Il video è stato prodotto dall’associazione di consumatori americana Consumer Watchdog e fa parte di una campagna per spingere il governo statunitense a creare una lista ‘Do not track me’ che impedisca alle compagnie online di ricavare le informazioni personali dei cittadini; l’iniziativa si ispira alla lista ‘Do not call’ che la Federal Trade Commission creò per prevenire le intrusioni dei televenditori.

Consumer Watchdog ha il dente particolarmente avvelenato con Google. Nel mese di luglio l’associazione aveva infatti parcheggiato un’auto vicino all’area residenziale dei membri del Congresso a Washington rilevando le reti Wi-Fi non protette che potrebbero essere state ‘sniffate’ da Google Steet View. Purtroppo la Consumer Watchdog non è riuscita nel suo intento di portare i vertici di Google a riferire davanti alla House Energy and Commerce Comitee, la commissione parlamentare che legifera, tra le altre cose, sul commercio, sull’energia e sulla tutela consumatore. Ma questa volta, la Consumer Watchdog non ha badato a spese: nei giorni scorsi, il filmato è stato trasmesso 36 volte al giorno su un megaschermo al Time Square di Manhattan.

Contattato dall’Ansa, il responsabile di Google Italia Simona Pansieri ha però esitato ad ammettere che i risultati erano stati manipolati (“Non posso confermare che si tratti di un attacco finché non avrò indicazioni piu’ precise dagli ingegneri americani per capire la natura del problema”). Dopo numerose ore di lavoro e a problema risolto, la questione è stata liquidata come “errore di indicizzazione”. Il fatto è che ufficialmente il motore di ricerca dovrebbe essere immune da attacchi di google-bombing da diverso tempo. Tuttavia, come questo episodio ha dimostrato, manipolare i risultati del motore di ricerca è tutt’ora possibile…

Il caso Google Street View sta assumendo toni tragicomici. Eravamo i partiti con un innocuo giochiono, le immagini dalle strade registrate da migliaia di auto in tutto il mondo. Era divertente, no?, su Google Maps poter vedere le foto e non solo un simbolo su una piantina. Poi qualcuno ha cominciato a sentirsi a disagio nel vedersi immortalato sulla veranda di casa propria, e qualche governo si è accorto che non è proprio raccomandabile che un’azienda straniera circoli per il proprio territorio raccogliendo immagini e chissà cos’altro. Poi il chissà-cos’altro è venuto a galla: le macchine di Google raccoglievano i dati sulle connessioni wi-fi non protette. Dopo aver negato in un primo momento (Toh, non ce n’eravamo accorti!), Google ha estratto il suo archivio da 6 TB raccolto in trenta paesi. Ora si scopre che le auto sniffavano anche le email. Vogliamo credere che sia finita qui? No di certo.

Intanto, anche le autorità di Spagna e Germania chiedono che Google condivida con loro i dati raccolti nel proprio paese. L’unica cosa certa è che proprio i dati, che si scoprono sempre più sensibili, stanno passando per troppe mani.

Fonte:

La faccenda è ormai nota: mentre le sue auto circolano per le strade di tutto il mondo per riprendere, Google mappa le connessioni wi-fi private raccogliendo oltre 600 Gb di dati. In Germania, dove lo scandalo esplode, le autorità impongono di consegnare tutte le informazioni che riguardano il proprio territorio. Ma Google nicchia, perché ciò, paradossalmente, potrebbe infrangere la legge tedesca sulla privacy, che punisce anche la consegna di dati sensibili alle stesse autorità governative. Intanto, alcune associazioni per la privacy cominciano a ritenere che forse è meglio lasciare i dati congelati presso una compagnia privata, piuttosto che consegnarli ai governi.

