Mondo

WikiLeaks: il progetto CherryBlossom e le armi informatiche della CIA

di Giovanni Arestia, 20 Giu 2017

Il 7 marzo 2017 WikiLeaks ha rilasciato una serie di documenti, nominati “Vault7” e datati dal 2013 al 2016, in cui rivelava le tecniche e le strategie utilizzate dalla CIA per spiare diversi dispositivi elettronici di varia natura che vanno dalle Smart TV, agli Smartphone e dai dispositivi di videosorveglianza ai router domestici. Di quest’ultimi se ne parla in modo dettagliato nel progetto denominato “CherryBlossom” reso disponibile in questi giorni.

Il nome CherryBlossom non è inusuale, ma è proprio il software, basato su kernel Linux, che la CIA avrebbe usato per svolgere attacchi “MITM” (Man in the middle, ovvero intercettazione tramite rilevazione dei pacchetti dati trasferiti da un estremo all’altro della comunicazione) ai danni di router privati e pubblici di vari produttori tra cui Linksys, 3Com, Asus, D-Link, Cisco Belkin, Belkin, Buffalo, Dell, Motorola, Netgear, Senao, US Robotics e tante altre. Si stimano, infatti, almeno 25 modelli di router inclini alla compromissione, sebbene non sia da escludere la possibilità che esistano delle varianti capaci di funzionare anche su altri modelli. Attraverso questo attacco, tutti i router possono essere trasformati in punti d’ascolto che permetterebbero alla CIA di manipolare a proprio piacimento il traffico in ingresso e in uscita e infettare, di conseguenza, tutti i dispositivi ad essi connessi attraverso, appunto, il software sopracitato.

175 pagine per spiegare i modelli router a rischio infezione

Il dossier di WikiLeaks è molto dettagliato e spiega in circa 175 pagine non solo i modelli di router più a rischio di “infezione”, ma anche la semplicità di uso e di gestione del software CherryBlossom. In primis viene esplicitamente dichiarato che i router più a rischio sembrano essere il modello DIR-130 di D-Link e WRT300N di Linksys, poiché possono essere compromessi da remoto anche se protetti da una password di amministrazione particolarmente complessa e resistente.

Questo grazie ad un exploit (script, virus, worm o binario che sfruttano una specifica vulnerabilità del sistema) conosciuto con il nome in codice di “Tomato” che può estrarre le password in modo del tutto silenzioso fino a quando resta attiva la funzionalità di “plug and play”, ovvero tecnologie che possono essere incluse all’interno di un sistema hardware o/e software senza che l’utente del sistema conosca o metta in atto una specifica procedura di installazione o configurazione. Ovviamente rientrano nella “black list” anche i router protetti da password deboli o preimpostate di default.

Una volta che viene installato CherryBlossom sul router interessato, esso viene trasformato in una sorta di “FlyTrap” che avvia subito una comunicazione con il server “CherryTree” controllato dalla CIA. Le informazioni trasmesse sono molteplici e molte di esse anche parecchio riservate come ad esempio lo stato del dispositivo, vari indirizzi tra cui l’IP e i diversi dispositivi collegati al router con relative informazioni che comprendono anche eventuale numero di telefono e rubrica.

Database della Cia

Tutti i dati raccolti vengono poi immagazzinati all’interno di un database di prorietà della CIA. Una volta che CherryTree riesce, quindi, a delineare le caratteristiche principali del bersaglio, invia al router una serie di compiti e obiettivi da raggiungere come una sorta di missione in cui il router veste i panni dell’agente segreto. Nonostante il linguaggio poco tecnico possa farlo presagire, tutto questo non è uno scherzo.

Esiste anche una console operativa, chiamata “CherryWeb”, strutturata come un’interfaccia web dalla quale gli agenti della CIA possono visualizzare lo stato di tutti i dispositivi compromessi del software, i relativi dati raccolti, effettuare operazioni di amministrazione ed eventualmente organizzare nuove missioni.

