Stavo seguendo la vicenda di questi giorni relativamente allo scandalo Hacked Team.
Dunque, per prima cosa non mi sento di difenderli come vittime; semplicemente è venuto tutto a galla perchè probabilmente per essere degli esperti di sicurezza informatica sono stati quantomeno sprovveduti, e lo dimostrano il milione di email in chiaro con tanto di riferimenti pubblicate da Wikileaks (tra l’altro un sito che si è solo occupato di dare visibilità alla cosa.. quando ormai il materiale era già stato violato).
Lavorando nel settore ho cercato di capirne qualcosa in più.. proverò a spiegare in maniera semplice alcuni concetti…
Bhe intanto presentiamo la società Hacking Team, che vende sul mercato il suo pezzo forte chiamato RCS ovvero sistema di controllo remoto, che secondo il loro sito permette di intercettare il traffico di un soggetto (il target) e trasmetterlo in maniera criptata e quindi totalmente sicura e invisibile ai loro server.
Perfetto. L’intelligence e le società di mezzo mondo se ne avvalgono come una società di consulenza.. una società che ha messo in piedi la propria rete, efficiente, mondiale, che nessuno potrebbe facilmente rimpiazzare.
Allora i fatti strani sono principalmente due:
Il primo è che il software viene inoculato tramite un trojan, exploit(attraverso il vulnerabile flash player) o tramite altri metodi di attacco (Injection Proxy Appliance) e una volta che il traget è stato quindi raggiunto si procede inviando il traffico su un Proxy anonimo e in maniera criptata che loro chiamano Anonymizer, e sono collocati in giro per il mondo, in Romania ad esempio e negli Stati Uniti o in Russia.
Questo sicuramente è poco nobile, governi che spiano governi, aziende che spiano concorrenti, ma insomma le solite cose che si devono fare per tirare a campare.
La seconda cosa strana e secondo me più grave, è il fatto che a un certo punto i loro Anonymizer diventino irraggiungibili. Normale, visto che il loro fornitore di servizi vps Santrex pare fallisca. E qui succede la cosa strana, ovvero che qualcuno deve rendere raggiungibili quei server a livello mondiale altrimenti il traffico dei target si perde e allora interviene un fornitore di servizi internet e ci pensa lui ad annunciare gli ex indirizzi di Santrex.
Allora, se navigate in internet e siete un cliente residenziale che insomma..paga poco, il vostro fornitore vi assegnerà un indirizzo dinamico, pescandolo da un bacino di indirizzi disponibili sui suoi server. Se siete un cliente più importante invece, che paga quindi un pochino di più, vi assegnerà invece un indirizzo statico, che non cambierà nel corso delle varie connessioni e appartiene al range di indirizzi assegnati al provider.
Inizialmente tutti i clienti avevano indirizzi statici, ma successivamente per il problema della scarsezza di indirizzamento ipv4 si decise per indirizzamento privato/nat/dinamico.
Per annunciare gli indirizzi internet i provider utilizzano dei protocolli di routing, che permettono a tutti i router di localizzare un determinato indirizzo..dato che internet deve connettere tutti con tutti.
In questo caso, tramite un protocollo chiamato BGP, un fornitore di servizi internet dichiara un range di indirizzi (255) come suoi e quindi incomincia a trasmettere ed aggiornare i router degli altri fornitori di servizi per fare in modo che quella rete sia resa raggiungibile.Ecco questo è il problema che mina la fiducia a livello mondiale ora di un protocollo e soprattutto dei fonitori di servizi internet.
C’è sempre stata fiducia tra i fornitori, che stipulano anche appositi contratti di peering per quanto riguarda il flusso di traffico e lo scambio di rotte, ma ovviamente in futuro si sentirà sempre più parlare di SBGP, ovvero della versione sicura del protocollo incriminato, che al momento non viene utilizzata.
Questo permetterebbe di scambiarsi rotte solo su indirizzi verificati perchè assegnati a un preciso AS e non si incorrerebbe più nella slealtà di alcuni provider.