Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.113 - 19 settembre 2021

Oggi si parla di:
- update Apple e spyware
- cyber spie e Dipartimento di Giustizia Usa (sviluppi del Project Raven)
- effetti collaterali del mercato degli exploit
- Facebook, VIP e moderazione
- Instagram e teenager
- biometria
- prossimi eventi

->Considerazione per i nuovi iscritti
Questo numero è pieno di notizie legate al precedente speciale Spyware Ltd su spyware, mercato degli exploit, ecc. Non tutti i numeri di Guerre di Rete sono così specializzati, ma sono le stesse notizie uscite in settimana ad aver dettato l’agenda, portando a una specie di seguito dello speciale della scorsa settimana.

SPYWARE
Apple chiude vulnerabilità connessa allo spyware Pegasus
Apple ha rilasciato un aggiornamento di sicurezza per chiudere una vulnerabilità zero-day (significa che fino ad ora era sconosciuta alla stessa Apple, che quindi avrebbe avuto zero giorni per metterla a posto) che interessa iPhone, iPad, Mac and Apple Watch. Dovete dunque aggiornare alla versione 14.8 di iOS, a OSX Big Sur 11.6, a watchOS 7.6.2.
Di questa vulnerabilità (segnalata ad Apple il 9 settembre) parla anche un nuovo report dei ricercatori del laboratorio dell’Università di Toronto, Citizen Lab. I ricercatori la ritengono connessa a un attacco sfruttato da Pegasus, lo spyware prodotto dall’azienda israeliana NSO Group, e venduto a vari governi. Lo spyware è in grado di prendere il controllo dei dispositivi infettati e spiarne tutta l’attività.
Nel report di Citizen Lab pubblicato in questi giorni, gli autori scrivono di aver individuato questo attacco (exploit, ovvero un codice di attacco che sfrutta una data vulnerabilità) mentre analizzavano “il telefono di un attivista saudita che aveva il telefono infettato dallo spyware Pegasus”. L'exploit è di tipo zero-day (dunque, come già detto sopra, sfruttava una vulnerabilità sconosciuta) e zero-click (significa che non richiedeva interazione da parte dell’utente, come ad esempio dover cliccare su un link, per funzionare e installare lo spyware) e riguarda il servizio di messaggistica iMessage. In particolare si avvantaggia di una “vulnerabilità nel modo in cui gli apparecchi Apple riproducono immagini sullo schermo”, sintetizza TechCrunch. Per capirci, ai target venivano inviati dei file, alcuni dei quali avevano l’estensione .gif, ma in realtà erano dei file Adobe malevoli, cioè includevano exploit zero-day. La vulnerabilità è stata chiamata FORCEDENTRY da Citizen Lab.

Va sottolineato che tale vulnerabilità era già stata individuata da Amnesty International lo scorso luglio proprio in connessione a Pegasus. Come nota su Twitter Claudio Guarnieri, che dirige il Security Lab di Amnesty International, si tratterebbe infatti della stessa vulnerabilità zero-click descritta in questo report. Allora i ricercatori di Amnesty l’avevano chiamata Megalodon.

Ancora l’uso di spyware e di Pegasus sulla graticola
Se avete letto il mio lungo speciale diviso in 3 parti della scorsa settimana intitolato Spyware Ltd (qui anche in un’unica versione e in formato pdf, giuro senza spyware incorporato), saprete tutto di NSO e Pegasus, degli spyware e di Citizen Lab. Quindi la faccio breve e aggiungo solo due considerazioni.

Dopo l’insieme di inchieste sull’uso di questo spyware da parte di vari governi, e il fatto che sia stato ritrovato anche in cellulari di giornalisti e attivisti (ovvero la vicenda Pegasus Project, di cui avrete letto a luglio e di cui parlo anche nello speciale), Pegasus torna già al centro della scena mediatica, in questo caso anche con un aggiornamento di sicurezza da parte di Apple (clamoroso ma non unico, era già successo, esattamente con Pegasus, nel 2016, a partire dal caso dello spyware rinvenuto sul cellulare del dissidente emiratino Ahmed Mansoor - anche di questo scrivo nello speciale Spyware Ltd).

