Inchieste
Software spia e Bug: Incompetenza o dossieraggio? Parola agli Hackers
In questi giorni ho lanciato sul mio canale YouTube un quesito che è nato dopo l’inchiesta della Procura di Napoli sulla questione del software spia. Intercettazioni “fuorilegge” che hanno preoccupato gli inquirenti sono state bollate principalmente dal sottoscritto per incompetenza, ma nonostante questo, con la richiesta di chiarimenti da parte dei magistrati ai servizi segreti circa un utilizzo da parte loro di quel software spia, ho rivolto la domanda al web. Hackers e professionisti dell’IT sono stati interpellati ed hanno fornito delle tesi non troppo discordanti tra loro, dando anche un contributo informativo di altissimo spessore che prende spunto dal video pubblicato sul mio canale che ti invito ad osservare attentamente scorrendo la pagina.
Iniziamo da Salvatore Lombardo, IT Officer ICT Expert #CyberSecurity Author & Clusit Member, che “per quanto riguarda la possibilità di un complotto dietro i casi di vulnerabilità o bug hw/sw non ho elementi per poterne discutere. Ha purtroppo ragione quando si riferisce alla citazione di Kevin Mitnick “un computer sicuro è un computer spento” affermazione quanto mai vera oggi che siamo continuamente connessi. A proposito di cosa dobbiamo fare attenzione, le segnalo due miei articoli rispettivamente le minacce alla sicurezza informaticae il malvertising pubblicati su ictsecuritymagazine. Per concludere mi piace citare lo scrittore statunitense Robert Orben “errare è umano e dare la colpa al computer lo è anche di più “. Con questo intendo dire che per la sicurezza informatica in genere l’approccio dell’uomo riveste un ruolo fondamentale.
Passiamo invece ad un Hacker che mi piace definire uno “YouTuber di successo sporadico” Francesco “theVirus00” che ci racconta “per quanto abbia avuto modo di vedere con i miei occhi, alla base di ciò che oggi viene definito un “incidente informatico”, derivato o meno da un “bug” dei sistemi, sta per la maggior parte delle volte l’ignoranza e la negligenza di chi quei sistemi dovrebbe monitorarli, mantenerli e ripararli. Vi è anche il caso di “complotti”, come è stato giustamente detto nel video, esempio più calzante è la vulnerabilità che gli sviluppatori del tristemente noto ransomware “WannaCry” hanno sfruttato. Stando alle fonti ufficiali, essa era nota solo all’NSA, ma venne sottratta da un gruppo di hacker per venir poi venduta sui mercati neri del Dark Web. Quella vulnerabilità era stata scoperta da diverso tempo dall’organizzazione governativa. Perciò sì, penso che non sia sbagliato pensare che venisse sfruttata per il controllo di dispositivi vulnerabili senza possibilità di essere scoperti. Altro esempio è il famoso exploit per la libreria OpenSSL, denominato “Heartbleed” a causa del suo “colpo al cuore della tecnologia in questione”. OpenSSL è una libreria open source con primo rilascio nel 1998, con il supporto agli “heartbeat” introdotti in un aggiornamento del 2012. Per due anni vi è stata questa falla del “cuore” del sistema OpenSSL che non è stata resa nota pubblicamente prima del 2014. Lo sviluppatore responsabile di questa feature si è giustificato, poi, dando la colpa ad un “banale errore umano durante la programmazione” (fonte: ARS Technica), cosa che può succedere, parlo da programmatore, ma ciò non ha fatto ovviamente tacere le voci che parlavano di “errore intenzionale”, sfruttato per due anni da enti governativi. Tornando al discorso della “negligenza”, diverse volte ho assistito ad un rifiuto di aggiornare un sistema o un applicativo per motivi a mio dire “futili”, assolutamente risolvibili con un po’ di tempo in più, come ad esempio l’incompatibilità di una libreria. Ciò ha portato il sistemista di turno a dire “no, non aggiornerò i sistemi”, aprendo così una falla della sua infrastruttura e rendendo, appunto, vulnerabile qualcosa che prima non lo era. Per ciò non esiste una patch né un aggiornamento. Come ho citato sul mio sito, “le persone non sono perfette ma fanno i computer, allora perché i computer dovrebbero essere perfetti?”
