Visita il sito sbagliato, e l’FBI potrebbe finire nel tuo computer

us-spyGli esperti di sicurezza lo chiamano “drive-by download”: un hacker si infiltra in un sito web ad alto traffico e poi lo costringe e mandare un malware ad ogni singolo visitatore. E’ uno degli strumenti più potenti, in grado di fornire migliaia di vittime fresche nelle grinfie di un hacker in pochi minuti.

Ora la tecnica è stata adottata da un diverso tipo di hacker – di tipo con un distintivo. Negli ultimi due, l’FBI ha potuto tranquillamente sperimentare con questi hacking drive-by come soluzione ad uno dei più intricati problemi che affrontano le forze dell’ordine: come identificare e perseguire gli utenti dei siti criminali che si nascondono dietro il potente sistema di anonimato Tor.

L’approccio ha dato i suoi frutti – oltre una dozzina di presunti utenti di siti di pornografia infantile basati su Tor sono ora a giudizio. Ma sta anche generando polemiche, con le accuse che il Dipartimento di Giustizia ha glissato sulle tecniche di hacking nella descrizione dei casi al giudice, celando il suo utilizzo agli imputati. I critici si preoccupano per possibili altri utilizzi, l’indebolimento di una tecnologia invocata da lavoratori e attivisti per i diritti umani, e la possibilità per persone innocenti di essere infettati dal malware del governo perché hanno visitato il sito sbagliato. “Si tratta di un grande salto, ci sarebbero dovute essere delle audizioni del Congresso a riguardo,” dice il tecnologo di ACLU Chris Soghoian, un esperto sull’utilizzo di strumenti di hacking da parte delle forze dell’ordine. “Se il Congresso decide che questa tecnica sia perfettamente appropriata, allora forse è OK. Ma cerchiamo di avere un dibattito informato a riguardo.”

L’uso del malware da parte dell’FBI non è una novità. Il bureau chiama questo metodo NIT, per “network investigative technique,” e l’FBI l’ha utilizzato almeno dal 2002 per casi che vanno dalla pirateria informatica a minacce di bomba, pornografia infantile e estorsione. A seconda della distribuzione, un NIT può essere una completa backdoor che da l’accesso al governo ai vostri file, posizione, cronologia web e webcam per un mese alla volta, oppure un fugace codice che invia all’FBI il nome del computer e l’indirizzo, e poi evapora.

Quel che è cambiato è il modo in cui l’FBI utilizza le sue capacità con i malware, distribuendoli come la rete di un pescatore. E il cambiamento è una risposta diretta a Tor, il potente sistema di anonimato approvato da Edward Snowden e dal Dipartimento di Stato.

Tor è un software gratuito, open-source che permette di navigare sul web in maniera anonima. Lo permette accettando le connessione dall’Internet pubblico – il “clearnet” – criptando il traffico e facendolo rimbalzare attraverso una serie di computer prima di scaricarli di nuovo sul web attraverso qualsiasi degli oltre 1.100 “nodi di uscita.”

Il sistema supporta anche i cosiddetti servizi nascosti – siti web speciali, con indirizzi che terminano in .onion, le cui posizioni fisiche sono teoricamente irrintracciabili. Raggiungili solo attraverso la rete Tor, i servizi nascosti sono usati dalle organizzazioni che vogliono eludere la sorveglianza o proteggere la privacy degli utenti in modo straordinario. Alcuni utenti di tale servizio hanno scopi legittimi e persino nobili – tra cui gruppi per i diritti umani e giornalisti. Ma i servizi nascosti sono anche un pilastro delle nefande attività svolte dalla cosiddetta Dark Net: la casa dei mercati della droga, pornografia infantile, omicidi a pagamento, e un sito che non altro che lo streaming pirata di episodi di My Little Pony.

Le forze dell’ordine e le agenzie di intelligence hanno un rapporto di amore-odio con Tor. Lo usano loro stessi, ma quando i loro obiettivi si nascondo dietro il sistema, si pone un serio ostacolo. Il mese scorso, il governo russo ha offerto una taglia di 111.000$ per crakkare Tor.

