logo

sabato 15 agosto 2015

Ferragosto di fuoco: Kaspersky sotto accusa di sabotaggio da parte di due ex-dipendenti.

Quest'estate si è preannunciata fin da subito una stagione "calda" per gli appasionati di IT security, ma l'esclusiva di Reuters -pubblicata proprio alla vigilia di Ferragosto- ha colto di sorpresa i più. Due fonti rimaste anonime hanno rivelato all'agenzia di informazione che durante la loro permanenza nei laboratori Kaspersky sono stati incaricati, alcune volte nientemeno che da Evgenij Kasperskij stesso, di sabotare la concorrenza con incarichi della durata massima di qualche mese. Il loro lavoro sarebbe stato di studiare i prodotti anti-malware concorrenti con tecniche di ingegneria inversa al fine di determinare il procedimento migliore per ingannare tali software e portarli ad identificare dei falsi positivi, mettendo in quarantena file e programmi "puliti".

La security firm con base a Mosca ha guadagnato il rispetto della comunità internazionale con i suoi oltre 400 milioni di utenti e più di 270.000 clienti aziendali.


A febbraio di quest'anno, le ricerche di Kasperky Lab ZAO hanno portato alla scoperta del team di spionaggio "Equation Group" (così chiamato proprio dalla security firm russa), un gruppo che sembra aver utilizzato due attacchi 0-day (vulnerabilità non ancora ufficialmente rilevate e quindi impossibili da correggere) implementati alla base del worm Stuxnet, malware utilizzato nel 2009 e nel 2010 per sabotare le centrali nucleari iraniane alterando il normale funzionamento delle centrifughe per distruggerle. Per via di un errore di programmazione il malware si è diffuso oltre i confini del network attaccato, diffondendosi a livello globale e venendo quindi individuato. L'Equation Group sarebbe attivo almeno dal 2001 ed avrebbe avuto accesso ai sopracitati exploit 0-day prima della nascita del worm Stuxnet stesso.


Secondo le fonti di Reuters, la storia degli episodi di sabotaggio effettuati da Kaspersky Lab ha avuto inizio più di 10 anni fa. Al tempo, il mercato dei software antivirus era in crescita esponenziale e vari concorrenti di Kaspersky hanno iniziato a copiare parti del codice di proprietà dell'azienda di Mosca per utilizzarlo nei propri programmi. Da allora, la condivisione degli elenchi dei malware tra compagnie di cybersecurity è diventata una prassi.

Nel 2010 i laboratori Kaspersky si sono pubblicamente lamentati delle continue copie del proprio lavoro, chiedendo maggior rispetto della proprietà intellettuale in un ambiente internazionale sempre più orientato alla condivisione dei dati.

Per dimostrare che il proprio lavoro veniva copiato, Kaspersky Lab ha condotto il seguente esperimento: 10 file innocui sono stati creati e inviati a VirusTotal, aggregatore di elenchi di malware della Google Inc, dichiarando che erano stati identificati come malware. Lo scopo di VirusTotal è di aumentare la prevenzione informatica condividendo tali elenchi e nell'arco di neanche due settimane -secondo una presentazione dell'analista Kaspersky Magnus Kalkuhl che risale al 2010- tutti e 10 i file innocui venivano dichiarati pericolosi da ben 14 compagnie di sicurezza che evidentemente avevano seguito la guida di Kaspersky senza premurarsi di verificare la correttezza dei dati acquisiti.


Quando è diventato palese che le lamentele e le accuse di furto non avrebbero sortito alcun effetto, prosegue il reportage, ha avuto inizio il sabotaggio.

Una delle tecniche descritte prevede l'iniezione di codice malevolo in software fondamentali per il funzionamento di vari tipi di PC. In questo modo i file risultano avere tutte le caratteristiche di un programma infetto. Il passo successivo prevede l'invio del codice ritoccato ad un aggregatore di database, come in questo caso VirusTotal. In questo modo quando la concorrenza esegue il software nei proprio sistemi di rilevazione malware, il codice viene definito come potenzialmente pericoloso. Se il file ritoccato riesce a rimanere formalmente abbastanza simile all'originale, gli attaccanti possono ingannare le compagnie rivali portandole ad identificare come malware anche il software originale totalmente innocuo. VirusTotal non ha dato risposta ai primi interrogativi posti sul tema.