Fa da eco l’oscuro e misterioso V che considera “la riflessione su ciò di cui hai parlato nel video è lunga ed andrebbe trattata per punti. Purtroppo però non si può essere del tutto sintetici ed evitare di esser prolissi è alquanto difficile. I bug sono sempre esistiti e nella maggior parte dei casi non sono meramente “risultati di un complotto di Stato” ma bensì errori dovuti all’assenza di un controllo del codice che dovrebbe esser effettuato seguendo delle metodologie ben precise. Owasp nasce proprio da questo, dalla necessità di indicare dei principi minimi per fare una review del codice in modo da rendere un software il più sicuro possibile. Sia chiaro: non è esiste la sicurezza al 100%. Nella sicurezza delle informazioni il computer sicuro è quello spento, chiuso dentro ad una cassa che viene gettata in fondo al mare: ma anche lì c’è un exploit: “la barca del pescatore che butta le reti a strascico e trova la cassa con relativo contenuto”. Per anni ho sentito di porte nascoste o passepartout che sarebbero poste in varie soluzione, anche di sicurezza, dai vendor su richiesta dei rispettivi governi e non è certo una novità o un complotto. Credo sia normale per un governo, consapevole di avere una certa permeabilità in altre nazioni grazie a soluzioni sviluppate dalle proprie aziende, di poter avere una porta secondaria di entrata per avere un certo tipo di informazioni. Credo che sia quasi una ratio publicae necessitatis al fine di poter anche garantire il principio di sicurezza nazionale. Il problema è quando di tale ratio se ne fa abuso vedi il caso delle intercettazioni effettuate anni fa da Echelon o dall’Nsa. La conseguenza di tali politiche di sicurezza è anche lo stanziamento di fondi per l’acquisto e sviluppo di “0-day” che diventano strumenti di difesa-offesa. Ci sono alcune aziende, anche in suolo italiano di cui non posso fare il nome, che sviluppano, acquistano e vendono 0-day al miglior offerente. Una di queste realtà è molto conosciuta a livello internazionale e nei mesi scorsi offriva cifre che si aggiravano sui 2 milioni di dollari per un exploit su piattaforma Apple. Famoso è il caso di Stuxnet che ha visto Stati Uniti e Israele collaborare per sviluppare un malware che compromettesse le centrali di arricchimento dell’uranio in Iran. Dobbiamo esser consapevoli che il cyberwarfare è un campo che, in seguito anche alla pubblicazione del “Manuale di Tallin”, ha acquisito una sua rilevante importanza soprattutto per i paesi che fanno parte della Nato. Questo perché le guerre nel cyberspace sono molto più redditizie e fanno meno vittime delle guerre reali. E proprio per questo la Nato stessa, ad esempio, lavora da anni al fine di creare un clima di collaborazione tra ambienti accademici e realtà private per sviluppare soluzioni di difesa ed offesa. Ritienila una sorta di continuazione della guerra fredda che in realtà non è mai finita. Relativamente agli advertisement c’è una vero e proprio studio sul come piazzarli internamente ad una pagina e come vengono sviluppati (esistono software di analisi comportamentale fatti ad hoc per questo tipo di advertisement). E da circa 5 anni si parla di “malverstisement”, cioè banner sviluppati per iniettare codice malevolo e compromettere attraverso varie tecniche gli host degli utenti. In alcuni paesi sono molto usati per installare moduli o applicazioni malevole. Insomma per concludere: un software ha sempre un punto di debolezza (o “single point of failure” per gli anglofoni) che può esser volontario o meno e che può esser sfruttato in modo tale da trasformarlo in un’ “arma”. Ci sarà sempre un bug per via della natura fallibile dell’essere umano.”
Stesso discorso per un hacker che preferisce non essere citato le vulnerabilità che vengono utilizzate da diverse tipologie di attori a volte sono dei bug, a volte sono delle “porte” come dici tu nel video molto simpatico. A volte, per essere più precisi, sono dei bug che si trasformano IN delle “porte”, perché chi li trova se li tiene stretti o li vende alle varie Autorità. Il tuo video è davvero molto simpatico: permettimi di dirti che l’unica cosa errata è quando parli di zero day (le critiche quando sono costruttive sono sempre ben accette ndr). Si dice che un bug è a tempo zero, quando non è stato ancora trattato, ovvero non è stato preso in carico, analizzato, classificato ad esempio come una CVE (Common Vulnerability Exposure), in quel processo di revisione che alla fine – di solito – genera una patch. Bada bene che le aziende specialmente quelle cinesi – si loro – spesso se ne infischiano di “patchare” i loro prodotti, i quali restano vulnerabili a vita.
