Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Hacking di stato italiano: il progetto Exodus spia anche i cittadini
Qualche centinaio di utenti italiani sono stati inseriti per errore in un sistema per la sorveglianza di sospetti criminali sotto indagine. L’errore poteva essere facilmente evitato, ma scoperchia una situazione disastrosa nella gestione delle intercettazioni elettroniche.
Quando si parla di hacking di stato, c’è sempre il pericolo che le cose sfuggano al controllo di chi dovrebbe usarle lecitamente e gli esempi non sono certo mancati in passato. Per questo non sorprende più di tanto scoprire che anche le forze dell’ordine italiane non hanno gestito in maniera impeccabile il loro sistema di intercettazione elettronica.
Come ci ha confermato qualche tempo fa un colonnello dei Carabinieri, al giorno d’oggi una parte importantissima delle indagini viene condotta sui dispositivi elettronici dei sospettati e le intercettazioni avvengono per lo più mettendo sotto sorveglianza lo smartphone degli indagati tramite l’uso di “captatori informatici” meglio conosciuti come spyware di Stato.
Secondo quanto riportato da un report dell’organizzazione no profit Security No Borders e dal sito Motherboard che per primo ne ha riportato i contenuti, uno dei sistemi usati dalle Forze dell’Ordine ha probabilmente spiato per errore alcune centinaia di utenti italiani che hanno scaricato delle app liberamente disponibili sul Play Store di Google.
Da quanto si legge nel rapporto, e sfruttando l’ottimo approfondimento di Alessandro Longo su La Repubblica, capiamo che Exodus è il sistema usato da molte procure per compiere intercettazioni a tutto tondo sui dispositivi Android dei sospettati: dalle attività su Facebook alle chat di Whatsapp, tutto poteva essere dirottato sui server dei gestori del servizio, incluse conversazioni telefoniche, rubrica dei contatti e ogni altro dettaglio. Non è chiaro se lo spyware fosse in grado di intercettare anche password inserite precedentemente alla sua installazione, mentre è lecito aspettarsi che il suo modulo di keylogging potesse intercettare quelle inserite in seguito.
Come veniva inoculato lo spyware e perché dei normali cittadini sono stati spiati
Secondo quanto riporta il pezzo su La Repubblica, Exodus viene usato dalle procure solo dietro autorizzazione a procedere di un giudice. A quel punto, sull’indagato vengono usate delle tecniche di ingegneria sociale per indurlo a scaricare il malware, che era presente in una ventina di versioni sullo store ufficiale di Google (a quanto pare a insaputa del grande G). Lo spyware era camuffato da app per migliorare le prestazioni dello smartphone, aggregatore di sconti e offerte o gestore della SIM. Non dimentichiamo che le aziende di telefonia italiane sono tenute a collaborare con le Forze dell’Ordine e quindi alcune comunicazioni arrivavano direttamente dall’operatore in modo da risultare più convincenti. Una volta installata, la prima app fungeva da dropper “condizionato”, inviando a server di comando e controllo il numero di IMEI e attendendo l’eventuale payload da installare. Purtroppo, a quanto pare, il controllo degli IMEI non era attivo e quindi chiunque scaricasse l’app da Google Play diventava vittima di intercettazione.
Un fenomeno tutto italiano, i numeri dell’infezione e la reazione di Google
Lo spyware a cui ci riferiamo è esclusivo del nostro Paese. Ovviamente, moltissime delle forze dell’ordine del mondo hanno a disposizione strumenti simili, ma Exodus è stato sviluppato in Italia da un’azienda italiana, la eSurv di Catanzaro, e tutti i download sono stati effettuati nel nostro Paese. Addirittura, una delle chiavi crittografiche usate all’interno del codice è “Rino Gattuso”, a confermare l’orgoglio campanilistico degli sviluppatori.
I ricercatori di Security Without Borders hanno contattato Google per segnalare quanto avevano scoperto e Big G ha provveduto a eliminare dallo store oltre 20 varianti dello spyware, aggiornando le sue misure di sicurezza per riconoscere futuri software simili. Purtroppo, non è disponibile un dato certo sul numero di download effettuati, ma i ricercatori hanno stimato che in tutto si tratti al massimo di poco più di un migliaio.
Ovviamente, tra questi ci sono gli indagati delle procure e quindi è impossibile sapere quanti normali cittadini siano caduti per errore in questo sistema, ammettendo anche l’improbabile caso che potrebbero non essercene stati. Di sicuro, i ricercatori che hanno fatto la scoperta hanno installato la prima app e ricevuto il payload, senza che nessuno si preoccupasse di disinfettare poi il dispositivo da remoto.
E qui si intravede il vero problema.
Una gestione troppo allegra delle intercettazioni
I captatori informatici, o spyware, sono strumenti molto potenti ed estremamente invadenti. Per questo andrebbero usati con molte precauzioni. In primo luogo, è impensabile che la app non venga sottoposta a un regolare controllo di sicurezza da parte di personale competente delle Forze dell’Ordine. Un semplice test da parte di qualcuno che sapeva come funziona il sistema avrebbe scoperto immediatamente la falla e impedito che cittadini non coinvolti diventassero potenziali oggetti di intercettazione.
In secondo luogo, è impensabile che il server di comando e controllo non sia sotto il diretto controllo di personale delle Forze dell’Ordine. Tutti i riferimenti trovati dai ricercatori sembrano puntare a domini controllati direttamente da eServ. Come può lo Stato esser certo di come vengono gestiti i dati, estremamente sensibili, che lo spyware raccoglie?
Infine, ci si aspetterebbe che i dati raccolti siano continuamente monitorati per riscontrare inesattezze e anomalie, ma questo non è ovviamente accaduto dal momento il dispositivo infetto dei ricercatori è rimasto tale per diversi giorni (e probabilmente lo è ancora).
In altre parole, sembra che sebbene la gestione delle intercettazioni segua un iter corretto prima che queste avvengano, dopo l’ok tutto accade in maniera sregolata o comunque poco appropriata, probabilmente per una mancanza di cultura all’interno dell’organismo statale che regola queste attività.
Ci sembra urgente trovare un modo per mettere in sicurezza questo importante strumento investigativo, delegandone il controllo a personale competente all’interno della struttura delle Forze dell’Ordine.
Condividi l'articolo
Google lancia l’allarme: attenti alle app di Android preinstallate
Falle critiche in VMware. Aggiornare di corsa!
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
