Colpi di genio e lampi di imbecillità?
Da Wannacry a NotPetya, se questa è guerra allora stanno giocando i bambini. Quando era piccolo trascorrevo intere giornate a simulare gigantesche battaglie con i soldatini. Atlantic, Baravelli e soprattutto i preziosi Airfix costituivano i miei eserciti. A causa delle inevitabili ristrettezze economiche in cui versavano le mie finanze attorno ai nove anni non potevo permettermi un’adeguata attenzione ai dettagli. Così gli M110 degli anni Sessanta erano protetti da Sherman della seconda guerra Mondiale, mentre l’Afrika Korps si trovava imprevedibilmente attaccata dalle truppe da sbarco San Marco, appoggiati da un’insolita pattuglia di rivoluzionari cinesi. In definitiva si privilegiava più la quantità di soldatini in campo e il colpo d’occhio sull’improvvisato campo di battaglia, piuttosto che la cura nell’applicare le regole dell’arte della guerra. Se considero gli ultimi eventi che hanno scosso le fondamenta della Rete mi sembra di rivedere quello scenario della mia infanzia.
Di Wannacry ho già scritto sottolineando come la sua capacità di diffondersi autonomamente fosse la vera novità per un ransomware, ma non per Internet. Proprio un worm nel lontano 1988 spense la nascente rete mondiale, sfruttando le vulnerabilità di alcuni servizi (per i cultori del genere si trattava di Unix sendmail, finger, e rsh/rexec) . L’utilizzo del famigerato strumento NSA noto come EternalBlue era stato il vero colpo di genio. Un vettore straordinario che consentiva di trasportare ogni tipo di carico utile e, poiché le debolezze nei sistemi ci sono e ci saranno sempre, questo modello d’arma potrebbe diventare tranquillamente uno standard. L’ormai celebre kill switch, scoperto casualmente da un giovane ricercatore, fu un altro aspetto interessante. Inserire all’interno del codice un indirizzo internet che, una volta messo on line, bloccasse l’azione di cifratura del virus mostrava un progettazione dell’arma molto militare, ma un uso piuttosto stolido da parte dei criminali, almeno se speravano di farci un bel po’ di soldi.
Per il resto i suoi devastanti effetti furono causati da insipienza e da quella scarsa attenzione ai dettagli combinata alle ristrettezze economiche di cui le organizzazioni sono vittime, tanto quanto un bambino di nove anni. Aggiornare i sistemi e modificare i software costa molti soldi.
Passa un mese e inciampiamo in NotPetya. Proprio perché le buone idee non si buttano, ancora una volta scopriamo che sfrutta EternalBlue leggermente modificato e il suo parente stretto Eternal Romance, ma qualcuno ha pensato che le care e vecchie tecniche di phishing potessero essere ancora utili, quindi si scoprono anche email contenenti documenti Word infetti che, se aperti, sfruttano una vulnerabilità della videoscrittura Microsoft per eseguire il virus. Incidentalmente il produttore aveva reso disponibile la correzione del bug alcuni giorni prima della diffusione del malware (mah?). L’attacco di maggiore impatto parte dall’Ucraina, nello specifico i criminali riescono a violare il sito del produttore di un software gestionale e mascherano il virus come legittimo aggiornamento del programma (esiste il sospetto che un fatto analogo si accaduto con WannaCry). Questa sembra decisamente un buona idea, ma non si comprende per quale ragione si siano limitati a un solo dominio. Secondo le statistiche, circa i due terzi dei siti mondiali soffre di almeno una vulnerabilità critica e i tool automatizzati di analisi avrebbero potuto fornirgli una vasta scelta. Decisamente idiote, invece, sono altre due scelte.