Ma c’è anche chi vuole vederci chiaro. Alcuni membri del Congresso americano – appena un pugno, a dire il vero – scrivono all’AD di Google Eric Schmidt per chiedere spiegazioni. Vogliono sapere, in sostanza, come e soprattuto perché Google abbia raccolto questi dati e se li abbia mai venduti a terze parti. E sospettano che la raccolta di dati fosse il vero scopo che tenesse in piedi tutta l’operazione Street View.
Se già il fine dichiarato di raccogliere immagini dalle strade è a ben vedere poco simpatico, ciò che è emerso negli ultimi mesi lascia intravedere un’ulteriore ombra dietro la faccenda. Un’ombra che dovremo abituarci a sospettare anche altrove.

Molti ritengono che il GPS o i cinquanta giga di spazio gratuiti di Gmail siano servizi messi a disposizione da filantropi per il bene dell’umanità. Nessuno si domanda mai chi paga gli enormi costi per mantenere queste tecnologie, e perché. A voler essere realistici, non si lanciano satelliti in orbita, non si gestiscono enormi e dispendiosissimi server né si mandano centinaia di macchine per le strade del mondo semplicemente per fare un regalo.

Tutto ciò che ci permette di connetterci e localizzarci sempre e ovunque, ci rende rintracciabili in ogni momento. Da chiunque sappia come farlo, o da chiunque acquisti il pacchetto con i nostri dati; per offrire il prodotto su misura, per sorvegliare oppure per spiare o punire. E ora, tutte queste informazioni, ormai raccolte, fanno gola anche ai governi.

Ricordiamo ciò che disse l’AD di Google Eric Schmidt in un’intervista qualche mese fa: “Se avete qualcosa che non volete far sapere a nessuno, forse in primo luogo non dovreste farla”. Parole che ora fanno venire ancora di più i brividi.

La lettera dei membri del Congresso americano a Eric Schmidt

A scoprirlo sono state le autorità per la privacy tedesche, che hanno richiesto a Google di cancellare i dati personali delle connessioni, oltre che a cessare le intrusioni nelle strade della nazione con Street View. È ormai chiaro che Street View è una minaccia non solo in termini di privacy dei cittadini, ma anche di intelligence. È quantomeno bizzarro, infatti, che a un’azienda sia lecito circolare per le strade di un paese straniero collezionando immagini e dati.

Va detto, peraltro, che Google non è l’unica azienda a collezionare questo tipo di dati. Sempre in Germania, il Fraunhofer Institute ha mappato i network WiFi fin dal 2000 e la Skyhook Wireless utilizza il suo sterminato database di reti wireless per inviare informazioni sulla localizzazione in molti dispositivi mobili come l’iPhone e l’iPad.

Ma ciò che può fare Google è molto di più. Incrociando le immagini e le informazioni di Street View con tutte le altre informazioni che il colosso di Mountain View possiede, è possibile risalire pressoché a qualsiasi informazione su di noi, fino a raggiungerci sulla porta di casa, e forse anche al suo interno. A questo punto, suonano sempre più sinistre le parole di Eric Schmidt “Se avete qualcosa che non volete far sapere a nessuno, forse in primo luogo non dovreste farla”.

Connessioni ‘sicure’?

Le connessioni sicure crittografano il traffico in modo tale che i contenuti siano visibili solo al vostro browser e il server del sito che state visitando. Tuttavia, la dimensione del traffico tra il browser e il server rimane visibile e da questo dato si possono dedurre molte informazioni. Ad esempio, si può inferire la pagina che state vedendo dalla dimensione della richiesta del browser (la dimensione dell’URL) o dalla risposta del server (la dimensione della pagina che state vedendo). Ora, siccome le applicazioni web 2.0 sono, per l’appunto, dei veri e propri programmi online, il numero di interazioni tra il vostro browser e il server aumenta esponenzialmente, e con questo anche i dati che possono essere dedotti.

