La tecnologia alla base dell'attuale mondo sempre connesso è una bella cosa ma non è scevra da effetti collaterali in ambito sicurezza a causa dell'aumento nel numero di bersagli potenziali, siano essi aziende e siti governativi (teoricamente dotati di mezzi per difendersi) o utenti che usano la tecnologia come una estensione (per molti una sostituzione) della propria realtà.
Se fino a poco tempo fa gli attacchi degli scammers erano una "pesca a strascico" basata sull'incauto cliccare dell'utente sui link di mail in cui ti si comunicava di essere diventato milionario (sic!), oggi gli attacchi sfruttano sempre più tecniche di social engineering il cui livello di raffinatezza (e di tempo dedicato per individuare la "preda") è impressionante.
Attacchi quasi sempre evitabili. Sarebbe sufficiente NON condividere alcuna informazione personale sui social, anche se il social in questione si chiama Linkedin. Trovo folle divulgare la rete di contatti lavorativi ed esperienziali maturati in una vita ad un network che li usa (lecitamente) per creare connessioni e accumulare dati personali, sebbene anonimizzati. Condivisione che avviene troppo spesso senza neppure la motivazione di cercare nuovi ambiti lavorativi; il driver è quasi sempre quello "di esserci".
Se il problema fosse limitato all'utenza media che affolla i social postando foto di ogni evento o fatto a cui si assiste, quando non impegnati a tappare sul display, uno potrebbe cinicamente pensare che si tratta solo di una nuova modalità con cui la selezione darwiniana si manifesta. La preoccupazione aumenta quando si scopre che un numero non irrilevante di prodotti low cost (ma non solo) importati dalle fabbriche orientali risolvono alla base il rischio "dell'incauto cliccatore" incorporando il malware direttamente nel sistema.
Si sa che in Italia i prodotti cinesi hanno da tempo superato il confine di moda per il gadget low cost, per arrivare allo status di prodotti da centinaia di euro. Spesso certamente di buon livello (al netto del fatto che se poi ti serve l'assistenza devi spedire a tue spese il prodotto in Cina oppure che il low cost non rimane più tale quando la dogana scopre il pacchetto) ma con coni d'ombra sempre più evidenti. Il caso eclatante è quello in cui è incappata anche l'occhiuta rivista Altroconsumo che qualche anno fa inviò come regalo ai nuovi soci uno smartphone low cost con malware preinstallato (ovviamente ad insaputa di Altroconsumo). E non si tratta di un caso isolato (vedi note a fondo pagina).
Ma se sui dati personali dell'utente medio si potrebbe glissare dicendo "ve la siete cercata", il problema reale è quello dello spionaggio industriale che sconfina spesso e volentieri nella geopolitica, cioè nella progressiva espansione cinese. Fenomeno quello dello spionaggio industriale sempre esistito ma che oggi con l'onnipresenza della rete dati (e complice aziende prive della mentalità di cybersecurity) è passato da evento una tantum ad attacchi sistemici condotti con l'avvallo dei servizi di sicurezza statali (tipico esempio è la Unità 61398 dell'esercito cinese fortemente indiziata di attacchi cibernetici e di spionaggio industriale).
L'Italia con la sua ricca realtà di tessuto industriale composta da aziende medio piccole a guida familiare, ma ad elevata competenza manifatturiera è un bersaglio ghiotto a causa della scarsa protezione da intrusioni esterne che queste aziende offrono.
Se a questo aggiungiamo la delocalizzazione (ora in fase di rientro) in oriente di molta della componentistica alla base delle schede madri il rischio di manomissioni "a monte" è diventato con gli anni più che una semplice preoccupazione, nonostante il massiccio apparato di controllo del sistema proprietario effettuato dai big della Silicon Valley.
Un timore che sembra essere diventato realtà già da tempo. L'inchiesta pubblicata poche settimane fa da Bloomberg Businessweek ha rivelato che già nel 2015 Amazon si era accorta di anomalie nell'hardware e aveva girato l'informazione in modo riservato ai servizi di sicurezza americani. L'inchiesta non è ad oggi "ufficialmente" terminata (anzi ufficialmente non esiste) sebbene alcune mosse delle big americane nella tipologia di approvigionamenti e l'espulsione di uomini d'affari cinesi con l'accusa di spionaggio industriale, sembrano indicare che dietro le quinte si sia avuta conferma dei sospetti.