L’FBI ha presentato la propria soluzione nel 2012, in un’inchiesta denominata “Operation Torpedo,” i cui contorni solo ora stanno diventando visibili attraverso la documentazione processuale.

L’Operation Torpedo è iniziata con un’indagine nei Paesi Bassi nel mese di agosto 2011. Agenti del National High Tech Crime Unit della polizia olandese avevano deciso di reprimere la pornografia infantile online, secondo una dichiarazione giurata dell’FBI. A tal fine, hanno scritto un web crawler che ha perlustrato la Dark Net, raccogliendo tutti gli indirizzi Tor .onion che potesse trovare.

Gli agenti del NHTCU hanno sistematicamente visionato ognuno dei siti e hanno fatto un elenco di quelli dedicati alla pornografia infantile. Poi, armati di un mandato di perquisizione da parte della Corte di Rotterdam, gli agenti hanno cercato di determinare dove erano situati i siti.

Che, in teoria, è un compito scoraggiante – Tor nasconde le loro posizione dietro strati di routing. Ma quando gli agenti sono arrivati ad un sito chiamato “Pedoboard,” hanno scoperto che il proprietario aveva stupidamente lasciato l’account amministrativo aperto senza password. Hanno effettuato l’accesso e cominciato a frugare, trovando finalmente l’indirizzo IP reale del server a Bellevue, Nebraska.

Hanno fornito le informazioni all’FBI, che ha collegato l’indirizzo IP al 31enne Aaron McGrath. Si è scoperto che McGrath ospitava non uno, ma due siti di pornografia infantile presso la server farm dove lavorava, e un terzo a casa.

Invece di andare per la strada più semplice, l’FBI ha trascorso un anno a sorvegliare McGrath, mentre lavorava con gli avvocati del Dipartimento di Giustizia sul quadro giuridico per quella che sarebbe diventata Operation Torpedo. Infine, nel novembre 2012, i federali piombano su McGrath, prendono i server e spariscono in un ufficio dell’FBI a Omaha.

Un magistrato federale ha firmato tre distinti mandati di perquisizione: uno per ciascuno dei tre servizi nascosti. I mandati autorizzano l’FBI a modificare il codice sui server per mandare il NIT su tutti i computer che accedono al sito. Il giudice ha anche consentito all’FBI di ritardare di 30 giorni la notifica agli obiettivi.

Operation-Torpedo-search-warrant
Il mandato di perquisizione dell’FBI che cita tutti i “computer che accedono al sito web” come bersagli

Questo NIT è stato appositamente creato per identificare il computer e non fare altro – non raccoglie i tasti digitati o spedisce file al bureau. Ed evidentemente ha fatto bene il suo lavoro. In un periodo di due settimane, l’FBI ha raccolto gli indirizzi IP, gli indirizzi MAC hardware (un identificativo hardware univoco per la scheda di rete del computer) e nomi di host di Windows di almeno 25 visitatori dei siti. Mandati di comparizione agli ISP hanno prodotto gli indirizzi di casa e i nomi degli abbonati, e nel mese di aprile 2013, cinque mesi dopo la distribuzione del NIT, il bureau ha effettuato degli arresti coordinati in tutti il paese.

Oggi, con 14 dei sospettati diretti verso il processo a Omaha, l’FBi è costretto a difendere l’uso del drive-by download per la prima volta. Gli avvocati della difesa hanno chiesto alla corte del Nebraska di tirare fuori le prove dello spyware, sulla base del fatto che il bureau ha celato l’uso del NIT oltre il periodo di 30 giorni consentito dal mandato di perquisizione. Alcuni imputati non hanno saputo dell’hack fino a un anno dopo il fatto. “Normalmente qualcuno che è soggetto ad un mandato di perquisizione viene avvertito praticamente subito,” dice l’avvocato difensore Joseph Gross Jr. “Quello che penso che avete qui è una palese violazione del quarto emendamento.”

