"""Quando la NSA attaccò firme di antivirus come Kaspersky" " "

on TPL_WARP_PUBLISH .

Valutazione attuale:  / 1
ScarsoOttimo 

La NSA e il suo equivalente britannico GCHQ  hanno lavorato a lungo per cercare di vulnerare i prodotti antivirus a livello mondiale, tra cui quello della popolare compagnia Kaspersky. E’ quanto emerge con chiarezza dalle nuove rivelazioni fatte dall’ex agente de la NSA Edward Snowden.

Ingegneria inversa

Dissezionare i prodotti e cercare vulnerabilità sfruttabili: questo è quanto hanno fatto le agenzie di governo coi prodotti antivirus più popolari. Ma non solo, avrebbero anche monitorato le comunicazioni via mail e il traffico web per individuare piste che li aiutassero.

(DESTACADO) La NSA e il GCHQ hanno monitorato durante molto tempo le comunicazioni tra i server e i clienti delle compagnie di antivirus.

L’ingegneria inversa realizzata sul software di Kaspersky ha portato indirettamente a filtrare informazione rilevante degli oltre 400 milioni di clienti della compagnia della impresa a livello mondiale. Qualcosa Di assolutamente illegale.

Il gatto e il topo

(DESTACADO) Questi tentativi sono stati importanti specialmente nei casi di spionaggi statali, come è stato il caso di Flame, Duqu e altre minacce.

Così, durante gli ultimi anni, si è prolungato questa sorta di gioco tra ambo le parti, con la NSA giocando molte volte la parte del gatto, e l’antivirus quella del topo. Gli sforzi per corrompere i prodotti antivirus hanno un chiaro significato: infatti questi sono normalmente l’unica barriera di protezione con la quale conta il sistema e che godono della massima fiducia da parte del sistema operativo. Secondo le parole di Joxean Koret, un ricercatore di sicurezza informatica de Coseinc, Singapore:

“Se scrivi un exploit destinato a un antivirus, con poco sforzo puoi assicurarti di contare con i privilegi più alti (root, system e incluso Kernel). I prodotti antivirus, con alcune eccezioni, sono piuttosto indietro rispetto ad altre applicazioni dal punto di vista dell’auto-protezione. Questo significa che Acrobat Reader, Microsoft Word o Google Chrome sono più difficili da vulnerare che il 90% degli antivirus esistenti”.

 

Datos referentes a la plataforma de captura de datos SIGINT, empleada por la NSA

Dati che fanno riferimento alla piattaforma di cattura dei dati SIGINT, utilizzata dalla NSA

Non c’è bisogno di essere d’accordo con la gravità della affermazione, ma quello che è certo è che lo scenario è preoccupante: se vulnerano il nostro antivirus sono padroni del nostro sistema.

Kaspersky antivirus 2015

Le agenzie dietro l’antivirus Kaspersky

Secondo quanto riportato nel documento recentemente filtrato e top secret emesso dall’agenzia britannica GCHQ, con data 2008, erano preoccupati perché l’antivirus della firma russa riusciva a ostruire le operazioni di spionaggio delle agenzie, come descritto nello stesso documento:

Alcuni prodotti personali di sicurezza come l’antivirus russo Kaspersky continuano a rappresentare una sfida per le capacità del CNE (Computer Network Exploitation) del GCHQ e risulta essenziale un SRE (processo di ingegneria inversa) per poter vulnerare il già menzionato software di modo che questo non rilevi la nostra attività.

Ingegneria inversa

(DESTACADO) L’inversione di un programma è molte volte una pratica sana e utilizzata con scopi benefici: permette agli sviluppatori di un programma di abilitare la intercomunicazione con altri software di sicurezza per rilevare minacce prima che queste vengano utilizzate da terzi.

Realizzata sul software, l’ingegneria inversa è una collezione di tecniche per decifrare e analizzare, che mostrano come lavora un programma a livello interno. Questo processo può essere così semplice come osservare il flusso di dati verso/dal programma o direttamente analizzare il codice macchina –binario- per introdursi nel livello di funzionamento più intimo dello stesso.

Análisis de las cabeceras HTTP empleadas por el antivirus kaspersky

Analisi del head HTTP impiegate dall’antivirus Kaspersky

Il secondo metodo include lo studio delle porzioni di codice non menzionate nel manuale e in nessun’altra documentazione. Detto in modo semplice: si tratta di prendere migliaia dii comandi che il software invia al computer per dettargli un certo comportamento, per poi tradurli in un formato comprensibile per qualcuno che non ha sviluppato il programma.

Anche Kaspersky ha commesso errori

La NSA, insieme alla GCHQ, hanno studiato durante molto tempo le possibili vulnerabilità del software antivirus di Kaspersky. Nel 2008, si è potuto comprovare che l’antivirus della firma stava trasmettendo informazione sensibile dell’utente (verso i suoi server) e che era possibile catturarla, secondo quanto emerge da questi report.

¿Cometió Kaspersky errores de bulto al proteger la información del cliente?

Kaspersky ha commesso gravi errori al momento di proteggere l’informazione del cliente?

L’informazione era inserita dentro le catene riferenti a User agent, situare nei header del protocollo http o richieste http. Questi header di solito vengono collocati all’inizio di una richiesta di accesso al web, per identificare il tipo di software e computer che realizza la richiesta.

Secondo il report, la NSA avrebbe scoperto che queste catene potevano essere utilizzate per identificare, in modo unico, ognuno  dei dispositivi appartenenti alla rete Kaspersky, dato che le catene catturate contenevano versioni degli antivirus di Kaspersky codificate, e potevano essere impiegati come identificatori di macchina.

Ciò gli avrebbe permesso di sapere che macchine utilizzavano le differenti versioni dell’antivirus, e  dunque, quali erano passibili o no di attacchi.

A chi credere?

Alcuni test realizzata da Intercept durante l’ultimo mese, con una copia di Kaspersky Small Business Security 4, hanno determinato che, mentre parte del traffico era sicuramente cifrato, un report dettagliato con la configurazione della macchina, con dati dei software e hardware installati, era stato di fatto inviato di ritorno a Kasperky senza nessuna sicurezza.

Kaspersky ha commentato recentemente di non aver potuto ripetere questi risultati.

D’altra parte, si sono verificate alcune situazioni in cui degli utenti (parliamo del 2012) come @cryptoOCDrob, che ha pubblicato su Twitter una cattura dello schermo mostrando come l’antivirus filtrava fati di un utente senza nessun tipo di sicurezza mentre comprovava la reputazione di una web.

tweet

Due anni più tardi, un altro utente di Twitter –Christofer Lowson- affermò che il suo indirizzo mail, password e licenza e altri dettagli venivano utilizzati da Kaspersky senza applicare nessun filtro di sicurezza.

Nel prossimo capitolo sveleremo ulteriori dettagli di questa storia, e al volo, coglieremo l’occasione per rivelare tutte le marche prese di mira dalle agenzie governative.

 

Il nostro network

Internazionale