Year Zero è la prima parte (uno percento del totale, dicono) di una serie di sette pubblicazioni che Wikileaks ha iniziato a rendere disponibili a partire dal martedì 7 Marzo 2017. Vi troviamo 8.761 pagine e file provenienti dal Center for Cyber Intelligence della CIA a Langley in Virginia, contenenti la manualistica e le strategie d’uso per un arsenale di malware e exploit utilizzati a cavallo del 2015 e 2016.
Che la CIA si occupasse di operazioni di spionaggio mezzo tecnologico non è una novità: già durante l’amministrazione Obama si parlava di come NSA e la CIA si sarebbero impegnate a pubblicare gli Zero Day (le vulnerabilità non ancora note al produttore del software) a operazioni concluse, in modo da permettere sviluppo e applicazione delle relative patch; tuttavia da questi documenti trapela una linea di condotta leggermente diversa; non tutte le vulnerabilità documentate nelle carte erano note.
Significa che alla CIA conservano malware volto alla penetrazione di sistemi e procedono senza rilasciare ai produttori informazioni per sanare la falla, permettendo di fatto a tutti i detentori della tecnologia di sfruttare la metodologia intrusiva fino al momento in cui la vulnerabilità non viene scoperta e sanata per altre ragioni.
Quando la CIA (o chi per lei, i documenti non sono secretati) va alla ricerca di certa informazione all’interno di un certo sistema, pianifica l’attacco vantando le possibilità concesse da questo arsenale software.
Dalle carte emergono circa due dozzine di Zero Day per dispositivi Android, una dozzina per iOS, un programma per trasformare le Smart TV Samsung (serie F8000) in microfoni sotto copertura (fake-off mode) e qualche informazione su un programma di ricerca volto a compromettere i sistemi di controllo di veicoli automatici.
A parte le elucubrazioni sui temi di politica internazionale, è tecnologicamente interessante commentare l’organizzazione della libreria di exploit per dispositivi iOS (non che quella Android valga meno, ma è più disordinata e più difficile da spiegare). La tabella infatti riporta per ogni versione di iOS dalla 4 alla 9.2 due serie di strumenti per ottenere il controllo del dispositivo sia nella volontà di un attacco locale (dove è necessario possedere l’accesso non privilegiato al dispositivo, ad esempio previa apertura di un certo allegato) che remoto (dove non è necessario alcun accesso precedente in quanto opera attraverso la rete). In entrambi casi viene indicato uno o più strumenti utilizzabili per ciascuno dei seguenti passi:
- Access: come eseguire codice non autorizzato.
- Kernel Info Leak: leggere informazioni normalmente non accessibili a livello utente.
- Kernel Exploit: eseguire codice non autorizzato in modalità privilegiata (controllo del dispositivo).
- Sandbox Escape (browser): eseguire via browser web codice che si trova fuori da esso.
- Code Sign Defeat: installare programmi e procedure non autorizzate dal sistema di protezione Apple.
- Persistence (remoto): rendere le operazioni non autorizzate persistenti al riavvio del dispositivo.
- Persistence (update): rendere le operazioni non autorizzate persistenti all’aggiornamento di iOS.
Altro elemento interessante è la colonna Found by che elenca la fonte dell’exploit. Tra le diverse diciture troviamo sigle come JDW, GCHQ, NSA, CIA, FBI, ROU, ma anche Purchase Baitshop ed altri (gruppi di) hacker sotto il come di Anglerfish, Peppermint, Fangtooth, SurfsUp.
Insomma il mercato degli exploit Zero Day sembra tanto florido quanto nero come la pece.