Le attività di CherryTree

CherryTree può compiere numerosissime attività, ma le più utili sono senza dubbio l’ascolto e la copia del traffico di rete che transita per il router, la costruzione di una VPN (virtual private network, una rete di telecomunicazioni privata) che permetta l’accesso alla LAN del router o il proxying (un server proxy è un server che si pone da intermediario per le richieste da parte dei client alla ricerca di risorse su altri server) di tutte le connessioni di rete e il reindirizzamento del router stesso.

Le comunicazioni tra CherryTree e la FlyTrap sono ovviamente crittografate e segrete all’utente poiché vengono camuffate come cookie di browser all’interno di una richiesta HTTP GET per un file immagine. Quella di camuffare i propri datti all’interno di fittizi file immagine è una strategia molto cara alla CIA adoperata da parecchi anni anche per reclutare agenti.

Si tratta di un sistema molto ingegnoso che consiste nell’inviare file immagine a destinatari utili per qualche missione o per conservare dati sensibili; l’utente a prima vista noterà una semplice immagine, alcune volte incomprensibile. Basterà decriptarla e leggere i cookie di browser per poter prendere nota delle informazioni utili.

Nonostante tutte queste informazioni, non si conosce quanto massicciamente sia stato usato CherryBlossom anche perché il manuale condiviso da WikiLeaks riferisce solo di un uso contro bersagli specifici e spesso molto importanti geopoliticamente o economicamente. In teoria, quindi, non dovrebbe essere stato usato come uno strumento di sorveglianza di massa anche se, come detto prima, i router compromessi posso diventare il fulcro di attacchi MITM anche molto pericolosi.

C’è un altro dato che preoccupa, ovvero che i documenti pubblicati da WikiLeaks riguardo questo progetto sono aggiornati ad agosto 2012 e non possiamo, quindi, sapere se e come l’iniziativa sia stata portata avanti fino ad oggi.

Da Asus a Apple tutte le ricerche per la sicurezza

Possiamo però dire con certezza che molte aziende quali D-Link, Asus e le non sopracitate TP-LINK, Fritz! e Apple stanno compiendo ricerche in termini di sicurezza di rete dei loro router già da diverso tempo. Basti pensare che questo evento ha anche fatto da “campagna pubblicitaria” implicita per Apple poiché pare che il software, nonostante numerosi tentativi e l’aiuto di ricercatori informatici delle migliori università USA, non sia mai riuscita a crackare gli AirPort di Apple. Anche Microsoft in questi giorni, dopo il recente attacco informatico denominato WannaCry, ha deciso di rilasciare aggiornamenti di sicurezza sia per sistemi operativi ancora supportati dall’azienda come Windows 7, ma anche per sistemi operativi abbandonati come Windows XP. La mossa di Microsoft, almeno dalle dichiarazioni espresse da Adrienne Hall, capo del centro di Redmond adibito a contrastare le minacce informatiche, non ha molto a che vedere con il progetto CherryBlossom, ma molti dei dispositivi attaccati sono direttamente legati all’ambiente informatico Microsoft, quindi potrebbe comunque esserci un collegamento.

Cosa si sa e cosa è importante sapere su Vault7

Ora come ora si può solo dire che la documentazione raccolta parla di una CIA che dopo aver realizzato questi software così complessi e importanti, secondo WikiLeaks, ne ha perso il controllo. Nel leak si svelano possibilità anche parecchio allarmistiche di come qualche organizzazione potrebbe esserne entrata in possesso e possa usarle a proprio piacimento. Si cita anche che l’ambasciata americana a Francoforte fa da base per l’utilizzo di questo software in operazioni antiterrorismo. Questo è il primo punto che mostra un cambio radicale nelle missioni della CIA.

Nel 2014, infatti, WikiLeaks accusò la CIA di commettere degli abusi di potere perché intercettava a “strascico” ogni utente senza distinzione geografica o metodologica e questo un’agenzia di sicurezza nazionale non lo può fare. Lo scandalo prese il nome di “caso NSA” e coinvolse anche molti Paesi alleati degli Stati Uniti tra cui la Francia e la Germania. Questa volta, invece, le cose sono diverse.

