2 Commenti

In alto gli scudi e a morte Flash

Hacking Team e dopo

di

thumbnail

20

lug

2015

Nelle ultime due settimane tutti ne hanno parlato, anche a sproposito e qualcuno ne ha approfittato in cerca di notorietà.

Nel mezzo di tutto questo marasma ci sono stati dei pezzi di alto livello. Carola Frediani ha pubblicato due pezzi di alta levatura su La Stampa (qui e qui), mentre Matteo G.P. Flora ha spopolato con un post sul suo blog.

Condivido al 100% le conclusioni di Matteo, tra il resto suffragate da un inquietante comunicato stampa della società. Non sto quindi ad approfondire lo stesso argomento ma vorrei tirare le fila sui risultati che finora ha prodotto questa vicenda. In particolare, cosa abbiamo imparato?

Ora di spegnere Flash

In primis, forse, ci siamo liberati del più becero, schifoso, malscritto, malsupportato e colabrodo software esistente. Non sto parlando di RCS, quanto piuttosto di Adobe Flash. Sappiate che esistono oltre 500 allarmi CVE riguardo a questo schifo di sistema.

Sembra che questi ultimi 0-day, ampiamente sfruttati da Hacking Team, abbiano convinto un po’ di gente che è ora di defenestrare Flash. Chrome e Mozilla hanno fatto uscire nuove versioni che inibiscono il suo uso. HTML5 incorpora tutto quello che serve e quindi Flash riposi in pace.

Sempre parlando di browser, RCS installa un certificato di una finta autorità di certificazione (CA) che gli permette di effettuare connessioni man in the middle nel flusso cifrato (non vi ricorda Superfish?). I maggiori browser ora includono uno specifico certificato di revoca.

Un altro colpo a SSL e un altro alla nostra fiducia all’icona del lucchetto chiuso. Come le loro controparti IRL anche quelli digitali si sono rivelati un po’ troppo facilmente scassinabili.

I media generalisti, pur scrivendo una serie infinita di errori e imprecisioni, si sono occupati della questione. Quindi anche la casalinga di Voghera ha avuto davanti al naso la storia di Hacking Team. Magari non ci ha capito nulla, ma il messaggio relativo al fatto che c’è stato un disastro che ha colpito i corpi di polizia e di intelligence di mezzo mondo è passato. E pure quello che il suo telefono non è poi così sicuro come pensava. Un passo in più verso un minimo di coscienza tecnologica.

I politici, verso l’idea poco furba

A livello di ambienti politici il fatto ha destato non poche preoccupazioni, al punto che più di un deputato sta pensando di regolamentare in maniera concreta e più consapevole l’uso dei sistemi di intercettazione in generale e dei captatori informatici in particolare.

Alcuni membri dell’Intergruppo parlamentare per l’Innovazione tecnologica sono intervenuti in sede di conversione del DL Terrorismo su un comma che prevedeva un uso estensivo e molto profondo di captatori digitali. Questo comma e’ stato poi stralciato rinviando il tema al DL Intercettazioni. Da quel momento è iniziata una fase di studio ed approfondimento per preparare una proposta innovativa che, sfruttando le tecnologie, consenta di bilanciare le necessita’ di indagine con i diritti dei cittadini.

Rimane il fatto che l’uso di un captatore sia una scorciatoia poco furba per problemi di un certo livello. Il legislatore però sembra non voler rinunciare all’idea. Con una regolamentazione molto stringente (che includa una strong authentication, l’uso di certificati e, tassativamente, la possibilità di eseguire una verifica del codice su richiesta) potrebbe, forse, avere un minimo di senso. Bisogna vedere cosa si vuole far passare. Attendiamo di sederci ai tavoli giusti per capire se tecnica e legalese abbiano una minima possibilità di dialogo.

Lo studio dei sorgenti prosegue e si scopre che RCS può infettare sistemi Windows precaricandosi attraverso il firmware UEFI. In questo modo il trojan resiste anche ad una riformattazione del sistema operativo e ad un cambio di hard drive. Questo purtroppo è un altro colpo al sistema di trusted computing. Certo questo richiede l’accesso fisico alla macchina e quindi non può essere effettuato da remoto ma rimane il fatto che Secure Boot non si dimostra, nel contesto, tanto sicuro.

Inevitabili conclusioni

Abbiamo imparato infine che i gatti hanno sette vite. Dopo un po’ di interviste da parte del CEO di Hacking Team, la società ha spedito una serie di mail ai suoi clienti istituzionali dicendo che ha effettuato il patching dei sistemi, presto uscirà la versione 10 e la società è pronta a ripartire. Questo insegna che in Italia puoi anche stare nel guano fino alla cima dei capelli, ma un modo per risalire la china, se ti ingegni, lo trovi sempre. Fa specie, ma non può essere diversamente se la cultura imperante rimane questa.

E per il futuro? Come ha detto Matteo, non è roseo. Non lo è perché abbiamo scoperto che tutto è vulnerabile (chi più – Android – chi meno – Windows Phone) e che è il caso di pensare alla sicurezza SERIAMENTE. E piantiamola di dire che non abbiamo nulla da nascondere. È un falso mito il cui scopo è ignorare il problema e rendere felici aziende come queste, che usano la nostra pigrizia per avere vita semplice.

Quindi in alto gli scudi, dotatevi di un firewall personale, di un endpoint con un controllo stringente sugli applicativi e tenete sistema operativo, programmi e browser sempre costantemente aggiornati.




Andrea Ghirardini (@darkpila) è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma – anche se con una netta preferenza per Unix – con una robusta esperienza in materia di sicurezza informatica, si occupa in particolare di progettare sistemi informativi di classe enterprise. È Chief Technical Officer in BE.iT SA, società svizzera facente parte del gruppo BIG, specializzata nella gestione discreta e sicura di sistemi informativi aziendali. Per Apogeo è autore di Digital Forensics edito nella collana Guida completa.

Letto 6.696 volte | Tag: , , , , , , , , , , , , , , , , ,

2 commenti

  1. I vecchi in riga | Apogeonline

    [...] Tuttavia fatico a comprendere il languire infinito di Windows XP, il fare notizia della interruzione del supporto e degli aggiornamenti a un software datato 2003, la pervasività polverosa di Internet Explorer che in alcune aziende letteralmente non si può toccare da dieci anni, l’uso incauto di Flash nonostante l’evidenza di cui scrive Andrea Ghirardini: [...]

  2. 2015: chi perde | Apogeonline

    [...] Perché vince certamente il palmares per l’hack dell’anno. Non capita certo a tutti di farsi scivolare tra le mani quasi mezzo terabyte di informazioni di livello quasi classificato. La società che per anni è [...]

Lascia il tuo commento