App di chat, il ventre molle della sicurezza dei device
Ma la vicenda mette in una posizione scomoda anche la stessa Apple e in generale le aziende che producono app di messaggistica. Scrivono gli autori del report, che pure, va detto, ringraziano il colosso di Cupertino per la pronta reazione: “Questa scoperta sottolinea anche l’importanza fondamentale di rendere sicure le app di messaggistica più popolari. Onnipresenti app di chat sono diventate uno dei target principali di attaccanti (threat actor) sofisticati, tra cui operazioni di spionaggio statale e aziende mercenarie di spyware che servono gli Stati. Per come sono ingegnerizzate attualmente, molte app di chat sono diventate un irresistibile e facile bersaglio. Senza un'intensa attenzione a questo aspetto, riteniamo che continueranno a essere pesantemente prese di mira, e sfruttate con successo”.
Un concetto ribadito anche da uno degli autori del report, John Scott-Railton, al WashPost: “I programmi di chat stanno diventando il ventre molle della sicurezza dei device”. In quanto alla vulnerabilità segnalata ad Apple, Scott-Railton ha aggiunto: “Non avremmo scoperto questo exploit se lo strumento di NSO non fosse stato usato contro qualcuno che non doveva essere preso di mira”.

Le reazioni della politica
L’attenzione però questa volta non è stata solo mediatica, ma anche politica. Il 14 settembre l’alto commissario per i diritti umani delle Nazioni Unite, Michelle Bachelet, ha pubblicato una dichiarazione proprio sulle “implicazioni del software Pegasus”. Così scrive: “L’attacco contro difensori dei diritti umani, giornalisti e politici è solo l’ennesimo esempio di come strumenti presumibilmente pensati per affrontare rischi di sicurezza finiscano con l’essere trasformati in armi contro dissidenti”. Bachelet cita Pegasus ma anche un altro spyware prodotto da una diversa azienda israeliana, Candiru (anche di questo parlo in Spyware Ltd).
“Abusi facilitati dall’industria della sorveglianza sono diventati così comuni che giorni prima le rivelazioni su Pegasus, un altro report descriveva accordi opachi riguardanti la commercializzazione di un diverso spyware, Candiru (...) E’ tempo di fare una pausa”, conclude Bachelet. “Come enfatizzato da esperti di diritti umani, finché non sarà garantita la compliance con gli standard sui diritti umani, i governi dovrebbero implementare una moratoria sulla vendita e il trasferimento di tecnologie di sorveglianza”.

Il dibattito nell’Ue
Non è l’unica presa di posizione di alto livello. Nel corso di un dibattito proprio sullo scandalo Pegasus tenutosi in questi giorni al Parlamento europeo, sono arrivate le parole nette del commissario europeo alla Giustizia, Didier Reynders. In sostanza per il commissario l’Ue deve prendere delle misure per proteggere i diritti di giornalisti, attivisti e politici, e chi ha condotto sorveglianza illegale deve essere perseguito. Ha aggiunto che la Commissione sta seguendo con attenzione l’indagine da parte dell’Autorità per la protezione dei dati ungherese sulle accuse che il governo Orban abbia preso di mira giornalisti e politici di opposizione usando proprio lo spyware Pegasus. (The Guardian). Non solo: il dibattito nel Parlamento europeo (che ho seguito online) sembra mostrare una forte attenzione al tema. La parlamentare olandese Sophie In ‘t Veld ha annunciato che la commissione per le libertà civili, la giustizia e gli affari interni (LIBE) aprirà una indagine sull’uso di Pegasus nell’Unione europea. Poi ci sono stati alcuni interventi interessanti: l’europarlamentare Patrick Breyer ha detto che anche l’Europol utilizza e conserva vulnerabilità per fare indagini, invece di farle chiudere. Ed europarlamentari catalani hanno dichiarato che anche politici locali in Spagna sarebbero stati spiati attraverso Pegasus dal governo centrale. Infine, non sono mancati vari appelli a favore della cifratura.

Un altro giornalista europeo con spyware sul telefono
Mentre scrivo questa newsletter, è arrivata la notizia che un altro giornalista europeo avrebbe avuto lo spyware Pegasus sul suo telefono. Si tratta del belga Peter Verlinden. A riferirlo sono state alcune testate, come Knack e Le Soir, sulla base di un rapporto del servizio di intelligence militare ADIV. Ma anche il Security Lab di Amnesty ha confermato. Secondo Knack, per l’intelligence belga l’intrusione sarebbe stata condotta, “molto probabilmente”, dalle autorità del Rwanda. Verlinden ha scritto molto delle vicende di quel Paese. A essere infettato anche il dispositivo della moglie.

