[Guerre di Rete - newsletter] Criminali allo sbaraglio: la maxiretata Encrochat

E poi Telegram e la resistenza digitale.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.77 - 5 luglio 2020

Oggi si parla di:
- la maxiretata di Encrochat
- la resistenza digitale di Telegram
- stalkerware
- TikTok
- e altro

“Buttate i criptofonini, siamo compromessi”
L’attacco informatico che ha portato alla più grande retata criminale in Europa

100 milioni di messaggi cifrati intercettati; centinaia di persone arrestate; migliaia di chili di cocaina, pillole ed altre droghe sequestrate, insieme a vari laboratori di metanfetamina in cristalli. 20 milioni di euro in contanti sequestrati, insieme a decine di auto di lusso e centinaia di orologi, oltre che centinaia di armi e munizioni.
Forse la più grande operazione europea di smantellamento di reti criminali (non cybercriminali, sia chiaro, criminali vecchio stile, offline) si è appena dispiegata, con fulcro fra Francia, Gran Bretagna e Olanda. Con arresti e denunce che hanno colpito nomi noti ma anche figure sconosciute alle autorità e insospettabili, con indagini incentrate sul commercio internazionale di droga che si allungano fino ai cartelli colombiani, con piani per uccidere o torturare che sono stati sventati dall’intervento della polizia. Il crimine di strada, di clan, armato, globalizzato, anche ripulito da attività economiche collaterali, colpito dalla più grande operazione di hacking o intercettazione (per ora prendiamo entrambi i termini con le pinze e in senso lato, perché i dettagli tecnici come vedremo sono ancora incerti) che si sia vista in Europa e che è stata svelata nei giorni scorsi.

Una storia che parte da un servizio sconosciuto ai più, una nicchia per clienti facoltosi e paranoici, Encrochat. Si tratta di una società che vende telefoni “sicuri”, “soluzioni di sicurezza endtoend”, “anonimato” e in pratica l”equivalente di una conversazione normale con due persone in una stanza vuota”, come si dice sul loro sito. Con server offshore, “che non creano, conservano o decifrano chiavi, messaggi o dati degli utenti”. I telefoni - smerciati da una rete di rivenditori tra Amsterdam, Rotterdam, Madrid, Dubai - sono dei dispositivi con sistema Android, in particolare dei BQ Aquaris X2, cioè dei modelli di telefoni prodotti originariamente da una società spagnola, ma poi personalizzati da Encrochat, privati di videocamera, microfono e GPS, e con preinstallati dei software per scambiarsi messaggi cifrati basati su OTR, un noto e valido protocollo crittografico per cifrare messaggistica istantanea: software che instradavano i messaggi attraverso i server della società. I telefoni offrivano anche una funzione per cancellare tutto quello che stava sul dispositivo digitando un PIN, e due sistemi operativi che permettevano all’utente di caricare quello apparentemente innocuo in caso di necessità (per poi passare a quello nascosto se si voleva comunicare segretamente). Questi telefoni erano venduti a mille euro ma poi prevedevano un abbonamento di 1500 euro per un contratto di sei mesi. Stiamo parlando di una platea di almeno 50mila utenti, concentrati in Europa. Secondo le autorità francesi, il 90 per cento di questi erano criminali. Gli arresti sono stati 764 solo negli ultimi giorni, e, sempre secondo fonti francesi, sarebbero stati evitati 200 potenziali omicidi pianificati attraverso questo sistema.

Dal primo aprile all’inizio di giugno, la polizia ha letto più di 100 milioni di messaggi che i criminali si inviavano per organizzare le proprie attività. L’attività investigativa è ancora avvolta in un alone di riservatezza rispetto ai dettagli tecnici e all’esecuzione. Sappiamo dalle autorità che l’operazione è stata gestita dai francesi (alcuni server di Encrochat erano in Francia) con il contributo decisivo degli olandesi (su questo ci torniamo dopo), che hanno “penetrato il network di Encrochat sfruttando quell’accesso per installare uno strumento tecnico in quella che appare come una operazione di hacking di massa”, scrive Vice nel resoconto più tecnicamente informato della vicenda.

Di hack parla anche una testata olandese, NRC, che sottolinea il ruolo del team per il crimine hi-tech olandese, grazie al quale “il sistema Encrochat è stato hackerato con successo così che gli investigatori di almeno 10 Paesi potevano leggere live per vari mesi” quanto pianificato dai criminali. “Questo è un lavoro dei cyberdetective francesi e olandesi”, scrive ancora. In pratica quando i francesi sono riusciti a capire che i server stavano sul loro territorio sono arrivati ad aiutarli i colleghi olandesi, tipo Mr Wolf con la valigetta.