Ma la scorsa settimana il giudice Thomas Thalken ha respinto la mozione della difesa, e qualsiasi implicazione che il governo abbia agito in mala fede. “Le dichiarazione e i mandati non sono stati preparati da qualche agente federale canaglia,” ha scritto Thalken, “ma con l’assistenza di un consulenti legali a vari livelli del Dipartimento di Giustizia.” La questione verrà poi considerata dal giudice distrettuale Joseph Bataillon per una sentenza definitiva.

Soghoian dice che l’uso contro la pornografia infantile è probabilmente il miglior uso possibile delle capacità di drive-by download dell’FBI. “E’ difficile immagine una scusa legittima per visitare uno di questi forum: il semplice atto di guardare pornografia infantile è un crimine,” osserva. La sua preoccupazione principale è che l’Operation Torpedo sia il primo passo per un uso molto più di questa tecnica da parte dell’FBI, saltando qualsiasi dibattito pubblico sulle possibili conseguenze indesiderate. “Si potrebbe facilmente immaginare che possano utilizzare la stessa tecnologia su chiunque visiti un forum jihadista, per esempio,” dice. “E ci sono un sacco di motivi legittimi per qualcuno per visitare un forum jihadista: ricerca, giornalismo, gli avvocati che difendono una causa. Gli avvocati di ACLU leggono Inspire Magazine, non perché siano particolarmente interessati alla materia, ma per citare cose in slip.”

Soghoian è anche preoccupato che i giudici che hanno considerato le applicazioni NIT non abbiano compreso appieno che viene chiesto di consentire l’uso di software di hacking che sfrutta le vulnerabilità del software per violare le difese di una macchina. L’applicazione del mandato di perquisizione dell’Operation Torpedo, per esempio, non usa mai le parole “hack,” “malware,” o “exploit.” Invece, il NIT si presenta come qualcosa per cui si sarebbe felici di spendere 99 centesimi nell’App Store.

Dal punto di vista degli esperti di sicurezza informatica e privacy, il NIT è un malware, puro e semplice. Questo è stato dimostrato lo scorso agosto, quando, forse incoraggiato dal successo dell’Operation Torpedo, l’FBI ha lanciato una seconda distribuzione di NIT mirando a più servizi nascosti di Tor.

Questa – ancora non riconosciuta dal bureau – ha viaggiato attraverso i server di Freedom Hosting, un provider anonimo di servizi nascosti Tor chiavi in mano che, secondo alcune stime, alimenta metà della Dark net.

magneto
Il malware per il browser Tor è nascosto in una variabile chiamata “Magneto”

Questo attacco ha le sue radici nell’arresto del luglio 2013 del presunto operatore di Freedom Hosting, Eric Eoin Marques, in Irlanda. Marques affronta le accuse negli Stati Uniti di favorire la pornografia infantile – Freedom Hosting a lungo ha avuto la reputazione di tollerarla.

Lavorando con le autorità francesi, l’FBI ha ottenuto il controllo dei server di Marques presso una società di hosting in Francia, secondo la testimonianza nel caso di Marques. Poi il bureau sembra li abbia riallocati – o clonati – nel Maryland, dove è stata incentrata l’inchiesta di Marques.

Il primo agosto 2013, alcuni utenti esperti di Tor hanno cominciato a notare che i siti di Freedom Hosting stavano servendo un “iframe” – un tipo di sito web all’interno di un sito web. L’iframe conteneva codice Javascript che utilizzava una vulnerabilità di Firefox per eseguire le istruzioni sul computer della vittima. Il codice mirava specificamente la versione di Firefox utilizzata nel browser Tor – il modo più semplice per usare Tor.