Quindi – ricapitolando – quando si parla di “0day” si parla di un bug che non conosce nessuno e che nessuno ha iniziato a “medicare”. Quindi questi 0day diventano delle vere e proprie armi nelle mani di chi li vuole usare per scopi offensivi e per questo tendono a rimanere segreti. Se invece vengono comunicati alle aziende produttrici esse non sempre sono celeri nel produrre le pach necessarie: le producono tardi o le producono controvoglia. Per capire questo fenomeno basta andare nelle “disclosure timeline” dei post sulle vulnerabilità che raccontano tutta la storia (con i tempi) delle segnalazioni: spesso prima che l’azienda capisca il problema passa tempo, tempo in cui la gente ignara usa un prodotto fallato esponendosi agli attacchi dei cattivi. Quando poi vengono prodotti gli aggiornamenti, capita che le aziende neanche informino chi li ha aiutati, per non pagare il bug bounty o per non spendere i soldi “di ringraziamento”. Insomma è una vera giungla. Tanto che molti che conosco non segnalano più i bug, magari non se li vendono, ma non li segnalano più, lasciando scoperta una notevole quantità di utenti che usano software fallati e potenzialmente a rischio hacking e non lo sanno.”
Concludiamo invece con due esperti del settore che “ci mettono la faccia” nell’attività dove i cappucci regnano perché sono il simbolo dell’anonimato. Secondo Pierluigi Paganini, autore del Libro digging in the deep web “Ogni giorno un numero cospicuo di falle viene scoperto in sistemi software ed hardware ed oramai con cadenza mensile le principali aziende IT rilasciano aggiornamenti per risolverle. La quasi totalità di queste falle è risultato di errori di codifica e di pratiche di sviluppo non sicure. Attribuire la presenza di una falla ad una scelta deliberata da parte degli sviluppatori e dei progettisti è una impresa tutt’altro che semplice. Abbiamo spesso riscontrato la presenza di backdoor, account di amministratore non esplicitamente documentati, e di credenziali cablate nel codice (hard-coded come nel caso della procura), tuttavia non abbiamo mai attribuito la loro presenza ad una scelta progettuale. Concettualmente l’inserimento di un bug all’interno di un codice è possibile, tuttavia nasconderne la presenza è tutt’altro che semplice. Ritengo quindi che non possiamo considerare i numerosi bug scoperti nei più disparati prodotti come il frutto di un piano ordito dai progettisti.”
Si aggiunge il giro di opinioni Giuseppe Spadafora “security manager” autore del libro “antiterrorismo” che definisce “i bug naturalmente fallibili perché l’errore ci può essere, ma andrebbe sempre verificato. Altresì, esistono gruppi organizzati militarmente come quelli di NSA che volontariamente iniettano malware nei sistemi per effettuare azioni di spionaggio. Il complotto non esiste, in pratica si crea quando serve”.
Su questo gli fa da echo Giovanni S. che è convinto del fatto che “i governi si stanno dotando di gruppi sempre più sofisticati di hackers in grado di incidere su qualunque sistema. Equation Group è uno di questi. Neanche hanno bisogno della collaborazione delle multinazionali (che spesso si oppongono allo spying governativo, ma solo per il proprio tornaconto).”
In sintesi? Non esiste un complotto ai nostri danni, ma siamo sicuri che nessuno abbia interesse a metterci sotto controllo indipendentemente dal nostro ruolo nella società sempre più globale?
Lo approfondiremo in un’altra inchiesta…
Nonostante gli appelli dei maggiori banchieri e uomini della finanza globale, l’economia sta subendo una forte trasformazione con l’ingresso delle cryptovalute. Anche il mondo degli investimenti finanziari ha preso le sembianze del Bitcoin e si è diversificata nella sua veste decentralizzata, fugace al tracciamento del sistema economico mondiale consolidatosi in più di cento anni di storia dell’economia.
