuttosto che aggiornare e rischiare che non funzioni più nulla, lasceranno le versioni attuali (molto probabilmente mai aggiornate). Un bel disastro.

Dumdumderum ha detto...

Ciabattini con le scarpe rotte, eh?

Dan ha detto...

"Falla"...
Appunto: questi passepartout ci sono già...

CD ha detto...

Esistono nel mondo 2 tipi di aziende, le aziende che sanno di essere state bucate e quello che non sanno di essere state bucate. La cosa non e' stupefacente se non per la mancata segnalazione di 0-day. Questa e' la cosa vigliacca, sfruttarli a proprio vantaggio.
Ma nel BAU Capitalistico di cui VOI fate parte questo e' normale fin quando vi conviene, quando va contro di voi non e' piu normale

alberto cz ha detto...

ricordiamoci i passepartout per aprire le valigie!

avisintini ha detto...

@alberto cz ho comprato i famosi e costosi lucchetti in Usa, l'addetto al ritiro valigie mi disse "vai pure tanto per questi abbiamo la chiave". alla consegna bagagli il lucchetto era stato tagliato.

Anonimo ha detto...

Sembrerebbe invece che i software vecchi vengono rilasciati gratuitamente quando sono noti anche alla concorrenza.
Magari i nuovi "agggiornamenti" cambiano solo le chiavi di accesso che restano sempre presenti ?
In ogni caso i vari "insider" e "identita protetta" sul controllo remoto "autorizzato" sono tutti alla luce del sole.
Basta solo cambiargli il nome e da attivita di controllo totalitarista diventano dei meravigliosi sistemi per la protezione del tuo contocorrente. :-)

Stupidocane ha detto...

CD,

Neanche io faccio parte del BAU Capitalistico. Faccio fieramente parte del MIAO Frattoquantistico.

Quindi piano con le offese.

alberto cz ha detto...

@avisintini, se me lo chiedevano gliele stampavo io! ;)

rico ha detto...

La mia esperienza con Cisco è disastrosa: un router WiFi che ha tutti i canali sulla stessa frequenza (quasi inutilizzabile), telefoni che si disconnettono spesso e che hanno display illeggibili e macchinosi. Lo spyware NSA è l'ultimo dei problemi.

Paolo Attivissimo (Moderatore) ha detto...

CD,

nel BAU Capitalistico di cui VOI fate parte

E tu no?

Spiega, spiega.

Il Lupo della Luna ha detto...

Ma se questi programmi fossero stati messi in circolazione deliberatamente?

Mentre tutti sono impegnati a turare le falle che man mano diventano pubbliche potrebbero non vederne altre che magari vengono già sfruttate e si teme vengano scoperte. Fa troppo Jason Bourne?

Il Lupo della Luna ha detto...

Non mi parlare dei telefoni Cisco coi lcd non illuminati e incassati talmente tanto nel telefono da risultare perennemente in ombra... Ma questo non c'entra con NSA..

Stupidocane ha detto...

... probabilmente CD vive in Corea del Nord. O su Marte. O in una dimensione parallela. Ah no. Quello sono io.

Eeh, oh, so' frattoquantistico, mica palle...

Emanuel_e ha detto...

Il tweet in fondo all'articolo riassume perfettamente la situazione.

Giorgio ha detto...

Sicuramente è stato il "vecchio" Shadow Broker. Liara è troppo onesta per fare una cosa simile.

Dan ha detto...

@Emanuel_e
Non mi pare, dato che ad oggi non sappiamo chi li abbia rilasciati...

Anzi, se andiamo a vedere, pare che la nazione più esposta sia proprio la Russia.

Smiley1081 ha detto...

Ed ecco come la NSA ne ha perso il controllo!

http://www.duffelblog.com/2016/08/nsa-leak-caused-by-clippy/