lunedì 23 febbraio 2015

Sfera di cristallo ("de novo")

Negli scorsi mesi si sono verificati molti eventi di sicurezza informatica estremamente importanti. Mi ero ripromesso di analizzarli in questo blog, ma rimando continuamente perché non riesco mai a trovare il tempo e la tranquillità necessarie---le implicazioni di questi numerosi eventi sono davvero molte e molto profonde.

Nei giorni scorsi si sono però verificati altri eventi che non posso fare a meno di citare, anche se non ho il tempo di commentarli.

  1. Un gruppo di criminali ha effettuato una truffa informatica su larga scala. L'aspetto importante non è il fatto in sè e per sé e neanche l'entità della truffa (alcune centinaia di milioni di euro), bensì le sue modalità. Gli attaccanti hanno penetrato i sistemi interni della banca, collegandosi per molti giorni durante gli stessi orari dei dipendenti in modo da non generare anomalie di accesso. Hanno effettuato operazioni fraudolente cancellandone subito dopo gli effetti dai log e dagli estratti conto. Hanno fatto uscire 7 milioni di euro in contanti programmando i bancomat in modo da fare uscire soldi ad istanti di tempo prefissati---qualcosa come "fai uscire 8000 euro in Via Ginnastica alle 02.27 di stanotte".
    http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=0
  2. Un grande fabbricante di PC da anni vende PC il cui truststore e keystore contiene un certificato scelto dal fabbricante stesso. Inoltre, i PC contengono software che redirige tutto il traffico HTTPS verso un server controllato dal fabbricante, per il quale viene generato sul momento un certificato trusted (firmato dalla chiave privata associata al certificato installato dal fabbricante; il server è un proxy in esecuzione sul PC stesso, ma ciò è irrilevante). Gli utenti quindi non si accorgono di nulla. Inutile dire che quel software è in grado di alterare ogni pagina visitata dai browser, vedere ogni informazione inserita dall'utente, generare traffico per conto dell'utente etc. Su ogni sito.
    http://marcrogers.org/2015/02/19/lenovo-installs-adware-on-customer-laptops-and-compromises-all-ssl/
    http://blog.erratasec.com/2015/02/some-notes-on-superfish.html
  3. I servizi segreti statunitense e britannico hanno rubato (questo è il termine corretto) le chiavi crittografiche inserite in tutte le SIM fabbricate da uno dei più grandi fabbricanti al mondo, un'azienda olandese (il traffico telefonico generato da uno smartphone è crittato con crittografia a chiave privata, usando una chiave condivisa tra la SIM e l'operatore telefonico). Sono riusciti a farlo con tecniche di attacco informatico non particolarmente sofisticate---phishing mirati e cose del genere. La cosa importante non è che adesso sono in grado di intercettare tutto il traffico telefonico corrispondente, in maniera completamente non rilevabile, quanto il fatto di essere riusciti a prelevare in modo fraudolento e su larga scala delle credenziali così importanti.
    https://firstlook.org/theintercept/2015/02/19/great-sim-heist/


Ci sarebbe davvero molto, molto da discutere di queste faccende. Non tanto sugli aspetti etici quanto sulle implicazioni per la nostra società. Penso comunque che la lettura di queste notizie sia sufficiente almeno ad intuirne la portata---davvero estesa e dirompente.

Ancora una volta ho la piccola soddisfazione di vedere concretizzate alcune delle eventualità che vado raccontando da anni quando parlo di sicurezza informatica. Eventualità che, forse, per molti mi fanno rientrare nella categoria dei "fissati" o di chi si preoccupa di mere "curiosità teoriche".

Purtroppo nella testa mi frullano anche altre cose, ancora più gravi di queste. Sinora non ne ho mai parlato in pubblico, ne ho solo accennato agli studenti di Reti di Calcolatori II pochi mesi fa. Spero di non vedere concretizzare anche quelle...