[Guerre di Rete - newsletter] Colpo di scena nordcoreano; social sotto attacco; app antimalware che invece ti spia
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
9 settembre 2018
EXPLOIT NORDCOREANO
Ricordate Wannacry, il ransomware che nel maggio 2017 bloccò aziende e uffici in molti Paesi, inclusa una parte del servizio sanitario nazionale in Gran Bretagna? E prima ancora, vi ricordate di quello strabiliante, hollywoodiano furto da 80 milioni di dollari alla banca del Bangladesh, dirottati informaticamente su una serie di altre banche di altri Paesi? E prima, nel 2014, dell’attacco a Sony, il Sony Hack, pesantissimo, il primo di una nuova stagione di hacking distruttivo (e non solo spionistico) sospettato di essere d’origine statale? Bene, un solo uomo, per quanto incredibile possa sembrare, è stato incriminato per tutti questi tre casi eclatanti. Un uomo che però come vedremo era tutto meno che solo.
Giovedì il Dipartimento di Giustizia Usa ha incriminato Park Jin Hyok, 34 anni, un hacker nordcoreano, con l’accusa di essere coinvolto in Wannacry, nel colpo in Bangladesh (e in varie altre banche), e nel Sony Hack.
È la prima volta che viene incriminata per hacking una persona specifica della Nord Corea da parte degli americani. Secondo l’accusa, Park lavorava in Cina, sulla carta come “sviluppatore”, per un’azienda - Chosun Expo Joint Venture - che in realtà era una copertura dell’intelligence di Pyongyang. La missione dell’azienda era generare ricavi per la Corea del Nord.
L’azienda aveva uffici in Cina e in Nord Corea, e sarebbe stata affiliata al Lab 110, una unità dell’intelligence militare nordcoreana. Le sue attività di hacking erano state individuate da vari ricercatori di sicurezza, che le avevano battezzate gruppo Lazarus. Tra i metodi di attacco utilizzati c’erano campagne di phishing mirato; attacchi con software malevoli distruttivi; esfiltrazione di dati da sistemi; furto di soldi da account bancari; estorsioni via ransomware, i virus che cifrano i file e chiedono un riscatto; la propagazione di virus (worm) per creare delle botnet, delle reti di dispositivi infetti da utilizzare in vario modo.
Anche se quello che distingue in modo peculiare le attività di tale gruppo, se confermata la sua natura statale o parastatale, è la ricerca di forme di finanziamento attraverso campagne criminali di vario tipo, come gli attacchi alle banche e ai cambiavalute online di criptomonete.
Difficile valutare l’efficacia di simili incriminazioni, che in un caso del genere potrebbe semplicemente limitare la possibilità di spostamento all’estero della persona sotto accusa. Anche se, secondo alcuni (Motherboard), sarebbe comunque un primo passo.
Come l’hanno individuato? Nell’incriminazione si cita un lavoro di ricongiunzione di tracce e artefatti, come gli indirizzi email usati per registrare nomi di dominio, e comprare servizi di hosting usati negli attacchi, oltre che indirizzi IP usati per accedere ai server di comando e controllo del malware. E ancora social media account finti che però sono stati ricondotti all’uomo. (Zdnet fa una mappatura degli aspetti tecnici).
Una chicca: spulciando nell’incriminazione ci sono dettagli su come gli hacker hanno violato i sistemi bancari e i server usati per le transazioni interbancarie (SWIFT) di alcuni degli istituti presi di mira, e su come il malware usato dagli attaccanti cancellasse dal database gli specifici messaggi che lanciavano le transazioni fraudolente in modo che non ne rimanesse traccia.
Fino ad ora gli Usa hanno mosso incriminazioni contro hacker della Cina, dell’Iran, della Russia, cui si aggiunge la Corea del Nord. “L’incriminazione descrive solo un lato del cyberconflitto pluriannuale tra Nord Corea e Stati Uniti. Non menziona gli attacchi da parte americana contro il programma missilistico nordcoreano, ordinati dal presidente Barack Obama mesi prima dell’attacco contro Sony”, commenta il New York Times, in uno dei migliori resoconti complessivi della vicenda, che getta luce anche sulle possibili motivazioni del Sony Hack, oltre alla vendetta per il film che prendeva in giro Kim Jong-un. “E [l’incriminazione] omette la fonte di alcune delle armi dell’attacco di Wannacry, che sono fuoriuscite o sono state rubate alla Agenzia di sicurezza nazionale (Nsa) americana”, scrive ancora uno dei due autori dell’articolo, David Sanger. Ricordando come si sia fatta molta strada rispetto ai primi, timidi, incerti tentativi americani di incriminare hacker stranieri, un processo iniziato anni fa dal procuratore David Hickton contro i cinesi. Tentativi incerti anche perché all’epoca la stessa Nsa e altre intelligence americane erano ostili all’idea di incriminare degli stranieri per attività non dissimili da quelle fatte da loro stessi all’estero (queste e altre vicende sono narrate anche nel recente libro di Sanger, The Perfect Weapon: War, Sabotage, and Fear in the Cyber Age). Ma gli attacchi di alcune rivali si sono fatti più sfacciati, pesanti, a largo raggio, e la strategia statunitense è cambiata.
