Vai al contenuto principale

L'attacco a Internet degli Stati Uniti

Immagine stilizzata di un'aquila che intercetta i dati che passano attraverso un router AT&T
NSA vista dall EFF

Negli ultimi anni si sono susseguite rivelazioni sullo spionaggio compiuto dagli Stati Uniti [1], ai danni di tutta l'umanità. La copertura della stampa italiana è stata assolutamente pessima, per cui vorrei offrire un breve sommario a chi non segue direttamente il mondo internet e pertanto non ha chiara la gravità della situazione. Rimane ovvio che per comprendere a fondo la faccenda dovete conoscere l'inglese; l'unica vostra alternativa è la copertura dello scandalo NSA di Wired Italia, che qualcosa ha scritto sull'argomento. Mi occuperò principalmente di quanto rivelato da Snowden, ma riporterò anche i suoi predecessori per chi fosse interessato.

Se c'è un aspetto fondamentale da ricordare è il seguente: la spionaggio degli Stati Uniti durerà per gli anni (se non decenni) futuri. Infatti i programmi di cui siamo a conoscenza sono già vecchi di anni, risalendo perlopiù a quelli iniziati nel 2008. Cito un estratto di Bruce Schneier, esperto di sicurezza, in un suo articolo sul significato di queste rivelazioni:

Innanzitutto lo stato di sorveglianza è robusto. É robusto politicamente, legalmente e tecnicamente. Posso nominare tre programmi differenti della NSA per impadronirsi dei dati degli utenti Gmail. Questi programmi sono basati su tre diffenti capacità tecniche di spionaggio. Poggiano su tre differenti basi legali. Coinvolgono collaborazioni con tre differenti aziende. E parliamo solo di Gmail. Lo stesso si può dire per i dati sulle chiamate del cellulare [2], sulle chat internet, sulle informazioni delle posizioni dei cellulari [3].

Aggiungo anche che esiste un poderoso sostegno, attraverso accordi esteri, per aggirare anche i pochi limiti legali sullo spionaggio interno, basato su di una blasfema alleanza tra la NSA e la GCHQ. In pratica negli Stati Uniti e nel Regno Unito queste due agenzie avrebbero delle limitazioni legali nella sorveglianza dei propri cittadini, ma queste vengono superate con un accordo: gli americani spiano i cittadini inglesi e gli inglesi spiano quelli americani.

La sudditanza del governo britannico è probabilmente l'aspetto più inquietante e pericoloso per noi europei. Difatti per non perdere il favore del padrone americano gli inglesi sono disposti a passare qualsiasi limite, anche quelli che per le spie americane sarebbe politicamente rischioso passare. Ad esempio copiando il 90% di tutto il traffico che transita per il Regno Unito [4]. Ancora peggio, se fra i dipendenti della NSA esistono ancora persone con un minimo di moralità, fra i britannici non c'è assolutamente nessuno che abbia avuto la dignità di rivelare ai propri cittadini l'estensione dello spionaggio del GCHQ. E per il Regno Unito transita la maggior parte del traffico europeo verso gli Stati Uniti.

É importante notare che non è semplicemente la solita storia di spionaggio, come taluni distratti sostengono, bensì un tentativo assolutamente originale per estensione geografica, comprensività delle comunicazioni e solidità tecnica di intercettare, sabotare e controllare la maggior parte delle comunicazioni dell'umanità. In epoche passate una versione molto più limitata di questi apparati era stata sviluppata per alcuni governi avversari, mai contro i comuni cittadini di tutta la Terra.

Fondamentale è poi capire che questa continua attività di spionaggio si basa, in buona parte, sul sabotaggio di componenti fondamentali di internet. Così facendo la NSA lascia aperta la porta a tutti i criminali, supportando anche un mercato delle vulnerabilità [5] con costi di miliardi per le aziende di tutto il mondo, che dovranno spendere questi soldi per miglioare le difese contro avversari molto più aggueriti.

