cavallette

C – E in Italia invece? Il nostro paese in fatto di sorveglianza ha una “grande tradizione” fin dal secondo dopo guerra ed il rapporto Vodafone di giugno sembra in parte confermare questa tendenza.

N – Dalle nostre analisi emerge in prima battuta una ramificata presenza dell’infrastruttura di comando e controllo di RCS. I server che la compongono sono dislocati anche in altri paesi, ma le nostre rilevazioni hanno mostrato come quelli italiani si contraddistinguano per un’attivita’ piu’ elevata. Questo non significa di per se’ che i dati intercettati provengano esclusivamente da operazioni condotte in Italia, ma semplicemente che i server sul nostro territorio sono costantemente interessati dall’attivita’ di collezionamento dati. Da parte nostra pero’, pur non avendone la certezza, presumiamo che la maggior parte di queste macchine sia utilizzata in operazioni all’interno del nostro paese.

C – Su quali basi fai quest’affermazione?

N – Quello che ti posso dire e’ che durante il corso della ricerca con Citizen Lab abbiamo identificato diversi casi molto probabilmente relativi a operazioni di sorveglianza portate avanti nel nostro paese. Non abbiamo pero’ mai pubblicato i dettagli di cui siamo in possesso perche’ non siamo riusciti a circostanziarne l’uso. E la ricostruzione del contesto in cui tali attacchi si dispiegano e’ fondamentale: senza un’adeguata comprensione di questo retroterra i nostri report non avrebbero alcun valore. A mio avviso pero’ non ci sono dubbi: malware e spyware sono sicuramente utilizzati in Italia e a confermarlo ci sono diversi sintomi…

C – Quali?

N – Durante il lavoro di ricerca su HackingTeam, l’Italia era al primo posto con il maggior numero di endpoint servers in totale, ossia di nodi utilizzati per raccogliere i dati dai vari computer e telefoni controllati. Questo mostra che ci sono agenzie in Italia che utilizzano attivamente RCS.

Ci sono stati anche casi documentati in passato, come l’affare Bisignani, anche se raramente l’utilizzo di spyware viene ammesso in modo trasparente dalle autorita’. A questo proposito, e’ interessante notare che, come abbiamo indicato nel report pubblicato a febbraio, alcuni dei server di HT sono registrati presso CSH & MPS SRL, azienda a cui in passato era stata addebitata la responsabilita’ del malware utilizzato contro Bisignani. Coincidenza? ;)

C – E invece quali ricadute credi possa aver avuto la pubblicazione dei vostri report sui diretti interessati, ovvero su Hacking Team e Gamma International?

N – Dal punto di vista economico non saprei: non ci e’ dato di conoscere le modalita’ con cui operano queste aziende.

Dal punto di vista comunicativo invece Hacking Team e Gamma hanno reagito seguendo strategie diverse. Quest’ultima ha mostrato di essere poco preparata a gestire la situazione. In un primo momento ha tentato di contenere il piu’ possibile il problema, rilasciando interviste e facendo attivita’ di public relations. I risultati sono stati disastrosi: si sono contraddetti e hanno cambiato la loro versione dei fatti piu’ volte. Inizialmente hanno affermato di non aver mai stabilito alcun tipo di rapporto, ne’ stipulato alcun contratto, con il governo egiziano. Un anno dopo invece hanno sostenuto di non aver fornito al regime di Mubarak gli strumenti di sorveglianza utilizzati durante le rivolte del 2011. Successivamente abbiamo dimostrato che stavano mentendo.

Un altro dato certo che abbiamo in mano e’ che la sezione di Gamma International responsabile dello sviluppo dello spyware e’ stata scissa ed ha preso il nuovo nome di Finfisher GmbH: questo potrebbe essere un sintomo delle pressioni legali e politiche che hanno ricevuto. Inoltre alcuni paesi che intrattenevano rapporti commerciali con Gamma li hanno interrotti. Il regime etiope per esempio sembra aver smesso di fare affari con loro e ha siglato nuovi contratti con Hacking Team. Immagino che ora siano alla ricerca di un altro offerente :-)

