“Il teleschermo riceveva e trasmetteva simultaneamente. Qualsiasi suono che Winston avesse prodotto, al di sopra d’un sommesso bisbiglio, sarebbe stato colto; per tutto il tempo, inoltre, in cui egli fosse rimasto nel campo visivo comandato dalla placca di metallo, avrebbe potuto essere, oltre che udito, anche veduto.” (George Orwell,1984)
A volte la finzione non riesce a tenere il passo con la realtà. E le parole di Orwell oggi non suonano più come un monito o una profezia, ma come l’inizio di una nuova era. Nel 2013, Edward Snowden rivelava con l’ausilio di Glenn Greenwald migliaia di dati riguardanti la sorveglianza di massa operata dalla National Security Agency nei confronti di cittadini statunitensi e del resto del mondo. A marzo 2017 Wikileaks lancia in rete Vault7 una raccolta di notizie divise in capitoli che riguardano tutte le tecniche di sorveglianza adottate dalla CIA in questi anni. La fonte è ancora incerta ma stando agli analisti delle maggiori teste giornalistiche mondiali i documenti sarebbero tutti autentici e anche sconvolgenti sotto molti punti di vista.
In questo articolo ripercorrerò a ritroso il percorso delle rivelazioni avvenute in questi anni, a partire quindi da Vault7 per arrivare al Datagate di Snowden. L’obiettivo è di fare il punto sul tema della sorveglianza globale. Per questo mi asterrò da commenti, fino alle conclusioni.
Il 7 marzo 2017, appare sul noto sito Wikileaks un file denominato Vault7 che stando alle parole di Assange sarebbe la più grande fuga di notizie della storia della CIA. I file sono assolutamente anonimi, e il responsabile è il nemico pubblico numero uno di FBI e CIA. Le pubblicazioni iniziate a marzo sono ad oggi 14, ma non è da escludere la possibilità che vengano alla luce altre novità. Stando a quanto rivela il capo di Wikileaks l’Agenzia avrebbe perso il controllo del suo Cyber-Arsenale. Sembra infatti che i dati forniti all’organizzazione circolassero tra gli hacker e i contractor del governo americano in modo non autorizzato e una di queste fonti ne avrebbe fornite alcune parti a WikiLeaks al fine di innescare un dibattito pubblico sulla sicurezza, sulla creazione, l’uso, la proliferazione e il controllo democratico delle cyber-armi. Altra tesi accreditata dalle maggiori testate internazionali riguardo la fuoriuscita di queste informazioni è che siano state inviate all’organizzazione di Assange da parte di hacker Russi, che dopo averle sottratte e sfruttate le hanno inviate per creare imbarazzo alla CIA – scopo ampiamente raggiunto.
La prima serie di notizie datata 7 marzo è quella riguardante “Year Zero” un documento contenete 8761 file, tutti controllati e anonimizzati da parte degli esperti di Wikileaks, all’interno dei quali sono presenti le istruzioni per utilizzare diversi tipi di software malevoli. Scopo di questi malware è quello di infiltrarsi ed infettare dispositivi di ogni genere con una particolare propensione per cellulari, computer e perfino smartTv delle più note marche come Apple, Google, Microsoft e Samsung. All’interno di “Year Zero” si parla anche dell’ubicazione della base volta a sostenere le operazioni di spionaggio, che si troverebbe a Francoforte, all’interno del consolato USA. Lo scopo di questi malware, oltre al prelevare i dati, è quello di permettere il totale controllo del dispositivo.
Il secondo gruppo di notizie pubblicate dal Wikileaks è denominato “Dark Matter”, esso contiene documenti riguardanti dispostivi in possesso della CIA in grado di infettare devices Apple, e di mantenersi al suo interno anche dopo la formattazione del dispositivo. Tra i documenti presenti è di notevole importanza “Sonic Screwdriver” il cacciavite sonico, un software in grado di infettare computer tramite dispositivi esterni come una pennetta USB ad esempio, la peculiarità di Sonic Screwdriver è la sua capacità di bypassare i firmware. Il virus può essere anche installato su una presa Thunderbolt-to-Ethernet modificata. Altro software di notevole importanza è NightSkies, che permette alla CIA un controllo remoto totale del dispositivo ed acceso illimitato ai file contenuti in esso. Stando a quanto è riportato sui documenti, Langley avrebbe infettato gli iPhone dei propri obiettivi passando direttamente per la catena di montaggio, intercettando mail e ordini di spedizione di essi.