É necessario che ogni persona, azienda ed organizzazione sia cosciente di ciò per essere in grado di reagire, per quanto è possibile ad ognuno.

Tenete conto che ho elencato solo i programmi più discutibili che colpiscono noi italiani, non quelli minori come l'intercettazione dei dati caricati dalle applicazioni degli smartphone oppure quelli più complessi come gli attacchi QUANTUM che pur basandosi sulla compromissione, volontaria e non, di varie organizzazioni portanti di internet riguardano principalmente soggetti specifici ovvero quelli diretti a componenti dei governi.

Obiettivi

La NSA vuole intercettare e registrare qualsiasi comunicazione che passa attraverso internet. Il fatto che spesso non sia legamente autorizzata a farlo non è una problema, essa si limita a ridefinire le parole. Ad esempio la raccolta informazioni non si verifica quando queste vengono registrate nei database NSA, bensì solamente quando un'analista umano le guarda. Un po' come se un ladro dicesse che prendere un portafogli non è vero furto finché non guardi cosa c'è dentro.

Rivelazioni principali

PRISM e MUSCULAR

Grazie a PRISM, la NSA raccoglie giganteschi volumi di comunicazioni online costringendo legalmente aziende tecnologiche americane, incluse Yahoo e Google, a fornire ogni informazione che corrisponde a determinati di termini di ricerca approvati dalle corti [6].

É bene notare che le corti in questione non sono le corti normali, bensì quelle speciali dedicate all'approvazione delle operazioni di spionaggio internazionale che ammettono solo il parere del governo ed approvano il 99% delle richieste. In secondo luogo per termini di ricerca si può includere qualsiasi cosa: da chi ha scritto la parola "Obama" nelle email in una provincia yemenita a tutti gli abitanti d'Italia. In ultimo, nella citazione si parla di Yahoo e Google, ma sono incluse anche Microsoft, Apple e Skype [7].

Il motivo per cui nella citazione vengono nominate solo Y e G è che l'articolo parla di MUSCULAR che si occupa di ottenere informazioni da queste aziende col puro spionaggio. Per cui si nota la doppiezza della NSA: prima ordinano legalmente alle aziende tutto ciò che è possibile ottenere in tal modo [8], poi rubano il resto di nascosto.

XKeyscore

XKeyscore è in sostanza un sistema usato che risiede in cima alla collezione dei dati in possesso della NSA e permette agli analisti di analizzarli. I dati di partenza sono i pacchetti catturati direttamente dal traffico internet, questi vengono poi trasformati in informazioni utili agli operatori: numeri di telefoni, indirizzi email, testi delle email, etc. Gli analisti possono quindi vedere il traffico di loro interesse in tempo reale ed eventualmente conservare o scartare i dati [9].

Tempora

Tempora è un programma simile a XKeyscore, solo molto più esteso: apparentemente mira alla cattura quasi totale del traffico internet che transita per il Regno Unito [10] assieme ad una non specificata parte del traffico mondiale (sono probabilmente coinvolte le basi britanniche nel Mediterraneo), tanto che Snowden ha affermato: «Essi [GCHQ] sono peggiori degli Stati Uniti» [11].

Boundless Informant

BI è il nome di un programma di analisi e visualizzazione dei dati raccolti dalla NSA dedicato ai decision makers [12]. La sua importanza è dovuta a due fattori: ha rivelato lo spionaggio in Italia di 46 milioni di metadata telefonici [13] e prova il fatto che i programmi di spionaggio sono talmente vasti e complessi che ai dirigenti è possibile fornire solo una visione generale d'insieme.
 