Questi - apriamo una parentesi - si sono distinti negli ultimi anni per le loro capacità cyberinvestigative. Sono infatti gli olandesi che hanno avuto un ruolo centrale nell’infiltrazione e sequestro di due mercati neri del Dark Web, Alphabay e Hansa Market. Dopo che l’Fbi è riuscita a chiudere il primo nel 2017, gli utenti si sono riversati sul secondo, ma qui la cyberpolizia dei Paesi Bassi - che aveva appena preso di nascosto il controllo del sito e ha continuato a gestirlo per un mese - li ha aspettati al varco, intercettando nomi, password e disabilitando la cifratura dei messaggi privati. Gli olandesi per altro - in tal caso l’intelligence - è anche riuscita nel 2015 a infiltrare i computer di hacker di Stato russi, in particolare del gruppo noto come APT29 o Cozy Bear, che a sua volta sarebbe espressione secondo vari osservatori dei servizi di Mosca (queste vicende le ho raccontato nel libro #Cybercrime).

Non solo: sempre gli investigatori informatici olandesi hanno una specializzazione proprio nell’indagare questi servizi di telefonia commercializzata come “ultrasicura”, diciamo così (e a volte esplicitamente orientata a un mercato criminale, a cominciare dai rivenditori e dalle transazioni per acquistare i telefoni che in alcuni casi avverrebbero per strada). Avevano infatti già inchiodato gli utenti di altri due fornitori di criptofonini, Ennetcom (che stava in Canada) e PGP Safe (che stava in Costa Rica). Ma qui il caso studio che ci interessa è un altro, almeno per come ho ricostruito finora (quindi prendetelo per ora come una ipotesi da verificare). Ed è come gli olandesi hanno fatto fuori un terzo servizio del genere, IronChat, nel 2018. Perché in quel caso gli investigatori erano riusciti a leggere i messaggi inviati cifrati per la prima volta, “una svolta globale nelle cyberindagini”, riferisce la stampa olandese senza però indicare di preciso come sarebbe avvenuto. Ma, fanno capire, l’esperienza di IronChat è stata centrale per bersi Encrochat.

Qui entriamo nella speculazione, ma prima qualche altro dettaglio. Nel caso di Ennetcom la polizia sarebbe stata in grado di accedere alle chiavi segrete, sostiene una testata olandese. Ma questo, a seconda del sistema utilizzato, non è sempre possibile. Sembra che nell’indagine su IronChat il server sia stato copiato su un altro server in mano alla polizia olandese. Dando per buono che sia successo questo anche per Encrochat, poi cosa sarebbe accaduto? Una ipotesi ventilata dalla testata Volkskrant è che la polizia abbia mandato degli aggiornamenti malevoli ai dispositivi. “Gli update delle funzioni di chat sono sempre fatte attraverso un server. In tale scenario, gli investigatori sono riusciti a entrate in quel server e manipolare il processo di aggiornamento”.
Altra ipotesi: che una volta in controllo del server, i poliziotti siano riusciti a intercettare i messaggi a causa di una fallace implementazione del sistema di cifratura, “un errore nel codice o nell’applicazione della cifratura può distruggere la sicurezza”, ha commentato un esperto. Da notare che anche IronChat, come Encrochat, usava OTR. Il che non significa che abbiano bucato OTR ma che potrebbero aver trovato falle nel modo in cui le due società implementavano il loro sistema (questa è ad esempio una ipotesi avanzata per IronChat).

Tornando a ricostruire il puzzle dai pezzi che abbiamo, Vice racconta che a maggio alcuni utenti hanno notato dei malfunzionamenti sul telefono: ad esempio, la funzione “cancella tutto” non andava. Ma quando gli amministratori di Encrochat sono riusciti ad analizzare uno di questi dispositivi si sono accorti che non erano errori degli utenti ma che sui telefoni stava un malware, un software malevolo. “Il telefono era stato hackerato”, scrive Vice. Il malware permetteva di leggere i messaggi sul dispositivo prima che fossero cifrati e inviati.
A quel punto Encrochat invia un aggiornamento ai suoi modelli per ripristinare le loro funzioni e raccogliere informazioni sul malware, ma ciò nonostate gli attaccanti sono in grado di reinstallare il malware, con ancora più capacità, inclusa quella di cambiare il codice di sblocco dei telefoni. Encrochat, ormai in panico, avvisa gli utenti dell’attacco, chiede al fornitore di SIM, la società olandese KPN, di bloccare le connessioni ai server malevoli, ritenta un aggiornamento, ma non riesce a tagliare fuori gli attaccanti. E allora è il momento di abbandonare la nave. “Non siamo più in grado di garantire la sicurezza del dispositivo”, scrivono agli utenti, dando indicazione di eliminarlo. Ma ormai il danno era fatto, mesi di messaggi in mano alle polizie di diversi Paesi.

