[Guerre di Rete - newsletter] Il mega breach di dati; biometria e diritti; quando il datore di lavoro è un hacker...
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 18 - 20 gennaio 2019
Di cosa si parla:
- di un mega data breach
- della direttiva copyright
- di attacchi di hacker nordcoreani
- di biometria e diritti
- di capitalismo della sorveglianza
- e di altro ancora
APPROFONDIMENTO - LA MADRE DEI DATA BREACH
È arrivato il primo mega data breach del 2019. La prima grossa raccolta di indirizzi email e password di utenti che dopo aver fluttuato in Rete per un po' è stata infine identificata da alcuni ricercatori di sicurezza. Come vedremo, in realtà, si tratta di più di una raccolta. Ma quella che è uscita per prima e di cui si è parlato molto si chiama Collection #1. Ed è importante per due motivi principali: è di dimensioni notevoli (772.904.991 di indirizzi email unici e 21 milioni di password uniche); e non è chiaro ricostruire da quali siti e servizi arrivino questi dati, o quanti siano nuovi e quanti vecchi, il che rende più faticoso per utenti e aziende mitigare eventuali rischi.
Collection #1 è stata prima segnalata dal noto ricercatore di sicurezza Troy Hunt, il quale gestisce l'ottimo sito Have I Been Pwned, che permette a chiunque di verificare - in modo sicuro - se la propria email è presente in qualche data breach. Un sito che ormai è utilizzato da singoli individui e perfino aziende per tenere sott'occhio quando un database bucato e leakato da qualche parte contiene i propri indirizzi.
Che cosa è esattamente Collection #1?
È un archivio che contiene oltre 12mila file del peso di 87 gigabytes. Non si sa con precisione da quali siti arrivino i dati (anche se c'è una lista lunghissima, non verificata, di sospettati); sembra una aggregazione di tanti diversi breach, fatti in tempi diversi, alcuni probabilmente già circolati e noti, altri nuovi (si parla di duemila database, ma non è confermato). Sappiamo però che dieci milioni di password uniche sono nuove rispetto ai database già raccolti dallo stesso sito di Troy Hunt, e quindi non sarebbero dei meri duplicati dei breach precedenti. Dunque, un potpourry di email e password (in chiaro!), vecchie e forse meno vecchie, pronto per l'uso, o presentato come tale.
(Si tratta, lo ribadisco, delle email e delle password con cui le persone si sono iscritte a dei siti. Tendenzialmente sono questi siti a essere stati bucati e non le mail personali degli iscritti, come invece a volte è stato presentato il data breach...).
Da dove arriva Collection #1?
È stato trovato sul servizio di storage online Mega (da cui successivamente sono stati eliminati i link) e in almeno un popolare forum di hacking. La raccolta era a disposizione di chiunque, non era messa in vendita. Il dubbio quindi è che circolasse da tempo e fosse ormai di poco valore.
"Sembrano essere vecchi dump (database di siti già leakati in Rete, ndr), più altri già usciti in passato e in cui le password - che erano magari anche non in chiaro (sebbene usassero md5, sha1 unsalted il più delle volte) - sono state violate; più qualcosa di nuovo, perlopiù dati raccolti con pesca a strascico", commenta a questa newsletter l'esperto di sicurezza Gianluca Varisco. Collection #1 conterrebbe anche 56 data breach di siti italiani, molti dei quali - scrive su Twitter Lorenzo Stella - non erano già noti.
Le altre raccolte
Poco dopo la diffusione della notizia di Collection #1, vari ricercatori - come Brian Krebs o gli italiani di D3lab - hanno fatto notare che nei forum underground giravano vari annunci sull'esistenza di altre quattro-cinque raccolte, oltre alla numero 1. Anche queste apparivano composte in modo simile a Collection #1, cioà mega aggregazioni di dati, molti probabilmente già circolati. Ma la quantità di informazioni potenziali e da verificare cominciava a diventare stratosferica, fino a 1 TB, forse molto di più.
“Collection #1 potrebbe essere parte di una serie di dati raccolti da altri breach online, poiché qualcuno è stato ad ammassare tutti questi dati, e ora li sta rendendo accessibili ad attori malevoli per soli 45 dollari”, ha scritto Krebs, secondo il quale Collection #1 conterrebbe informazioni vecchie di almeno due-tre anni (confermando quanto scritto sopra).
Il pacchetto da 45 dollari, che comprendeva Collection 1, 2,3,4,5 e altre due megaraccolte, AntiPublic e Zagabur, era lo stesso segnalato da D3Lab e altri. Il venditore (secondo alcuni sembrerebbe russo o ucraino) era raggiungibile via Telegram.
