Copy Link
Add to Bookmark
Report
BFi numero 09 anno 3 file 06 di 21
==============================================================================
-------------[ BFi numero 9, anno 3 - 03/11/2000 - file 6 di 21 ]-------------
==============================================================================
-[ C0LUMNS ]------------------------------------------------------------------
---[ L0 SPETTAC0L0 DEVE C0NTiNUARE
-----[ Raistlin
Non avrei mai immaginato, dopo aver scassato i maroni a Cavallo per mesi
col ritornello "Ma quand'e' che esce BFi ?", e dopo aver salutato con la
stessa frase il povero smaster allo SMAU, di essere proprio io a dover
rincorrere, in un pomeriggio maligno e piovoso di novembre
l'ultimissimo treno per infilare questo articolo in BFi#9.
Tuttavia c'e' una ragione ben precisa per cui questo pezzo arriva con
tutto questo fiatone, ed e' che al contrario di tutti gli articoli di
questa e-zine parla di un evento di strettissima attualita'; e chi
avrebbe potuto immaginare, anche soltanto un mese fa, che avremmo potuto
dar notizia di una penetrazione nella rete corporate di Microsoft ?
[Forse era meglio se la chiamavano rete corporaLe :), NdCavallo]
Riassumo gli eventi, per coloro di voi (e spero non siano tanti) che non
leggono mai una rivista, un quotidiano, o un portale di notizie
sull'informatica (e che cosa state leggendo a fare BFi allora? Non
sarebbe il caso di preoccuparvi del mondo reale, prima dell'underground
digitale?). I virgolettati sono citazioni letterali.
Il 27 ottobre un portavoce ufficiale di Microsoft rilascia una
dichiarazione che fa il giro del mondo in pochi secondi: "Confermiamo
che mercoledi' (il 25, NdRaistlin) abbiamo scoperto che la nostra rete
e' stata penetrata da sconosciuti, che hanno avuto accesso ad essa e
alle risorse della societa' per un tempo indeterminato, forse piu' di un
mese. E' possibile che abbiano avuto accesso al codice in development di
prodotti delle linee Office e Windows". [1] Alla faccia!
Nel pomeriggio dello stesso giorno, un altro comunicato [2] riduceva
ampiamente queste dichiarazioni, affermando che "la situazione era meno
critica di quanto originariamente si pensasse": in particolare "le
indagini interne non hanno trovato alcun indizio che provi che l'intruso
abbia avuto accesso al codice dei prodotti chiave" (Windows o Office).
Inoltre, sebbene l'hacker abbia potuto "visionare il codice di un nuovo
prodotto ancora in fase di sviluppo e lontano dal rilascio, l'indagine
ha appurato che nessun tipo di modifica o di danno e' stato operato sul
codice". Inoltre l'intrusione viene datata al 14 ottobre, riducendo a 11
giorni il "tempo indeterminato" del primo comunicato.
La stessa versione viene fornita poi sempre venerdi' pomeriggio dal CEO
di Microsoft, Steve Ballmer.[3]
In poche parole, Microsoft ha subito cercato di minimizzare l'allarme
lanciato da Russ Cooper, il noto gestore di NTBugTraq su SecurityFocus
(wow! I giornali hanno intervistato qualcuno che ne capisce qualcosa!
Incredibile!): "Non e' un affare semplice. Cosa succede se questo
qualcuno ha inserito una back door di qualche tipo in una porzione di
codice della prossima release di Windows, per dire ?" [4]
Ovviamente, come tutti sappiamo, questa possibilita' non e' cosi'
remota... e apre un problema notevole. Imnmaginate il lavoro
dell'ambiente di sviluppo di Microsoft. Centinaia di sviluppatori al
lavoro su porzioni diverse di codice, in un approccio inventato da loro
e chiamato "Synchronize-and-stabilize" per cui le modifiche introdotte
dai vari team di sviluppo vengono fatte convergere in un'unica "build"
di sviluppo solo ad intervalli. Sicuramente progetti che cambiano cosi'
di continuo vengono backuppati su unita' di storage solo ad ampi
intervalli, quando viene conclusa la fase di stabilizzazione. L'unico
modo che Microsoft avrebbe per essere certa che nessuna modifica non
autorizzata sia stata fatta sarebbe di ispezionare a mano tutto il
codice (HA!) partendo dall'ultima build sicura e controllando OGNI
MODIFICA REGISTRATA DA OGNI SVILUPPATORE durante il mese circa di
permanenza dell'hacker nella rete.