Ad esempio, i motori di ricerca che suggeriscono i termini mentre li state digitando possono rivelare esattamente ciò che state inserendo. Quando digitate un carattere, il motore di ricerca lo invia al server, il quale a sua volta invia una lista di termini suggeriti. Ebbene, la dimensione dei termini suggeriti dipende da quale carattere avete digitato. Ciò significa che chi vede la dimensione della risposta crittografata può dedurre la lettera che avete digitato. E questo è proprio ciò che hanno fatto i ricercatori dell’Indiana, con successo, non solo sui più popolari motori di ricerca ‘generalisti’ Yahoo!, Google e Bing, ma anche su numerosi e rinomati siti che offrono servizi fiscali, finanziari e medici, i cui nomi sono stati tenuti riservati.

Anche il nome del vostro dottore

“Una spia può dedurre le malattie, i medicinali e le operazioni dell’utente, il suo reddito familiare annuo, i suoi investimenti e la ripartizione del suo denaro, anche se il traffico web è protetto dall’HTTPS” afferma la ricerca “Abbiamo dimostrato che anche in un azienda che utilizza le crittografie WPA/WPA2 aggiornate, uno sconosciuto senza credenziali può sedersi fuori dall’edificio e spigolare i termini di ricerca inseriti nei portatili dei dipendenti, come se fossero esposti a chiare lettere nell’aria”.

I ricercatori hanno potuto dedurre il nome del dottore e le condizioni mediche di una persona che aveva utilizzato il servizio di “una delle aziende più stimate di servizi online”. Lo stesso metodo è stato applicato a un sito che offriva un servizio di consulenza fiscale online. Il sito faceva delle domande semplici e adattava quelle seguenti in base alle risposte che riceveva. Controllando le risposte cifrate, potevano determinare che il sito stava rispondendo a domande riguardo a deduzioni fiscali per studenti, che si applicano solo a contribuenti che guadagnano meno di 145.000 dollari all’anno. Confrontando questo dato con altre risposte che riguardavano sempre delle deduzioni, i ricercatori hanno potuto inferire con una certa precisione il reddito dell’utente.

Una soluzione di là da venire

E se riempissimo il traffico con dati superflui per confondere gli hacker? Purtroppo, la ricerca dimostra che questa soluzione non è sempre efficace, oltre ad appesantire notevolmente la trasmissione e la ricezione dei dati. “Bisogna individuare dei correttivi efficaci ed efficienti specifici per ogni applicazione” concludono i ricercatori “gli sviluppatori dovranno identificare le vulnerabilità e poi adottare strategie di correzione di conseguenza”.

Quel che è certo è che la messa in sicurezza dei siti web 2.0 sarà un grattacapo per diversi anni a venire.

***

La ricerca dell’Università dell’Indiana

Il dato più clamoroso riguarda Xbox live, che conserva a vita tutti i dati dell’utente, compresi numero di carta di credito e tutti gli IP dai quali si connette: “Se durante le investigazioni trovate una console rubata” specifica il rapporto “se il numero seriale o il gamertag sono disponibili e la console è stata connessa a internet, il registro degli IP potrebbe essere disponibile”.

Rimangono aperte un paio di questioni già sollevate a suo tempo per le ammissioni di Google. Innanzitutto, il problema della giurisdizione: negli USA il Patriot Act permette tra le altre cose che le autorità accedano ai dati personali dei cittadini senza restrizioni; gli utenti Microsoft, tuttavia, come quelli di Google, sono sparsi in tutto il mondo. Ciò significherebbe ad esempio che le autorità americane possono violare la privacy di un cittadino italiano avvalendosi di una legge statunitense.  A questo punto, la differenza con il governo cinese che fruga negli account Gmail degli attivisti politici comincia ad apparire molto labile…

In secondo luogo,  la conservazione dei dati personali espone a rischi di sicurezza, soprattutto a possibili abusi da parte di dipendenti o ex dipendenti. E le cronache recenti (vedi il caso HSBC) ci hanno mostrato come questi ultimi siano disinvolti nel rivendere i database copiati dalla propria ex compagnia.