Contattato da questa stessa newsletter, il venditore del pacchetto ha spiegato di essere sommerso di richieste per i suoi archivi. Anche se non sono mancate testimonianze, su Twitter, di acquirenti secondo i quali il pacchetto a 45 dollari di tutte le “raccolte” fosse in realtà una fregatura.
Una mega raccolta di database
La storia però non finisce qui. Siccome sembra esserci stata una sorta di faida fra venditori e ricettatori di data breach, in alcuni forum underground sono apparsi altri pacchetti simili, in parte forse sovrapponibili, e facilmente accessibili a chiunque. “Oggi ho caricato la Collection 1, 2,3,4,5 e l’ultima AntiPublic e Zabagur per voi da scaricare gratis!”, diceva uno di questi annunci, dopo che già era uscita notizia di Collection #1. Anche qui erano 1 TB in tutto. “Troy Hunt - proseguiva il post - ha solo ottenuto uno di questi link”.
Insomma, come mi spiega anche un ricercatore di sicurezza che si occupa abitualmente di threat intelligence, e che preferisce non essere nominato: “Sembra che esista una raccolta ancora più grande - dalla quale sarebbero nate le varie Collection 1,2,3,4,5 - e denominata bigDB, che alcuni di noi (incluso il suddetto ricercatore, ndr) stanno analizzando. bigDB è grosso più o meno come le altre 5 Collection. Contiene liste di email e password senza alcuna provenienza specifica. Poi ci sono anche dei dump di siti web. E questi si possono vedere citati nei nomi dei file. Le liste di email/password potrebbero provenire da questi ultimi, anche se hanno subito modifiche e rimaneggiamenti, riordini per Paese ecc”.
Me li mostra, i nomi dei file. È una lista lunghissima. Infinita. Ci sono tanti siti di gaming, forum linux, forum di hacking, siti di medicina e su patologie specifiche, siti di istruzione, siti porno, di turismo, di case vacanze, di fengshui, di pesca, di sport, di giardinaggio, di golf, e quanto altro; siti di ogni nazionalità, brasiliani, giapponesi, francesi, canadesi, italiani. C’è un portale web di Cremona, un sito di gamer italiani, un sito italiano su pelle e cosmetica, e la lista potrebbe continuare. In pratica è come vedersi scorrere tutta internet davanti agli occhi, l’internet di forum, community e siti amatoriali, la coda lunga dei siti più diversi e antitetici, ma tutti accomunati dall'aver "perso", a un certo momento, i loro database con gli iscritti. Si vede scorrere in questa lista l’insostenibile vulnerabilità della Rete che abitiamo con inconsapevole leggerezza e monta una paralizzante sensazione di sconforto.
Big Mama
Ieri ho detto con una battuta che questo mega-archivione si doveva chiamare Big Mama, la madre di tutti i database leakati, o quasi. Certamente non è il primo, e certamente gran parte della roba che sta lì dentro è vecchia, rimaneggiata. Va detto che da anni assistiamo non solo a siti e database utenti che sono sistematicamente bucati e depredati ma anche a vari attori dell’underground che si dedicano a raccoglierli, rimpacchettarli, rivenderli o scambiarli. In passato si è parlato solo dei leak grossi (Dropbox, Linkedin, Myspace ecc), ma la marea di siti minori che hanno perso dati con meno clamore fa apparire ora la Rete come un enorme impianto idraulico cigolante e sgocciolante.
L’impiego più immediato di tale materia prima è il credential stuffing, cioè l’uso di sistemi automatizzati per provare a inserire le email e le password su più siti, nella speranza che l’utente usi ancora quelle stesse credenziali su altri servizi (pratica pericolosissima nota come riuso della password). Ma essendo dati molti vecchi, almeno in parte, c’è chi pensa che il valore sia soprattutto per chi voglia organizzare campagne di spam o di phishing.
Ma dunque che fare?
Ad ogni modo, come fare a sapere se si è nel mega breach? Basta inserire la propria mail qua. E che fare nel caso? Assicurarsi di non riutilizzare vecchie password e di non usare le stesse password su diversi siti. Ovvero usare password uniche e non banali per ogni sito. Aiutarsi con un password manager. Attivare l'autenticazione a due fattori sui servizi importanti (come la mail o i social media). Qui un fantastico thread di Robert Graham su come gestire le password.
Per il resto dobbiamo accettare l’idea che BigMama resterà ancora per molto a farci compagnia.
