skip to main | skip to sidebar
20 commenti

Kaspersky accusata (senza prove) di rubare dati all’NSA. Che se li è fatti fregare come una dilettante

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
E' inquietante che chi letteralmente spia il mondo intero non sia in grado di seguire delle semplici regole di sicurezza informatica...
E' ancora più inquietante che si tengano una serie di exploit che poi puntualmente finiscono nelle mani di altri.
"se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi."
Questa è bellissima! LOL
Sinceramente non capisco come certa gente incompetente possa lavorare in ambienti "sensibili" però in questo caso potrebbero esserci delle informazioni dietro che non sono state rese pubbliche per coprire altri scheletri nell'armadio: ad es. non posso dire che "i russi mi spiano e l'ho scoperto grazie alla mia talpa Peppe oppure grazie ai miei hacker". Proprio per questo non so quanto sia attendibile ciò che è venuto fuori e non esprimo alcun giudizio.
Per esperienza personale posso dire che in molte aziende per le quali ho lavorato (Banche, TLC, petrolifere ecc) spesso vengono affidati dei compiti "delicati" a persone che non hanno alcuna cognizione di quello che stanno facendo. La cosa mi rattrista moltissimo
Sono passato a Linux proprio per questo: non uso un antivirus Live (sempre connesso), al limite faccio scansioni di singoli files con Virustotal o Clamwin.
NSA mi sembra l'acronimo di Non Siamo Attrezzati (per rilevare memorie di massa che i nostri si portano a casa).
Inoltre affidarsi per troppo tempo a collaboratori esterni è sempre rischioso: se proprio ti serve, ASSUMILO.
Nell'articolo qualcosa mi suona strano: se il malware segretissimo usato dalla NSA per carpire segreti di altri paesi, e portato a casa dall'incauto funzionario, viene acchiappato da un antivirus da 10/20 dollari, alla NSA dove li "comprano" i malware nelle bancarelle di CD copiati?
Danilo,

bella domanda. Due ipotesi che ho visto circolare: 1. Kasperksy AV usa l'euristica e quindi ha rilevato il comportamento anomalo del malware (anche se un AV non ha mai visto prima un certo malware, se vede che un software include istruzioni di formattazione lo può considerare sospetto) 2. Kaspersky Lab ha avuto accesso a malware NSA precedenti e ne ha riconosciuto parti di codice presenti anche nel malware portato a casa dal collaboratore/dipendente NSA in questo caso.

Per questo Kaspersky parla di difesa "aggressiva" dell'utente da qualsiasi minaccia. Confronta con Norton vs- Stuxnet. Quante aziende USA se la sentono di dichiarare che rilevano malware di stato?
[quote]Quante aziende USA se la sentono di dichiarare che rilevano malware di stato?[/quote]
Beh sarà il gioco delle parti, no?
Kaspersky non rileverà malware di stato russo
Come giustamente sottolinea Danilo, non vedo l'utilità di un malware rilevato da un antivirus, a meno che Kaspersky non sia particolarmente buono (o specializzato in malware nsa). Inoltre c'è ancora un dettaglio che mi sfugge, il dipendente era preso di mira da spie russe? Queste hanno preso di mira il suo PC e non hanno installato software spia perchè era sufficiente Kaspersky per entrare nel PC? Ma in tal caso non era più semplice rubarglielo? Del resto se lo è portato casa sua. Perchè attendere che Kaspersky rilevasse il virus?
Un altra ipotesi è che non stavano prendendo di mira il dipendente, ma che che in qualche modo le spie russe abbiano accesso ai server Kaspersky, in modo da essere avvisati se un il software nota un qualche comportamento strano di un malware "marcato" nsa, per poi, oltre ad analizzarlo, anche tentare di entrare nel PC della vittima.
Un altra ipotesi è che Kaspersky ha delle porte di accesso più o meno volute, cosichè le spie russe possano controllano tutti i PC dei dipendenti nsa appena essi portano fuori il PC, ed in questo caso gli è andata molto bene.

