ESCLUSIVO
Wikileaks: "Così la Cia depista i raid nei computer".
Pubblicato il codice, i virus ora sono identificabili
di STEFANIA MAURIZI
Per nascondere le tracce dei suoi virus e malware, la Central Intelligence Agency ha messo a punto una serie di strumenti segreti ed è proprio uno di questi che l'organizzazione fondata da Assange rivela in esclusiva a Repubblica e a Libération.
LETALI e invisibili si muovono gli agenti della Cia. Nella vita reale come nel cyberspazio, puntano a colpire senza mai lasciare traccia. Il mondo virtuale, però, rischia di essere anche più insidioso di quello reale: quando l'Agenzia attacca il computer o il telefono di un obiettivo con software infetto (malware) per spiarlo, può lasciare tracce pesantissime.
Sì, perché per funzionare il malware deve essere installato, fisicamente o da remoto, sugli apparecchi elettronici del target e se quest'ultimo sospetta di essere stato infettato e fa analizzare i suoi dispositivi a un esperto forense, il tecnico può essere in grado di trovare una copia del software malevolo nel computer o nel telefono preso di mira......
E una volta individuato e sottoposto ad analisi, le caratteristiche uniche di quel malware possono essere ricondotte a una delle varie famiglie in circolazione e a chi lo ha creato: la Central Intelligence Agency. È un po' come se un agente incaricato di uccidere colpisse e poi lasciasse l'arma del delitto sulla scena del crimine: quella pistola può rivelare tante informazioni sul killer.Sì, perché per funzionare il malware deve essere installato, fisicamente o da remoto, sugli apparecchi elettronici del target e se quest'ultimo sospetta di essere stato infettato e fa analizzare i suoi dispositivi a un esperto forense, il tecnico può essere in grado di trovare una copia del software malevolo nel computer o nel telefono preso di mira......
LEGGI Pizza, birra, videogiochi e licenza di uccidere
Per nascondere le tracce dei suoi virus e malware, la Cia ha messo a punto una serie di strumenti segreti ed è proprio uno di questi che oggi WikiLeaksrivela in esclusiva al nostro giornale e a Libération. Si chiama "Marble Framework", fa parte di quell'enorme giacimento di documenti sulla Cia "Vault 7", che WikiLeaks ha iniziato a pubblicare tre settimane fa, e l'organizzazione di Julian Assange ne rivela il codice sorgente, ovvero i programmi che costituiscono Marble Framework scritti dai tecnici in determinati linguaggi (C++, Python, ecc.) e che poi verranno trasformati in file eseguibili dai computer.
LEGGI Così la Cia ci spia: Wikileaks pubblica migliaia di file riservati sull'Agenzia
Analizzare il codice pubblicato richiede competenze tecniche specialistiche, ma capirne la funzione è alla portata di tutti: Marble permette di offuscare, ovvero di modificare automaticamente le stringhe (sequenze di caratteri) presenti nel software malevolo che permettono ai programmi antivirus e agli esperti forensi di individuarlo, classificarlo e, possibilmente, risalire a chi l'ha creato. "È una sorta di equivalente digitale di uno strumento che permetta alla Cia di coprire le etichette in inglese presenti sulle armi di fabbricazione Usa, prima che vengano consegnate a milizie ribelli segretamente appoggiate dalla Cia", spiega WikiLeaks, aggiungendo che Marble Framework è rimasto in uso all'Agenzia nel corso del 2016.
LEGGI I segreti dal "Vault 7": ecco come la Cia entrava nelle Smart Tv e nei Mac
Marble permette sia di offuscare che di de-offuscare le stringhe. Di per sé non è unico, nel senso che esistono soluzioni commerciali in grado di fare operazioni analoghe, ma questo prodotto della Cia offre una grande varietà di tecniche di offuscamento per scongiurare l'attribuzione del malware alla Central Intelligence Agency.