Altre fonti: Mashable; Wired
-----------------------------------------------------------------------------------------------------------
ABBONAMENTI ONLINE E PAGAMENTI
Avete presente quando vi iscrivete a un servizio per fare una prova, ma questo vi chiede i dati della carta di credito, e se poi vi scordate di annullare l'iscrizione inizia a farvi pagare? Ora Mastercard ha annunciato una nuova policy per cui i commercianti devono prima ottenere una autorizzazione per qualsiasi abbonamento. Per cui gli utenti, dopo la prova, si vedranno arrivare prima un messaggio con i dati della transazione/abbonamento, e soprattutto le informazioni per cancellarsi. Previste anche ricevute mensili. Direttamente dal Dipartimento Era L'Ora (Engadget).
LA DIRETTIVA COPYRIGHT SI E' INCARTATA
Il futuro della controversa direttiva europea sul copyright, così come passata lo scorso settembre, si è fatto improvvisamente incerto. Nell'ultimo incontro che doveva approvare una nuova versione della direttiva, undici Stati membri si sono opposti al testo, e in particolare ai due articoli più contestati, l'articolo 11 e il 13. Tra i Paesi critici anche l'Italia (Julia Reda).Dovevano essere le negoziazioni finali su un testo di compromesso che sarebbe stato poi votato nei prossimi mesi. Ma la votazione contraria degli 11 blocca per ora la proposta. (TechDirt) Vedi anche The Verge
Il testo di compromesso su cui non è stato raggiunto il compromesso (via Politico)
Cosa dicevano gli art 11 e 13 (Valigia Blu)
BUCANO LA RETE INTERBANCARIA CON INTERVISTA SKYPE
Questa è un storia eccezionale anche se ha avuto meno visibilità di altre. A dicembre un gruppo di hacker (che secondo alcuni ricercatori sarebbero del gruppo Lazarus, quindi hacker nordcoreani al servizio del regime) avrebbero infiltrato i sistemi di Redbanc, società che interconnette l’infrastruttura ATM delle banche del Cile. Un colpo grosso per il gruppo che è dedito alla razzia e che ha preso spesso di mira istituzione finanziarie. Il punto però è come hanno fatto.
I criminali hanno creato un annuncio di lavoro su Linkedin per sviluppatori. Un impiegato di RedBanc ha abboccato. Ma l’azienda che offriva il posto era in realtà una società di copertura di Lazarus Group. Che ha organizzato una intervista via Skype, in spagnolo, con l’impiegato di Redbanc. Durante l’intervista gli attaccanti hanno fatto scaricare e installare all’uomo un file (ApplicationPDF.exe) che dicevano sarebbe servito per il processo di assunzione generando un modulo standard. In realtà il modulo era un malware, di nome PowerRatankba, già collegato in passato a Lazarus Group dalla società di sicurezza Proofpoint. Insomma, un lavoro ben fatto. (trendTIC, spagnolo). Vedi anche Zdnet.
PASSWORD
Non si può obbligare qualcuno a sbloccare il telefono con l’impronta
Una decisione importante da parte di un giudice della California, che ha negato un mandato di perquisizione della polizia sulla base del fatto che una password biometrica debba avere le stesse tutele di una password tradizionale. Ciò vuol dire che così come un sospettato non può essere obbligato a fornire la propria password, "perché è una testimonianza; allo stesso modo una persona non può essere obbligata a fornire il proprio indice, pollice, iride, faccia o altro elemento biometrico, per sbloccare lo stesso dispositivo". La decisione potrebbe essere ancora ribaltata da un altro giudice ma ha suscitato molto interesse da parte degli attivisti per i diritti umani. Fino ad ora alle password erano garantite le protezioni del quinto emendamento contro l’autoincriminazione (nessuno può essere obbligato a testimoniare contro se stesso), ma lo sblocco biometrico era trattato in modo diverso (Forbes).