Dal punto di vista etico e dell’opinione pubblica, se la CIA entra in un televisore, in un telefono o in un router, intercetta qualcuno nel modo più segreto possibile e lo fa con lo scopo di scongiurare attacchi terroristici o scoprire dei progetti che possano minare la sicurezza nazionale e internazionale, non crea scandalo, è il suo lavoro. Il problema è quando questi software perdono il controllo del suo creatore, ma anche qui WikiLeaks non è molto chiara perché omette, volontariamente o involontariamente, tutto quello che potrebbe rivelarne una effettiva perdita. Da una prima lettura dei documenti, infatti, non si capisce quale voglia essere l’obiettivo della loro condivisione poiché l’unica certezza è quella che la CIA spia, vi sono spiegati i metodi che utilizza per farlo, ma di certo questa non è una novità. WikiLeaks, però, rincara la dose attraverso il suo statement che ragiona su questo scenario quasi apocalittico:

“Mentre la proliferazione nucleare è stata trattenuta dagli enormi costi e le infrastrutture visibili coinvolte, le armi informatiche, una volta sviluppate, sono molto difficili da mantenere. Sono infatti solo programmi per computer che possono essere piratati. Garantire, proteggere queste armi è particolarmente difficile in quanto le stesse persone che sviluppano e li usano hanno le competenze per far trapelare le copie senza lasciare tracce – a volte utilizzando le stesse “armi” contro le organizzazioni che li contengono. Ci sono notevoli incentivi economici per gli hacker governativi e consulenti al fine di ottenere copie, dato che esiste un mercato delle vulnerabilità globale che pagherà centinaia di migliaia o persino milioni di dollari per le copie. Allo stesso modo, imprenditori e aziende che ottengono tali armi a volte li usano per i loro scopi, ottenendo vantaggio rispetto ai concorrenti nella vendita di servizi.”

Quali sono gli obiettivi

In conclusione è importante sapere su quali e quanti obiettivi hanno usato questi strumenti. Bisogna sapere se hanno violato dei diritti costituzionali dei cittadini statunitensi e non e se, anche in caso fortuito, abbiano alimentato un mercato internazionale di “software-armi” perché se ne sono fatti rubare qualcuno, oppure se ne sono disinteressati come il malware per le centrali nucleari iraniane.

Fa impressione osservare per la prima volta le meccaniche usate da un’organizzazione come la CIA per violare i dispositivi tecnologici che ognuno di noi ha a casa o a portata di mano. Da studente di ingegneria informatica tutto ciò non può che affascinarmi, ma nello stesso tempo allarmarmi poiché ciò che rende i nostri dispositivi intelligenti, prima o poi li renderà anche vulnerabili o controllabili a proprio piacimento da altre menti. Siamo da anni i protagonisti indiretti di una guerra invisibile che ha per armi tutti i dispositivi tecnologici a noi cari e quindi è lecita una domanda: quante vittime avrà questa guerra e soprattutto, a cosa porterà?

 

I dati sono stati presi da wikileaks

NOTIZIE CORRELATE

Mondo

Ema ad Amsterdam? Ecco perché è giusto fare ricorso

di Lia Quartapelle, 30 Gen 2018

Questione di salute Una cosa deve essere chiara prima di affrontare qualunque discorso sulla prossima sede dell’Ema, l’agenzia europea del farmaco: non stiamo parlando di una competizione tra città fine a se stessa, ma della salute di milioni di persone.

Mondo

Brexit, il governo May ammette: giù il PIL per i prossimi 15 anni

30 Gen 2018

Le condizioni economiche del Regno Unito sono destinate a peggiorare quando la Brexit sarà operativa. A rivelarlo un nuovo rapporto del governo britannico, fatto trapelare dal sito d’informazione BuzzFeed news. Gli scenari Il documento prende in considerazione i tre scenari

Mondo

Dazi, Merkel contro Trump: non ha imparato la lezione della storia

25 Gen 2018

Protezionismo e concorrenza globale sono al centro del World Economic Forum di Davos. Da una parte la politica dei dazi dettata dallo slogan ‘America first’ di Donald Trump, dall’altra l’Europa del mercato libero e dell’incentivo alla concorrenza, con la cancelliera