La Reuters ha inviato richieste scritte di chiarimento anche a Kaspersky Lab. L'azienda moscovita ha negato categoricamente di aver utilizzato (o di utilizzare tutt'ora) tecniche simili, dichiarando: "la nostra compagnia non ha mai condotto campagne di sabotaggio segrete atte a generare falsi positivi nella concorrenza al fine di danneggiare il loro mercato.. ..azioni simili sono immorali, disoneste e dalla legalità quantomeno dubbia". La risposta di Kaspersky aggiunge inoltre: "anche noi siamo stati vittima di un attacco simile nel novembre 2012, quando una terza parte non identificata è riuscita a manipolare il nostro software in modo che classificasse, erroneamente, con virus file provenienti da Tencent, Mail.ru e dalla piattaforma di gaming Steam".

La fonte anonima di Reuters rincara dichiarando che uno dei principali bersagli del sabotaggio è la Microsoft Corp, per via della sua posizione di leader nel mercato degli antivirus (che permette una maggior diffusione dei codici modificati), sebbene si rifiuti di descrivere nel dettaglio qualche specifico episodio.


Il direttore della ricerca anti-malware Microsoft, Dennis Batchelder, ha detto di ricordarsi un episodio -avvenuto nel marzo 2013- in cui numerosi clienti si sono lamentati del fatto che il loro software antivirus continuava a mettere in quarantena un codice per stampanti. Batchelder ha rifiutato di commentare ogni possibile legame tra l'incidente e Kaspersky, ma ha ammesso di aver impiegato circa 6 ore per collegare il codice per stampanti ad un malware precedentemente identificato dalla Microsoft come un virus. Parti del codice del virus erano state fuse con il normale driver, ingannando i sistemi di protezione. Nei mesi seguenti il team di Batchelder ha trovato centinaia (forse migliaia) di file "puliti" alterati per apparire malevoli. Per sua stessa direttiva, gli sforzi si sono concentrati non verso l'individuazione del colpevole ma verso la ricerca di una soluzione efficace: "non ha davvero importanza chi è stato.. ..ciò che importa è che tutte le nostre industrie hanno una vulnerabilità insita nel fatto che i nostri sistemi sono basati sulla fiducia ed è questo che dobbiamo risolvere".

Mentre si diffondeva la notizia, varie compagnie attive nella cybersecurity hanno iniziato a domandarsi cosa non andasse nei loro sistemi e come poter cambiare approccio per risolvere (o quantomeno mitigare) il problema. Nessuna delle parti in causa è comunque riuscita ad identificare la fonte degli attacchi.

Secondo gli ex-dipendenti Kaspersky ulteriori bersagli della campagna di sabotaggio sono AVG Technologies NV, Avast Software e molti altri. Il picco di questi attacchi, avvenuti a ondate intermittenti, si sarebbe avuto tra il 2009 ed il 2013. Yuval Ben-Itzhak, ex-capo dell'ufficio tecnologico AVG, ha dichiarato che le "bordate" di software ritoccato arrivavano circa 4 volte l'anno, per almeno 4 anni, con l'ultimo flusso iniziato nel primo periodo del 2013. A suo dire gli attacchi sono diminuiti fino quasi a scomparire quando sono stati implementati appositi filtri per eliminare i falsi positivi ed in seguito ad una revisione (e aggiornamento) del sistema di individuazione malware dell'azienda. Todd Simpson, dal dipartimento strategico AVG, ha rifiutato qualsiasi commento.

Da Avast giunge la conferma che i propri tecnici hanno individuato una grande quantità di driver di rete opportunamente modificati per apparire come codice malevolo e duplicati nelle varie versioni con traduzioni in diverse lingue. Una comunicazione di aprile da parte del Chief Operating Officer di Avast, Ondrej Vlcek, a Reuters riporta che i suoi sospetti sono indirizzati verso anonimi programmatori esperti di malware, ben equipaggiati, che volevano semplicemente "divertirsi un po'" a spese dell'azienda.


Non è chiaro se questo tipo di attacchi sia terminato e di quale portata possano essere gli effetti negativi di manovre simili alla data odierna. Gli esperti di sicurezza sembrano indicare una diminuita potenzialità dannosa dei sabotaggi di tale natura. Ciò è, in parte, dovuto al fatto che le compagnie di cybersecurity sono progressivamente meno propense a prendere come "oro colato" le affermazioni della concorrenza ed anche al fatto che gli sforzi atti ad eliminare i falsi positivi stanno aumentando sensibilmente presso tutti gli attori interessati.