Ogni volta che pubblichiamo un report cerchiamo sempre di fornire alle societa’ che producono antivirus tutti gli indicatori necessari per rilevare il malware. Fino ad ora abbiamo sempre instaurato con loro un buon livello di cooperazione. Cosi’ facendo riusciamo a creare qualche grattacapo ai produttori di spyware perche’ li costringiamo a reingenierizzare il loro software affiche’ questo non sia visibile ai motori antivirus. In secondo luogo devono ricreare da zero tutta la loro infrastruttura di comando e controllo. Il risultato e’ un incremento dei costi di produzione del malware. L’effetto collaterale e’ quindi rendere il malware il piu’ dispendioso possibile e limitare di conseguenza l’accesso al mercato (sia dal punto di vista dell’acquirente che da quello del produttore).

Abbiamo avuto piu’ difficolta’ a leggere la reazione di Hacking Team. Sono stati piu’ silenziosi e non hanno fatto grosse apparizioni mediatiche. Gamma interveniva in continuazione sui giornali e cosi’ facendo contribuiva a conferire rilevanza alla notizia dei nostri report. Hacking Team l’ha capito e per questo motivo ha scelto di tenere un profilo molto piu’ basso. Quando abbiamo cominciato a pubblicare su di loro in modo piu’ ricorrente e aggressivo hanno provato a rispondere con toni ponderati, premeditati e formali. Le loro argomentazioni sono state sostanzialmente due: primo, che il loro operato si svolge in ottemperanza alle leggi italiane ed internazionali; secondo, che non vendono i loro prodotti a paesi accusati di essere poco rispettosi dei diritti umani. Resta il fatto pero’ che fino ad oggi hanno rifiutato di intavolare qualsiasi tipo di dibattito.

Una prima eccezione e’ avvenuta l’anno scorso quando ho partecipato ad un panel ad RSA dove con Jacob Appelbaum e Kurt Opsahl dell’EFF ci siamo confrontati con i loro rappresentanti. Indirettamente ci hanno accusato di facilitare la vita di terroristi e criminali per aver svelato l’esistenza e il funzionamento dei loro software. Piu’ recentemente ci hanno accusato di portare avanti una campagna dedita esclusivamente a danneggiare il loro business.

Pura retorica. Innanzi tutto perche’ le nostre ricerche sono di carattere tecnico-scientifico e documentano casi di abuso. In secondo luogo perche’, se anche fosse vero quanto sostengono, come spiegano allora l’enorme quantita’ di attivisti e giornalisti messi sotto sorveglianza mediante i software che sviluppano e commercializzano? Ovviamente nel momento in cui abbiamo posto la questione non abbiamo ricevuto alcuna risposta, se non quella per cui le prove presentate erano circostanziali e non dimostravano in alcun modo la paternita’ dei malware esaminati.

Al netto di tutte queste considerazioni pero’ credo vada aggiunta un’ulteriore nota. Nonostante il nostro lavoro la compravendita di malware e’ destinata ad una crescita costante. Dopo l’esplosione del Datagate sono certo che il bacino di clientela di questo mercato sia in impennata. Maggiore e’ il numero di provider che implementa la crittografia di default, piu’ difficile sara’ intercettare su cavo: mettere un plug all’ISP diventa inutile. La conseguenza e’ che l’uso di spyware a fini di controllo diventera’ sempre piu’ diffuso e popolare. Le rivelazioni di Snowden possono forse aver rallentato la sorveglianza massiva ma di certo non hanno fermato le agenzie di intelligence che sempre piu’ ricorreranno a tecniche offensive dirette per intercettare i loro target.

C – C’e’ un aspetto su cui insistete molto nei vostri report e che mi piacerebbe approfondire, ovvero quello dell’assenza di regolamentazione del mercato del malware. Piu’ volte avete sostenuto che la mancanza di norme relative all’esportazione comporta una serie di nuovi rischi per la stabilita’ dei network, sia a livello nazionale che a livello corporate. La diffusione di questi software – dai costi peraltro relativamente ridotti e spesso utilizzati anche contro gli stessi paesi che ne sono produttori – ha infatti come ripercussione un aumento degli attacchi informatici registrati sulle reti globali.