Pubblicarne il codice sorgente, come fa oggi WikiLeaks, non presenta dei rischi di sicurezza: non si tratta di un software che si può diffondere, infettando computer e telefoni e finendo nelle mani di spie o criminali senza scrupoli. Al contrario, renderlo pubblico può aiutare i ricercatori a caccia di malware a capire quali di questi siano stati offuscati con Marble e quindi a far emergere la manina della Cia.
La Babele. Per allontanare da sé ogni sospetto, la Central Intelligence Agency ha previsto anche una funzione che permette a Marble di aggiungere al codice del malware Cia caratteri in cinque lingue straniere: l'arabo, il cinese, il russo, il coreano e il farsi. Tutti linguaggi di primaria importanza per l'intelligence Usa. Non risulta essere presente un'opzione analoga per l'italiano o il giapponese. È una risorsa che permette di aggiungere un ulteriore livello di offuscamento, oltre a quello consentito dalla modifica automatica delle stringhe, dirottando i sospetti sul nemico cinese, russo o iraniano? "Questo è il modo ovvio di interpretare la cosa", risponde a Repubblica l'americano Bruce Schneier, guru della sicurezza informatica. Lo fanno anche altre Nazioni, precisa. Il fatto che la Cia usi la tecnica delle "false flag", nel tentativo di depistare ed attribuire la creazione di certi software malevoli ad altri paesi, non è certo unica.
Cyber armi e operazioni coperte. Da Marble come dagli altri documenti segreti di Vault 7 rivelati finora non emerge alcuna informazione sulle operazioni di intelligence in cui queste cyber armi vengono usate dalla Central Intelligence Agency. Da sempre Langley è al centro di critiche per operazioni controverse che in molti casi hanno portato a gravi violazioni dei diritti umani, come è successo nel caso delle extraordinary rendition. In che modo esattamente i programmi di hackeraggio della Cia contribuiscono a questo tipo di operazioni?
Una cosa è certa: la spregiudicatezza dell'Agenzia nell'usare le tecniche di hacking è emersa pubblicamente tre anni fa, quando la Cia penetrò nei computer della Commissione del senato Usa incaricata di supervisionare l'intelligence (Senate Intelligence Committee) per spiarne una monumentale inchiesta sul waterboarding e su altre forme di tortura praticate dalla Cia dopo l'11 settembre, che portò alla compilazione di un report di 6.700 pagine ancora oggi segreto.
Interpellato dal nostro giornale, John Kiriakou, l'unico ex agente Cia finito in galera per aver denunciato pubblicamente le torture, che non ha mai voluto praticare, ci spiega: "Ho lasciato la Central Intelligence Agency nel 2004 e non sono informato di nessuna operazione di hacking che potrebbe essere stata desecretata nel frattempo, ma tendo a credere che questo tipo di strumenti siano cruciali per il lavoro dell'antiterrorismo". Kiriakou racconta che l'Agenzia ha una cultura per cui ama operare in modo autonomo: "Se può fare qualcosa senza l'aiuto della Nsa, preferisce farlo. Credo che sia questa la ragione per cui la Cia ha sviluppato un suo programma cyber, nonostante quelli della Nsa e del Pentagono".------
Ad oggi, la fonte dei documenti rivelati da WikiLeaks non risulta essere stata individuata. Ieri il giornale fondato da Glenn Greenwald, The Intercept, ha rivelato che alcuni dipendenti di un contractor della Cia - l'azienda Xetron Corporation - sono stati improvvisamente sottoposti alla macchina della verità, ma non è chiaro se questo fatto sia in qualche modo collegato all'indagine sulla fonte di WikiLeaks. "Credo che la Cia lavorerà in stretta collaborazione con il Dipartimento della Giustizia e con l'Fbi per individuarla", ci dice Kiriakou.
"la leadership della Cia chiederà al Dipartimento di Giustizia di perseguire il whistleblower all'origine di questa fuga di documenti segreti con tutta la potenza della legge. Non lo invidio: lo aspettano 30-40 anni in prigione, se verrà identificato e arrestato"
Nessun commento:
Posta un commento