Dopo il caso Palamara del 2019 sono
sorte curiosità sui Trojan di Stato
(detti anche 'captatori informatici') installabili a
distanza in un telefono cellulare
per scopi investigativi.
L'operazione non è impossibile.
Ma non è neppure una prassi comune.
Bisogna innanzitutto disporre dei
Trojan concepiti per gli enti di
intelligence. Quindi nulla a che vedere con le
App Spyphone commerciali.
Il primo passo consiste nello studio a distanza del
cellulare target allo scopo di
individuare delle vulnerabilità.
Parliamo di falle nella
sicurezza del sistema operativo
(o delle App già installate nel
cellulare) sfruttabili
per tentare l'inoculazione a
distanza del Trojan.
Quasi in disuso sono invece le
tecniche di 'social
engineering'
(dette anche 'tre click'), cioè instaurare contatti a
distanza con la vittima per
convincerla ad installare una
App apparentemente innocua nel
suo cellulare. In questo caso la
vittima deve fornire delle conferme
all'installazione e ai relativi
permessi. Ma l'accresciuta
consapevolezza generale sui
rischi informatici e le chiare
segnalazioni dei sistemi
operativi quando si installano
delle App hanno reso
improbabile che qualcuno cada in
nel tranello.
I vettori privilegiati per
l'inoculazione a distanza dei
captatori informatici sono le
vulnerabilità di categoria 'overflow'. Più
avanti vedremo meglio cosa sono.
Ad es. un captatore che può
essere inoculato a distanza
sfruttando determinate
vulnerabilità è il 'Pegasus
NSO'.
Viene usato da
varie organizzazioni mondiali di
intelligence soprattutto per
l'antiterrorismo. Va
detto che negli ultimi anni ci
sono state delle falle potenzialmente
sfruttabili per l'inoculazione a
distanza non solo in
ambiente Android ma anche IOS.
Uno dei punti di riferimento per tentare
inoculazioni a distanza è
WhatsApp, grazie alla sua
estrema diffusione e al suo
ampio ventaglio di
vulnerabilità.
Basti pensare che nel 2020
sono stati identificati 5
nuovi bug di WhatsApp: i CVE
1886 1889 1890 1891 e 1894.
Un paio di questi potrebbero
prestarsi anche
all'inoculazione a distanza
dei Trojan o a
controlli nascosti
come la posizione GPS
del cellulare.
Conviene diffidare del
sensazionalismo mediatico dopo
il caso del trojan di Stato nel
cellulare del magistrato
Palamara: online girano dei
video della RAI e delle Iene dove
sembra che
installare un trojan a distanza
in un cellulare sia una prassi semplice
e comune. In
realtà, lo ripetiamo, questo
è possibile solo con sofisticati
strumenti riservati
agli enti di intelligence, che
devono essere gestiti da
esperti informatici. Ma
soprattutto è possibile solo
quando nel cellulare target ci sono
vulnerabilità sfruttabili come vettori di
infezione. Diversamente
anche le più importanti agenzie
di intelligence
devono entrare in possesso
fisico del cellulare per
effettuare l'installazione
(questa attività viene detta
'inoculazione locale'). E
se il cellulare è protetto da
password, l'inoculazione locale è
quasi sempre impossibile. Guardate ad es. cosa ha dovuto
fare l'FBI americana nel
2016 per riuscire a rimuovere la
password in un Iphone5:
vedi...
Spesso le vulnerabilità vengono
pubblicizzate nella comunità
hacker internazionale, quindi
vengono corrette dagli
sviluppatori. Ma non è
sempre così. Esiste infatti un
mercato nel dark-web dove alcuni
hacker mettono in vendita le
vulnerabilità che hanno scoperto
a cifre oscillanti fra i 40000
euro e il milione di euro.
Chi
acquista l'informazione per
sfruttare la vulnerabilità
acquista anche il silenzio
dell'hacker sulla sua scoperta.
Quindi l'exploit potrebbe
restare sfruttabile anche per
lunghissimi periodi.
Se invece la vulnerabilità viene
pubblicizzata, la
correzione da parte degli
sviluppatori di App e sistemi
operativi avviene con tempistiche dilatate. Ad es. il
clamoroso CVE3568 di WhatsApp
(buffer overflow durante una
chiamata vocale) è stato
corretto solo a fine 2019.
Questo
nonostante se ne sia parlato per
mesi. Significa
che nel 2020 centinaia di milioni
di cellulari sono stati vulnerabili al
cyber attack su bug CVE3568. E
a confermare il fatto che
WhatsApp non è diventato sicuro
neppure dopo l'acquisizione da
parte di
Meta, sono emerse nel 2022
due nuove vulnerabilità
piuttosto serie: le CVE 27492 e 36934.
Ma come si sfruttano queste
vulnerabilità?
Senza voler banalizzare
un'attività complessa come il cyber attack, è cosa nota anche
a programmatori alle prime armi
che i buffer
overflow e
gli stack
overflow opportunamente
gestiti possono consentire
l'esecuzione da remoto di codici
malevoli sulla device attaccata. Ci
riferiamo all'immissione in una
stringa di un numero di bytes
maggiore dell'array del buffer
che deve contenerla.
Esempio in linguaggio C:
void leggostringatest(void)
{
long num = 0;
char buff[6];
gets(buff);
}
In sintesi se 'gets' raccoglie
un numero di bytes maggiore
della capienza di 'buff[6]' e
se l'overflow (cioè i bytes
in eccesso) contiene un
codice eseguibile
e correttamente allocabile con
un marcatore iniziale, può
succedere l'imprevisto. In
apparenza potrebbe sembrare
che tutto ciò che eccede i 6
bytes venga scartato causa mancata capienza. In
realtà viene inviato al
processore del cellulare
come fosse una
normale istruzione della
App. Poniamo
che lo script arbitrario
contenga un 'requestLocationUpdates' per
leggere la posizione GPS del
cellulare e per inviarla
all'IP di un determinato
server: il processore prende
in carico il codice e lo
esegue. Quindi l'attacker
riceve le coordinate GPS del
cellulare come se fossero
state inviate da una App che
in realtà non ha una
funzione del
genere. Ovviamente nella
pratica non è così facile. Qui abbiamo solo voluto
rappresentare il fatto che sono
attività in qualche modo
praticabili.
Servizi
tecnici, informatici, difesa
elettronica. Vedi...
|