N – Esatto.

C – Ok. Questa dinamica pero’ mi pare foriera di altre conseguenze. Se il livello di instabilita’ dei network cresce, allora e’ plausibile che governi e istituzioni militari comincino la corsa agli armamenti digitali. E infatti gli investimenti in tecnologie offensive sono aumentati vistosamente negli ultimi dieci anni. La loro proliferazione incontrollata porta necessariamente con se’ un altro risvolto, ovvero un ulteriore accrescimento dell’instabilita’ dei network. Questo a sua volta stimolera’ ulteriori investimenti nel settore e cosi’ via. E’ un cane che si morde la coda.

N – Si, l’analisi e’ corretta. Il loop che hai descritto si verifica a causa del concatenarsi di differenti fattori. Quello piu’ rilevante a mio avviso e’ la volonta’ della agenzie di intelligence di mantenere l’attuale status quo, sia a livello economico che legislativo: sono convinto che non permetteranno mai che tali software smettano di essere prodotti, ne’ che certe normative – magari orientate a limitarne l’uso – entrino in vigore.

C – E se anche fosse, quest’ultima opzione rischia di non avere praticamente alcun valore, a meno che non venga adottata su scala globale. In fondo stiamo parlando di aziende che di fronte ad una legislazione nazionale volta a limitarne l’attivita’ potrebbero benissimo spostare la loro sede legale in un altro paese e aggirare in questo modo il problema.

N – Esatto. Inoltre non dobbiamo dimenticare che la deregolamentazione del malware produce una certa instabilita’ globale proprio perche’ e’ una tecnologia che nasce con lo specifico intento di mantenere insicuri reti e sistemi. Se Internet venisse resa sicura diventerebbe molto piu’ complesso estrarre profitto da questo genere di mercato. Ecco perche’ i player del settore (come Gamma, Hacking Team o Vupen) fanno carte false per impedire che certe vulnerabilita’ vengano alla luce o che gli exploit di cui sono in possesso siano resi noti al pubblico. Infine non dimentichiamo che ci sono precisi interessi economici che influenzano i processi di sviluppo del software e le feature di sicurezza dei sistemi operativi (come Windows) passano spesso in secondo piano.

Mi pare evidente: c’e’ un palese interesse a mantenere Internet insicura e vulnerabile. Se ci pensi per un istante ti rendi conto che ci guadagnano un po’ tutti. In primis le agenzie di intelligence che hanno molta piu’ facilita’ a rastrellare informazioni da una rete che e’ un colabrodo. E a dirlo non sono io: le rivelazioni sull’NSA hanno messo in chiaro come le tech companies siano spesso complici nell’accomodare le necessita’ delle rispettive agenzie governative. Poi ci sono le imprese che trafficano in spyware e che hanno interessi economici concreti, ovvero la vendita di vulnerabilita’ e di report d’intelligence in esclusiva a esecutivi e istituzioni militari (si tratta di una pratica piuttosto comune); last but not the least il mercato della security commerciale, che aumenta la sua clientela grazie allo stato penoso in cui versano le infrastrutture comunicative globali. Si tratta di una condizione ambientale necessaria per la crescita del mercato. Anzi, potremmo dire che l’industria della sicurezza diventa piu’ un’industria dell’insicurezza dato che prospera in larga parte sulla destabilizzazione delle reti di telecomunicazione e non sulla ricerca o sullo sviluppo di soluzioni che possano eliminare alla radice una serie di problematiche note.

Di contro, se anche solo una frazione dei miliardi che vengono buttati nell’acquisto di gadget inutili fossero investiti in processi di sviluppo e auditing di software sicuro – do you remeber Heartbleed? – e, piu’ in generale, in alternative open source, l’attuale mercato della security collasserebbe nel giro di una notte. Certo, anche la costruzione di infrastrutture open source presenta problematiche inevitabili, anche perche’ in questo momento si basa largamente su lavoro volontario. Ma la tendenza ad adottare tecnologie proprietarie per me rimane un mistero. Come puoi pensare di realizzare un’infrastruttura sicura se non hai neppure il controllo del codice che utilizzi per implementarla?