Il 31 marzo è stato pubblicato Marble Framework, un codice in grado di mascherare le tracce lasciate dalla CIA, questo è uno dei motivi per cui moltissimi attacchi informatici perpetrati dagli americani non vengono immediatamente riconosciuti. Marble Framework si occupa di impedire ai ricercatori forensi e alle società anti-virus di attribuire trojan e attacchi di hacking alla CIA. Si tratta di un semplice programma di offuscamento che può essere all’occorrenza anche utilizzato per sviare verso altri stati i cyber attacchi, infatti Marble è in grado di aggiungere al codice del malware caratteri in cinque lingue differenti (arabo, cinese, russo, coreano e farsi) essa è una risorsa in grado di offuscare ancora di più le stringhe, sviando del tutto gli operatori. Questa tecnica è denominata False Flag e secondo Bruce Schneier la CIA non sarebbe l’unico paese ad utilizzarla. La pubblicazione del codice sorgente di Marble Framework vuole rendere possibile a chi si occupa di cyber-attacchi di identificare questo strumento e rilevare quindi la mano celata della CIA.
Il quarto articolo pubblicato dal sito di Assange è datato 7 aprile, riguarda Grasshopper o “Guarda, prima di saltare. Il software è di una semplicità disarmante, con esso è possibile capire a quali attacchi un computer sia vulnerabile o meno, e agire di conseguenza. Grasshopper funziona solamente con i sistemi operativi Microsoft e non è di per se un programma malevolo ma permette di installarne in modo più veloce ed efficace. La cavalletta, come potremmo denominare il software in italiano, permette di creare migliaia di soluzioni personalizzate attraverso strumenti intercambiabili.
Il 14 Aprile 2017, con la pubblicazione di HIVE, Wikileaks conferma i sospetti della nota agenzia di sicurezza informatica Symantec, che aveva riconosciuto in un ente statale l’autore di una serie di attacchi informatici. La Symantec aveva denominato “Longhorn” il gruppo di Hacker la cui peculiarità, aldilà dei sofisticati strumenti per coprire le proprie tracce, era l’orario di ufficio, tipico degli enti statali e non sicuramente degli Hacker autonomi. Il software di cui si parla nell’articolo sarebbe dovuto rimanere segreto fino al 2040 perché è con esso che Langley mantiene i contatti tra i server della CIA e i devices di un obiettivo, infettati dai virus dell’agenzia. Quando si attacca il computer di un obiettivo esso permette agli hacker di Langley di esportare file e raccogliere informazioni. Il sistema HIVE consente tutto questo e lo fa cercando di destare il minor numero di sospetti possibili, rendendo quindi la stessa CIA irrintracciabile dai tecnici forensi o dalle società come la Symatec. La stessa Symatec dichiara in un post di essere stata in grado di risalire ad un agente statale di origine anglosassone o comunque anglofono grazie all’acronimo Mtwsfsu (Monday Tuesday Wednesday Thursday Friday Saturday Sunday), utilizzato per configurare il giorno della settimana in cui i malware avrebbero dovuto comunicare con chi ha condotto l’attacco. Questo tipo di acronimo è comunemente usato nei calendari accademici del Nord America. La Symatec rivela anche che alcuni caratteri individuati all’interno di malware del gruppo “Longhorn” (CIA) indicassero fusi orari del continente americano. Indizi che rivelano la scarsa attenzione posta dagli hacker dell’agenzia nel coprire del tutto le proprie tracce.