Tuttavia c’è chi nutre perplessità per la decisione di incriminare singoli agenti/militari stranieri. Come un ex- hacker della statunitense Nsa, Jake Williams, che in un editoriale (Daily Beast) molto dibattuto, è andato giù diretto: “Se gli Stati Uniti vogliono punire qualcuno, dovrebbero concentrarsi sul governo nordcoreano, non Park”.
Qui il comunicato del Dipartimento di Giustizia.
Qua ci sono le sanzioni prese dal Dipartimento del Tesoro.
Qua c’è l’incriminazione di oltre 170 pagine.
VIDEO E POLIZIE
I cittadini di New York usati per allenare un software di analisi video
IBM avrebbe usato le riprese video delle telecamere a circuito chiuso della polizia di New York per sviluppare una tecnologia di analisi video che può cercare in un database singole facce sulla base anche del colore della pelle o dell’età, sostiene The Intercept. Ovvero, i volti di inconsapevoli newyorchesi che giravano per la città sarebbero stati usati per allenare un software in grado di fare ricerche per immagini distinguendo per colore della pelle o dei capelli (e altri attributi).
La notizia ha sollevato una molteplicità di domande: sulla natura della collaborazione fra la polizia di New York e l’azienda; sul tipo di utilizzo di una simile tecnologia; e sull’assenza di un dibattito pubblico al riguardo.
Italia - 16 milioni di…..?
Intanto in questi giorni in Italia si discute del SARI, una tecnologia per l’identificazione facciale di autori di reati adottata dalla polizia. Si parla di una banca dati di “16 milioni di soggetti fotosegnalati”. (Il Fatto). Ma come si è arrivati a questo numero? E cosa indica esattamente? si domanda qualcuno.
SPIONI
Invece di proteggerti, ti spiava
AdAware Doctor, una app per Mac il cui compito sarebbe di “evitare che malware e file malevoli infettino il tuo Mac”, in realtà aggirava di nascosto le restrizioni Apple per raccogliere dati sensibili degli utenti, in particolare la cronologia della loro navigazione. Ovviamente senza il loro consenso. In pratica la app richiedeva accesso alla home directory e ai file degli utenti - in teoria per fare uno scan del computer in modo da individuare software malevoli - ma poi usava l’accesso per raccogliere la cronologia di navigazione di Chrome, Safari, Firefox. I dati venivano zippati in un file chiamato History.zip e inviato a un server in Cina. (TechCrunch).
L’aspetto più folle della vicenda? Era pure una app a pagamento. E la quarta in classifica nella categoria a pagamento nel Mac App Store. Apple ha poi tolto la app dal negozio. La prossima versione di macOS proteggerà la cronologia di Safari e i cookies dalle app, anche nel caso in cui gli utenti permettano l’accesso alla loro home directory. "Il fatto che l’applicazione abbia esfiltrato di nascosto le cronologie del browser degli utenti, magari per anni, è, per dirla diplomaticamente, davvero un casino”, ha commentato uno dei ricercatori che l’hanno individuata.
Qui una descrizione più tecnica (9to5mac)
Vendevano software spia, e i dati raccolti sono finiti online
mSpy, azienda che fornisce un software per spiare sui dispositivi di qualcuno (sulla carta, i figli, ma in realtà molto più spesso il partner) ha subito un altro pesante leak, una fuga di dati che include contatti, messaggi, password, note, dati di geolocalizzazione che erano stato raccolti di nascosto dai telefoni su cui girava lo spyware. Ma anche i dati dei suoi stessi clienti, e gli IP di chi ha visitato il suo sito. Una nemesi. E non è neanche la prima volta (Brian Krebs).
Nemesi che investe molte delle aziende che forniscono questo genere di servizi, software spia per utenti comuni, che stanno al limite (quando non apertamente oltre) del confine della legalità. Ben nove di queste aziende sono state hackerate o hanno registrato leak negli ultimi 18 mesi (Lorenzo Franceschi-Bicchierai)
POLITICA E SOCIAL MEDIA
Come sono andate le ultime audizioni di Twitter e Facebook?
Nei giorni scorsi Sheryl Sandberg (Chief Operating Officer di Facebook) e Jack Dorsey (il Ceo di Twitter) sono stati ascoltati al Congresso americano. I temi? Le interferenze straniere sulle loro piattaforme, i troll, ma anche altri tipi di abusi, e poi soprattutto, da parte repubblicana, la paranoia che le voci conservatrici possano essere soppresse dai giganti liberal della Silicon Valley.
Allora, come è andata?