E' più probabile che una spia russa non rubi un PC per carpire un segreto, o che le spie russe monitorano costantemente i server di Kaspersky proprio alla ricerca di malware di qualsiasi Stato? O che sapendo di un contratto con Kaspersky controllano tutti i PC dei dipendenti che se lo portano fuori alla ricerca dell'incauto?
Io propendo per l'ultima ipotesi che è la più semplice e non comporta deficienze da parte di nsa, salvo quella di non aver capito che Kaspersky ha delle falle di sicurezza.
Ma veramente ceredete a sta cosa?
Paolo, Danilo,
non è possibile che al collaboratore sia venuta l'idea non proprio furba di provare se il malware su cui lavorava era abbastanza sofisticato da non essere rilevato dagli antivirus commerciali? "Me lo porto a casa e lo provo con Kaspersky e Norton (che sul PC in ufficio non mi fanno installare), e se lo trovano vuol dire che dobbiamo lavorarci di più".
Non lo sapremo mai, ma in caso sarebbe stato un altro anello in una catena di comportamenti imbarazzanti a tutti i livelli.
Non ê semplicemente possibile che la scansione euristica abbia potuto fare qualcosa di dannoso. Difatti, se anche avesse rilevato qualche software pericoloso, avrebbe rilevato e inviato i files binari, NON i sorgenti! Quindi non darebbe stato un gran danno, ma solo la rilevazione di una nuova variante di un qualche malware da parte di Karsperky. Mi sa che è successo qualcos'altro...
Antenore,

Prima spiegaci cosa significa il verbo "ceredere" e poi ti rispondiamo.
Antenore,
saresti più specifico? Come vedi alcuni commenti sono per lo meno perplessi.
Io l'altra sera ho visto, su Sky, "Zero days", un bel documentario sulla vicenda Stuxnet.
Epic fail a parte, quello che possono fare certe agenzie governative è a dir poco impressionante.
Il mondo mi fa sempre più paura. -_-'
Maaa cooomeeeeee fanno all' FBI...

L'ultima che ho sentito dice che Hillary Clinton o qualcuno nel partito dei repubblicani starebbe fornendo cartelle un po' a caso a non meglio precisabili servizi russi allo scopo di accusare Donald Trump di essere stato lui a fornire suddetti dati.
"sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi"



Solo a me fa strano che uno che lavora per la NSA abbia a casa Kaspersky?
A me fa strano che uno che lavori all'NSA usi un computer a casa e soprattutto ci metta dei malware. Ma spesso gli "esperti" non lo sono affatto.
Al commentatore che dice "che senza sorgenti non fai niente" ricordo la pratica del reverse engineering e soprattutto il fatto che nessun antivirus può vedere "il sorgente" del virus dato che è compilato.
Anche a me la storia non torna.
1: il ladro doveva avere la fortuna che quel specifico dipendente portasse a casa un malware. Poteva anche non farlo, visto che non c'è un motivo apparente che mi viene in mente, invece, il ladro, è stato fortunato! Il dipendente specifico l'ha fatto. Se non si chiama questa fortuna....
2: il ladro sapeva come rubare dati da l'antivirus Kaspersky, Se il dipendente avesse usato un altro antivirus, il ladro non avrebbe potuto rubare i dati. Secondo colpo di fortuna...
3: Kaspersky doveva individuare il malware. In teoria fare un malware che viene individuato così facilmente deve essere aver buttato soldi nella scrittura del malware ma, se l'avessero scritto meglio, e Kaspersky non l'avesse individuato, il ladro non l'avrebbe mai potuto rubare. Terzo colpo di fortuna...
E, per finire, che farsene di un malware che viene individuato così facilmente? Fossi il ladro, lo cancellerei come prodotto inutile :-)
Bwoah, come direbbe il miglior Raikkonen, a me puzza di messa in scena per attaccare Kaspersky Lab, che evidentemente crea non pochi problemi alla diffusione del "lavoro" dell'NSA, del tipo che altre aziende di sicurezza informatica chiudono un occhio (o aprono una porta nel retro) a NSA e Kaspersky invece no.
Un'alternativa è che all'NSA siano veramente così pivelli!
Bwoah...
@Lupo,
Da decenni esistono tecniche per offuscare i binari proprio per evitare che vengano decompilati e analizzati. La prima volta vidi una cosa del genere su un gioco per Commodore64, utilizzava delle istruzioni non standard del 6510.
Esistono anche delle gare di offuscamento di codice, persino dei sorgenti.
@scatola si, appunto. Ma all'antivirus il sorgente non serve, basta riconoscere il binario e cosa fa..