Quello uscito il 21 Aprile 2017 è il gruppo di informazioni che ha più colpito l’opinione pubblica. Si tratta di Wepping Angels, l’angelo piangente, nome rubato probabilmente alla serie televisiva Doctor Who. Wepping Angel è il programma sviluppato dalla MI5 in collaborazione con la CIA per captare le conversazioni all’interno delle case attraverso le smartTv Samsung, in particolare la F8000. Il programma consentiva di accendere il microfono installato nella televisione per far registrare le conversazioni all’interno della stanza, funzionalità possibile logicamente anche a televisore spento. La capacità di non destare sospetti è quella che ha consegnato al programma il nome delle omonime statue del Doctor Who, all’apparenza innocue ma in realtà letali. Stando a quanto emerge dai documenti, Il malware, in questo caso ha bisogno di essere installato fisicamente, quindi attraverso una pennetta USB ad esempio, questo almeno fino al 2014 anno cui il documento risale. Nonostante le innumerevoli limitazioni di Weeping Angel, installazione fisica, scarsa trasmissione del segnale in remoto e problemi riguardanti vari Led, c’è da riflettere su quanto siano innumerevoli e molteplici i metodi per violare la privacy dei cittadini. Nel 2014 il piano era quello di arrivare a vedere cosa succedesse all’interno della stanza, se a 3 anni di distanza il progetto è andato a buon fine non è dato sapere, in ogni caso, meglio abbassare la voce.
28 aprile 2017 Wikileaks ci mostra uno dei metodi dell’intelligence Americana per mantenere il controllo dei propri documenti. Con la pubblicazione di SCRIBBLES si parla di un software interno alla CIA senza nessuno scopo di spionaggio come i precedenti. L’intenzione dei programmatori di questo software è quella di nascondere all’interno di documenti sensibili una specie di “immagine tracciante”, l’immagine ed i server sono collegati tramite un URL esterno. Quando il file viene aperto su un computer connesso ad internet, l’immagine manda una richiesta al server che registra il tipo di file aperto, da chi e dove. L’idea di base è semplice ed ingegnosa peccato che sia stata scoperta e pubblicata, ironia della sorte, a pochi mesi dalla sua messa in funzione mentre sarebbe dovuta rimanere segreta fino al 2066. Nonostante la sua ingegnosità il software in questione ha comunque delle importanti limitazioni, a partire dai formati supportati, solamente .doc, .docx .xls, .xlsx, .ppt, .pptx.
Seconda grande pecca del programma è la sua inefficacia in presenza di pc air gapped e cioè che non siano mai stati collegati in rete (gli stessi usati al tempo da Greenwald e Poitras con i file consegnategli da Snowden). Con pc air gapped l’URL esterno viene addirittura rivelato, cosa che succede anche se l’utilizzatore finale apre i file in formati diversi dall’originale come OpenOffice o LiberOffice.
ARCHIMEDES, pubblicato il 5 maggio 2017, è il malware capace di infettare intere reti protette a partire da un solo pc infetto tramite LAN, connessione ritenuta generalmente più sicura del Wi-Fi. Il nome è probabilmente dovuto al punto di appoggio necessario per forzare tutti i computer presenti in un ambiente sicuro, allo stesso modo in cui una leva con un punto di appoggio sarebbe in grado di sollevare il mondo.
Archimedes usa questo punto di appoggio per monitorare il traffico web in uscita di un altro computer che vuole colpire, ma che non è riuscita ancora a infettare. Controllando le pagine web a cui il pc non ancora infetto accede, stabilisce in quale di esse sia possibile inserire il malware per comprometterlo e per far sì che il computer preso di mira lo carichi. Antivirus e accortezze non hanno alcun effetto una volta caricato il malware. Come per ogni infiltrazione una volta aperta la pagina e quindi caricato il virus gli analisti della CIA sono in grado di appropriarsi di Password e file.
Il 12 maggio, Wikileaks ha pubblicato un nuovo documento, contenente due software: Assassin e After Midnight. Il primo è un programma in grado di infettare i computer e Microsoft connessi alla rete e di esfiltrarne i documenti inviandoli poi alla CIA; il secondo, After Midnight, oltre alle funzionalità di Assassin è in grado di sabotare i computer infettati.