Un’ultima osservazione riguarda il documento Microsoft. L’articolo di Wired spiega come la guida sia stata pubblicata da Cryptome, un sito che metteva in condivisione documenti governativi riservati. Appellandosi al DMCA, Microsoft ha citato il sito per violazione di copyright e, casualmente, pochi giorni dopo il provider Network Solution ha colto l’occasione della scadenza del contratto per chiudere il sito e bloccare il dominio. Con ciò, scompare un sito che dal 1996 aveva pubblicato migliaia di documenti governativi che le agenzie federali avrebbero preferito tenere segreti…

Il documento Microsoft pubblicato da Wired

“L’Italia non esiste più”: dallo smantellamento del Tiger Team a Google che  impone la legislazione USA al mondo, Cina compresa, Cyberworld non ha più confini. Fabio Ghioni intervistato da Affaritaliani.

L’intervista/ Fabio Ghioni, numero uno degli hacker italiani: “La sicurezza nazionale in Rete non esiste più. E nemmeno la privacy: ecco perché”

Lunedí 22.02.2010 18:20

di Stefano Golfari

Chi sia precisamente Fabio Ghioni non si sa: in Telecom, ai tempi di Tavaroli e dello scandalo dei dossier, era il capo carismatico del Tiger Team, ovvero del gruppo di miliziani del computer incaricati di difendere i nostri confini digitali dagli attacchi degli hacker, dei servizi segreti stranieri, del terrorismo informatico e dello spionaggio industriale. Poi è stato accusato lui di pirateria e di spionaggio d’alto bordo, fino a essere sbattuto in galera (San Vittore) in isolamento assoluto. Ne è uscito in seguito con l’ambigua fama di essere uno dei migliori/peggiori hacker del pianeta, cosa che gli ha guadagnato l’assoluto rispetto di schiere di adoranti “wannabe”, dalla Thailandia alla California. Ne hanno fatto addirittura un eroe a fumetti con il nickname di Hero-Z con gli stessi suoi occhialini a spigolo vivo. Intanto Ghioni diventava scrittore, filosofo esoterico, Maestro Yogi e inventore di curiosi aggeggi, sempre più piccoli, che agganciati a internet riescono a fare quasi ogni cosa. Uno strano tipo di guru che vive dentro un Avatar digitale e abita in Cyberworld, nel mondo fanta-digitale dei romanzi di Stieg Larsson. E l’Italia? E la sicurezza nazionale? Chi protegge, ora, le nostre frontiere informatiche? Affaritaliani lo ha intervistato.

“L’ Italia non esiste più…”

Come scusa? Stiamo a Milano, Corso Buenos Aires, stai bevendo un caffè italiano, Fabio…

“Lo vedo bene, e il caffè è buono. Ciò non toglie che tutto quanto è reale ora vive anche dentro un’altra dimensione, dentro un’altra scatola, o dentro un altro corpo, se vuoi. Come in Avatar. La rete, il web, internet sono il nostro Pandora, sono un altro pianeta.  Un mondo che ha caratteristiche geofisiche differenti, costumi, leggi, e forme di illegalità…diverse. La gente se ne accorge quando qualche pazzo pubblica le peggio nefandezze su Facebook, e sembra che nessuno possa impedirlo. Ma bisogna capire il perché…”

Già, perché?
“Ti faccio anch’io una domanda: la tua posta elettronica è su Google, sei un @gmail.com per caso?”

Sì, sono su Gmail…
“Allora tu e tutto quello che scrivi state sotto la giurisdizione di uno stato estero, gli USA. Sei americano sul web, altro che Italia. Lo sapevi? Se sarai indagato la magistratura dovrà inviare una rogatoria al governo di Mr Obama prima di poter leggere la tua posta elettronica”.

Bene, allora la mia privacy è protetta due volte!
“Mica tanto, perché Google – come tutte le infrastrutture critiche del sistema di telecomunicazione americano – ha firmato un preciso protocollo che obbliga l’azienda a mettersi a disposizione dei servizi di sicurezza del governo statunitense, se occorre. Cioè se arriva una richiesta dalla CIA”.