La prima quella di aprire la casella di posta elettronica destinata a fornire la chiave per decifrare su un provider tedesco che, con efficienza teutonica, l’ha chiusa d’ufficio due ore dopo l’inizio dell’attacco, dissuadendo, chiunque fosse stato tentato, dal pagare il riscatto richiesto di 300 dollari. La seconda, la tipologia di cifratura che agisce a un livello molto profondo, colpendo il Master Boot Sector degli hard disk (diciamo il motorino di avviamento del computer). A parere di molti ricercatori la successiva decodifica sarebbe praticamente impossibile. Chi pagherebbe per ottenere nulla? Tra l’altro NotPetya aveva una sorta di kill switch locale, attivabile bloccando uno specifico file di Windows: scelta militare o insipienza criminale? Difficile rispondere. Fino a questo momento non sembra granché, ma un colpo di genio c’è: la sua capacità di diffondersi all’interno della rete privata dopo avere infettato il primo computer. Per propagarsi, infatti, utilizza degli strumenti legittimi di Windows, che sono usati dagli amministratori dei sistemi per intervenire da remoto. Questo implica che può installarsi su qualsiasi macchina anche se non afflitta da specifiche vulnerabilità.
Se proviamo a mettere insieme le informazioni che ci forniscono i due attacchi sembra che qualcuno stia giocando con i soldatini ovvero si entrato in possesso di armi vere o pezzi di esse per assemblarle in modo fanciullesco. Molti puntano il dito verso la Russia, soprattutto gli ucraini, e immaginano che le richieste di riscatto e gli errori siano in realtà una forma di depistaggio e su questo possiamo fare alcune considerazioni.
Se l’obiettivo era quello di infiltrarsi segretamente nei sistemi di Kiev direi che hanno fatto decisamente troppo rumore. Immaginiamo, invece, che siano stati test di nuove armi. Anche in questo secondo caso non mancano le stravaganze perché hanno reso quegli armamenti immediatamente obsoleti. Resta un’ultima possibilità: manovre militari per valutare l’efficacia e gli effetti di un attacco cibernetico. Questo potrebbe avere un senso perché ha permesso di valutare i tempi di risposta delle diverse organizzazioni e dei ricercatori (non meno di 24 ore), la pervasività dell’offensiva (si è scoperto che l’infezione dell’armatore Maersk ha provocato un effetto domino rallentando i sistema dei trasporti marittimi in tutto il mondo), gli effetti collaterali (Rosneft e Gazprom sono state danneggiate), le reazioni dei governi (Il ministro inglese Fallon ha dichiarato che la Gran Bretagna è pronta a rispondere con attacchi convenzionali). Il tutto utilizzando armi americane e quindi evitando di rivelare i propri segreti militari. Di quelli ne abbiamo avuto una fugace visione probabilmente in Black Energy e Industroyer, i due malware sui quali si è recentemente dilungato il mio amico Leonardo Artico.
Uno scenario affascinante, ma che non esclude assolutamente quello legato dei criminali alle prese con armi un po’ troppo sofisticate. Proprio su questo tema vorrei chiudere e cercare di rispondere a una domanda: quali potrebbero essere le caratteristiche di un vera arma per una cyberguerra? Due le abbiamo già viste: una la possibilità di colpire autonomamente dall’esterno verso il proprio obiettivo, l’altra la capacità, raggiunto il target, di diffondersi all’interno della rete. Quanto, almeno per il momento, sembra mancare sono la latenza e la persistenza. La prima peculiarità rende possibile l’infiltrazione e la diffusione capillare prima di entrare in azione, la seconda vanifica i tentativi del nemico di liberarsi dall’infezione e dai suoi effetti. Se pensate che un oggetto di questo genere non sia mai stato visto vi sbagliate. La prima categoria è ben rappresentata dalle cosiddette bombe logiche, un tipo di malware che si attiva al verificarsi di determinate condizioni (per esempio uno specifico giorno dell’anno, l’apertura di un dato file, o il raggiungimento di un certo numero di righe in un database). Si tratta di un forma virale nota da decenni. Un esempio molto interessante di persistenza, peraltro associata al concetto di latenza, è invece il virus noto come Chernobyl. Questo malware, datato 1999, deve il suo nome al fatto che si attivava ogni 26 aprile (giorno del disastro) cancellando il contenuto del computer. Il suo metodo di spostamento era molto particolare perché, quando era attivo, tutte le volte che veniva aperto un file controllava se ci fosse abbastanza spazio libero per copiarsi al suo interno, senza alterarne le dimensioni. Se così era procedeva a introdurvisi. Questo tipo di modalità diventa interessante nei sistemi (praticamente tutti) soggetti a periodici backup perché permette al virus di essere salvato. Un ransomware con queste caratteristiche vanificherebbe tutti i tentativi di ripristino dei dati poiché le copie utilizzate sarebbero a loro volta infette. Allo stato attuale quindi l’arma cyber che potrei immaginare funziona sostanzialmente in questo modo. Si procede con una ricognizione per individuare obiettivi raggiungibili da Internet e afflitti da una o più vulnerabilità specifiche (quelle non mancano) e per le quali è stato realizzato un apposito vettore (l’equivalente di EternalBlue).
