Dallo Zeroday al sistema di Intelligence

Molto spesso parliamo di ZeroDay, del loro valore, del fatto che possono essere rivenduti a prezzi esorbitanti.

Come spesso abbiamo detto, la privacy in questo periodo è oggetto della massima attenzione. Se ne parla al telegiornale, se ne parlava a scuola, se ne parlava al bar (perdonatemi il passato, visto il regime di lockdown), ma di fatto la privacy inizia e finisce con l’avvento dei Social Network e con tutto quello che ruota attorno; e dopo il Datagate, Vault7 e Crypto-Ag, abbiamo abbondanti motivi per parlarne.

Gli Stati nazionali, sulla base delle loro costituzioni, acquistano strumenti di Intelligence per “controllare il crimine, per investigare sul terrorismo e salvare centinaia di vite umane”, così si legge sulle home-page dei siti delle aziende che vendono questo genere di sistemi.

Ma è possibile che tutto questo avvenga alla luce del sole?

Di recente Facebook ha fatto notizia denunciando la Israeliana NSO Group, la quale vendette a enti governativi il sistema Pegasus (armato da un potente Zeroday per Whatsapp) che ha consentito di violare circa 1400 utenti tra i quali personaggi politici, attivisti, ecc.

Ma per capire tutto questo e come funziona, dobbiamo seguire un filo logico.

Oggi negli smartphone abbiamo tutto: dall’accesso alla nostra banca alle chat con i nostri amici, colleghi, conoscenti. Abbiamo l’accesso all’email dell’ufficio e a quelle personali; abbiamo le nostre foto, le coordinate di dove andiamo e dove siamo stati, le nostre perversioni, insomma tutta la nostra vita.

Immaginate se fossimo dei criminali e le forze di polizia accedessero a questo “ecosistema” di preziose informazioni, saremmo pressoché rovinati (e che “colpo grosso” sarebbe per le polizie di stato, vero?).

Ma accedere a un terminale di un individuo lo si può fare in diversi modi.

1. Il primo modo, se se ne è il legittimo proprietario;
2. il secondo, qualora lo smartphone venga perduto;
3. il terzo, Attraverso backdoor progettate per scopi di spionaggio (appannaggio dei governi e delle agenzie di Intelligence, come ad esempio NSA, CIA, GCHQ, IDF, ecc… parlando di software americano);
4. il quarto – il più ghiotto – sfruttando degli errori di scrittura del software, dei “bug” sconosciuti che fanno eseguire codice con i massimi privilegi su un software specifico o su terminale remoto.

Ecco appunto i famosi zeroday no-click RCE su sistemi quali IoS, Whatsapp, Android, che vengono acquisiti nel clear-web o nelle darknet a prezzi stratosferici da “Broker zero-day” con picchi di ricompense tra i 2 e i 3 milioni di dollari.

Quindi, se noi fossimo una agenzia che produce tool di spionaggio (ma chiamiamoli, in modo più mite e pacato, di Intelligence), quale sarebbe il nostro canale di approvvigionamento?

1. Il ricercatore scopre una vulnerabilità zero-day che consente l’esecuzione di codice arbitrario su un WhatsApp senza l’interazione dell’utente;
2. il ricercatore divulga privatamente a un Broker zero-day la vulnerabilità che gli riconosce 2.5 milioni di dollari per la scoperta, pagando di fatto il suo silenzio;
3. il broker rivende ad aziende che sviluppano tool di Intelligence lo zero-day, magari attraverso un’asta privata. L’azienda che sviluppa sistemi di Intelligence si aggiudica lo zero-day a 4 milioni di dollari;
4. su quello zero-day l‘azienda sviluppa un sistema (ovviamente per i soli enti governativi), che consente l’accesso completo ai dati di uno smartphone di ipotetica vittima (ad es. inviandogli un SMS o una chiamata WhatsApp senza avere interazione con l’utente), magari fornendo anche strumenti di controllo remoto e di dashboard.
5. L’azienda rivende questo tool a 10 governi alla cifra di 2 milioni di dollari (passatemi il termine) a licenza.
6. le revenue è presto fatta.

Ecco quindi che i governi possono beneficiare di questi strumenti per “prevenire il crimine e il terrorismo, e poter vegliare sulle nazioni con un grande occhio vigile”.

Ma dove è il confine tra legalità e illegalità?
Ogni fine giustifica un mezzo?
Rispetto alle possibili risposte esistono molte scale di grigio e non è facile rispondere.

Sicuramente, però, questa non è fantascienza.Parliamo di sistemi quali Karma, Pegasus e tanti altri ancora, creati in continuazione sfruttando questo sistema, fino a quando queste falle non verranno rese pubbliche da un ricercatore eticamente corretto o da una “spifferata”, in seguito a un eventuale ricatto, verso le stesse aziende che producono spyware.

Ma ricordiamoci di Eternalblue che ci insegna come passarono 5 lunghi anni prima che The Shadow Broket rubasse l’exploit dai server della NSA; e se così non fosse stato, i nostri sistemi Windows starebbero ancora ballando la Samba! (Perdonatemi la battuta… ma ci stava bene).

Questa è la realtà di oggi: la racconto nella convinzione sia importante che tutti la conoscano bene.

Articolo a cura di Massimiliano Brolli

Profilo Autore

Massimiliano Brolli

Attualmente responsabile delle funzione di monitoraggio dei piani di sicurezza e delle attività di risk Assessment sui sistemi TIM e società partecipate, ha rivestito diversi incarichi manageriali in Telecom Italia e TIIT (Telecom italia information tecnology) spaziando da attività di governance e Audit di sicurezza ad attività di gestione applicativa di piattaforme centralizzate con un passato nello sviluppo del software in società come IBM, 3inet, Praxi e Bnl oltre a numerose attività di docenza svolte su ambiti come uml, object oriented e differenti framework e linguaggi di programmazione.

Altri Articoli

• L’hacking è un percorso, non una destinazione
• Bug Hunting: tra responsabilità, etica e collaborazione
• Red Team Regeneration
• Cyber Deception Technology, nuova frontiera nell'arte della guerra