Quando ti chiami NSA ( National Security Agency ) e vieni hackerata è un duro colpo su tutti i fronti. Ed è proprio quello che è successo in questi giorni, infatti diversi strumenti di hacking utilizzati fino al 2013 dalla NSA sono stati resi pubblici dal gruppo di hacker che si fa chiamare Shadow Brokers (il nome è una citazione del videogioco Mass Effect).

Chiunque può infatti accedere ai file pubblicati in rete in queste ore ( qui il link ) e che contiene due cartelle ben distinte: la prima raccoglie diversi strumenti tra cui vulnerabilità e malware in grado di scavalcare protezioni che fino ad oggi non erano mai state rintracciate e di conseguenza mai corrette dai produttori hardware e software. Nella seconda cartella troviamo invece un archivio criptato che stando a Shadow Broker conterrebbe toolkit ancora più potenti e che sono stati messi in vendita al migliore offerente. Ovviamente pagamento in Bitcoin.

NSA Hackerata (2)
Cosa contiene la cartella pubblicata dagli Shadow Broker

Nella parte accessibile del materiale pubblicato troviamo istruzioni, script e file binari  concepiti principalmente per attaccare i vari firewall hardware fabbricati da aziende leader come Cisco, Fortinet e Juniper. Si tratta di exploit 0day e tra questi troviamo strumenti di escalation privilege che permettono di prendere possesso di firwall e altro hardware senza bisogno di conoscere il nome utente e la password di amministratore.

Cp50e1SXEAAL86w
Cisco Adaptive Sercurity Appliance – Escalation Privilege

In pratica questi strumenti consentono a chi li usa di entrare invisibilmente in un numero incalcolabile di siti Web e di computer di aziende, pubbliche amministrazioni e governi. E come era sospettabile alcuni di questi strumenti erano già stati citati da Edward Snowden nei suoi report, l’ex impiegato della NSA che in passato aveva denunciato l’abuso di potere di questo ente Americano. Inoltre proprio Cisco ha confermato che EXTRABACON, un componente del software pubblicato, contiene istruzioni per sfruttare una falla estremamente grave in tutte le versioni del suo prodotto Adaptive Security Appliance dalla versione 8.0 alla 8.4 e che consente di sorvegliare tutto il traffico della rete difesa da questo prodotto.

Il fatto che i tool sono tutti datati 2013 ci fa pensare che gli hacker abbiano avuto accesso a queste informazioni fino a questa data, prima che NSA si accorgesse delle vulnerabilità sfruttate e chiudesse le porte agli intrusi.

NSA Hackerata (1)
Chi sono gli Shadow Broker?

Difficile dire con sicurezza da chi è stato messo a segno il colpo, anche se diversi analisti e lo stesso Snowden sosterrebbe che si tratta di hacker informatici Russi. Non si esclude anche l’ipotesi di un “spifferata” dall’interno della NSA stessa. Inoltre gli stessi Shadow Broker hanno confermato che il gruppo Equation Group sarebbe proprio la NSA.

Le conseguenze di questo attacco?

Le aziende coinvolte indirettamente dalle vulnerabilità stanno correndo già ai ripari: Cisco sta rimediando tramite aggiornamenti e avvertenze, e Fortinet sta facendo lo stesso, ma ormai il danno è fatto: i prodotti di sicurezza più diffusi delle più grandi aziende del settore sono risultati vulnerabili a vari attacchi finora segreti (e, fra l’altro, abbastanza banali una volta scoperti). Chi si fiderà più?

NSA non è fatta di magia. Scopre e sfrutta vulnerabilità per attaccare i server bersagliOltretutto la notizia di queste vulnerabilità arriva proprio nel momento in cui Cisco annuncia ricavi e profitti superiori alle attese ma anche una massiccia ristrutturazione che comporterà una riduzione del personale fino al 7% su scala mondiale.

Hacker e aziende di sicurezza informatica stanno studiando i tool al fine di affilare le proprie armi, mentre le aziende antivirus stanno inserendo le tracce di questi toolkit nei propri motori di ricerca quindi entro poco tutti gli antivirus saranno in grado di riconoscere e identificare se queste vulnerabilità sono presenti nei nostri sistemi.