Non più titoli di stato, azioni e fondi di investimento che scommettono i nostri risparmi per massimizzare i profitti, ma che spesso non vanno oltre il 3% annuale, senza considerare che viene ulteriormente tassato in base alle norme fiscali dei singoli paesi sugli utili. Se prima il riferimento commerciale in ambito finanziario era la banca, ad oggi sono nate diverse figure che si inseriscono nel mercato e rendono ancora più variegata la scelta di affidare i propri risparmi per ottenere un guadagno maggiore di quello ottenuto fino ad oggi sui mezzi consuetudinari.
Fondi, investimenti e crypto
La borsa è sempre stato un mercato per pochi e conosciuto a tutti solo perché a fine giornata i TG riportano le notizie degli indici, quasi sempre in negativo, delle maggiori piazze d’affari mondiali. Con l’avvento di Internet, il pubblico interessato a gestire i propri risparmi è cresciuto avvicinandosi dapprima alle piattaforme bancarie per poi, con la nascita dei social e delle loro campagne pubblicitarie mirate, arrivare alle piattaforme di trading online. La leva maggiore, che ha reso in Italia tutti esperti di finanza quanto di calcio, è rappresentata dall’avvento delle criptovalute con i loro guadagni stratosferici. Perché sono tante oramai le storie di persone che sono diventate milionarie acquistando 100 o 1000 dollari di un feticcio virtuale coniato magari per gioco, trovandosi dopo non molto tempo guadagni anche del 3000% mentre i fondi di investimento sono andati in sofferenza con l’avvento del Covid. Non sono bastati i proclami degli organi economici più influenti del mondo come il Fondo Monetario Internazionale, società di rating e finanche le leggi di governi che hanno bandito alcune materie economiche di nuova generazione come le criptovalute.
I nuovi Warren Buffet
Chi sono coloro che promettono di renderci ricchi? Figure come i broker privati, in esercizio da tempo in paesi come l’Inghilterra, sono soggetti indipendenti dalle banche. A questi si aggiungono le app di trading puro e le piattaforme di trading di criptovalute che ultimamente sono miste e danno la possibilità di acquistare prodotti dei panieri convenzionali come materie prime e titoli azionari. Grazie ad Internet possiamo affermare che il solido sistema bancario basato su una vera e propria attività monopolistica acquisita negli anni grazie anche alla politica internazionale, in questo periodo affanna. Se molti fino a poco tempo fa mettevano i soldi sotto le mattonelle o il materasso, oggi tantissimi soldi liquidi partono verso conti esteri che i singoli cittadini hanno attivato a loro insaputa. Perché le piattaforme di trading, ad esempio, si appoggiano a delle banche straniere e quando si crea un profilo e si effettua il bonifico, in molti casi si sta bonificando a se stessi e non alla piattaforma che poi smista i soldi ad ogni singolo iscritto. Anche questo è un dettaglio da non trascurare se consideriamo che per i cittadini europei spesso i soldi vanno a finire nel Regno Unito e risultano avere conti esteri senza saperlo.
Gioco d’azzardo?
C’è la tendenza di investire somme senza sapere né dove né se c’è certezza di ottenere un risultato e quindi ci si cimenta all’interno di una dinamica vorticosa simile a quella del gioco d’azzardo. Molte persone puntano sui titoli o sulle cripto come se stessero scegliendo un cavallo o una roulette al Casino. Si punta sul nulla e questo aspetto è ancora più rischioso delle famose bollette delle scommesse sportive, ma almeno quelle contano su una conoscenza dell’utente acquisita dalla passione per l’uno o per l’altro sport. Sono tante, troppe, le persone che non hanno le spalle coperte e violano costantemente la prima regola generale degli investimenti: mai scommettere più di quanto si è disposti a perdere. Questo limite, se superato, ha gli stessi effetti devastanti delle ludopatie in senso generico.
Quali sono i rischi?