Successivamente si lancia l’exploit sui target accedendo al web da un nodo di una Darknet (per esempio la rete TOR, per rendere complesso il proprio tracciamento). Quando il malware è dentro il primo computer si diffonde all’interno della rete privata, sfruttando gli strumenti di amministrazione dei sistemi. A questo punto si replica in tutti i differenti file in cui trova spazio sufficiente e finendo per essere soggetto ai regolari backup (un tempo di latenza adeguato potrebbe essere una settimana). Trascorso il tempo prestabilito si scatena il suo carico attivo (diciamo un ransomware) che cifra il contenuto di tutte le macchine. A questo punto possiamo immaginare che partiranno le procedure per effettuare il restore dei dati. Nel momento in cui un file infetto viene ripristinato il virus si agisce nuovamente. Per gestire il timer di attivazione prevedrei nel suo codice un algoritmo che genera un indirizzo web sempre diverso da contattare periodicamente. In caso di risposta entrerebbe in azione. Si tratterebbe di un centro di comando e controllo, ma sincronizzato e variabile. Il funzionamento potrebbe essere paragonato a quello delle chiavette che si utilizzano per eseguire le operazioni bancarie. In questo modo sarebbe estremamente complesso bloccare le attivazioni, in quanto l’indirizzo contattato cambierebbe continuamente e in modo casuale. Questa mi sembra un’arma appropriata e tutto sommato le tecniche sono note da almeno venti anni. Forse è il caso di dire: largo a vecchi.
Alessandro Curioni
aldo giannuli, alessandro curioni, cyberwar
Herr Lampe
Quindi non ci sono elementi che facciano pendere il piatto di un qualche governo o di criminali informatici, esatto?
Alessandro Curioni
Ci sono soltanto teorie, ma prove, di quelle inoppugnabili, direi proprio di no. Sulla Rete la cosa veramente difficile non è combattere, ma capire quando farlo
Gaz
“Il ministro inglese Fallon ha dichiarato che la Gran Bretagna è pronta a rispondere con attacchi convenzionali.”
E contro chi?
Fin dove ?
Con la marina, con l’aviazione, l’esercito?
Ma è sicuro che gli hacker si sconfiggono con le bombe?
Far-fallon !!!
Dedicato a Farfallon:
https://www.youtube.com/watch?v=OA1x5nNDoo0
Non più andrai, farfallone amoroso,
Notte e giorno d’intorno girando,
Delle belle turbando il riposo,
Narcisetto, Adoncino d’amor.
Non più avrai questi bei pennacchini,
Quel cappello leggiero e galante,
Quella chioma, quell’aria brillante,
Quel vermiglio donnesco color!
Fra guerrieri, poffar Bacco!
Gran mustacchi, stretto sacco,
Schioppo in spalla, sciabla al fianco,
Collo dritto, muso franco,
Un gran casco, o un gran turbante,
Molto onor, poco contante.
Ed invece del fandango
Una marcia per il fango.
Per montagne, per valloni,
Con le nevi, e i sollïoni,
Al concerto di tromboni,
Di bombarde, di cannoni,
Che le palle in tutti i tuoni,
All’orecchio fan fischiar.
Cherubino, alla vittoria!
Alla gloria militar!
Gaz
Farfallon fa tutto da solo. Il siparietto riportato da http://www.analisidifesa.it/2017/07/londra-fallon-scatenato-su-cyberwar-e-russia/
illustra bene il personaggio politico:
“Il ministro ha speso parole poco lusinghiere per l’ammiraglia della flotta russa. “Vedendo quella vecchia Kuznetsov in rovina navigare attraverso la Manica alcuni mesi fa, penso che i russi abbiano guardato alla portaerei britannica Queen Elizabeth con un po’ di invidia ha affermato Fallon.