E’ apparsa sul Manifesto di qualche settimana fa un’intervista a Nex, un ricercatore del progetto citizenlab.org. Qui di seguito c’e’ la versione completa della chiaccherata rivista dall’autore dell’articolo (ctrlplus.noblogs.org, twitter.com/ctrlplus_) per cavalette. La pubblichiamo in 2 puntate perche’ e’ piuttosto lunga.

Secondo noi e’ interessante per due motivi:

1) Delinea una visione critica del mondo della sicurezza informatica visto dall’interno.

2) Citizenlab fa un gran lavoro sui malware come strumento di controllo, spesso rivolto nei confronti di attivisti politici.
In Italia si sta tentando di inserirli nella legislazione come “Captatori Informatici” (un termine che rimanda agli “Elaboratori Computazionali” e ai tecnici in camice bianco…), perche’ malware, backdoor, trojan suonavano evidentemente male.

Read the rest of this entry »

Durante il weekend effettueremo una manutenzione sui servizi di posta di A/I. I server di posta verranno fermati a rotazione per alcune ore, durante le quali gli utenti ospitati sul server in questione non saranno in grado di leggere la posta. I messaggi di posta in entrata non subiranno disservizi e la posta sara’ nuovamente disponibile una volta finita la manutenzione.

A/I mail services will undergo maintenance during the weekend. All mail servers will be stopped in turn over some hours, while a server is being stopped it won’t be possible to check email. Inbound messages however won’t be impacted by the maintenance and email will be fully available once maintenance is over.

… per pisciare sulla tomba di steve jobs

E’ tanto che non scrivo su questo blog, e’ che gli argomenti di cui scrivevo, sono stati ingurgitati in un tunnel del vento dove tutto viene accellerato.
Cosi’ funziona nei regimi democratici: si parla tantissimo di un argomento, apparentemente da ogni punto di vista, talmente tanto che ogni opinione finisce per valere poco o niente e quanto si afferma e’ il dato di fatto. Quello che si ha la forza di fare nonostante il chiacchericcio, cio’ che rimane. Nel bene e nel male: dove i due concetti sono chiaramente divergenti a seconda di chi li esprime, un po’ persi nel relativismo postmoderno.

Nel mio placido pellegrinare estivo di sistemista che lavora ad agosto, sono andato al cinema, che e’ meno faticoso del mondo di Internet perche’ per due o tre ore ti subisci un solo punto di vista: quello dell’autore del film. Non e’ un caso se prima dell’avvento della tv, il cinema fu eccezionale strumento di propaganda. Comunque per me, che soffro un po’ la confusa velocita’ della rete, il grande schermo rimane un’esperienza piu’ consona ai tempi estivi.

Il titolo del post mi e’ stato ispirato da due film. In verita’ credo sia l’humus culturale di questo periodo storico a indurmi spesso pensieri teppisti: in particolare in questo caso gli odiosi e banali aforismi di Steve Jobs che catturavano pero’ bene tutta la miseria del capitalismo cosi’ smart, cosi’ cool, cosi’ young. La santificazione dell’iniziativa privata, dell’intuizione finalizzata alla creazione di cose da vendere, la realizzazione di se’ attraverso il lavoro, la competizione, l’essere visionari di scenari miseri, l’abuso della frase “cambiare il mondo” come alibi alla propria sete di denaro o al proprio narcisistico ego strabordante, e bla bla bla.

Ma veniamo ai film.
Read the rest of this entry »

Siamo di fronte all’ennesimo caso di incompetenza delle autorita’ giudiziarie italiane: per difendere il copyright di due film condivisi in rete, si blocca un’intera piattaforma di file sharing, ed un servizio di posta, entrambi con milioni di utenti.

Di seguito riportiamo la notizia come l’abbiamo appresa da blog.bofh.it:

“Fri, 18 Jul 2014
Censurato in Italia mail.ru

Dopo la censura nel novembre 2013 di vk.com, il più grande social network russo, un altro importante sito russo è stato censurato in Italia: si tratta di mail.ru, il più grande portale del Paese e uno dei principali mail service provider del mondo.