DataBreach: Entriamo nel campo dei rischi iniziando da quello più elementare e già conosciuto come la violazione dei sistemi informatici delle piattaforme che per primo effetto genera la fuga dei dati personali dei clienti. Qui non si parla solo di indirizzo e numero di telefono, ma anche di dati bancari a cui sono collegati i conti correnti degli iscritti e quando una piattaforma è più diffusa, ci troviamo dinanzi ad un data breach di dimensioni enormi come nel caso di questi giorni dove la app Robin Hood è stata violata ed i dati dei suoi 7 milioni di iscritti messi in vendita nel dark web:
Phishing: Sono tante le iniziative criminali messe in campo ogni giorno per estrapolare dati di ignari utenti. La tecnica più frequente è quella del Phishing che viene utilizzato via mail oppure con la promozione di links attraverso pseudo campagne commerciali che dirottano gli utenti interessati a un prodotto su siti che richiedono una registrazione finalizzata ad acquisiscono quante più informazioni personali possibile. Un altro metodo è quello di somministrare dei malware con la scusa dell’installazione di software che aiuterebbero a migliorare l’esperienza utente. In rete si trovano tantissimi esempi di soggetti che si propongono come esperti sulla materia di criptovalute e poi invece sono specchietti per le allodole di affari truffaldini come nel caso riportato in seguito:
Exit Scams: ancora più allarmante il fenomeno delle exit scams, le truffe con fuga, per tradurre in gergo italico. Alcune piattaforme dicono di raccogliere fondi per investirli o di vendere criptovaluta, ma dopo aver raccolto abbastanza fondi, i titolari scappano con il malloppo. L’ultimo caso ha riguardato una criptovaluta nata sull’onda emotiva di Squid Game. Il token ha raccolto 3,3 milioni di dollari, ma i suoi nuovi proprietari sono impossibilitati nel venderlo e quindi a loro resta un feticcio mentre agli ideatori il bene liquido acquisito vendendo la restante parte delle monete. Una truffa su cui Binance ha indagato e sentenziato che ci fosse qualcosa non proprio chiara e nonostante questo si è arrivati a quello che in gergo si definisce “rug pull”.
Crollo del mercato: che il mercato sia sottoposto ad alti e bassi non è una caratteristica delle nuove economie digitali, ma è anche vero che i rischi possono essere più alti se si viaggia su prodotti con un potenziale guadagno fuori il consuetudinario. Nell’ultimo crollo del mercato crypto, le piattaforme sono andate in difficoltà per l’ampia richiesta di accesso simultaneo da parte dei clienti che vendendo i propri titoli in moneta elettronica, hanno mandato in forte perdita le aziende. In quell’occasione verificati blocchi nel funzionamento delle piattaforme che hanno reso impossibile l’azione di autotutela degli utenti nel vendere istantaneamente quanto guadagnato o quanto perso. Dopo diverse ore di malfunzionamento, le cripto erano scese in alcuni casi anche del 50% del valore, mandando in malora una buona parte dei patrimoni.
Password: non ultimo il problema delle password dei portafogli elettronici, una volta smarrite le credenziali ed i seed che vengono forniti, sarà difficile riprendere il controllo del portafogli. Immaginate se avete perso le credenziali di un portafogli elettronico con 0,5 Bitcoin comprati tempo fa, avete perso 28 mila euro.
L’Advanced Persistent Threat (minaccia avanzata persistente – APT) è una tipologia di attacco informatico furtivo, nella maggior parte dei casi ad opera di attori provenienti da uno stato nazionale, o sponsorizzati dallo stato, che consiste nell’accesso non autorizzato a una rete di computer rimanendo inosservato per un lungo periodo. La componente statale non è ritenuta più essenziale perché nell’ultimo periodo per APT non si intende solo ed esclusivamente il gruppo, ma appunto il metodo con cui è effettuato l’attacco seppur consista soprattutto in una pratica che inizia solitamente con attività di spionaggio.