Pronta la replica del portavoce del ministero della Difesa russo, Igor Konashenkov. “A differenza dell’incrociatore portaeromobili Ammiraglio Kuznetsov, dotato di armamenti antiaerei, antisommergibili e, cosa più importante. dal sistema missilistico antinave Granit, la portaerei britannica non è che un bersaglio marino di grandi dimensioni”.
Affarone !!!
Britannici, prendetevi Renzi.
Gian Piero Izzo
Complimenti per l’analisi, molto curata e dettagliata. Una sola precisazione: il kill switch in realta’ era una tecnica molto raffinata, che non serviva a neutralizzare il virus, ma a fargli capire di essere in un ambiente virtuale, usato dai laboratori antivirus per studiarlo. Se capiva di essere in un ambiente finto e non nella vera internet, si disattivava per “difendersi”. Fortunatamente il ricercatore ha sfruttato questa tecnica a nostro vantaggio.
Alessandro Curioni
Grazie. Sul tema del kill switch ho letto l’ipotesi a cui fa riferimento. Tra l’altro sembra che anche il trojan Necurs la utilizzi. Tuttavia è efficace soltanto con alcune tipologie di sandbox e poi non mi convince rispetto alla tipologia di attacco tipo worm. Se fossi stato un criminale mi sarei preoccupato relativamente che qualche esemplare esplodesse in una sandbox, dato che la mia forza non era nel nascondermi, ma nel colpire con la massima rapidità e violenza. Credo di più nell’uso di un’arma che, data la sua natura, necessitava di uno spegnimento di emergenza per evitare di trasformare il suo creatore da carnefice a ulteriore vittima
Gaz
O.T.
Qualcosa di personale.
1- Il Presidente del Parlamento Europeo, l’Italiano Tajani, e il Presidente della Commissione, il lussemburghese Junker di madrelingua tedesca, battibeccano: il primo in italiano, il secondo in inglese, attraverso la mediazione dell’interprete. Lo scontro è stato originato dalle numerosissime assenze dei deputati in occasione dell’audizione di Junker sulla questione migranti.
2- L’Austria ha schierato al confine italo-austriaco del Brennero alcuni blindati ed è pronta a schierare altre forze armate, per fermare i migranti.
Beh, spero che ora sia più chiaro perchè insisto sulla lingua veicolare.
Mohicano79
“L’ignoranza è forza” campeggiava a chiare lettere sull’edificio del Ministero della Verità di orwelliana memoria. I tempi son maturi
Mohicano79
Grazie dell’articolo. Dopo aver letto (e consigliato la lettura) “Come pesci nella rete” guardo il web con altri occhi (più o meno, sempre in maniera primitiva, ma leggermente più evoluta in cui l’ominide de “2001” guarda il monolite). Mi domandavo quanto una rete domestica (o wiifii aperto) sia vulnerabile da un semplice cryptolocker, considerando che il 90% della nostra popolazione ha antivirus free e quali conseguenze potrebbe avere contro società come Enel, Eni, ecc. da cui dipendiamo.
Chiacchierando con investigatori della PolPosta mi raccontavano delle difficoltà che hanno a risalire ai server esteri adoperati per le estorsioni cryptolocker-bitcoin pertanto quanto è probabile l’utilizzo di questa cyberarma?
Grazie per la cortese risposta.
Purtroppo sono un nostalgico della guerra vis-a-vis e dei combattimenti tra Tex e i vari fuorilegge
Alessandro Curioni
Con ordine qualche indicazione.
Una rete wi.fi aperta è vulnerabile a cose molto peggiori di un ransomware. Praticamente è come lasciare la porta di casa aperta.
Le conseguenza per una utility di un attacco strutturato e mirato che avesse successo potrebbero avere effetti devastanti non soltanto per l’azienda per l’intero paese. Togliere l’energia elettrica a una nazione ha conseguenze non immaginabili
I ransomware sono armi discrete, ma non letali quanto altre che agiscono sulla esattezza dei dati compromettendola. Le difficoltà della Polizia delle Comunicazioni sono legate al fatto che i criminali utilizzano nodi Tor (dark web) per attaccare i sistemi oppure lanciano i loro raid da sistemi localizzati in paesi con poche risorse. Considera che anche la semplice rogatoria internazionale ha un costo in termini di denaro e risorse che si giustifica soltanto in presenza dei crimini più gravi.