Athena, è il software pubblicato il 19 maggio, dall’associazione con a capo Assange, è un software creato per penetrare nelle vulnerabilità di Windows10, il software in se non è particolarmente diverso da altri di cui si è parlato in precedenza, a parte per il fatto che è in grado di cancellare e inserire file sui pc infettati. La cosa interessante della pubblicazione in questo caso sono le tempistiche di sviluppo, solamente un mese dopo la pubblicazione di Windows10 la CIA stava sperimentando questo software. Sarebbe doveroso iniziare un dibattito sul perché le società di intelligence accumulino così tante informazioni sulle vulnerabilità dei software senza poi rivelarle alle società creatrici di esse, in modo da correggerle ed evitare problemi come Wannacry, il ransomware che dal 12 al 15 maggio ha messo in ginocchio miglia di computer nel mondo.
Il 1 giugno, è stato rivelato un software che potremmo definire il fratello maggiore del già citato ransomware Wannacry, si tratta di Pandemic un programma altamente sofisticato in grado di infettare tutti i computer connessi allo stesso “file server” quel serve in cui le aziende pubblicano comunicazioni o aggiornamenti da effettuare, una volta infettato il file server chiunque scarichi qualcosa troverà allegato un malware. A differenza di Wannacry, Pandemic è in grado di creare vari malware e quindi di infettare in modo diverso i computer, ed inoltre di evitare di infettare gli amministratori del server, così da rendere più lunghi i tempi per l’identificazione del problema.
Cherry Blossom, ovvero fiori di ciliegio, è il nome dato al software malevolo in grado di infettare i routers, l’infezione avviene attraverso gli update automatici che tutti i dispositivi svolgono, o attraverso la creazione di un segnale più potente di quello che si vuole sostituire, in questo modo i computer si agganceranno al segnale più potente, consegnandosi quindi nelle mani degli analisti della CIA. Le informazioni raccolte vengono inviate al “Cherry tree” la banca dati di Langley, si tratta spesso di mail inviate ad indirizzi sospetti.
Risale al 22 giugno la pubblicazione, di Brutal Kangaroo il canguro brutale, software in grado di saltare le protezioni delle reti air gapped, le più sicure al mondo, formate cioè da dispositivi che non sono mai entrati in rete. Brutal Kangaroo funziona attraverso una chiavetta usb, anche le organizzazioni e le aziende con reti air gapped hanno dei computer online, non collegati a quelli air gapped. La chiavetta una volta utilizzata in rete e poi collegata ad un computer air gapped (da un agente della CIA o da un impiegato poco rigoroso) è in grado di entrare in possesso delle informazioni e di infettare il computer, per essere reinviate alla CIA basterà poi che la chiavetta sia ricollegata ad un pc online. Il metodo è macchinoso e basato sulla probabilità degli eventi più che sulla sicurezza di essi, ma è comunque molto ingegnoso e per ora l’unico modo di infettare delle reti sicure come le già citate airgapped.
La tematica dei computer non connessi ad internet sembra interessare molto la CIA che a quanto rivelano i documenti pubblicati il 28 giugno da Wikileaks, ha creato un software denominato Elsa in grado di geolocalizzare un computer non connesso ad internet, solamente attraverso la presenza di wi-fi nelle vicinanze di esso. Essendo i wi-fi mappati dalle grandi aziende come Google e Microsoft, è dunque possibile capire la posizione del pc, che deve logicamente avere il wi-fi accesso, anche se non connesso. Elsa deve essere logicamente stato installato sul pc o sullo smartphone, ma scorrendo tutte le cyber armi di cui si è già parlato il compito non risulta particolarmente arduo. Unici difetti del software sono la sua efficacia solamente su dispositivi windows, e la presenza di reti wi-fi mappate nelle vicinanze.
L’ultimo software svelato (il 28 giugno) è Outlaw Country, il malware ideato da Langley per infettare i computer con sistema operativo Linux, rinomato per la sua sicurezza e fino a questo momento lasciato ai margini dei progetti di intelligence, forse per la sua bassa diffusione confrontata con sistemi operativi come Windows o Mac. Prerequisiti per l’installazione del malware è che il computer di destinazione debba utilizzare una versione compatibile di CentOS / RHEL 6.x (versione 2.6.32 del kernel) e la presenza di un “nat” netfilter.
