Dopo il caso Palamara del 2019 sono
sorte curiosità sui Trojan di Stato
(detti anche 'captatori informatici') introdotti
dal DL 216/2017. In particolare ci
si chiede se siano davvero installabili a
distanza in un telefono cellulare
senza che l'utente se ne accorga.
L'installazione a distanza di un
Trojan non è impossibile come molti
sostengono.
Ma non è neppure una prassi comune
come sostengono altri.
Diciamo subito agli appassionati
del tutto gratis e del tutto facile che
stiamo parlando di strumenti concepiti per gli enti di
intelligence. Quindi nulla a che vedere con le App
Spyphone commerciali.
Il primo passo per tentare
l'inoculazione del Trojan consiste nello studio a distanza del
cellulare target allo scopo di
individuare delle vulnerabilità.
Parliamo di falle nella
sicurezza del sistema operativo
(o delle App già installate nel
cellulare) sfruttabili
per tentare l'inoculazione a
distanza del Trojan.
Quasi in disuso sono invece le
tecniche di 'social
engineering'
(dette anche 'tre click'), cioè instaurare contatti a
distanza con la vittima per
convincerla ad installare una
App apparentemente innocua nel
suo cellulare. In questo caso la
vittima deve fornire delle conferme
all'installazione e ai relativi
permessi. Ma l'accresciuta
consapevolezza sui
rischi informatici e le
ripetute segnalazioni dei sistemi
operativi quando si installano
delle App hanno reso
molto improbabile che qualcuno cada in
nel tranello.
I vettori privilegiati per
l'inoculazione a distanza dei
captatori informatici sono le
vulnerabilità di categoria 'overflow'. Più
avanti vedremo meglio cosa sono.
Ad es. un captatore
professionale che può
essere inoculato a distanza
sfruttando determinate
vulnerabilità è il 'Pegasus
NSO'.
Pegasus nasce in Israele da ex
tecnici del Mossad e viene usato da
varie organizzazioni mondiali di
intelligence soprattutto per
l'antiterrorismo. Per sfatare il
mito dell'insicurezza di Android
va
detto che negli ultimi anni ci
sono state delle falle potenzialmente
sfruttabili per l'inoculazione a
distanza anche Apple IOS.
Uno dei punti di riferimento per tentare
inoculazioni a distanza è
WhatsApp, grazie alla sua
estrema diffusione e al suo
ampio ventaglio di
vulnerabilità.
Basti pensare che nel 2020
sono stati identificati 5
nuovi bug di WhatsApp: i CVE
1886 1889 1890 1891 e 1894.
Un paio di questi potrebbero
prestarsi anche
all'inoculazione a distanza
dei Trojan o a
controlli nascosti come la posizione GPS
del cellulare.
Conviene diffidare del
sensazionalismo mediatico dopo
il caso del trojan di Stato nel
cellulare del magistrato
Palamara: online girano dei
video della RAI e delle Iene
dove sembra che installare un
Trojan a distanza in un
cellulare sia una banale prassi.
Ovviamente si tratta di
dimostrazioni preparate.
Nella
realtà tutto ciò
è possibile solo con sofisticati
strumenti riservati agli enti di intelligence, che
devono essere gestiti da
esperti informatici. Ma
soprattutto è possibile solo
quando nel cellulare target ci sono
vulnerabilità sfruttabili come vettori di
inoculazione. Diversamente
anche le più importanti agenzie
di intelligence devono entrare
in possesso fisico del cellulare
per effettuare l'installazione
(questa attività viene definita
'inoculazione locale'). E
se il cellulare è protetto da
password, l'inoculazione locale è
quasi sempre impossibile. Guardate ad es. cosa ha dovuto
fare l'FBI americana nel
2016 per riuscire a rimuovere la
password in un Iphone5:
vedi...
Meglio stare
attenti alle promesse
del Web, agli annunci
'hire an hacker', a sfavillanti siti
internet (che oggigiorno
possono essere creati in meno di
due ore) e a mirabolanti
feedback positivi (che
possono essere
facilmente falsificati). |
Spesso le vulnerabilità vengono
pubblicizzate nella comunità
hacker internazionale, quindi
vengono corrette dagli
sviluppatori. Ma non è
sempre così. Esiste infatti uno
specialissimo
mercato nel dark-web dove alcuni
hacker mettono in vendita le
vulnerabilità che hanno scoperto
a cifre oscillanti fra i 40000
euro e il milione di euro. Il
pagamento avviene in criptovalute.
Chi
acquista l'informazione per
sfruttare la vulnerabilità
acquista anche il silenzio
dell'hacker sulla sua scoperta.
Ne consegue che l'exploit potrebbe
restare sfruttabile anche per
anni.
Se invece la vulnerabilità viene
pubblicizzata, la correzione da
parte degli sviluppatori di App
e sistemi operativi avviene
quasi sempre con tempistiche
dilatate. Ad es. il
clamoroso CVE3568 di WhatsApp
(buffer overflow durante una
chiamata vocale) è stato
corretto solo a fine 2019.
Questo
nonostante se ne sia parlato per
mesi! Significa
che nel 2020 centinaia di milioni
di cellulari sono stati vulnerabili a
cyber attack su bug CVE3568. E
a confermare il fatto che
WhatsApp non è diventato sicuro
neppure dopo l'acquisizione da
parte di
Meta, sono emerse nel 2022
due nuove vulnerabilità
piuttosto serie: le CVE 27492 e 36934.
Ma come si sfruttano queste
vulnerabilità?
Senza voler banalizzare
un'attività estremamente complessa come il cyber attack, è cosa nota anche
a programmatori alle prime armi
che i buffer
overflow e
gli stack
overflow opportunamente
gestiti possono consentire
l'esecuzione da remoto di codici
malevoli sulla device attaccata. Ci
riferiamo all'immissione in una
stringa di un numero di bytes
maggiore dell'array del buffer
che deve contenerla.
Esempio in linguaggio C:
void leggostringatest(void)
{
long num = 0;
char buff[6];
gets(buff);
}
In sintesi se 'gets' raccoglie
un numero di bytes maggiore
della capienza di 'buff[6]' e
se l'overflow (cioè i bytes
in eccesso) contiene un
codice eseguibile
e correttamente allocabile con
un marcatore iniziale, può
succedere l'imprevisto. In
apparenza potrebbe sembrare
che tutto ciò che eccede i 6
bytes venga scartato causa mancata capienza. In
realtà viene inviato al
processore del cellulare
come fosse una
normale istruzione della
App. Poniamo
che lo script arbitrario
contenga un 'requestLocationUpdates' per
leggere la posizione GPS del
cellulare e per inviarla
all'IP di un determinato
server: la CPU del cellulare prende
in carico il codice e lo
esegue. Quindi l'attacker
riceve le coordinate GPS del
cellulare come se fossero
state inviate da una App che
in realtà non ha una
funzione del
genere. Ovviamente nella
pratica non è così facile. Qui
abbiamo solo voluto
rappresentare il fatto che
sono attività in qualche
modo praticabili.
Servizi
tecnici, informatici e difesa
elettronica. Vedi...
|