La CIA ci spia!
“Diciamo che potrebbe provarci, quando e dove  ne valesse la pena… In Cina, ad esempio. Forse è ora che qualcuno dica che il caso Google/Cina probabilmente non è solo una bella battaglia democratica contro il potere oscurantista di uno Stato dittatoriale e comunista. Forse occorre anche valutare che ogni nuovo cinese che entra in Google e scambia posta elettronica in Google rappresenta in qualche modo per gli Usa un caposaldo avanzato di territorialità americana in Cina, e costituisce un prezioso accesso ‘potenziale’ alle reti informatiche di quel Paese… Capito perché si arrabbiano i cinesi?”

Forse. Ma che vuol dire accesso “potenziale”? Fammi un esempio…
“Ti faccio prima un esempio letterario, tratto dalla trilogia Millennium di Stieg Larsson che fa da traccia al mio libro ‘Hacker Republic’ (edito da Sperling & Kupfer, 162 pp, 12 euro, ndr). Un gruppo di hacker vuole consumare la propria vendetta e per farlo deve violare il sistema informatico superprotetto della polizia svedese. C’è un commissario sgobbone che si porta il lavoro a casa… e il gioco è fatto! Si entra da lì, dal personal computer che il commissario collega al web dalla Wi-Fi di famiglia, sprovvista di protezioni particolari. Gli hacker infilano un trojan in un file di lavoro… E quando il commissario riporta il lavoro in ufficio… il Cavallo di Troia si apre e prende possesso dei computer della polizia svedese, copiando ed esportando tutti gli archivi segreti. ‘Nessun sistema di sicurezza è migliore del più stupido dei collaboratori’, dice Stieg Larsson ne ‘La ragazza che giocava con il fuoco’. Ogni singolo utente di una rete è un accesso potenziale”.

Mi sono perso alla voce trojan…
“Ragazzo, aggiornati: diconsi trojan (o cavalli di Troia) quei programmi appositamente concepiti per accedere in modo invisibile a un computer altrui, e da lì alla rete di computer connessa. E’ quello che fa, banalmente, qualunque manutentore delle macchine in dotazione a un ufficio: dal server principali entra nelle diverse postazioni periferiche, svuota gli hard disc, copia o distrugge cartelle e documenti… Solo che i modi e le situazioni possono essere un pochino diversi… Quando lavoravo in Telecom, con il mio Tiger Team (il più qualificato gruppo di esperti di digital security italiano, smantellato dopo il ‘Caso Telecom’, ndr), ricevemmo un attacco di questo genere dalla Kroll, la più grande e titolata multinazionale americana del settore, la quale era stata assoldata da una nostra concorrente brasiliana che puntava a raccogliere segreti che potessero far danno ai vertici dell’azienda e a Tronchetti Provera in particolare. Tentavano in questo modo di indebolire Telecom sul mercato internazionale, ma nello stesso tempo attentavano alla nostra sicurezza nazionale. Perché le telecomunicazioni sono le mura che reggono tutto il castello e se un topolino si infila in quella porticina può fare più casino degli elefanti di Annibale che valicarono le Alpi. Noi però ce ne accorgemmo e passammo al contrattacco: infilammo un trojan nei computer della Kroll, vale a dire in una delle reti informatiche più blindate del pianeta… e così, reso pan per focaccia, quelli capirono che era meglio lasciarci stare, altrimenti avremmo potuto aprire i loro computer e sfogliarli come un libro d’avventure…”