Spero di avere risposto a tutto.
Aldo S. Giannuli
lo vedi che sei diventato il beniamino di questo blog? E poi dice che non te le dò tutte vinte!! A proposito quando mi mandi il prossimo pezzo?
Alessandro Curioni
Magari i lettori si annoiano e soprattutto non vorrei mai togliere spazio ai tuoi preziosi commenti….
Aldo S. Giannuli
mano, togli, togli…
Paolo Selmi
Caro Alessandro,
grazie come sempre dei tuoi preziosi contributi, che mi fanno rendere sempre più conto di come ci stiamo sottoproletarizzando, ovvero creando quelle condizioni di lumpenproletariat tipiche di un Paese che, nei manuali di geografica economica su cui ho studiato, come la Geografia del sottosviluppo di Lacoste, sarebbe definito “sottosviluppato”. In altre parole, da un lato c’è quello che descrivi, che rappresenta il momento più raffinato di una guerra più invisibile di quella chimico-batteriologica, che sfrutta le vulnerabilità di un sistema complesso per distruggerlo e mandarlo in tilt. Dall’altro, shahid-mobile, pick up modificati che neanche nei miei ricordi d’infanzia vedevo fare da BE Baracus, e che ora prendono vita imbottite di tritolo contro un posto di blocco. Il tutto, pazzamente, schizofrenicamente, coesistente. Chi va ancora al pozzo per prendere l’acqua (magari inquinata perché a fianco della maggior discarica a cielo aperto d’Africa), aspira a un palmare di quarta mano. Lo stesso noi, su scala ancora più ridotta: disoccupazione in aumento, in particolar modo quella giovanile, potere d’acquisto sempre più ridotto, servizi sempre più al palo (sanità, scuola, pensioni, edilizia economica popolare), attività produttive che chiudono e delocalizzano, da un lato, e che aumentano сommesse e produzione dall’altro (in alcuni settori, annunciano con enfasi, “c’è ripresa”) ma non assumono, o assumono precario, consumo di suolo in continuo, indecente, aumento. Ma il proletariat sempre più lumpen non rinuncia al nuovo modello di palmare, vende la dentiera della nonna, si impoverisce ulteriormente, ma accede a un oggetto di consumo che, nei paesi socialmente più sviluppati, è accessibile IN AGGIUNTA e non IN SOSTITUZIONE ai propri consumi fondamentali. E viviamo sempre più, anche qui, in questo mix micidiale dove esistono elementi ultramoderni sempre più estranei a un substrato non solo obsoleto, ma sempre più in arretramento rispetto a popolazioni consolidate. Il prossimo virus, per assurdo, potrebbe essere anche una shahid mobile imbottita di tritolo contro il palazzo anonimo che contiene un server, o una cosa del genere…
Ciao!
paolo
Paolo Selmi
PS Il sito della Maersk è ancora inservibile… consultato ieri per tracciare un contenitore, non c’è stato verso, né direttamente, né sfruttando motori di ricerca esterni. Il danno è a monte e non è stato ancora ripristinato.
PPS Giovanni il Carpentiere (che gli anglofoni si ostinano ancora a chiamare John Carpenter) è un genio.
Ciao!
Paolo
Paolo Selmi
Alessandro ciao!
Segnalo a te e a tutti questa interessante sezione di wikileaks, Vault 7, che ieri pubblicava documenti riservati CIA sui progetti Bothanspy e Gyrfalcon
https://wikileaks.org/vault7/#BothanSpy
In sostanza, sia che lavori sotto WIN, sia che lavori sotto UNIX, ti beccano sempre.
Ma, forse, è colpa anche questa degli hacker russi… 🙂
ciao
paolo
Alessandro Curioni
Caro Paolo, vault 7 è una grande risorsa. Guarda anche i documenti su Brutal Kangaroo, sono molto interessanti. Grazie per la segnalazione