Il servizio di comunicazione forse più utilizzato dalla criminalità europea, stando alle autorità francesi e inglesi, e commercializzato come più sicuro di app e telefoni usate dai normali utenti, è stato dunque completamente controllato dalla polizia, attraverso un attacco informatico avanzato i cui contorni sono però ancora molto sfumati (aggiornamento malevolo? decifrazione dei messaggi sfruttando dei bachi nel sistema? Altro?). I toni sono trionfalistici, quasi esagerati, con paragoni con la decifrazione dei messaggi in codice dei nazisti nella Seconda Guerra mondiale. Vero è che l’operazione ha avuto moltissime ricadute concrete in termini di arresti, sequestri, indagini, andando a colpire fortemente il mercato dell’importazione e distribuzione di droga in Europa. “Era come stare a tavola coi criminali”, ha commentato Jannine van den Berg, della polizia olandese. La stanza pubblicizzata da Encrochat insomma c’era davvero, ma non era vuota.
Vedi: Eurojust

CENSURA
Come Telegram l’ha spuntata in Russia

Due anni fa Pavel Durov, fondatore dell’app di messaggistica cifrata Telegram, si rifiutò di dare accesso ai messaggi cifrati degli utenti ai servizi di sicurezza russi (o di cambiare il sistema in modo tale da rendere possibile la richiesta, visto che l’accesso non avrebbe potuto darlo anche volendo, almeno per quella parte di messaggi cifrati endtoend, da dispositivo a dispositivo, in cui solo mittente e destinatario e non la piattaforma hanno le chiavi per cifrare e decifrare i messaggi). In ogni caso non si piegò. La risposta delle autorità fu che Telegram avrebbe dovuto sottostare alla richiesta o essere cancellata dal Paese. Oggi l’app è ancora in Russia, più in forma che mai, e le autorità hanno tolto il ban che avevano messo. Durov ha vinto.

Il Washington Post introduce più o meno così il resoconto di una storia più grande di Telegram, che addirittura potrebbe valere come modello in altri Stati, scrive la testata americana. Di come una app di messaggistica cifrata è sfuggita alla censura governativa, facendo leva su tattiche da cyberguerrigliero per sfuggire ai blocchi, sulla popolarità che godeva nel Paese e fra la classe dirigente, e su uno Stato che tutto sommato non è apparso così avanzato nelle sue capacità di repressione digitale. Al prezzo però anche di molti danni collaterali.

Il 18 giugno la Russia ha dunque interrotto il blocco di Telegram. Un blocco che è stato però solo teorico, dato che gli utenti hanno continuato a usare l’app, e oggi si attestano sui 30 milioni nel Paese (400 milioni nel mondo). L’autorità di controllo delle comunicazioni russa, Roskomnadzor, aveva bannato con successo Linkedin nel 2016 e Zello nel 2017. Ma forse nessuno prima di Telegram aveva opposto una resistenza così determinata. L’app ha infatti lavorato su una serie di stratagemmi per aggirare la censura, “nascondendosi essenzialmente dietro i servizi di hosting di Google e Amazon per nascondere l’origine del traffico”, riferisce il giornalista Andrei Soldatov sul WashPost. Telegram ha continuato a cambiare i suoi indirizzi IP, costringendo Roskomnadzor a bloccare tutti quelli che aveva usato, col risultato di mettere in difficoltà o far andare fuori servizio altri siti. Telegram avrebbe anche sfruttato il fatto che il meccanismo di blocco da parte russa fosse primitivo”, così lo definisce Soldatov, se comparato a sistemi più sofisticati usati dalla Cina o dall’Iran. Così mentre Durov organizzava sui social e internamente la “resistenza digitale”, e chiamava a raccolta “una comunità di anonimi sviluppatori per creare dei server proxy con cui mantenere l’app accessibile agli utenti”, scrive sempre il WashPost, la stessa classe dirigente russa continuava a usare Telegram anche durante il ban. E l’emergenza Covid sembra aver aumentato ancora di più l’uso della app per informare la cittadinanza da parte di varie agenzie statali, nota The Atlantic Council.