Riepilogo qui a grandi linee il contenuto dell'articolo di Bloomberg che vi invito a leggere per intero con la speranza che il grado di consapevolezza dell'utente medio aumenti.
Tutto inizia nel 2015 quando Amazon si prepara ad una delle tante acquisizioni di startup dotate di tecnologie e/o brevetti di interesse (anche solo potenziale). La startup in questione era la Elemental Technologies, e possedeva il know how utile per un servizio che Amazon aveva in cantiere e che poi sarebbe diventato Prime Video. Nello specifico la Elemental Technologies aveva sviluppato un software per la compressione di file video di grandi dimensioni usato con successo per eventi diversi come lo streaming di gare dei giochi olimpici, la comunicazione tra la NASA e la stazione spaziale orbitale (ISS) e persino dalla CIA per trasferire i filmati ripresi dai droni.
Non solo una tecnologia funzionante ma anche usata dal governo, quindi un lasciapassare per futuri (e lucrosi) contratti con le agenzie governative.
Prima di finalizzare qualunque acquisizione è pratica comune passare attraverso un processo noto come due diligence, con la quale l'azienda o il prodotto in oggetto vengono analizzati allo scopo di verificarne la solidità e la congruità con quanto dichiarato. Un processo classico e quasi routinario, seppure fondamentale per evitare di comprare "il nulla"; spesso si delega il compito ad una società terza, specializzata, che gode della fiducia di entrambe le parti in gioco. Ed è stata in questa fase che si è scoperto che c'era qualcosa di strano nella scheda madre, o meglio c'era qualcosa di non previsto nel progetto costruttivo. Qualcosa più piccolo di un chicco di riso nascosto in mezzo alla componentistica standard. L'anomalia è stata confermata dopo una ulteriore verifica richiesta ad una azienda canadese.
Amazon riferì la scoperta alle autorità e all'intelligence USA per il semplice quanto preoccupante fatto che alcuni dei server in uso nel centro dati della difesa americana erano stati forniti dalla Elemental Technologies.
Da qui iniziò una discreta ma approfondita indagine, durata 3 anni, volta a capire sia la funzione del chip "alieno" che del dove/come/quando fosse entrato nella catena produttiva che solitamente le aziende tecnologiche tengono "blindate" e attentamente monitorate.
Non solo una tecnologia funzionante ma anche usata dal governo, quindi un lasciapassare per futuri (e lucrosi) contratti con le agenzie governative.
Prima di finalizzare qualunque acquisizione è pratica comune passare attraverso un processo noto come due diligence, con la quale l'azienda o il prodotto in oggetto vengono analizzati allo scopo di verificarne la solidità e la congruità con quanto dichiarato. Un processo classico e quasi routinario, seppure fondamentale per evitare di comprare "il nulla"; spesso si delega il compito ad una società terza, specializzata, che gode della fiducia di entrambe le parti in gioco. Ed è stata in questa fase che si è scoperto che c'era qualcosa di strano nella scheda madre, o meglio c'era qualcosa di non previsto nel progetto costruttivo. Qualcosa più piccolo di un chicco di riso nascosto in mezzo alla componentistica standard. L'anomalia è stata confermata dopo una ulteriore verifica richiesta ad una azienda canadese.
Amazon riferì la scoperta alle autorità e all'intelligence USA per il semplice quanto preoccupante fatto che alcuni dei server in uso nel centro dati della difesa americana erano stati forniti dalla Elemental Technologies.
Da qui iniziò una discreta ma approfondita indagine, durata 3 anni, volta a capire sia la funzione del chip "alieno" che del dove/come/quando fosse entrato nella catena produttiva che solitamente le aziende tecnologiche tengono "blindate" e attentamente monitorate.
Da quanto trapelato ufficiosamente a Bloomberg il chip permetteva agli attaccanti di creare una porta stealth in qualsiasi rete che includesse le macchine modificate. I chip erano stati inseriti in fabbriche gestite da subfornitori manifatturieri in Cina, verosimilmente da unità specializzate (vedi sopra) dell'esercito cinese. Se infatti la scheda madre era fornita dalla Super Micro Computer, una azienda taiwanese con sede in California e tra i leader mondiali nello sviluppo di server e affini, il vero e proprio assemblaggio e ottenimento delle componenti era basato su mini-aziende misconosciute site tra Cina e sud-est asiatico.