La Sandberg è andata benone, Dorsey se l’è cavata, e chi è andato peggio è stata Google (Bloomberg), che non si è presentata suscitando i commenti piccati dei legislatori. In compenso nel pubblico c’erano i troll in carne e ossa, agitatori dell’alt right come Alex Jones, a fare il loro show.
Momento clou dell’audizione, quando il senatore repubblicano Joe Barton ha esclamato, rivolto a Dorsey: “Non so come un Ceo di Twitter dovrebbe essere, ma lei non assomiglia a quello che un Ceo di Twitter dovrebbe apparire, con quella barba..”. E Dorsey: “Mia mamma sarebbe d’accordo con lei”.
Una frase, una chiave interpretativa della distanza siderale fra due mondi.
Insomma, come sono spesso questo genere di audizioni, è stato soprattutto uno spettacolo per il pubblico - ha commentato un ottimo Recode; e se lo si guardava si arrivava alla conclusione “che in nessuno modo i legislatori Usa faranno mai qualcosa sulle aziende internet americane, o qualsiasi altra cosa”.
Però il quadro - negli Usa e all’estero - resta complicato. Più o meno in contemporanea infatti, il dipartimento di Giustizia Usa confermava che ministro della Giustizia Jeff Sessions aveva espresso “preoccupazione crescente” per il fatto che i social media possano “far male alla competizione” e “intenzionalmente soffocare” la libertà di espressione. Il riferimento alle questioni antitrust è anche interessante, peccato sia presentato come un pacchetto “in bundle” con la paranoia di cui si diceva prima della soppressione della libertà di espressione (confondendola spesso con l’hate speech, anche se certamente il confine può essere confuso a volte).
Ma anche dal punto di vista legale, sono questioni differenti. Per chi voglia ascoltare una voce seria a favore di misure antitrust per i giganti della Rete consiglio questa intervista (podcast di The Verge) a Tim Wu, un gigante dell’accademia, inventore della frase net neutrality, autore di The Master Switch. Tra l’altro è in uscita a breve (13 novembre) un suo nuovo libro proprio su quest temi, intitolato The Curse of Bigness. Wu è favorevole a spezzare Facebook, ad esempio, staccando Whatsapp e Instagram. Vuole anche ripensare le leggi antitrust aggiornandole al fatto che molti dei giganti di oggi offrono prodotti che sono “gratuiti”. Quindi non aumentano i prezzi, di fronte a situazioni di monopolio, ma diminuisce la qualità del servizio, o l’attenzione alla privacy.
Intanto in Gran Bretagna una santa alleanza tra media tradizionali (BBC, Sky, Channel4) e telco (BT, TalkTalk) sta facendo pressione sul governo affinché introduca un controllo indipendente sui contenuti veicolati dai social network (Financial Times). Cosa voglia dire onestamente si capisce poco. Forse la creazione di una authority che decida se un certo contenuto segnalato da utenti debba essere rimosso. (TechCrunch).
ITALIA POLITICA E CYBERSICUREZZA
Da un po’ di giorni R0gue_0, che aveva giù bucato la piattaforma Rousseau del M5S, è tornato a farsi sentire, centellinando dati sensibili (Corriere). Interessante la mail inviata dai gestori della piattaforma agli iscritti (ripresa e commentata da StartupItalia)
BITCOIN E CRIPTOVALUTE
Il popolare servizio di messaggistica giapponese Line lancerà un suo token digitale, una sua criptomoneta. Un settore - quello delle criptovalute - che sta andando forte in Giappone. Varie aziende di ecommerce hanno anche aperto exchange, cambiavalute online (comunicato Line).
CRIPTO-VENEZUELA
Petro, la criptovaluta lanciata dal Venezuela, non sembra esistere davvero. Almeno secondo una indagine di Reuters, secondo la quale petro sarebbe introvabile negli exchange. Né sarebbe accettata nei negozi. Ora anche The Verge fa il punto, specificando che le riserve di petrolio cui dovrebbe essere agganciato il petro sono sottoterra e non toccate.
PRIVACY
Tor su mobile
Tor Project, il gruppo noprofit che lavora al software per la tutela della privacy Tor, lo stesso usato per navigare o comunicare in modo anonimo, ha rilasciato una versione del suo browser per Android. Anche il software per desktop si è rinnovato.
Tor è ancora considerato il miglior standard esistente per navigare o comunicare in modo anonimo. Ma non è del tutto impermeabile alle indagini. L’FBI ha sfruttato più volte alcune falle del software per individuare dei sospettati. Tuttavia per gli utenti normali, che vogliano semplicemente proteggere la propria navigazione da sguardi indiscreti, resta uno dei migliori strumenti antisorveglianza di massa (TechCrunch)
GERMANIA CYBER
La Germania lancia una agenzia di ricerca sulla cybersicurezza e ci mette 200 milioni di euro (Cyberscoop)