Vi hanno dato una medaglia?
“No, ci hanno messo in galera. Io in isolamento assoluto, per mesi. E sbattuto su tutti i giornali come se fossi Fantomas a capo della Spectre… Invece il Tiger Team difendeva l’interesse nazionale, la security, le porte di accesso al Sistema-Italia. Energia, telecomunicazioni, trasporti, esercito, risorse idriche, alimentari, banche, sistema elettorale elettronico… Tutti i settori fondamentali per il funzionamento di una Nazione e della sua economia sono interamente gestiti da sistemi informatici. I veri confini fra Paese e Paese oramai, le vere linee di difesa, stanno nella testa di coloro che possono violare e/o difendere la sicurezza di una rete globale. Non per niente gli hacker più famosi d’America ora lavorano per il governo Usa. Ma in Italia questo non è più possibile, dopo quello che è successo al Tiger Team. Ora fra gli operatori informatici della security nazionale regnano, mi pare, la paura e il legittimo menefreghismo… quello che ti fa pensare ‘Ma chi me lo fa fare? Voglio rischiare la galera anch’io?’. Rischiamo di restare in balìa degli hacker al soldo di chicchessia. Questo è un Paese incapace di difendere chi viene incaricato di difenderlo, e invece servizi di sicurezza dei Paesi esteri sono protetti, rispettati, furbi e aggressivi. Incrociamo le dita…”

Oltre a incrociare le dita pare che tu venga assoldato da vip come Jennifer Lopez per garantirle che nessun tuo collega riesca a ficcare il naso nel suo laptop, inteso come computer…
“Sorry, ma quel che faccio per i clienti privati è top secret. Quel che posso dire lo scrivo nei miei libri, ed interessa tutti, altro che vip… Tutti siamo sul web, con nome, cognome, indirizzo. Quando usi la carta-sconti del tuo supermercato o il tesserino dei mezzi pubblici c’è una banca dati che registra l’operazione e la salva in un hard disc che conterrà per anni e anni la tua identità digitale, connessa alla rete di cyberworld. Pensi sia una banca dati inaccessibile quella dei buoni-sconto del supermercato? Pensi che chi vorrà rubare la tua identità digitale ti manderà prima un modulo-richiesta da riempire? Mai sentito parlare di RBN? Russian Business Network, un’organizzazione criminale russa specializzata nel furto di identità. E in Russia, bada bene, il crimine informatico non è neppure previsto dal Codice penale. Esiste la privacy in internet? C’è per chi la paga cara, ma anche il tuo portafoglio ha nome, cognome e indirizzo… Se cuoci un biglietto da 100 euro in un forno a microonde che succede?”

Ti sembrerà strano ma non ho mai provato a cuocere banconote in un forno a microonde…
“Male, bisogna essere sospettosi… Se ci provi e osservi bene vedrai che in un certo punto si sviluppa una fiammella che lascia un minuscolo foro. Cos’è bruciato? L’RFID”.

RFID?
“Un piccolo trasponder digitale che contiene dati, informazioni sull’oggetto che lo ospita. RFID sta per Radio Frequency Identification perché il lettore che serve a codificare i dati comunica con il trasponder tramite onde radio. Tutti i nostri euro sono marcati: importo e numero di serie sono letti in modo invisibile da una qualsiasi porta digitale abilitata a farlo. Certo se chiedi ai Buoni ti spiegano che l’idea è nata per combattere i Cattivi, la malavita, la Mafia, per inseguire i soldi sporchi. Però se io intanto ti presto 100 euro, tu senza saperlo ti metti in tasca anche un chip elettronico che potrebbe rivelarmi dove sarai domani e come stai spendendo i tuoi soldi: E magari il cattivo sono io…”

Appunto, scusa… Tu stai con i buoni o con i cattivi? Perché che sei inquietante è sicuro…
“Io sto con il lato luminoso della Forza… Ma la forza ha anche un lato oscuro, le partizioni non sono mai così nette… neanche in Guerre Stellari. Per anni sono stato consulente informatico delle Procure italiane sui casi di terrorismo, le Nuove Brigate Rosse in particolare. Soggetti già molto esperti all’epoca degli omicidi D’Antona e Biagi, in grado di lasciare firme digitali riconoscibili soltanto da un hacker. Il web, cyberworld, Hacker Republic sono un’arma potentissima in mano al ‘lato oscuro’. Anzi, dopo il primo manifesto sul cyber-terrorismo lanciato in rete nel 2000 da Osama Bin Laden ‘Al-jihad al-electroni’ non si dà forma evoluta di terrorismo che non sia anche terrorismo informatico… Ma per fortuna dietro un’identità virtuale c’è sempre un uomo reale, e l’uomo può sbagliare…”