Con Outlaw Country si chiudono per ora le rivelazioni del noto sito amministrato da Julian Assange, l’operato dell’organizzazione è da lodare, ha pubblicato tutti i documenti privandoli di informazioni sensibili e soprattutto ha reso possibile alle aziende che si occupano di cyber sicurezza identificare e modificare le falle nei propri sistemi. Oltre all’utilità pratica c’è da sottolineare anche che queste pubblicazioni hanno riportato l’attenzione su un problema che non può più essere ignorato dai governi del mondo e da noi cittadini.
Concludo questa rassegna ricordando gli articoli che hanno dato vita al dibattito su larga scala riguardante la cyber sicurezza, cioè Il Datagate, che ha come artefice l’ex analista della NSA Edward Snowden.
Il primo articolo uscito sul The Guardian (VERIZON FILES) a firma di Greenwald è quello riguardante l’ordinanza emanata dal Foreign Intelligence Surveillance Act (da ora FISA), datata 25 aprile 2013, che impone alla società telefonica Verizon di: trasmettere alla NSA la totalità dei metadati telefonici in suo possesso, cioè tutte le informazioni relative alle comunicazioni telefoniche dei suoi clienti americani. L’esistenza di un programma per la raccolta indiscriminata dei metadati telefonici era una delle rivelazioni più clamorose in un archivio che descriveva procedure di sorveglianza clandestina di ogni sorta.
Il secondo articolo, quello riguardane il progetto PRISM ha rivelato quanto quasi tutte le società a cui ci affidiamo per svolgere la nostra vita online siano in realtà connesse con coloro che ci spiano quotidianamente. I documenti illustrano la connessione tra le più grandi società di internet e la NSA, per creare un accesso diretto ai server delle stesse. La rivoluzione del progetto PRISM è che l’agenzia di sicurezza non necessita approvazioni da parte di nessun tribunale per sottoporre alle varie compagnie una richiesta di accesso ai loro server, in quanto sono state create delle “Back door” per accedere direttamente ad essi. Le annessioni al progetto PRISM sono avvenute in date diverse, la prima è stata Microsoft nel 2007, seguita da Yahoo nel 2008. Google, Facebook e PalTalk hanno aderito invece nel 2009. Youtube, Skype, AOL e Apple rispettivamente nel 2010, 2011 e 2012. La presentazione sostiene che PRISM sia stato introdotto per sopperire alle carenze dell’atto FISA nell’ambito del monitoraggio di sospetti terroristi stranieri, poiché gli USA godono di un vantaggio strutturale, ospitando quasi tutte le compagnie più importanti della rete, ma non possono sfruttare questo vantaggio per monitorare perché il FISA richiede garanzie e conferme sull’ubicazione fuori dagli Stati Uniti di entrambi i soggetti della comunicazione. Le nuove misure introdotte nel FISA Amendments Act (d’ora in poi FAA) del 2008 ridefiniscono la “sorveglianza elettronica” per non escludere nessuno ragionevolmente creduto al di fuori degli USA, un piccolo cambiamento tecnico che riduce i vincoli per iniziare una sorveglianza.