Scopi ed obiettivi dell’attacco
Le motivazioni che inducono a questo tipo di minaccia informatica sono tipicamente politiche o economiche ed è per questo che il livello di guerra cibernetica tra governi è oramai basata sulle minacce APT che hanno come caratteristica un percorso lungo e tortuoso che prevede ottime capacità di ascolto e di intervento informatico. Così come dal punto di vista economico si tendono a colpire le maggiori aziende, globali e locali non fa differenza, raggiungendo come risultato la compromissione delle risorse finanziarie, della proprietà intellettuale e della reputazione delle imprese che incide anche sui titoli azionari quando queste sono posizionate in borsa. Nell’ultimo periodo, sono tanti i casi di battaglioni informatici che sviluppano ransomware ed effettuano attacchi firmandosi, rendendo chiara la provenienza territoriale che in ambito militare dovrebbe restare possibilmente quanto più coperta. Proprio per questo motivo, l’associazione tra Ransomware Gang e Apt non è corretta e spesso trae gli analisti in errore. Lo scopo militare non è principalmente quello di arricchirsi, cosa che fanno i criminali cibernetici con le richieste di riscatto, ma quello di rendere quanto più inoperativo un sistema avversario o spiarlo a sua insaputa per molto tempo. La difficoltà nel distinguere la natura militare risiede anche nel processo di valutazione del merito dell’attacco: valutare se sia utilizzato un approccio di tipo criminale, invece che militare, da un attore statale con il fine di autofinanziarsi e questo metodo è più corrispondente alla realtà quando si tratta di paesi poveri e colpiti da diversi embarghi commerciali.
Tecnica dell’Advanced Persistent Threat
La roadmap di un attacco APT segue un processo abbastanza rigido composto dalle seguenti fasi:
- Prendere di mira organizzazioni specifiche per un unico obiettivo
- Tentare di guadagnare un punto d’appoggio nell’ambiente
- Utilizzare i sistemi compromessi come accesso alla rete di destinazione
- Distribuire strumenti aggiuntivi che aiutano a raggiungere l’obiettivo dell’attacco
- Coprire le tracce per mantenere l’accesso per iniziative future
Definizione di Advanced Persistent Trheat
Le definizioni di cosa sia precisamente un attacco di tipo APT possono variare, ma possono essere riassunte dai loro requisiti nominativi qui sotto:
Avanzato – Gli operatori dietro la minaccia hanno a disposizione uno spettro completo di tecniche di raccolta di informazioni. Queste possono includere tecnologie e tecniche di intrusione informatica commerciali e open source, ma possono anche estendersi fino ad includere l’apparato di intelligence di uno stato ed è qui che dall’utilizzo di semplici strumentazioni, si può arrivare ad implementare sistemi e schemi più complessi che possono essere possibili solo grazie all’intervento di una entità statale o di una azienda che può contare su budget elevati.
Persistente – Gli operatori hanno obiettivi specifici che spaziano dal blocco o dalla “alterazione” di sistemi informatici di rilevanza statale o piuttosto cercano opportunisticamente informazioni per un guadagno finanziario o di altro tipo. Il bersaglio viene monitorato continuamente e sollecitato con una azione di interazione costante fino al raggiungimento degli obiettivi definiti che hanno come scopo quello di mantenere l’accesso a lungo termine al bersaglio, in contrasto con le minacce che hanno bisogno di accedere solo per eseguire un compito specifico.
Minaccia – Gli attacchi APT sono eseguiti da azioni umane coordinate, piuttosto che da pezzi di codice senza cervello e automatizzati. Gli operatori hanno un obiettivo specifico e sono abili, motivati, organizzati e ben finanziati. Gli attori non si limitano a gruppi sponsorizzati dallo stato.
Come scoprire un Advanced Persistent Threat
Ci sono decine di milioni di varianti di malware e questo rende estremamente difficile proteggere le organizzazioni dalle APT. Mentre le attività delle minacce persistenti sono furtive e difficili da rilevare, il traffico di rete di comando e controllo associato alle APT può essere rilevato con metodi sofisticati di auditing delle risorse. L’analisi profonda dei log e la correlazione dei log da varie fonti è di utilità limitata nel rilevare le attività delle APT. È impegnativo separare le anomalie dal traffico legittimo. La tecnologia e i metodi di sicurezza tradizionali sono inefficaci nel rilevare o mitigare le APT. Inoltre, gli attori che sfruttano questa tipologia di attacchi non sono sempre riconoscibili, anzi, restano anonimi per molto tempo proprio per non bruciarsi all’interno dello scacchiere geopolitico della guerra cibernetica e, inoltre, è una buona prassi nelle tecniche di intelligence, quella di eseguire un attacco in perfetto anonimato senza svelarne la provenienza con il fine di elaborare una lettura politica e militare errata da parte dei soggetti colpiti.