La richiesta dei servizi russi formalmente nasceva da alcuni casi di terrorismo, anche se Telegram era anche uno strumento molto usato da forze di opposizione. Oggi Durov e le autorità sembrano aver raggiunto una sorta di accordo, se non di compromesso, favorito (nota Meduza) anche da un cambio ai vertici di Roskomnadzor. Telegram infatti si sarebbe impegnata a ripulire/rimuovere contenuti estremistici dalla piattaforma (il riferimento è soprattutto all’uso dei canali per diffondere propaganda, utilizzati ad esempio dall’estremismo islamico, un tema che era stato sollevato con Telegram anche in Europa). Ma è una cosa ben diversa dall’avere accesso ai messaggi cifrati come richiesto originariamente dalle autorità. Ora Durov dice di voler concentrare la Resistenza Digitale su Iran e Cina.

INDIA
TikTok e altre app cinesi messe al bando

I conflitti geopolitici si ripercuotono sul fronte tech anche nei rapporti tra India e Cina. Il ministero indiano dell’Elettronica e dell’informatica ha messo al bando 59 applicazioni di origine cinese, incluse TikTok e WeChat.
“Il blocco delle applicazioni sembra essere collegato agli scontri avvenuti qualche giorno fa tra l’esercito cinese e quello indiano in prossimità del confine conteso sulla catena dell’Himalaya - scrive Wired - anche se, secondo il comunicato emesso dal governo indiano, TikTok e le altre applicazioni cinesi, “alla luce delle informazioni disponibili sono impegnate in attività che pregiudicano la sovranità e l’integrità dell’India, la difesa dell’India, la sicurezza dello stato e l’ordine pubblico (...) Il blocco di TikTok costerà alla piattaforma di proprietà di ByteDance circa 600 milioni di utenti”.
Ma come si esercita questo blocco? Per ora, nel caso di TikTok, sembra essere la stessa app ad aver chiuso l’accesso in India, sebbene ci sia anche un ordine del ministero delle Telecomunicazioni ai fornitori di connettività internet (gli Isp) di bloccare immediatamente l’app (TechCrunch).

In questi giorni per altro contro la stessa TikTok sono riemerse le critiche sulla privacy già fatte in passato da alcuni ricercatori. In pratica l’app leggeva (dovremmo dire continuava a leggere, visto che se n’era già discusso) qualsiasi testo che si trovasse nella clipboard di un sistema iOS (iPhone ecc), ovvero quella funzionalità che permette di fare copia-incolla da una app all’altra, e che viene usata per conservare dati che sono stati copiati o tagliati da vari strumenti inclusa l’email o i password manager. Questo potenzialmente permetterebbe all’app di leggere informazioni anche molto sensibili, come password, indirizzi di wallet (portafogli elettronici) di critpovalute, messaggi. Tuttavia TikTok era, si fa per dire, in buona compagnia. C’erano molte altre app che mostravano un comportamento simile, incluse quelle di molti siti di informazione (dopo la denuncia dei ricercatori molte hanno interrotto la pratica), scrive Ars Technica.
TIkTok si è difesa dicendo che era solo una funzione antispam (per identificare e fermare chi copia-incollava messaggi a ripetizione) ma che ha rimosso la funzione dalla app, scrive HDBlog, che spiega come proprio la versione (in beta) del prossimo sistema operativo Apple iOS14 sveli quando le app accedono alla clipboard.
Vedi anche BBC

CYBERSICUREZZA
Il lockdown ha fatto crescere gli stalkerware?