GDPR
Attivisti privacy contro i servizi di streaming
Max Schrems, l’implacabile attivista austriaco pro-privacy, ha presentato dei reclami formali alle autorità competenti contro alcuni giganti tech e in particolare i loro servizi di streaming: si tratta di Amazon, Apple, Dazn, Spotify, YouTube, Soundcloud, Netflix e Flemmit. Per Schrems e la sua associazione noyb, queste aziende violerebbero in modo strutturale il diritto di accesso ai dati degli utenti, previsto dall’articolo 15 del GDPR, il nuovo regolamento europeo sulla privacy. L’art 15 garantisce agli utenti il diritto di ottenere copia di tutti i dati grezzi che li riguardano da una società che li detiene nonché il diritto di ottenere ulteriori informazioni sulla loro origine e destinazione, sulle finalità del trattamento e il trasferimento dei dati verso Paesi terzi, così come sul periodo di conservazione. Ma, secondo Schrems, i giganti dei servizi di streaming online impiegano dei sistemi automatizzati che nella pratica non garantirebbero agli utenti le informazioni pertinenti. “Nella maggior parte dei casi gli utenti hanno ricevuto solamente i dati grezzi ma, per esempio, non hanno ricevuto informazioni riguardo i soggetti a cui i loro dati sono stati trasferiti. Questo comporta una violazione strutturale del diritto degli utenti perché tali sistemi automatizzati sono stati pensati per non rivelare le informazioni più importanti”, ha dichiarato Schrems (noyb)
Vedi anche Fortune
HUAWEI
Caso Huawei sempre più intricato
Il 2019 sarà un anno duro per Huawei, il colosso di telecomunicazioni cinese sempre più nel mirino di governi occidentali. Le ultime novità:
- la Germania starebbe rivalutando se affidarle il 5G per questioni di sicurezza nazionale, unendosi alle preoccupazioni degli Usa e di alcuni suoi stretti alleati (CNBC)
- procuratori Usa starebbero indagando su un presunto furto di segreti industriali da parte del colosso cinese ai danni di T-Mobile (vicenda che però nasce da una precedente causa civile) - WSJ
- gli americani sarebbero pronti a estradare la direttrice finanziaria di Huawei fermata in Canada per violazione dell’embargo all’Iran ma - interessante - per ora la richiesta formale di estradizione langue… (CBC)
- Quartz passa in rassegna tutti i guai di Huawei, dall’arresto in Polonia di un suo dipendente per spionaggio all’escalation con Canada e Usa.
Per restare in tema di sindromi cinesi:
- BBC dedica un approfondimento sulle spie di Pechino inviate per carpire segreti all’industria aerospaziale e simili
- Speciale MIT su hacker cinesi
(Come avevo detto settimane fa, il tema Cina/hacker cinesi/spionaggio cinese è esploso. Il rischio, come altre volte in passato, è di fare però un solo calderone. O di usare episodi e situazioni non correlate per condurre guerre economiche/tecnologiche. Serve circostanziare il più possibile ogni volta)
FACEBOOK
La maggior parte degli utenti non ha idea di come funzioni il social, in particolare la raccolta dei loro dati. Il 74 per cento degli intervistati non sapeva che il social mantiene una lista dei loro interessi e preferenze per inviare pubblicità mirata (TechCrunch, su ricerca Pew)
LETTURE
LIBRO
Un altro libro sul capitalismo della sorveglianza che picchia duro sui giganti tech. Quella della Silicon Valley sarebbe una forma estrema di capitalismo imprenditoriale, privo di qualsiasi responsabilità sociale, che opera a una “iperscala”, impiega meno persone delle industrie del passato e tendenzialmente è peggiore delle aziende del secondo Novecento. Insomma la tocca piano Shoshana Zuboff, autrice di The Age of Surveillance Capitalism. Non è chiaro se offra soluzioni. Ma, punto a favore, cita Karl Polanyi (via NYT)
DISINFORMAZIONE
Nel 2019 si accentuerà il problema della misinformation, cioè di informazioni false che sono diffuse indipendentemente dall'intento di chi le fa circolare. Che è un problema ben più insidioso delle semplici bufale. Perché la misinformation è composta soprattutto da informazioni che hanno un cuore di verità; sono contenuti genuini ma riciclati; o tolti dal loro contesto; sono statistiche mal presentate/interpretate, scrive Claire Wardle, giornalista che da tempo studia l'ecosistema della disinformazione. Sono post visuali, più che articoli, diffusi su Whatsapp, Instagram, Twitter, Facebook e in altri spazi sempre più chiusi e volatili. Difficili da scovare in primo luogo, e difficili da smentire con un debunking. Uno sgocciolamento quotidiano di (dis)informazioni tossiche (Nieman Lab)
La distinzione terrminologica tra disinformation e misinformation? Sta nell'elemento dell'intento (malevolo), presente nella prima, ma non nella seconda (Dictionary)
LA CYBER RAPINA ALLA BANCA DEL BANGLADESH
La storia dell’incredibile cyber rapina da 80 milioni di dollari alla banca del Bangladesh (che avevo raccontato con dovizia di dettagli tempo fa su La Stampa) ha una prima condannata, la manager della banca filippina da cui sono passati (e spariti) i soldi. Molti anni di carcere e oltre 100 milioni di dollari di multa per la donna, che però resta libera in attesa dell’appello. Dei cinesi che hanno fatto dileguare i soldi non sembra esserci traccia (Strait Times)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!