Il decreto di sequestro è stato inviato ai principali provider di accesso italiani da un GIP di Roma, ed è motivato dalla pubblicazione illecita di due film. Tra gli altri 24 siti censurati con questo provvedimento c’è mega.co.nz, il popolare cyberlocker che ha sostituito MegaUpload.

Come al solito in Italia c’è l’abitudine di censurare importanti siti stranieri senza preoccuparsi dei danni collaterali. Come al solito si ordina di censurare un sito web ma vengono bloccati anche tutti gli altri servizi, come la posta. Come al solito la vittima del sequestro anomalo non è stata notificata, infatti i loro tecnici questa mattina cercavano di contattare colleghi italiani per capire cosa fosse successo…

L’elenco non ufficiale ma completo dei siti censurati in Italia è sempre disponibile sul mio sito http://censura.bofh.it/elenchi.html. “

In memory of Aaron Swartz, one of us.

English version below

Negli ultimi due giorni abbiamo cambiato alcune cose riguardo all’autenticazione dei nostri servizi (e presto ne saprete di piu’…). Questo ha causato alcuni disservizi che ora dovrebbero essere risolti.

Ci scusiamo del disagio che vi abbiamo causato; per favore segnalateci ulteriori problemi.

ENGLISH VERSION:

In the last couple of days we upgraded part of our authentication infrastructure (more on this in the next few days…) This has caused malfunctions in accessing various A/I services, which now should’ve been solved.

We apologize for the problems we’ve caused everyone. Please reach out to us in case of further problems.

[English version below]

Come avete letto nel post precedente a causa di un bug in alcune implementazioni della libreria OpenSSL  è stato necessario cambiare i certificati che utilizziamo per le connessioni  SSL, per esempio per accedere alla webmail.
Purtroppo questo non basta, ora tocca a voi fare la vostra parte, è tempo di cambiare la password se non lo avete fatto nelle ultime ore: è tecnicamente possibile che, prima che il bug fosse noto ed i nostri sistemi aggiornati, qualche malintenzionato possa aver carpito la vostra password sfruttando questo bug!

Come creare una nuova password, un esempio possibile
Per le password che dovete tenere a memoria: prendete le iniziali delle parole di una frase che ricordate bene e mescolatele a numeri e segni di punteggiatura secondo un vostro criterio personale.

Suggerimenti per la gestione delle password
Per non dimenticare le vostre password e non essere costrette o costretti a sceglierne di facili e insicure, potete usare un “password manager”. Ci sono vari programmi di questo tipo, come ad esempio Keepass. Questi programmi vi consentono di generare password molto sicure, memorizzandole tutte in un archivio criptato. In questo modo dovrete ricordare a memoria solamente la password del password manager (e questa dovrà essere molto sicura!)

Siamo certi che seguirete il nostro suggerimento, ne va della vostra sicurezza!

English version

As you’ve probably read in the previous post, due to a bug in the OpenSSL library we had to change the SSL certificates for our encrypted services. Unluckily, this is not enough. Now it’s your time to do the next move, it’s time for you to change your password, if you haven’t done so in the past few hours! There is the technical possibility that, before this bug was publicly disclosed and a fix was available, someone could have captured your credentials while you were logging in.

How to create a good password, a possible advice
For those passwords you have to remember: take the initials of each word of a sentence you can easily remember, and mix them with numbers and punctuation following your own personal criteria.

Some advice on storing your passwords
To avoid forgetting passwords, and to avoid having to choose an easy (and insecure!) one for this reason, you could use a Password Manager. There are several programs to do this, for example Keepass among others. These programs let you choose very secure and hard to memorize passwords  since the Password Manager will keep them for you in an encrypted archive, so you’ll have to just remember the password to access the Password Manager itself (so please, at least make this one very secure).

We are sure you’ll take our advice as it’s YOUR security at risk!

[IT] Un rapido aggiornamento tecnico su CVE-2014-0160: abbiamo appena rigenerato tutti i certificati SSL dei nostri servizi.  Notare che il certificato della CA e’ rimasto lo stesso.

[EN] A quick technical update on CVE-2014-0160: we have just created new SSL certificates for all our services. Note that the CA certificate stays the same.