[Scusate qui io rido AHAHAHAHAHA, NdCavallo]
Verrebbe da dire "e stikazzi !", e' da simpatizzare con Microsoft... ma
la cosa inquietante e' che l'azienda si e' detta "sicura che il codice
non sia stato cambiato", e che "non ci sono indizi che..." a meno di 12
ore dal primo annuncio, e a meno di 72 ore dalla scoperta
dell'intrusione. O su quel prodotto lavorano un gran poco, o hanno
trovato una scorciatoia molto intelligente all'ispezione del codice (ma
sara' altrettanto sicura?), oppure stanno mentendo. Scegliete voi.
Siccome so che siete tutti dei legittimissimi amministratori di macchine
e reti, e che leggete questa rivista solo per informazione personale,
immagino che la vostra, ehm, curiosita' scientifica vi porti a voler
sapere come cavolo ha fatto questo sconosciuto pirata (che alcuni, non
dubito, stimeranno gia' un mito) a entrare in una rete che, a rigor di
termini, dovrebbe essere l'equivalente commerciale del Department of
Defense: grossa, cazzuta, con delle protezioni impenetrabili, e a
rischio delle tue chiappe se provi anche solo a PENSARE a scannarla.
La risposta vi fara' inumidire gli occhi dalla disperazione. Con il QAZ
([5] e [6]). Si', avete proprio letto bene, il QAZ, un troiano da
quattro soldi che viene spedito in email, con l'icona di un blocchetto
di testo stile notepad, e che quando viene eseguito invia in email
password e ip della macchina a un indirizzo prefissato. Inoltre, come
tutti i bravi troiani, e' fatto per garantire una shell di comandi da
remoto... Vabbe', quei POCHI di voi che frequentano IRC hanno visto
abbastanza troiani da sapere di cosa si tratta, no? Lo trovate anche
nel database del vostro antivirus, come Troj.QAZ, Worm.QAZ o QAZ.Trojan.
E' il nono o decimo troiano per diffusione al mondo.
Dunque, un impiegato (temporaneo, pare: in ogni caso non scommetterei
sul suo posto di lavoro...) apre una email, esegue brillantemente
l'attach, parte una mail diretta a un indirizzo di San Pietroburgo in
Russia (che puo' voler dire qualsiasi cosa, visto che sappiamo tutti
quanto sono gestiti e chiusi i computer russi...) e da li' il nostro
hacker arriva fregandosi le mani...
Quelli che hanno creduto anche solo per un istante a questa storia
possono frustarsi le dita, e rinunciare a fare gli amministratori di
sicurezza, gli hacker, o i detective (potete, invece, fare i
giornalisti: quelli ci cascano spesso e volentieri). Innanzitutto, come
si fa notare in [6], nessuno in Microsoft ha confermato o smentito
questa notizia, il che e' strano visto che hanno parlato ampiamente
della vicenda. In secondo luogo, da quando i computer di un impiegato
cosi' fesso da aprire un troiano sono in prossimita' di rete con le
macchine su cui lavorano gli sviluppatori? (e visto che ci siamo, COSA
CI FANNO in rete le macchine con il codice SORGENTE?). In terzo ed
ultimo luogo, c'e' un piccolo problemino da superare. I firewall!