Il vulnus/attacco scoperto è qualcosa di più grave dell'hacking via
software a cui siamo da tempo abituati. Un hacking dell'hardware è certamente più difficile da realizzare ma potenzialmente più devastante.
il 70% dei chip (il 75% degli smartphone e il 90% dei PC) è oggi prodotto in Cina e questo ha un immediato effetto a cascata anche solo sulla "messa in disponibilità" futura. Si tratta quindi di un potenziale (mettiamo pure la forma ipotetica non considerando l'articolo di Bloomber) di attacco del tutto unidirezionale in caso di crisi geopolitiche. Questo spiega perché alcune big tech americane abbiano iniziato il processo di rimpatrio di alcuni siti produttivi (l'Europa si è tagliata da sola gli attributi negli ultimi 20 anni vendendo tutti i processi produttivi oggi delocalizzati, con l'esempio eclatante di Olivetti che da guida del settore è scomparsa nelle prime fasi del boom dell'informatica).
Il vulnus alla fine sembra avere interessato quasi 30 aziende, tra cui una grande banca,
appaltatori governativi e perfino la società più ricca (e lucrativa) al mondo cioè Apple.
Niente di certo qui ma si sa che Apple era un importante cliente di Supermicro e aveva pianificato di
ordinare oltre 30 mila dei suoi server nei successivi due anni per la creazione di alcuni data center in giro per il mondo. Anche qui rapporti non ufficiali riportano che Apple abbia
scoperto il problema in alcune schede madri nel 2015 e anche in questo caso si trattava di
schede madri assemblate da produttori terzi.
A causa delle piccole dimensioni la quantità di codice "alieno" era minima; serviva per fare comunicare il dispositivo con vari computer siti altrove su cui erano caricati codici più complessi in grado di trasmettere comandi di riprogrammazione della macchina.
Apple, Super Micro e Amazon hanno sempre negato tutto.
A causa delle piccole dimensioni la quantità di codice "alieno" era minima; serviva per fare comunicare il dispositivo con vari computer siti altrove su cui erano caricati codici più complessi in grado di trasmettere comandi di riprogrammazione della macchina.
Apple, Super Micro e Amazon hanno sempre negato tutto.
Ma questo ha un senso ed è comprensibile. Prima di tutto perché pubblicamente questo è un danno d'immagine (e di affidabilità anche solo potenziale) molto importante quantificabile in "zillioni" di dollari e secondo perché in genere le "contromisure" vengono gestite in modo riservato siano esse prese direttamente dalle aziende (revoca subappalti, reset linee produttive, neutralizzazione chip via software, ...) che dal governo attraverso l'azione di intelligence. Anzi è verosimile che nelle prossime settimane ci sarà un'attacco circa la fondatezza delle rivelazioni di Bloomberg. Chiaramente nessun commento ufficiale può (e verrà mai) dalla Cina o ufficialmente dal governo USA. Pensate all'effetto mediatico di sapere i server della difesa e di grandi realtà economiche (quindi bottini succulenti a cui attingere) bucati in modo così pervasivo.
Nota. Le recenti direttive europee, accolte dall'Italia, IMPONGONO a tutte le aziende, pena sanzioni pecuniarie importanti, di rivelare ogni intrusione nei server e in particolare ogni compromissione dei dati di clienti in essi conservati. Una mossa fondamentale visto che nella maggior parte dei casi le aziende non comunicano (e peggio sono ignare) tali attacchi come ben esemplifica il caso di Yahoo in cui furono compromessi gli account di decine di milioni di utenti comunicando il fatto solo dopo 2 anni.Alcune cose sono certe e questo spiega il silenzio generale nei media generalisti sulla vicenda: c'era un chip che non doveva esserci e capace di fare cose non pianificate; il montaggio è avvenuto al di fuori in una delle tante piccole aziende subappaltatrici site in Cina o in altre aree dell'estremo oriente dove è nettamente "più semplice" bucare i controlli di produzione.
A proposito, vi dice nulla il fatto che a Huawei e ZTE sia stata (implicitamente) impedita la partecipazione alle aste sul 5G in Australia (--> BBC) e che ci sia un divieto esplicito del Pentagono sulla presenza delle suddette in qualunque azienda che partecipi anche solo indirettamente a contratti governativi (--> The Verge)?
Anche qui se cercate in rete troverete ampie tracce della "controffensiva" mediatica ospitata su blog anche importanti circa l'innocenza cinese scaricando le colpe sulla fobia di Trump (ma anche tedesche, francesi, australiane). Un appunto che omette un dato noto quanto minimizzato cioè che non esiste alcuna possibilità di aziende tech occidentali di entrare (figuriamoci poi di acquisire infrastrutture di rete) in Cina o Russia, mentre per qualche motivo si parla di fobie immotivate quando si pongono paletti all'acquisto di reti nazionali, cioè di infrastrutture strategiche.
