Trojan di Stato o captatori informatici installati a distanza. Come funzionano?






Dopo il caso Palamara del 2019 sono sorte curiosità sui Trojan di Stato (detti anche 'captatori informatici') introdotti dal DL 216/2017. In particolare ci si chiede se siano davvero installabili a distanza in un telefono cellulare senza che l'utente se ne accorga. L'installazione a distanza di un Trojan non è impossibile. Ma non è neppure una prassi comune. Diciamo subito che stiamo parlando di strumenti concepiti per gli enti di intelligence. Quindi nulla a che vedere con le App Spyphone commerciali.


Il primo passo per tentare l'inoculazione del Trojan consiste nello studio a distanza del cellulare target allo scopo di individuare delle vulnerabilità, cioè delle falle nella sicurezza del sistema operativo del cellulare (o delle App installate nel cellulare) che siamo sfruttabili per tentare l'inoculazione a distanza del Trojan.

Quasi in disuso sono invece le tecniche di
 'social engineering' (dette anche 'tre click'), cioè instaurare contatti a distanza con la vittima per convincerla ad installare una App apparentemente innocua nel suo cellulare. In questo caso la vittima deve fornire delle conferme all'installazione. Ma l'accresciuta consapevolezza sui rischi informatici e le ripetute segnalazioni dei sistemi operativi quando si installano delle App hanno reso molto improbabile che qualcuno cada in nel tranello.

I vettori privilegiati per l'inoculazione a distanza dei captatori informatici sono le vulnerabilità di categoria
 
'overflow'. Più avanti vedremo meglio cosa sono. Ad es. un captatore professionale che può essere inoculato a distanza sfruttando determinate vulnerabilità è il 'Pegasus NSO' nelle sue numerose varianti. Pegasus nasce in Israele da ex tecnici del Mossad e viene usato da varie organizzazioni mondiali di intelligence soprattutto per l'antiterrorismo. Per sfatare il mito dell'insicurezza di Android va detto che negli ultimi anni ci sono state vulnerabilità sia nei sistemi operativi IOS che nei sistemi operativi Android.

Uno dei punti di riferimento per tentare inoculazioni a distanza è WhatsApp, grazie alla sua estrema diffusione e al suo ventaglio di vulnerabilità. 

Basti pensare che nel 2020 sono stati identificati 5 nuovi bug di WhatsApp: i CVE 1886 1889 1890 1891 e 1894. Un paio di questi potrebbero prestarsi anche all'inoculazione a distanza dei Trojan o a più semplici controlli nascosti come la posizione GPS del cellulare.
Conviene diffidare del sensazionalismo mediatico dopo il caso del trojan di Stato nel cellulare del magistrato Palamara: online girano dei video della RAI e delle Iene dove sembra che installare un Trojan a distanza in un cellulare sia una banalità alla portata di qualsiasi smanettone. Ovviamente si tratta solo di dimostrazioni preparate per fini mediatici. Nella realtà tutto ciò è possibile solo con sofisticati strumenti riservati agli enti di intelligence, che devono essere gestiti da esperti informatici. Ma soprattutto è possibile solo quando nel cellulare target ci sono vulnerabilità sfruttabili come vettori di inoculazione. Diversamente anche le più importanti agenzie mondiali di intelligence devono entrare in possesso fisico del cellulare per effettuare l'installazione (questa attività viene definita 'inoculazione locale'). E se il cellulare è protetto da password sconosciuta, l'inoculazione locale diviene impossibile nella stragrande maggioranza dei casi. Guardate ad es. cosa ha dovuto fare l'FBI americana nel 2016 per riuscire a rimuovere la password in un Iphone5: vedi...

Nel Web è facile trovare 'esperti' che promettono di installare le App SpyPhone a distanza per svelare ogni segreto. Raccomandiamo di diffidare di queste promesse, anche se si trovano in sfavillanti siti internet. Oggigiorno un sito internet apparentemente super professionale può essere creato in meno di due ore con conoscenze tecniche quasi nulle. E i feedback positivi possono essere falsificati molto facilmente, semplicemente acquistandoli a pochi euro presso attività specializzate in questo tipo di servizi.