Il nemico più pericoloso è quello che non ha volto e nemmeno bandiera.
Continua …
La notizia della presenza di un archivio .zip di 1001 green pass italiani disponibile in rete pubblicata in esclusiva da Matrice Digitale ha destato non poco scalpore tra gli addetti ai lavori. Nei giorni precedenti abbiamo raccontato la questione spinosa delle chiavi private straniere che circolavano su internet e che garantivano la creazione, con relativa validazione, di certificati verdi intestati a cittadini italiani, anche fittizi come Hitler e Craxi, seppur risultava l’avvenuta vaccinazione al di fuori dei confini italici che in fase di verifica nei locali poteva far sorgere qualche dubbio.
Nuove indagini della redazione
Quello che sappiamo del leak è che il creatore ha utilizzato un Mac ed ha caricato sì 2000 certificati verdi tutti italiani, ma al netto dei duplicati, il numero effettivo è di 1001 come dichiara il ricercatore sonoclaudio, che aggiunge la possibilità concreta che vengono da una farmacia. Perchè si è arrivati a questa conclusione? Semplicemente perché le farmacie oltre a fornire vaccinazioni e tamponi, sono anche deputate a scaricare i certificati verdi delle persone anziane che non hanno dimestichezza con le piattaforme digitali.
Secondo nuove indiscrezioni raccolte dalla redazione, i file sono stati raccolti nei mesi di agosto, settembre e ottobre 2021 da una persona che ha avuto tempo e luogo per poterli collezionare. I greenpass non sono riferiti a tamponi, ma a vaccinazioni e quindi questo fa intendere che potrebbe essere stato un medico o un farmacista. C’è anche però da sottolineare che i metatag dei file sono vuoti e quindi le tracce di creazione dei file sono state cancellate e chi si è preoccupato di svolgere questa azione ha una conoscenza informatica non propriamente di base.
Mancano i Qr code dei Greenpass?
No, sono presenti nei pdf e, purtroppo, si possono estrarre con un semplice script per chi mastica la materia informatica, anzi, ci è giunta da una fonte anonima la notizia che la tendenza a sporcare i qr code per poi pubblicarli sulle testate giornalistiche, può essere pericolosa perché in caso di lettura, gli stessi codici visivi sono rigenerabili e quindi potenzialmente duplicabili e diffusi in giro.
Non si sa chi siano le 1001 persone esposte, ma chi di dovere “dovrebbe iniziare a pensare di creare un archivio con i nominativi delle persone esposte”, come sostiene l’esperto di sicurezza informatica Odisseus, oppure dovrebbe far recapitare direttamente a “domicilio” i greenpass rigenerati ai diretti interessati, invalidando quelli esposti, suggeriamo noi.
Il parere dell’esperto di indagini forensi
Dopo aver ascoltato in precedenza l’opinione dell’ing. Fuga, la redazione ha chiesto un parere sulla vicenda al dott. Andrea Lazzarotto, esperto di consulenza digitale forense, che ha dichiarato “la circolazione di archivi di Green Pass rubati costituisce ovviamente un fatto grave e mette a rischio i dati personali di cittadini ignari. Purtroppo, le attuali modalità di utilizzo dello strumento rendono il fatto ancora più pericoloso. Con la scelta incosciente di rimuovere un elemento obbligatorio (cioè il controllo dell’identità con la validazione del documento) si permette a chiunque di riutilizzare comodamente i Green Pass altrui, comprese vittime inconsapevoli. La si può definire una “falla di implementazione”, perché la certificazione verde necessita di un documento di identità per funzionare come lasciapassare e tale verifica dovrebbe essere resa obbligatoria in tutti i locali pubblici. In realtà le persone prive di scrupoli non necessitano di centinaia di codici rubati, ma ne è sufficiente uno che si “avvicini” per età e genere a chi desidera utilizzarlo illecitamente. In questi mesi abbiamo visto pubblicare incautamente codici validi su grandi quotidiani nazionali e persino in una campagna pubblicitaria del Ministero della Cultura. La mancanza di controlli e la scarsa prudenza rendono la vita fin troppo facile a chi è intenzionato a violare le regole“.