Boundless Informat heatmap
Ingrandisci - da Wikipedia

Bullrun

Bullrun è il programma che racchiude i vari tentativi della NSA di oltrepassare la criptazione dei dati. É bene notare che, come ha detto Schneier la NSA «non è magica», ovverosia in genere non ha sconfitto gli algoritmi di criptazione che sono matematicamente sicuri [14], quanto piuttosto vi ha girato attorno. Parliamo di cose come: costringere a fornire le chiavi di criptazione usate per rendere sicuro il traffico TLS/SSL, corrompere alcune aziende per inserire vulnerabilità nei loro prodotti, carpire i dati prima o dopo che vengano criptati, etc [15]. Se da una parte ciò non è certo rassicurante, sia perché hanno comunque i nostri dati sia perché indica una diffusa infrastruttura di accordi legali e commerciali a sostegno dello spionaggio, dall'altra indica che la crittazione funziona e leggi e governi europei adeguati potrebbero riuscire a proteggere i nostri dati.

Un aspetto importante da sottolineare è che questo atteggiamento mina la fiducia con molte aziende americani che, di fatto, non possono più essere considerate sicure. Se in alcuni casi si parla di esplicita corruzione, come nel caso della RSA [16], molte vulnerabilità scoperte di recenete in software opensource e non hanno suscitato parecchi dubbi sulla origine, essendo considerati troppo ovvi per essere casuali.

Dishfire

Dishfire è il programma adibito alla raccolta degli SMS, che colleziona circa 200 milioni di messaggi al giorno [17], trattenendo sia i metadati dei messaggi che il loro contenuto. Da questi vengono estratti, in maniera automatica, informazioni quali transazioni finanziarie, spostamenti, contatti, nomi, piani di viaggio, etc. Questi dati riguardano solo gli stranieri e non i cittadini americani, il che significa che non esiste alcuna restrizione nel loro uso. Un aspetto particolare è che GCHQ, la quale raccoglie i dati nel proprio territorio, non può accedere [18] ai dati dei cittadini britannici senza autorizzazione, ma la NSA, con cui li condivide, lo fa tranquillamente. In pratica il governo britannico aiuta un'agenzia straniera a spiare i propri cittadini. É difficile che questo sia un caso o un errore.

Optic Nerve

Optic Nerve è il programma di GCHQ creato per spiare attraverso le applicazioni webcam di Yahoo! (es. Yahoo! Messenger), estraendo un'immagine ogni cinque minuti. Questa raccolta avviene in maniera indiscriminata [19], riguardando quindi per la maggior parte persone innocenti. Dato che GCHQ si ritrova con questi dati pressoché inutili si è messa a "giocarci", usandola per testare applicazioni per il riconoscimento facciale. Non solo, ha dovuto mettere in piedi misure per evitare che la "nudità indesiderata", presente tra il 3% e l'11% offenda qualche analista oppure sia diffusa da qualche altro [20]. Si parla anche della possibilità di intercettare il traffico videocamere Xbox 360 (ed oggi probabilmente le immagini di Kinect).ù

Turbulence

Turbulence include una diversa serie di programmi, tutti basati sulla cattura dei pacchetti. Turbine, parte di Turbulence,  è un programma ideato per automatizzare l'infezione di un obiettivo.

Da quando Turbine è partito nel 2010, ha permesso alla NSA di scalare dalla gestione di centinaia di operazione di infezione al giorno a milioni. Lo permette escludendo le persone dalla gestione degli attacchi, usando invece software per identificare, puntare e attaccare oggetti connessi a Internet installando malware a cui si riferisce come "impianti". In base ai documenti, gli analisti NSA possono semplicemente specificare il tipo di informazione richiesta e lasciare al sistema di capire come ottenerla senza dover conoscere i dettagli dell'applicazione attaccata [21].

In pratica un tizio puoi ordinare al sistema di infettare tutti gli utenti italiani di un determinato servizio e il sistema lo fa in automatico. Hammerstein e Hammerchant sono adottati per decodificare il traffico VPN e quello Voip/videoconferenze. Turbine può anche combinare Turmoil, che intercetta i pacchetti, con sistemi di per sé limitati a specifici obiettivi, come quelli QUANTUM, per infettare tutti gli utenti che visitano una certa pagina o usano Tor.