PROJECT RAVEN
Tre americani ammettono di aver illegalmente fornito servizi di hacking agli Emirati
Tre cittadini americani, ex dependenti dei militari o dell’intelligence statunitense, che hanno poi lavorato come cyber spie per una società degli Emirati Arabi Uniti, hanno ammesso di aver violato le leggi americane sull’hacking e l’export di tecnologie militari e hanno concordato di pagare complessivamente 1,69 milioni di dollari per evitare di essere condannati a pene ben più severe. I tre erano parte di una “unità clandestina chiamata Progetto Raven”, che aiutava gli Emirati a spiare su nemici, giornalisti e dissidenti, scrive Reuters. Anche questo è un clamoroso sviluppo di una vicenda di cui ho scritto solo pochi giorni fa in Spyware Ltd, ovvero la storia di come alcuni hacker che avevano lavorato per l’intelligence Usa erano stati reclutati prima da un contractor americano, CyberPoint, per andare a lavorare ad Abu Dhabi in un progetto sulla carta “difensivo” ma che in realtà puntava a violare una serie di soggetti. Il progetto è poi proseguito nell’ambito della società emiratina DarkMatter, strettamente legata all’intelligence del Paese. Ora il Dipartimento di Giustizia americano ha dato una svolta alla vicenda, con una azione che scoraggerà altri hacker statunitensi da questo genere di imprese.
“Hacker in affitto e quelli che in altro modo aiutano attività in violazione della legge americana dovrebbero aspettarsi di essere perseguiti per la loro condotta criminale”, ha dichiarato la procura.
I tre americani - Marc Baier, Ryan Adams e Daniel Gericke - hanno ammesso di aver implementato uno strumento chiamato Karma che permetteva all’EAU di violare iPhone senza che il target cliccasse su alcun link. Ma i tre non avrebbero avuto alcuna autorizzazione per fornire questi servizi (sottoposti alle leggi sull’export) agli Emirati, sostiene il Dipartimento di Giustizia.

In pratica l’accordo riguarda due distinte attività criminali, scrive il Dipartimento di Giustizia. Una è la fornitura senza una licenza di servizi, controllati da leggi sull’export, usati per sostenere la violazione di reti informatiche (computer network exploitation). L’altra riguarda “la creazione, il supporto e la gestione, da parte di una società commerciale, di sistemi progettati specificamente per permettere ad altri di accedere a dati in computer di tutto il mondo, inclusi gli Usa, senza autorizzazione”.
Che è una definizione interessante perché potrebbe essere utilizzata in altri casi. Specie se letta insieme a ulteriori spiegazioni date dal Dipartimento di Giustizia. I tre americani avrebbero infatti aiutato e guidato i dipendenti della società emiratina a creare due sistemi di raccolta di intelligence e di hacking “zero-click” che sfruttavano server negli Usa appartenenti a una azienda tecnologica americana. E questo per ottenere un accesso remoto e non autorizzato a smartphone e apparecchi che a loro volta utilizzano un sistema operativo fornito dall’azienda americana. Come ho twittato qualche giorno fa, potrei sbagliarmi, ma mi chiedo se le implicazioni di queste spiegazioni non si allarghino anche ad altre vicende, ad esempio alla causa in corso tra Whatsapp e l’azienda di spyware NSO, che è stata accusata dal colosso di messaggistica di aver in qualche modo abusato della sua infrastruttura (anche qua vedi Spyware Ltd).

Ma non sono finite qua le novità. Secondo la MIT Technology Review, uno degli strumenti di attacco principali usati da Karma era un exploit di iMessage ottenuto da una società di exploit americana, Accuvant (oggi parte di Optiv). La società non è indagata. La transazione sarebbe stata facilitata dai tre americani.
“La notizia di questa vendita getta luce sull’industria degli exploit e sul ruolo giocato dalle aziende e dai mercenari americani nella proliferazione di potenti capacità di hacking nel mondo”, scrive la MIT Technology Review.

C’è infine un dettaglio sottolineato da altri giornalisti, come Joseph Menn. Uno dei tre cittadini americani che hanno raggiunto l’accordo con il Dipartimento di Giustizia oggi lavora come CIO per un grosso fornitore VPN, ExpressVPN. “Conosci il tuo fornitore di VPN la metà di come lui conosce te?”, twitta Menn. Qui c’è la risposta di ExpressVPN che difende la sua scelta e rassicura i clienti.

EXPLOIT BROKER
Come l’India ha usato i servizi di una società americana per attaccare Cina e Pakistan
A proposito del mercato degli exploit, questa settimana è uscito anche questo. Una vulnerabilità segnalata da Exodus Intelligence, società americana di exploit di cui avevo scritto la scorsa settimana, sarebbe stata usata dall’India, che era cliente di Exodus, per sviluppare una campagna di cyberspionaggio contro reti pachistane e cinesi, scrive Forbes. Tutto ciò ha riacceso il dibattito fra esperti su questa industria e come gestirla.