Mercoledì 31 luglio il Guardian pubblica l’ennesima prova del complesso sistema di sorveglianza creato dalla NSA: il programma top secret denominato XKeyscores, software che permette agli analisti di cercare attraverso i vastissimi database in loro possesso tutto ciò che vogliono, senza il bisogno di una autorizzazione. Nella video intervista rilasciata da Snowden al Guardian il 10 giugno, egli stesso sottolinea come potesse sedersi alla propria scrivania e cercare informazioni su chiunque volesse, da un giudice federale al presidente degli Stati Uniti. Ufficiali dell’esercito e senatori hanno fortemente criticato le frasi di Snowden, bollandole come false e tendenziose. I documenti per l’insegnamento del sistema XK però confermano a pieno le parole del giovane analista. I funzionari non devono giustificare a nessuno le loro ricerche, che devono essere solamente precedute da una breve giustificazione della ricerca, non visionata né analizzata da nessun funzionario o giudice prima del suo inizio. XK è il più vasto sistema di ricerca sviluppato attraverso la rete. Una presentazione afferma che il programma copre praticamente tutto ciò che gli utenti svolgono su internet, riuscendo ad appropriarsi di mail, siti visitati e ricerche, insieme ai rispettivi metadata. Un’altra slide illustrativa mostra cosa archivia e come si cerca all’interno del programma, l’abilità dell’analista sta nel porre le giuste domande. Dopo aver interrogato il programma si entra direttamente nella mail del bersaglio e si aprono le mail attraverso un sistema di lettura della NSA. La possibilità di ricercare all’interno del protocollo http attraverso parole chiave da la possibilità agli analisti di “conoscere quasi tutto”, essendo l’http (acronimo di Hypertext Transfer Protocol) l’applicativo principale per la trasmissione di informazioni sul web. La quantità di comunicazioni accessibili attraverso XK è impressionante, un report del 2007 stima in 850 miliardi le chiamate raccolte e immagazzinate nel database NSA e quasi 150 miliardi di ricerche Internet, ogni giorno circa 2 miliardi di ricerche vengono aggiunte.
Greenwald nel del suo libro esprime perfettamente gli usi che vengono fatti delle tecnologie in possesso dell’NSA. Prism e XKeyscores hanno entrambi implementato il progetto BLARNEY iniziato nel 1978 ma tornato in voga nel 2001 dopo i fatti dell’11 settembre. Nel descrittivo del programma BLARNEY sono specificate le tipologie di informazioni che la NSA è tenuta a fornire ai suoi clienti. Tra le voci leggiamo per esempio: antiterrorismo, diplomazia e attività economiche. Non c’è bisogno di spiegare le ragioni dello spionaggio industriale. Servirsi della NSA per monitorare le strategie di pianificazione di atri paesi in vista di trattative commerciali ed economiche può garantire un cospicuo margine di vantaggio. Nell’ambito della sorveglianza nei confronti di obiettivi sensibili, che siano essi Leader di Stato o Aziende Leader in determinati settori e paesi ad esempio Petrobras in Brasile o Gazprom in Russia la NSA sfrutta metodi diversificati, uno dei più efficienti e interessanti è la manipolazione di router destinati ai mercati esteri tramite l’applicazione di backdoor e la successiva riconfezione.
A tutti gli articoli pubblicati in questi anni riguardo alla privacy dei cittadini, le autorità hanno sempre risposto appellandosi al bilanciamento tra sicurezza e privacy, riferendosi al fatto che dovremmo sacrificare una parte della nostra privacy in favore della sicurezza e assicurandoci che “nessuno legge le nostre mail o ascolta le nostre telefonate a meno che non contengano qualcosa di ragionevolmente sospetto”. Ma questo bilanciamento esiste veramente? I fatti recenti non hanno dimostrato che la sorveglianza di massa toglie solamente risorse a tecniche più efficaci? Tutto questo accumulo di dati su di noi sembra più un tentativo di sorvegliare i comuni cittadini più che un modo per proteggerli, in una democrazia nessuno dovrebbe essere accusato di nulla senza un ragionevole dubbio, ma attualmente avviene il contrario, siamo tutti accusati di tutto fino a prova contraria. Questa sorveglianza incondizionata crea una sorta di paura generale. Secondo autorevoli studi, come quello condotto da Elizabeth Stoycheff (Under Surveillance) sapere che qualcuno del governo monitora le nostre attività online ha un forte effetto sul comportamento. Come ha dichiarato lo storico Quentin Skinner (Liberty, Liberalism and Surveillance):
“È certamente vero che la mia privacy viene violata quando qualcuno legge le mie mail senza che io lo sappia, ma il punto è che anche la mia libertà viene violata, non solamente dal fatto che qualcuno sta leggendo le mie email ma anche dal fatto che qualcuno ha il potere di farlo, e quindi può scegliere”.