Queste capacità danno all'unità Tailored Access Operations (TAO) della NSA l'abilità di condurre non solo attacchi mirati, ma massicce operazioni multilivello che possono catturare vaste quantità di dati non accessibili via XKeyscore. Come se ciò non fosse abbastanza, esiste anche uno strumento di attacco progettato per sfruttare il traffico passante attraverso una specifica "strozzatura" di Internet - un punto di peering di uno specifico Internet Provider, un Internet exchange ad un confine nazionale o il punto d'incontro di un cavo sottomarino, o qualsiasi altro punto di instradamento che possa contenere un impianto [22].

Il che rivela anche un altro aspetto negativo non solo la NSA può infettare milioni di persone e creare una botnet gigantesca impunemente, ma vista la totale mancanza di controllo umano è probabile che attori criminali scoprano e sfruttino le vulnerabilità a proprio vantaggio.

Sommari delle scoperte

NSA files: decoded è un viaggio multimediale su quanto fatto dalla NSA: interviste, grafiche, presentazioni e notizie offerte per creare un quadro coerente. Vi sono state altre rivelazioni da novembre, per cui non è più completo, ma è comunque molto utile per avere un quadro generale.

E come al solito su Wikipedia esiste una sintesi efficace di quanto scoperto circa la sorveglianza americana di internet.

Protagonisti

Spie

NSA: l'Agenza per la Sicurezza Nazionale si occupa di controllare ed intercettare le comunicazioni mondiali per conto del governo americano; GCHQ: l'agenza brittanica equivalente della NSA; Keith Alexander: (it) (en): l'uomo che vuole intercettare e registrare tutto ciò che passa su internet.

Informatori

Russ Tice: intercettazioni illegali di americani; William Binney e Thomas Andrews Drake: progetto Trailblazer; Mark Klein: spionaggio delle comunicazioni americane; Thomas Tamm: intercettazioni senza mandato; Edward Snowden: spionaggio di tutte le comunicazioni internet mondiali e diffuso sabotaggio delle stesse.

Fonti principali per approfondimenti

The Guardian, giornale inglese scelto da Edward Snowden come uno dei custodi dei documenti sottratti alla NSA; The Intercept, pubblicazione online sostenuta dal fondatore di eBay e con editor Glenn Greenwald, Laura Poitras, Jeremy Scahill; Electronic Frontier Foundation: organizzazione che difende i diritti digitali; Washington Post, giornale americano; Ars Technica, pubblicazione online di tecnologia.

Glossario

NSA-GCHQ Snowden leaks: A glossary of the key terms


1. e da tutto il gruppo Five Eyes, ovverosia la cricca degli spioni []

2. ndT, non è chiaro se questo specifico fatto sia vero anche per l'Italia []

3. ndT, non è chiaro se questo specifico fatto sia vero anche per l'Italia []

4. vedi Tempora più avanti []

5. la NSA ha pagato 25 milioni di dollari solo nel 2013 a privati per scoprire vulnerabilità nei sistemi commerciali []

6. NSA infiltrates Yahoo and Google []

7. peraltro oggi parte di Microsoft []

8. per cui peraltro le aziende ricevono dei compensi []

9. Building a panopticon: The evolution of the NSA’s XKeyscore []

10. The UK Tempora Program Captures Vast Amounts of Data — and Shares with NSA []

11. GCHQ taps fibre-optic cables for secret access to world's communications []

12. 2013-06-08 Guard Boundless Informant Capabilities []

13. Da qui ci spiano gli americani []

14. errori sono pur sempre possibili, ovviamente e gli algoritmi più vecchi non sono sicuri []

15. N.S.A. Able to Foil Basic Safeguards of Privacy on Web []

16. peraltro l'azienda sostiene di essere stata ingannata []

17. il numero esatto varia di giorno in giorno, ovviamente []

18. raccoglierli sì, accedervi no []

19. probabilmente in seguito a programmi come Tempora []

20. Optic Nerve: millions of Yahoo webcam images intercepted by GCHQ []

21. NSA’s automated hacking engine offers hands-free pwning of the world []

22. ibidem []

Pubblicazione