Che vuoi dire?
“Ti prendo l’esempio più recente che ho sottomano: Manolo Morlacchi, figlio di Pietrino Morlacchi che fondò le Br con Curcio è stato arrestato a Milano. Il sospetto è che volesse riprendere l’attività paterna, vedremo… Quel che è certo è che l’hanno descritto come un hacker esperto. Ma poco furbo: in casa gli hanno sequestrato il manuale cartaceo del ‘cyber-terrorista’. Un’ ingenuità imperdonabile… La sua identità digitale era una ‘primula rossa’ imprendibile, ma l’identità reale… è stata fregata dalla nostalgia per il modernariato: per la carta stampata, per le vecchie rivendicazioni scritte con la macchina da scrivere e la stella a cinque punte disegnata sopra. Umano troppo umano, diceva Nietzsche. E non si scappa: che tu sia un buono o un cattivo, che tu stia nel lato luminoso o nel lato oscuro… è la tua umanità imperfetta che prevale, nessuno può staccarle la spina. La Natura vince sempre. Come su Pandora, anche in Hacker Republic. Il che però non garantisce sonni tranquilli…

No?
“Proprio no. Un hacker che si rispetti non ha carta stampata, ha memoria. Non lascia le passworld scritte sui post-it sotto la scrivania… Ma neanche le lascia nel Computer, dove un altro hacker può scovarle. Tutto è in rete, non dimenticarlo. E quando ti siedi di fronte a un monitor, fatti sempre una una domanda…”

Quale?
“Sono io che guardo lui o è lui che guarda me?”

Anche se non ci sono prove che gli autori dell’attacco siano realmente collegati all’Iran, un gruppo con lo stesso nome ha spento Twitter lo scorso mese.

Fonte:

China loses web engine through hacking

Le autorità francesi e tedesche consigliano di evitare l’uso di Internet Explorer. I governi di entrambi i paesi hanno diffuso comunicati in cui invitano i cittadini a utilizzare un altro browser finché Microsoft non avrà risolto la vulnerabilità sfruttata per gli attacchi a Google e ad altre trentatré compagnie.

Da parte sua, Microsoft ha invitato urgentemente tutti gli utenti ad aggiornare Internet Explorer alla versione 8 e di selezionare il livello di protezione alto, che però impedisce la visione di gran parte dei contenuti web. Per le autorità tedesche, tuttavia, anche questi espedienti non bastano. Nell’avviso diffuso dall’Ufficio Federale per la sicurezza dell’informazione, l’avvertimento include anche l’ultima versione di Explorer.

Per Microsoft, fissare questo problema non sarà un compito facile, visto che nel frattempo potrebbero essere già in circolazione nuove versioni del malware usato dagli hacker cinesi. A ciò si aggiunge il fatto che le versioni del browser interessate sono ben tre – 6,  7 e 8 – e che l’aggiornamento dovrebbe funzionare su ogni computer.

Intanto, i ricercatori hanno rilevato riferimenti al codice utilizzato per l’attacco in alcune mailing list e la presenza del codice stesso su almeno un sito web. È da ricordare che presumibilmente l’attacco a Google avrebbe avuto inizio tramite un link inviato ai dipendenti per email o instant message che collegava a un sito malevolo.

Fonti:

• France, Germany Say Avoid IE Until Security Vulnerability Patched
• Germany issues Explorer warning

Quello che emerge dai dati che vengono alla luce in questi giorni è che l’attacco subito da Google non ha precedenti. Gli hacker  avrebbero utilizzato tattiche avanzatissime che combinano crittografia e furto di programmi. Secondo gli esperti non si sarebbe mai visto, al di fuori dell’industria della difesa, compagnie commerciali sotto attacchi a questi livelli di sofisticazione.