Un’osservazione, quella di Lazzarotto, sicuramente acuta, ma che fa a cazzotti con la digitalizzazione di un processo, quello del certificato verde, che perderebbe così tutta la sua comodità in caso di doppia verifica manuale, che nasconde un’altra insidia e precisamente quella della falsificazione dei documenti di identità sulla base dei nominativi presenti sui certificati verdi diffusi in rete. Oltre ai rischi, però, è anche giusto segnalare che nei giorni precedenti la Asl campana ha fatto un blitz su Capri ed ha controllato 66 locali, verificando più di 300 persone. Il risultato ottenuto è stato del 100% di green pass originali e soprattutto nessuno colto senza nei luoghi dove richiesto.
La scelta di effettuare un clickbait nell’articolo su come scaricare 2200 green pass italiani, indicando un presunto link per scaricarli, fa parte di una campagna di sensibilizzazione lanciata da Matrice Digitale non solo sull’utilizzo corretto dello strumento, ma anche informando i lettori sul reato che scaturisce dall’utilizzo improprio di dati, personali e sensibili. L’opposto di quanto sta accadendo in questi giorni su Media nazionali e sui profili social di personaggi vip.
Europol: nel 2021 crescono frodi e attacchi ransomware
Phishing: attenti a non abboccare all’amo delle truffe online
Settare priorita’ della CPU per le apps in Windows 10
Le tecnologie vincenti nel post-pandemia
Draghi come Prodi: TIM in trattativa con gli Americani. In vendita le infrastrutture digitali del Paese
Greenpass: dopo l’inchiesta di Matrice Digitale, il Garante Privacy avvia indagini con GDF
Bitcoin e Trading: è l’ora della truffa online
Metoo in Cina. Tennista denuncia molestie, sparisce e ricompare sui social. Deep fake?
Keylogger, cos’è e come evitarli. Attenti ai download
Sesso online, sito di webcam esposto: tremano mariti e mogli infedeli
Come creare un Alias su Powershell Windows10 Pro
Intelligenza Artificiale: Google vorrebbe tornare a lavorare con il Pentagono
Apple mi ha truffato. Deluso da Iphone 12 pro max
Guerra cibernetica, Advanced Persistent Threat: come attaccano le spie di Stato
Media Markt colpita da Hive: Salvate i Black Friday e Monday
2200 Greenpass su Telegram, dati dei vaccinati a rischio. Link per scaricarli
Greenpass “falso originale”: nuovo rischio per il certificato verde
Ransomware: cos’è e come funziona la doppia estorsione?
Scarica 2200 Greenpass Italiani
Dal dark web a 4chan: il Green Pass si è bucato da solo?
Sesso online, sito di webcam esposto: tremano mariti e mogli infedeli
Facebook, Instagram e Whatsapp down: cosa succede?
Dazn perde la sfida contro il “Pezzotto”, vittoria dell’Antistato nell’IT
Greenpass italiani falsi: l’analisi degli esperti sui 2200 certificati verdi esposti
Attacchi zero-day, scoprirli è già troppo tardi. Anche per gli antivirus
QRishing: cos’è e come la truffa si nasconde dietro un QR Code
Attenzione ai dirottatori di browser, gli hijacker web
San Carlo sotto attacco. Data breach per le patatine più famose d’Italia
L’Europa ha fallito sul green pass? In rete il certificato originale di Hitler
Facebook presenta il suo Metaverso, oppure è il nostro?
-
Inchieste3 settimane fa2200 Greenpass su Telegram, dati dei vaccinati a rischio. Link per scaricarli
- Notizie4 settimane fa
Greenpass “falso originale”: nuovo rischio per il certificato verde
- Multilingua3 settimane fa
Scarica 2200 Greenpass Italiani
- Notizie1 settimana fa
Sesso online, sito di webcam esposto: tremano mariti e mogli infedeli
- Inchieste3 settimane fa
Greenpass italiani falsi: l’analisi degli esperti sui 2200 certificati verdi esposti
- Tech3 settimane fa
Attenzione ai dirottatori di browser, gli hijacker web
- Editoriali4 settimane fa
Facebook presenta il suo Metaverso, oppure è il nostro?
- Inchieste3 settimane fa
Procura di Belluno non vede Facebook: archiviate indagini su odio social