Questo è stato il primo exploit trovato nel browser Tor, ed è stato uno sviluppo allarmante per la comunità di Tor. Quando i ricercatori di sicurezza hanno analizzato il codice, hanno trovato un piccolo programma per Windows nascosto in una variabile denominata “Magneto.” Il codice raccoglieva l’indirizzo MAC del bersaglio e il nome host di Windows, e poi li inviava in Virginia. In breve, il programma ha annullato l’anonimato per cui il browser Tor è stato progettato.

Mentre hanno scavato ulteriormente, i ricercatori hanno scoperto che il problema di sicurezza era una vulnerabilità già conosciuta chiamata CVE-2013-1690 – che era stata teoricamente risolta con gli aggiornamenti di Firefox e Tor circa un mese prima. Ma c’era un problema: poiché il browser Tor non ha un meccanismo di aggiornamento automatico, solo gli utenti che hanno installato manualmente la versione patchata erano al sicuro dall’attacco. “E’ stato davvero impressionante quanto velocemente hanno preso questa vulnerabilità in Firefox ed estrapolata nel browser Tor e impiantata su un servizio nascosto,” spiega Andrew Lewman, direttore esecutivo del no-profit Tor Project, che mantiene il codice.

Il drive-by di Freedom Hosting ha avuto un impatto duraturo sul Tor Project, che sta ora lavorando per progettare un modo privato sicuro per gli utenti Tor per installare automaticamente le ultime patch di sicurezza non appena sono disponibili – una mossa che avrebbe reso la vita più difficile per tutti coloro che lavorano per sovvertire il sistema di anonimato, con o senza un ordine del tribunale.

A differenza di Operation Torpedo, i dettagli sull’operazione Freedom Hosting rimangono un mistero un anno dopo, e l’FBI ha ripetutamente rifiutato di commentare l’attacco, anche quando è stato contattato da WIRED per questa storia. Solo un arresto può esservi chiaramente legato – quello di un uomo del Vermont di nome Grant Klein che, secondo i documenti del tribunale, è stato arrestato in novembre sulla base di un NIT su un sito di pornografia infantile installato il 31 luglio 2013. Klein si è dichiarato colpevole di possesso di pornografia infantile a maggio e si aspetta la condanna per questo mese di ottobre.

Ma secondo i rapporti, al momento, il malware è stato visto non solo sui siti criminali, ma sui servizi nascosti legittimi che sono ospitati da Freedom Hosting, compreso il servizio webmail di protezione della privacy Tormail. Se fosse vero, la strategia del drive-by dell’FBI sta già raccogliendo dati su vittime innocenti.

Nonostante le domande senza risposta, è chiaro che il Dipartimento di Giustizia vuole incrementare l’uso del drive-by download. Si sta chiedendo alla Judicial Conference of the United States di modificare le norme che disciplinano quando e come i giudici federali possono emettere mandati di perquisizione. La revisione dovrebbe esplicitamente consentire mandati che “utilizzano l’accesso remoto per cercare supporti elettronici di memorizzazione e di cogliere o copiare informazioni memorizzate elettronicamente” a prescindere dalla giurisdizione.

La revisione, ha concluso un comitato del Congresso lo scorso maggio (.pdf), è l’unico modo per affrontare l’uso di software di anonimizzazione comeTor, “perché l’obiettivo della ricerca è quello di mascherare volutamente la posizione dei contenuti o delle informazioni da cercare.”

Tale ricerca ha bisogno di più controllo, dice Soghoian. “Ciò che deve accadere è un dibattito pubblico circa l’uso di questa tecnologia, e l’uso di queste tecniche,” dice. “Una cosa è dire stiamo cercando un determinato computer. E’ un’altra cosa dire che stiamo cercando ogni computer che visita questo sito, senza sapere quanti ne saranno, senza sapere da quale città, stato o paese provengono.”

“Purtroppo,” dice, “siamo entrati in punta di piedi in questo settore, perché il governo non ha mai dato l’avviso che stavano per iniziare a utilizzare questa tecnica.”

Precedente La scansione delle email di Google aiuta la polizia ad arrestare un molestatore sessuale Successivo Panchine ispirate ai capolavori della letteratura inglese