Intanto, alcune delle altre trentatré aziende attaccate, su invito di Google, stanno venendo allo scoperto fornendo dettagli sugli attachi subiti: oltre ad Adobe, di cui già si sapeva, hanno dichiarato di essere stati attaccati anche e il provider Rackspace, Symantec e Juniper Networks. Secondo il Washington Post tra gli obiettivi ci sarebbero stati inoltre Dow Chemical e Northrop Grumman e, secondo voci non confermate, anche Yahoo.

La serie di attacchi è stata battezzata “Operation Aurora”,  siccome il malware conteneva un collegamento a una cartella con questo nome sul computer di uno degli hacker. L’attacco iniziale sarebbe stato sferrato attraverso un link malevolo, probabilmente inviato ai dipendenti delle compagnie via email, via chat o attraverso Facebook o altri social network. Quando gli utenti hanno visitato il sito, Internet Explorer è stato forzato a scaricare sui loro computer una serie di malware.

La porzione di codice iniziale era uno shell code crittografato tre volte e ha attivato l’exploit. Poi ha eseguito un download da una macchina esterna che ha inserito nell’host il primo pezzo di codice binario. Il codice binario crittato si è poi compresso in un paio di file eseguibili che erano essi stessi crittati. Uno dei malware avrebbe aperto un backdoor remoto sul computer, stabilendo un covert channel che ha mascherato una connessione SSL per evitare la rilevazione. Ciò ha garantito agli hacker l’accesso ai computer e ha permesso loro di un “beachehead” in altre parti del network, per cercare le credenziali di accesso e altro materiale.

I server command-and-control utilizzati dagli hacker per travasare i dati sarebbero stati localizzati in Illinois, in Texas e a Taiwan. Non ci sono ancora notizie circa i server americani, tranne il fatto che il provider texano Rackspace ha ammesso nel suo blog la scorsa settimana di aver giocato a propria insaputa “una piccolissima parte” negli attacchi. Rackspace ha dichiarato che un server è stato compromesso e disabilitato e che l’azienda ha “assistito attivamente le indagini e ha cooperato pienamente con tutte le parti coinvolte” negli attacchi.

Gli attacchi sarebbero iniziati il 15 dicembre – ma non si esclude che possano essere anche precedenti – e sarebbero cessati il 4 gennaio, quando i server command-and -control uitilizzati per comunicare con il malware e il siphon data sono stati spenti.

Fonte:

• Google Hack Attack Was Ultra Sophisticated, New Details Show
• Other Targets In Google Cyber Attack Surface

Le parole di Schmidt sollevano una questione che va ben oltre la privacy e che Hacker Repulic ha messo in evidenza. Schmidt infatti si richiama a una legge statunitense, ma Google ha una copertura mondiale.  Ergo, attraverso Google anche noi in Italia saremmo soggetti al Patriot Act americano, oppure Google Italia risponde alla legge italiana? La domanda non è irrilevante.

The Register fa notare inoltre che la conservazione dei dati personali espone a rischi di hackeraggio e di usi illeciti: del resto le conache recenti ci hanno raccontato di come nella Deutsch Bank e nella T-Mobile i dipendenti stessi rivendessero i dati sensibili dei clienti. In definitiva, le dichiarazioni dell’ad di Google fanno capire una volta per tutte che chi è preoccupato della propria privacy dovrebbe disattivare i cookies di Google, evitare di iscriversi ai suoi account e, in definitiva, evitare di usare il motore di ricerca. Il problema è che la gran parte degli utenti non lo sanno.

Per finire, una nota divertente: il sito Gawker ironizza sul fatto che nel 2005 proprio Schmit aveva bandito Cnet dopo che il sito di news aveva pubblicato informazioni su di lui, che includevano il suo stipendio, vicini di casa, hobby e donazioni politiche. CNet aveva reperito queste informazioni proprio tramite Google.

Fonti:

• Google chief: Only miscreants worry about net privacy – The Register
• Google CEO: Secrets Are for Filthy People