Lo studio di questo tesoro d’informazioni segrete andrà avanti a lungo e chissà quante altre informazioni preziose emergeranno: già ora, a pochi giorni dalla pubblicazione, sono stati scoperti numeri di serie di specifici apparati Cisco e indirizzi IP di siti governativi cinesi che erano stati lasciati all’interno delle cartelle rubate. Non si sa se fossero solo dei placeholder oppure se lo strumento è stato utilizzato l’ultima volta proprio per attaccare il sito governativo Cinese.

NSA = Equation Group

La NSA “non è fatta di magia” come scritto dallo stesso Snowden citando il recente caso di hacking ai danni della NSA. Questa infatti non è nient’altro che un’azienda che trova ( o compra sul mercato nero ) falle di sistema. Ma invece di renderle pubbliche e segnalarle a CISCO e altre aziende del settore, le custodisce avidamente e le sfrutta fino al giorno in cui non vengono sistemate rendendole inutilizzabili. Questo infatti è solo un frammento degli strumenti dell’NSA e il risultato è che chiunque altro abbia scoperto la stessa falla e se l’è tenuta per sé come ha fatto l’NSA – per esempio un governo o un gruppo di criminali – ha avuto la stessa possibilità di accedere, invisibilmente, a tutte le aziende e amministrazioni pubbliche (americane o di altri paesi) che usano i firewall vulnerabili.

id-2957885-national_security_agency_nsa_headquarters-100040921-orig-100601285-large
L’NSA, e il protocollo di sicurezza USA ha ovviamente rimediato una figuraccia, facendosi sfuggire un arsenale di armi digitali che ora saranno inutilizzabili (verranno riconosciute dai prodotti di sicurezza informatica aggiornati) e dimostrando di essere tutt’altro che infallibile.

Un duro colpo che rimette in dubbio la questione di sicurezza e privacySi tratta di un gravissimo incidente che oltre a far perdere potere e prestigio alla NSA mette a nudo le vesti di questo ente così come Snowden aveva largamente anticipato da molti anni. Una situazione come questa era impensabile fino a poco tempo fa. Se gli americani devono fare i conti con le proprie agenzie top secret che minano la sicurezza nazionale invece di rinforzarla e che non sanno custodire le armi segrete, anche altrove ci sarebbero delle riflessioni importanti da fare. Nei paesi dove si usano o si vogliono introdurre i malware di stato (“virus” da usare per infettare i dispositivi dei sospettati e sorvegliarli), come si appresta a fare per esempio anche la Svizzera (con la nuova legge federale sulle attività informative), è doveroso chiedersi se fabbricare questi virus sperando che restino per sempre soltanto nelle mani delle autorità sia credibile o se sia meglio concentrarsi su altre tecniche d’intercettazione altrettanto efficaci ma meno rischiose.

Se neanche l’NSA è in grado di custodire i propri malware senza farseli rubare, che speranze hanno le agenzie di sicurezza di altri paesi che hanno risorse enormemente inferiori? Il disastro di Hacking Team non ha insegnato niente? E l’idea di mettere dei virus sui dispositivi dei sorvegliati, dove possono essere catturati e studiati facilmente per poi ritorcerli contro i mittenti, è davvero saggia? Non è un po’ come infettare un criminale con una malattia e poi sperare che il contagio non si diffonda per sbaglio anche ai cittadini innocenti?

Per concludere vogliamo ricordare il recente caso di Apple contro L’FBI in occasione del recente attacco terrorista di San Bernardino dove l’FBI aveva obbligato Apple ad introdurre una backdoor ( accesso totale al dispositivo tramite una password ) in tutti i suoi dispositivi. Apple all’epoca si schierò fortemente contro l’FBI sostenendo che una volta introdotta una simile falla ( che in teoria sarebbe servita solo in occasioni speciali ) chiunque avrebbe potuto rubare tale accesso e potenzialmente rendere insicuri milioni di dispositivi iOS ed ora forse riusciamo a capire meglio che Apple aveva ottime motivazioni per opporsi.

In un mondo sempre più digitale, la nostra sicurezza privacy sta diventando un’utopia. Qualunque strumento digitale e “connesso” può rappresentare infatti una minaccia per le nostre informazioni. Orwell forse sta iniziando a ridacchaire nella sua tomba.

Ti invieremo un' email a settimana, puoi cancellare l'iscrizione in qualunque momento.

Potrebbe interessarti anche:


Partecipa alla discussione: