Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Apr 01, 2019 Giancarlo Calzetta Attacchi, In evidenza, Malware, News, Privacy, RSS, Scenario 0
Quando si parla di hacking di stato, c’è sempre il pericolo che le cose sfuggano al controllo di chi dovrebbe usarle lecitamente e gli esempi non sono certo mancati in passato. Per questo non sorprende più di tanto scoprire che anche le forze dell’ordine italiane non hanno gestito in maniera impeccabile il loro sistema di intercettazione elettronica.
Come ci ha confermato qualche tempo fa un colonnello dei Carabinieri, al giorno d’oggi una parte importantissima delle indagini viene condotta sui dispositivi elettronici dei sospettati e le intercettazioni avvengono per lo più mettendo sotto sorveglianza lo smartphone degli indagati tramite l’uso di “captatori informatici” meglio conosciuti come spyware di Stato.
Secondo quanto riportato da un report dell’organizzazione no profit Security No Borders e dal sito Motherboard che per primo ne ha riportato i contenuti, uno dei sistemi usati dalle Forze dell’Ordine ha probabilmente spiato per errore alcune centinaia di utenti italiani che hanno scaricato delle app liberamente disponibili sul Play Store di Google.
Da quanto si legge nel rapporto, e sfruttando l’ottimo approfondimento di Alessandro Longo su La Repubblica, capiamo che Exodus è il sistema usato da molte procure per compiere intercettazioni a tutto tondo sui dispositivi Android dei sospettati: dalle attività su Facebook alle chat di Whatsapp, tutto poteva essere dirottato sui server dei gestori del servizio, incluse conversazioni telefoniche, rubrica dei contatti e ogni altro dettaglio. Non è chiaro se lo spyware fosse in grado di intercettare anche password inserite precedentemente alla sua installazione, mentre è lecito aspettarsi che il suo modulo di keylogging potesse intercettare quelle inserite in seguito.
Secondo quanto riporta il pezzo su La Repubblica, Exodus viene usato dalle procure solo dietro autorizzazione a procedere di un giudice. A quel punto, sull’indagato vengono usate delle tecniche di ingegneria sociale per indurlo a scaricare il malware, che era presente in una ventina di versioni sullo store ufficiale di Google (a quanto pare a insaputa del grande G). Lo spyware era camuffato da app per migliorare le prestazioni dello smartphone, aggregatore di sconti e offerte o gestore della SIM. Non dimentichiamo che le aziende di telefonia italiane sono tenute a collaborare con le Forze dell’Ordine e quindi alcune comunicazioni arrivavano direttamente dall’operatore in modo da risultare più convincenti. Una volta installata, la prima app fungeva da dropper “condizionato”, inviando a server di comando e controllo il numero di IMEI e attendendo l’eventuale payload da installare. Purtroppo, a quanto pare, il controllo degli IMEI non era attivo e quindi chiunque scaricasse l’app da Google Play diventava vittima di intercettazione.
Lo spyware a cui ci riferiamo è esclusivo del nostro Paese. Ovviamente, moltissime delle forze dell’ordine del mondo hanno a disposizione strumenti simili, ma Exodus è stato sviluppato in Italia da un’azienda italiana, la eSurv di Catanzaro, e tutti i download sono stati effettuati nel nostro Paese. Addirittura, una delle chiavi crittografiche usate all’interno del codice è “Rino Gattuso”, a confermare l’orgoglio campanilistico degli sviluppatori.
I ricercatori di Security Without Borders hanno contattato Google per segnalare quanto avevano scoperto e Big G ha provveduto a eliminare dallo store oltre 20 varianti dello spyware, aggiornando le sue misure di sicurezza per riconoscere futuri software simili. Purtroppo, non è disponibile un dato certo sul numero di download effettuati, ma i ricercatori hanno stimato che in tutto si tratti al massimo di poco più di un migliaio.
Ovviamente, tra questi ci sono gli indagati delle procure e quindi è impossibile sapere quanti normali cittadini siano caduti per errore in questo sistema, ammettendo anche l’improbabile caso che potrebbero non essercene stati. Di sicuro, i ricercatori che hanno fatto la scoperta hanno installato la prima app e ricevuto il payload, senza che nessuno si preoccupasse di disinfettare poi il dispositivo da remoto.
E qui si intravede il vero problema.
I captatori informatici, o spyware, sono strumenti molto potenti ed estremamente invadenti. Per questo andrebbero usati con molte precauzioni. In primo luogo, è impensabile che la app non venga sottoposta a un regolare controllo di sicurezza da parte di personale competente delle Forze dell’Ordine. Un semplice test da parte di qualcuno che sapeva come funziona il sistema avrebbe scoperto immediatamente la falla e impedito che cittadini non coinvolti diventassero potenziali oggetti di intercettazione.
In secondo luogo, è impensabile che il server di comando e controllo non sia sotto il diretto controllo di personale delle Forze dell’Ordine. Tutti i riferimenti trovati dai ricercatori sembrano puntare a domini controllati direttamente da eServ. Come può lo Stato esser certo di come vengono gestiti i dati, estremamente sensibili, che lo spyware raccoglie?
Infine, ci si aspetterebbe che i dati raccolti siano continuamente monitorati per riscontrare inesattezze e anomalie, ma questo non è ovviamente accaduto dal momento il dispositivo infetto dei ricercatori è rimasto tale per diversi giorni (e probabilmente lo è ancora).
In altre parole, sembra che sebbene la gestione delle intercettazioni segua un iter corretto prima che queste avvengano, dopo l’ok tutto accade in maniera sregolata o comunque poco appropriata, probabilmente per una mancanza di cultura all’interno dell’organismo statale che regola queste attività.
Ci sembra urgente trovare un modo per mettere in sicurezza questo importante strumento investigativo, delegandone il controllo a personale competente all’interno della struttura delle Forze dell’Ordine.
Nov 21, 2024 0
Ott 11, 2024 0
Set 24, 2024 0
Set 16, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...