Kaspersky ha comunicato di aver perfezionato i propri algoritmi per difendersi dai falsi virus, aggiungendo che è convinzione dell'azienda che nessuna compagnia produttrice di antivirus abbia condotto gli attacchi in quanto " ciò avrebbe avuto un risultato controproducente, totalmente negativo per l'industria della sicurezza informatica nel suo complesso". In effetti oltre a danneggiare i concorrenti, una manovra di questo tipo causa conseguenze dannose anche per gli utenti finali. Dai laboratori Kasperky aggiungono: "anche se il mercato della sicurezza è molto competitivo, il traffico di dati fidati rispetto alle minacce è parte integrante della sicurezza dell'intero ecosistema informatico e questo rapporto di scambio non dev'essere compromesso o corrotto".

venerdì 14 agosto 2015

Google lancia Alphabet. Bmw ricorre ai legali, Microsoft ai troll.

Lunedì Google ha annunciato la nascita di Alphabet. Larry Page sarà il CEO e Sergey Brin il presidente. I due co-fondatori di Google hanno preso la decisione di creare la Alphabet INC in modo da rendere più chiari e definiti gli ambiti di lavoro degli svariati progetti dell'azienda. Alcune delle compagnie riunite sotto il nuovo conglomerato sono: Youtube (che tutti conoscono), Calico (compagnia di ricerca nel campo della longevità umana), Life Sciences (laboratorio attivo nello sviluppo delle lenti a contatti sensibli al glucosio), X Lab (che ha dato vita al progetto Wing, lo sforzo di Google nell'ambito delle consegne tramite drone) e -naturalmente- Google stessa (in versione "snellita", con Sundar Pichai -di nascita Tamil- come CEO).

Sul sito ufficiale di Alphabet, consultabile all'indirizzo ABC.XYZ, si può leggere che il principale vantaggio a breve termine della manovra sarà percepito nella facilità con cui gli investitori potranno esaminare i guadagni di Google, tenendo sotto controllo i vari rami di attività (su questo si basa anche il gioco di parole Alpha-bet, dove alfa sta per il ritorno d'investimento in base al rischio ed è unito a bet che significa scommessa). I titoli quotati sul mercato NASDAQ continueranno a chiamarsi GOOGL e GOOG.


Le reazioni a livello globale sono state diversificate. I più entusiasti,  seguendo l'onda dei nuovi progetti che coinvolgono macchine ad apprendimento automatico (come Google Now e Google Photo), vedono nella nascita di Alphabet un grande passo in avanti che permetterà all'universo Google di specializzarsi ulteriormente in campi decisamente distanti dall'originario motore di ricerca online ma molto entusiasmanti e promettenti.

I detrattori, invece, sembrano basare le proprio opinioni sul nome del nuovo marchio. Bmw è già in possesso di un marchio simile, Alphabet Fuhrparkmanagement, e ha già attivato i propri uffici legali per "una procedura di routine" indirizzata a verificare il diritto di esclusiva sul nome. Lunedì sera i server della casa automobilistica tedesca sono stati intasati dalle numerose ricerche che hanno seguito l'annuncio ufficiale della nascita di Alphabet. Bmw e Google potrebbero porsi in situazione di concorrenza anche per quanto riguarda il campo delle auto elettriche e della cartografia (Bmw ha acquisito, con Audi e con Daimler, il servizio di cartografia Nokia chiamato "Here").


Decisamente orginale è stata la risposta (non ufficiale e nemmeno rivendicata, è bene menzionarlo) di Microsoft. Contemporaneamente al sito ABC.XYZ sono stati lanciati ABC.WTF (WTF sta per What The F**k) e ABC.FAIL (ABC.Fallimento). I due domini, che come si può vedere su whois.net sono registrati da un indirizzo IP appartenente alla compagnia di Redmond, reindirizzano l'utente al motore di ricerca Bing (di proprietà Microsoft). Microsoft stessa non ha voluto riconoscere la paternità del gesto, ma sul web la trovata è stata molto apprezzata e vari articoli online titolano sul tema "Microsoft trolla Google", dimostrando come la compagnia di Bill Gates sia riuscita a ricavare pubblicità anche dall'ultima mossa dell'acerrimo rivale Google.


giovedì 13 agosto 2015

Pentagono sotto attacco: Cina in prima linea.

A distanza di pochi giorni dalla notizia della compromissione delle e-mail dello Stato Maggiore Congiunto del Pentagono, fonti militari hanno rivelato a NBC News che l'agognato lieto fine (anticipato nello scorso articolo su questo Blog) è ben lontano dall'avverarsi. Mentre l'attenzione della comunità internazionale attiva nella cybersecurity era rivolta alla 23esima edizione della DEF-CON Hacking Conference, è trapelata la notizia che pirati informatici cinesi sono in grado di accedere alle e-mail delle maggiori cariche militari statunitensi fin dall'aprile 2010.