WHATSAPP
Arrivano i backup cifrati end-to-end (nelle prossime settimane)
WhatsApp sta per introdurre la cifratura end-to-end (la più sicura, in cui le chiavi sono controllate dall’utente e nemmeno la piattaforma può leggere i contenuti) per i backup dei suoi messaggi. In pratica in questo modo gli utenti possono cifrare i backup prima di inviarli a Google Drive o iCloud, rendendoli impossibili da decifrare per Apple, Google e la stessa WhatsApp. Chi decida di cifrarli (l’opzione è opt-in) potrà scegliere fra due diverse possibilità di conservazione della chiave: o salvarsi una chiave di cifratura da 64 cifre o creare una password con cui accedere alla suddetta chiave (salvata in questo caso da WhatsApp, cui però risulta “invisibile”). “Siamo il primo sistema di messaggistica di massa a offrire cifratura end-to-end dei messaggi e dei backup”, ha dichiarato Mark Zuckerberg, CEO di Facebook (che controlla WhatsApp).

Come funziona
“Il client (WhatsApp) cifra i messaggi di chat e tutti i dati relativi (testo, foto, video ecc) di cui venga fatto backup usando una chiave generata casualmente sull’apparecchio dell’utente”, spiega il white paper.
Chi decida di usare solo la chiave da 64 cifre dovrà occuparsi di salvarla manualmente da qualche parte. Ovviamente se la perde perde anche la possibilità di decifrare i backup. Come alternativa più semplice per molti utenti, WhatsApp permette invece di scegliere una password o passphrase. In tal caso, “la chiave per cifrare i backup è protetta attraverso una password prodotta dall’utente. La password è sconosciuta a WhatsApp, ai partner cloud usati dall’utente (cioè Google o Apple, nda), o ad altre parti. La chiave viene conservata in un HSM Backup Key Vault”, in pratica un modulo hardware, un sistema che la stessa WhatsApp paragona a una cassetta di sicurezza. Che verifica i tentativi di accesso via password e rende la chiave inaccessibile se superati un certo numero di tentativi. “Queste misure offrono protezione contro tentativi di attacchi a forza bruta (bruteforce, quando si fanno tanti tentativi per indovinare una password, nda) per recuperare la chiave”, scrive WhatsApp. Lo stesso hardware usato è sparso in vari data center di Facebook contro il rischio di blackout internet. 

Ricapitolando, spiega l’esperto di sicurezza informatica Gerardo Di Giacomo a Guerre di Rete, “come scrive WhatsApp, i backup vengono cifrati con una chiave generata sullo smartphone e poi salvata su questi HSM, dispositivi progettati appositamente per gestire e memorizzare chiavi di cifratura. Questi HSM sono stati programmati in modo da fornire accesso a ciò che custodiscono tramite una password. WhatsApp ci dice che non ha accesso a questa password perché, a differenza dei sistemi tradizionali, utilizza OPAQUE (opaco), un moderno protocollo di autenticazione particolare che non richiede la trasmissione della password. WhatsApp quindi - prosegue Di Giacomo - divide le responsabilità di proteggere questi dati tra tre entità: chi memorizza i backup cifrati (Apple o Google), chi memorizza la chiave di cifratura (WhatsApp), e chi conosce il modo per accedere a questa chiave (l’utente). In questo blog WhatsApp ci ha spiegato come fa”.
Maggiori info anche sul blog di Facebook.
Di questa decisione di Whatsapp e altre ne parla anche Will Cathart, head di Whatsapp, su the Platformer.

FACEBOOK
Liste di utenti VIP moderate diversamente
Secondo documenti ottenuti dal Wall Street Journal, Facebook avrebbe un programma interno (XCheck) riservato a celebrità e politici pensato come un controllo di qualità rispetto ad azioni prese contro account di alto profilo che di fatto è diventato un trattamento di favore rispetto alle regole di moderazione dei contenuti. In pratica proteggerebbe 5,8 milioni di VIP dalle normali procedure di moderazione, con la conseguenza che in molti casi i profili in questione avrebbero potuto violare le regole interne contro abusi e incitamento alla violenza sulla piattaforma.
“XCheck inizialmente era pensato come un’ulteriore misura di controllo per proteggere gli account di importanti personalità da azioni contro di loro”, scrive Wired Italia “Nella realtà è diventato un lasciapassare per questi profili. Il Wall Street Journal scrive che alcuni sono stati messi direttamente in una white list che li rende immuni da qualsiasi misura della piattaforma, mentre altri “sono autorizzati a pubblicare materiale che viola le regole in attesa delle revisioni dei dipendenti di Facebook che spesso non avvengono mai”.