Spesso le vulnerabilità di sistemi operativi e App vengono pubblicizzate nella comunità hacker internazionale, quindi vengono corrette dagli sviluppatori. Ma non è sempre così. Esiste infatti un mercato nel dark-web dove alcuni hacker mettono in vendita le vulnerabilità che hanno scoperto a cifre oscillanti fra i 40000 euro e il milione di euro. Il pagamento avviene ovviamente in criptovalute. Chi acquista l'informazione per sfruttare la vulnerabilità acquista anche il silenzio dell'hacker sulla sua scoperta. Quindi l'exploit potrebbe restare sfruttabile anche per anni. Se invece la vulnerabilità viene pubblicizzata, la correzione da parte degli sviluppatori di sistemi operativi e App avviene quasi sempre con tempistiche dilatate. Ad es. il clamoroso CVE3568 di WhatsApp (buffer overflow durante una chiamata vocale) è stato corretto solo a fine 2019. Questo nonostante se ne sia parlato per alcuni mesi. Significa che nel 2020 centinaia di milioni di cellulari sono stati vulnerabili a cyber attack su bug CVE3568. E a confermare il fatto che WhatsApp non è diventato sicuro neppure dopo l'acquisizione da parte di Meta, sono emerse nel 2022 due nuove vulnerabilità piuttosto serie: le CVE 27492 e 36934.

Ma come si sfruttano queste vulnerabilità? Senza voler banalizzare un'attività estremamente complessa come il cyber attack, è cosa nota anche a programmatori alle prime armi che i
 buffer overflow e gli stack overflow opportunamente gestiti possono consentire l'esecuzione da remoto di codici malevoli sulla device attaccata. Ci riferiamo all'immissione in una stringa di un numero di bytes maggiore dell'array del buffer che deve contenerla.

Esempio in linguaggio C:
void leggostringatest(void) {
long num = 0;
char buff[6];
gets(buff);
}

In sintesi se 'gets' raccoglie un numero di bytes maggiore della capienza di 'buff[6]' e se l'overflow (cioè i bytes in eccesso oltre il sesto) contiene un codice eseguibile e correttamente allocabile, può succedere l'imprevisto. Logica vorrebbe che tutto ciò che eccede i 6 bytes venga scartato causa mancata capienza. In realtà viene inviato al processore del cellulare come fosse una normale richiesta della App. Poniamo che lo script arbitrario contenga un 'requestLocationUpdates' per leggere la posizione GPS del cellulare e inviarla all'IP di un determinato server: la CPU del cellulare prende in carico il codice e lo esegue. Quindi l'attacker riceve le coordinate GPS del cellulare come se fossero state inviate da una App che in realtà non ha una funzione del genere. Ovviamente nella pratica non è così facile. Qui abbiamo solo voluto rappresentare il fatto che sono attività possibili, ma certamente non alla portata degli utenti comuni e non connesse alle App SpyPhone acquistabili online.



Servizi tecnici e difesa elettronica. Vedi...


Blogspot
Il nostro blog. Vedi...


Altre pagine connesse all'argomento:

Vera Crypt e Portable Apps. Un semplice sistema per tutelare i segreti.
Vedi...

Trucco spy di WhatsApp Web e altro per WhatsApp.
Vedi...

Signal per telefonare in modo sicuro.
Vedi...

ABC della sicurezza e della privacy nei cellulari.
Vedi...

Due trucchi basati sul WiFi per verificare la presenza di una persona.
Vedi...

 

Acquisti sicuri PayPal






 



Cliccare qui

Pagamenti


Telefono Electronet.


Messaggia su Telegram

Messaggia su WhatsApp

  

Electronet Electronic Devices Via Asiago 22 41028 Serramazzoni (MO). Tel. +39 05361856240. Partita IVA IT 02811170360 - REA 333421 MO - Autorizzazione al commercio 12/1999 Comune Pavullo (MO).

Privacy Policy | Cookies Policy | Condizioni di vendita | Come acquistare | Spedizioni