Secondo un briefing dell'NSA avvenuto nel 2014 (allora top secret) il furto di e-mail -chiamato in codice "Panda Danzante" prima e "Legione Ametista" poi- era ancora in corso al tempo e (stando alla fonte della NBC) lo è tutt'ora; i bersagli interessati sono più di 600. Account di vari provider (tra cui risalta Gmail) e network di corporazioni come la Lockheed Martin sono nel mirino di una campagna di attacchi ed exploit mirata ad acquisire informazioni di alto livello sulle infrastrutture informatiche, tecnologiche ed industriali americane.

Gli account governativi assegnati agli ufficiali non sono stati compromessi, sempre secondo l'alto ufficiale menzionato da NBC, in quanto dotati di un sistema di protezione di livello più elevato. Comunque i quasi 700 tentativi di compromissione andati a buon fine sono suddivisi in oltre 30 differenti episodi (tra cui il sopracitato "Dancing Panda") e hanno permesso alla Cina di mettere le mani su dati che spaziano dai progetti di automobili ibride arrivando alle formule di medicinali sperimentali, includendo persino i dettagli del sistema di controllo del traffico aereo civile e militare.


Il fatto che il NTOC (NSA Threat Operations Center) abbia stilato una mappa (comprensiva di bersagli e vettori di attacco) di tali aggressioni fa intuire che l'NSA sia stata in grado di monitorare gli eventi nel dettaglio e abbia quindi la possibilità di agire di conseguenza, limitando i danni. Però è stato impossibile ricevere alcun tipo di commento o dettaglio al riguardo dato che l'NSA si è fin'ora rifiutata di rispondere ai numerosi interrogativi, di interesse globale, posti.

domenica 9 agosto 2015

2015: Attacco al Pentagono

Pressapoco il 25 luglio di quest'estate ha avuto inizio un'attacco contro l'infrastruttura informatica del Pentagono. In particolare il bersaglio colpito è il sistema di diffusione dei messaggi e-mail non classificati appartenente al Joint Chiefs of Staff (organo che riunisce le maggiori cariche di ciascun ramo delle forze armate statunitensi, il cui nome è traducibile come Stati maggiori congiunti). Comunque nessuna informazione sensibile viene condivisa attraverso questo canale, quindi i dati compromessi sono relativi solamente agli account del personale ed alle e-mail.

L'attacco ha coinvolto più di 4000 tra militari e civili e per porvi fine si è dovuti ricorrere a mettere offline l'intero network. I portavoce del Pentagono hanno comunicato che nell'incidente sono coinvolte "nuove tecniche di approccio alla rete mai viste prima" e che l'incessante lavoro necessario a ripristinare una situazione stabile dovrebbe terminare a momenti (dopo due settimane). L'intrusione si è basata su un sistema automatico che ha scaricato grandissime quantità di dati e li ha redistribuiti ai numerosi account interessati. Probabilmente il coordinamento delle ingenti risorse necessarie a portare a termine una manovra di questo tipo è stato affidato a profili di social network opportunamente criptati e resi inaccessibili.


 Il Pentagono non è stato molto chiaro riguardo le fonti dell'attacco ma ha affermato che, a giudicare dalle modalità e dalla portata, "è stato chiaramente un lavoro di un'entità statale". I sospetti della comunità internazionale sembrano orientarsi verso la Russia anche per via dei precedenti (infatti nel 2014 hacker russi riuscirono ad accedere alle conversazioni private ed ai file del presidente Obama, attaccando la Casa Bianca e le istituzioni ad essa correlate).

Visto il recente incidente che ha coinvolto il nostrano Hacking Team si può anche pensare ad un correlazione tra i software rubati all'azienda milanese e le nuove tecniche messe a punto e dimostrate nella vicenda riguardante il Pentagono. In ogni caso i responsabili della sicurezza informatica statunitense stanno condividendo con varie organizzazioni e agenzie attive nel campo della cybersecurity i dati relativi ai vettori di attacco utilizzati nell'aggressione. Così sarà possibile lavorare ad una soluzione efficace a livello globale, sperando nel lieto fine.
CyberTribu

Viale Carducci, 18 - 40125 Bologna (BO) Italia
Tel (+39) 051 4070549
Mail info@cybertribu.com
Web www.cybertribu.com

Seguici sui nostri canali social