Tre aziende di antivirus hanno segnalato, in corrispondenza della pandemia, un incremento degli stalkerware, ovvero di quei software di sorveglianza che sono usati per spiare sui messaggi, le chiamate, le attività online di un partner (o un famigliare). Malwarebytes, Avira ed ESET hanno infatti notato una crescita di segnalazioni di questi software poco dopo che vari governi hanno introdotto misure di distanziamento sociale e lockdown, riferisce Cyberscoop. Ad esempio, tra gennaio e maggio, la rilevazione di stalkerware sui dispositivi di clienti da parte di Malwarebytes e Avira è aumentata rispettivamente del 190 e del 99 per cento. E anche ESET ha visto un incremento nei primi mesi del 2020. Difficile interpretare correttamente questa crescita, dal momento che il panorama degli stalkerware è estremamente frammentato, viaggia sotto traccia, e che non tutte le aziende di antivirus segnalano un aumento (anzi, Kaspersky va in controtendenza) per cui bisognerebbe valutare la base utenti da cui arrivano questi dati. Tuttavia, inquieta la possibilità che ci sia stato un incremento nello stesso periodo in cui, secondo alcune analisi, sarebbe cresciuta anche la violenza domestica. E nel periodo in cui le persone facevano molta più fatica a stare fuori casa.
Con stalkerware si intende una serie di software che si collocano in una zona grigia. Molti si presentano come app o strumenti di parental control o per monitorare il dipendente, ma sono spesso progettati per restare invisibili a chi utilizza il dispositivo e questo ne agevola un utilizzo malevolo, segreto o vessatorio. E per installarli non serve essere un hacker della NSA, perché basta avere accesso fisico al dispositivo della vittima (cosa piuttosto facile per un partner, o ex ecc).

CYBERSCHERMAGLIE
Egiziani contro etiopi

Hacker egiziani avrebbero lanciato degli attacchi informatici contro una serie di siti governativi etiopi nell’ultima settimana. E la ragione è estremamente fisica: una diga.
Da tempo infatti Egitto ed Etiopia sono alle corde su un’opera colossale, ovvero sulla costruzione del Grand Ethiopian Renaissance Dam (GERD), una grande diga sul Nilo, che Addis Abeba vuole fortemente ritenendola essenziale per lo sviluppo del Paese (e priva di conseguenze per altri) e che il Cairo osteggia sostenendo che determinerà una riduzione del gettito delle acque del Nilo. “I lavori sono iniziati cinque anni fa e la realizzazione è stata affidata dal governo di Addis Ababa alla multinazionale italiana Salini Impregilo”, scrive Africa Express. (...) Sarà la diga più imponente di tutto il continente africano, pari solo a quella di Inga, sul fiume Congo, nel Congo Kinshasa, che funziona però al 10/15 per cento della sua capacità”.
Dunque sembrano essere tornati in azione gli hacker del gruppo Cyber_Horus, che hanno defacciato vari siti con vari riferimenti allo scontro sulle acque del Nilo, con tanto di motivi cyber-faraonici. Onestamente non sembrano attacchi particolarmente avanzati, perlopiù defacement di origine hacktivista, o “hacktivista patriottica”. Ma mi sembrava interessante questa angolatura regionale.
Quartz

CINA-USA
“Minacce alla sicurezza nazionale”

La Commissione federale sulle comunicazioni (FCC) degli Usa ha dichiarato le aziende tech cinesi Huawei e ZTE “minacce alla sicurezza nazionale”, una mossa che impedirà a telco americane di usare fondi federali per comprare e installare apparecchi delle due società. Si tratta solo dell’ultima decisione in un giro di vite americano contro aziende tech cinesi che va avanti da tempo. Ma, scrive TechCrunch, mette gli operatori telco che stanno cercando di espandere la loro copertura 5G in una situazione difficile, dato che Huawei e ZTE sono considerate leader nel settore, più avanti di rivali americane.

AI ITALIA
E’ stata pubblicata la Strategia italiana per l’intelligenza artificiale, redatta dalla task force di esperti selezionati dal Ministero dello sviluppo economico.
Analisi della nuova strategia italiana per l’AI - Notizie.ai.
Dalla creazione di un istituto per l'AI agli investimenti nei super computer, dal sostegno alla ricerca al mercato dei big data: cosa c'è nella strategia pubblicata dal Mise - Wired

MOBILE
Cellulari, servizi a pagamento mai attivati: perquisita la sede di Wind-Tre a Rho, 11 indagati, sequestrati 12 milioni di euro - Il Sole 24 Ore

APPROFONDIMENTI

Come finisce l’egemonia (americana) - Foreign Affairs

“Abbiamo bisogno di nuovi paradigmi più che di nuove tecnologie” - Analisi dei rapporti fra Big Tech e democrazia - Noema (inglese)

L’istruzione ai tempi del Covid-19 - dai ragazzi del progetto Etica digitale

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ (se da dentro la newsletter non si apre link basta riscriverlo nel browser).

È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).

Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O scrivermi su Wire a @carolaf. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!