INSTAGRAM
Facebook conosceva gli effetti negativi su alcuni teenager
Ancora un’altra inchiesta del Wall Street Journal mette sotto la lente l’effetto di Instagram sui teenager ma soprattutto il comportamento di Facebook rispetto ad alcuni dati su questo tema. Il giornale ha ottenuto alcune ricerche interne condotte da Facebook e non condivise pubblicamente secondo le quali Instagram avrebbe un effetto negativo, rispetto alla percezione di sé e del proprio corpo, su una parte di teenager, soprattutto ragazze. Secondo una slide di una presentazione interna di Facebook, “Peggioriamo problemi legati all’immagine del corpo per una ragazza teenager su tre” (rispetto a teenager che già avevano riportato questioni di questo tipo).

Facebook ha risposto al WSJ dicendo che il giornale non avrebbe rappresentato accuratamente le ricerche svolte internamente e i motivi di alcune decisioni prese.

RANSOWMARE SANITA
Colpito anche ospedale San Giovanni
Dopo il caso della Regione Lazio quest’estate, anche l’azienda ospedaliera San Giovanni Addolorata, a Roma, sarebbe stata colpita da un ransomware, un software malevolo che cifra tutto e chiede un riscatto, come confermato dallo stesso ospedale ai media.
Dice Repubblica: “Inutilizzabile la rete dei computer. Inaccessibili i Drg (Diagnosis related group), la classificazione, secondo i codici regionali, delle prestazioni effettuate dall’azienda ospedaliera ai fini dei rimborsi da parte del sistema sanitario. Irraggiungibili i telefoni dei reparti. Isolati i cercapersone. Impossibile inviare i fax.(...)  Le richieste e le risposte delle analisi del sangue, con le etichette per le provette con i nomi dei pazienti impossibili da stampare e i risultati da compilare come gli amanuensi; e la radiologia, dove per richiedere e leggere una lastra bisognava recarsi di persona, dal momento che i referti non potevano essere spediti e visualizzati direttamente da pc.
“La procura di Roma ha già fatto partire le indagini seguendo il filone di due ipotesi di reato: accesso abusivo al sistema informatico e tentata estorsione”, scrive Giornalettismo.

BIOMETRIA UE
L'Europa sta spendendo più di 900 milioni per un maxi-sistema di dati biometrici
L’Unione europea spenderà oltre 930 milioni di euro per creare un database con milioni di dati biometrici delle persone che attraversano le frontiere comuni. A tanto ammontano tre contratti firmati da Eu-Lisa, l’agenzia europea che ha il compito di fornire le infrastrutture informatiche per la gestione dei confini, dei flussi migratori e della sicurezza interna, scrive Wired Italia.

RICONOSCIMENTO FACCIALE
I sistemi di riconoscimento facciale stanno arrivando nelle città italiane
Torino, Como e Udine hanno già approvato i progetti, nonostante i rischi e il fatto che al momento non siano tecnicamente legali - Il Post

STRUMENTI
Sicurezza digitale per filmmaker
C’è un bel progetto (in inglese) sulla sicurezza digitale dei filmmaker. E’ un sito online che funziona come una cassetta degli attrezzi. Dalla valutazione del rischio a come comunicare, dalla sicurezza in viaggio all’accesso sicuro ai filmati.
https://digitalsecurity.film/

APPROFONDIMENTI
Epic Games vs Apple. Com’è finita? - Valigia Blu

EVENTI
Sabato 25 settembre a Roma si svolge RomHack2021, uno dei più importanti eventi della scena cyber italiana, ovvero la conferenza di sicurezza organizzata dall’associazione Cyber Saiyan. I biglietti in presenza sono finiti da subito, ma si può seguire online in streaming sul Cyber Saiyan YouTube channel. Qui il programma. 

Poi ci vediamo a Modena il 2 e 3 ottobre dove parlerò di Spyware Ltd e dintorni ai DIG Awards, festival internazionale di giornalismo investigativo.

E il primo ottobre al Cyber Act Forum a Viterbo parlerò di cybersicurezza e persone, e perché non è mai solo un problema individuale.

—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli!

I podcast della newsletter (che escono il lunedì in genere, anche se ora sono in pausa) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti. Ciao!