Controffensiva per nulla strana se vi guardate attorno e quantificate il flusso di denaro cinese che pervade sempre più settori dell'economia (quindi della comunicazione). I media, notoriamente lontani da ogni condizionamente politico-economico (sono sarcastico!!) e poco propensi ad analisi non etero-dirette sono la migliore cartina di tornasole di tali interessi.
Si tratta né più né meno che di uno scontro geopolitico in cui noi europei siamo nel mezzo e su cui possiamo poco se non quella di evitare di venderci per ... qualche smartphone.
Nota. Un giorno qualcuno spiegherà per quale motivo l'affaire NSA (totalmente centrato sull'antiterrorismo e che non ha avuto ALCUNA attività su spionaggio industriale) abbia occupato le prime pagine dei giornali per mesi mentre si fanno spallucce alle intrusioni cinesi e soprattutto non si citi mai quella gigantesca opera di controllo della navigazione (e dei commenti) in Cina nota come Great FireWall. Un sistema di controllo a cui negli anni hanno accettato di partecipare big come Yahoo prima e Apple oggi (attraverso "l'apertura" di backdoor di controllo governativo utilizzate in teoria solo nel cercato cinese) pur di essere ammessi all'immenso e redditizio mercato locale.Aggiornamento 05/2019
Qualcuno di voi ha mai sentito di azioni di Anonymous su siti russi o cinesi? No? Delle due l'una, o agiscono per conto terzi oppure in certi ambienti è ben chiaro che è meglio evitare di entrare sotto i riflettori di certe intelligence la cui reazione non si limiterebbe a reprimende verbali.
Come dovevasi dimostrare il bubbone è scoppiato con lo scontro diretto Google (quindi Android) e Huawei. Nei mesi intercorsi tra l'allarme della stampa oltreoceano e l'inizio delle ostilità, l'Italia ha visto un incremento delle azioni di marketing dell'azienda cinese per acquisire nuove fette di mercato. Con prevedibili, ottimi risultati.
Prova è che nell'ultima settimana i forum e i siti dei giornali sono stati invasi da utenti (nuovi e vecchi) che ponevano tutti la stessa domanda: cosa fare qualora il play store non fosse più accessibile agli smartphone Huawei e venissero meno anche gli aggiornamenti Android?
I rumors dicono che Huawei darà una accelerata al progetto già in atto con l'EMUI, cioè quello di creare un proprio sistema operativo. Mossa prevedibile, prevista per il futuro ma obbligata ora.
La domanda che mi pongo è: le persone (e saranno tante) che installeranno il S.O. totalmente made in China, quindi fuori da ogni controllo reale, avranno poi ancora il coraggio di gridare allo scandalo quando si scoprissero nuove falle come la recente su Whatsapp (Zuckerberg sempre lui ...)? Un vulnus che, sia detto per inciso, non aveva alcuna rilevanza per l'utente medio a meno che non fosse targettizzato dai servizi o dalle procure (nel qual caso avrebbe almeno dovuto usare Telegram ...).
Fonti
- The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies
Bloomberg Businessweek - ottobre 2018
- Senate Panel Seeks FBI Briefing on Super Micro Hacking Report
Bloomberg Businessweek - novembre 2018
- RottenSys: il malware preinstallato in alcuni smartphone
Avira blog - aprile 2018
Avira blog - aprile 2018
- Malware preinstallato su centinaia di smartphone Android
android.hdblog - giugno 2018
android.hdblog - giugno 2018
- Smartphone Android: occhio ai virus sui modelli low cost. Ecco cosa fare
Altroconsumo - novembre 2016
- Telefonini Android preinfettati, ci casca anche Altroconsumo
Il Disinformatico - novembre 2016
- The great firewall of China: Xi Jinping’s internet shutdown
- China's Surveillance State Should Scare Everyone
The Atlantic - febbraio 2018
- Chinese spies responsible for surge in cyber hacking
Australian Financial Review, novembre 2018
- Chinese intelligence officers charged in U.S. with jet engine hacking conspiracy
San Diego Tribune, ottobre 2018
- Chinese Officer Is Extradited to U.S. to Face Charges of Economic Espionage
NYT - ottobre 2018
Nessun commento:
Posta un commento