Ammettiamo che ci sia in rete il PC di una segretaria imbranata che apre
il troiano. Ammettiamo che ci siano macchine accessibili col codice
sorgente. Ammettiamo anche che gli antivirus di Microsoft siano cosi'
arretrati da non riconoscere il QAZ (e in una struttura corporate e' una
GROSSA supposizione!). Ammettiamo che il troiano si installi e inizi ad
aspettare una connessione dal suo creatore. Ammesso tutto questo,
spiegatemi COME E' POSSIBILE che la connessione avvenga dietro i
bastioni telematici che devono esserci alla frontiera della rete di
Microsoft. Ragion vorrebbe che dall'esterno all'interno non passi nulla,
specie se diretto verso macchine di sviluppo che NON dovrebbero
ragionevolmente avere servizi offerti all'esterno. Io, almeno, quel
firewall lo imposterei cosi'. CHIUNQUE lo imposterebbe cosi'.
Capite che la storiella del QAZ regge solo fino a un certo punto. Anzi,
diciamo pure che non regge affatto (lo dice anche Russ Cooper sempre in
[4]). E quindi permettetemi di presentarvi la MIA supposizione relativa
a cio' che e' successo. Vi dipingo due possibili scenari:
1) Le macchine erano esposte in un modo talmente banale che a Redmond si
vergognano di non averlo intuito subito. Dopo aver fucilato il team di
sicurezza e firewalling, viene imposto il "no comment" tanto per ridurre
le dimensioni della figuraccia e scaricarle su un "impiegato
occasionale" che ha aperto un worm.
2) Ancora nessuno ha capito bene da dove siano entrati. Ne' sa se le
misure prese serviranno a fermare un secondo tentativo. Questo e'
possibile, se si tratta magari di uno 0-day particolarmente pericoloso.
Microsoft non commenta per non spargere il panico.
Ma c'e' anche un terzo, possibile scenario:
3) In realta' non e' successo. Lo scopo di questa manovra (un possibile
scopo) lo esporro' piu' avanti.
In ogni caso, che sia uno qualunque dei tre, la storiellina del QAZ se
la possono risparmiare, per quanto mi riguarda.
Alla fine di questa analisi sommaria dei dati, facciamo cio' che fa ogni
buon investigatore, ed esaminiamo i possibili moventi:
1) Gloria. Il classico e vero hacker che cerca semplicemente di fare il
fighetto: "Wow, che fico scrivere y0u w3r3 0wn3d sulla home di
www.microsoft.com!". Sarebbe sicuramente il caso meno dannoso per
Microsoft.
2) Spionaggio industriale. Il codice sorgente e' ovviamente merce
preziosissima, l'unica che Microsoft produca. Un competitore potrebbe
avvantaggiarsi dall'acquisire codice illecitamente. Inoltre, se vi
ricordate che Microsoft e' sotto accusa per pratiche illecite di trust,
alcune parti di quel codice potrebbero anche essere prove a carico, che
Redmond avrebbe tutto l'interesse a tener nascoste sotto l'angolino del
tappeto.
3) Pirateria. Anche se altamente improbabile, una delle motivazioni
potrebbe essere la speranza di poter compilare il codice sorgente in
proprio e distribuirlo in versioni piratate, magari munite di backdoor.
4) Sabotaggio. Modifica del codice, oppure distruzione di esso. Ancora
peggio, pubblicazione (per esempio su un newsgroup) del codice integrale
di un prodotto MS. Una botta economica valutabile in migliaia di
miliardi di dollari.
5) Data Hostage. Una forma di crimine informatico analoga al sequestro
di persona. Teoretizzata ma mai messa in pratica, per quanto noto. Un
gruppo che fosse in possesso dei codici di un prodotto e minacciasse di
renderli pubblici potrebbe estorcere sostanzialmente qualsiasi cosa da
Microsoft.
6) Exploiting. Studiare il codice sorgente aiuterebbe sicuramente a
scrivere exploit ben piu' mirati e dannosi del solito, per un sistema
operativo e dei programmi che non essendo open-source non sono stati
certo auditati e esaminati con l'accuratezza che e' stata riservata ad
altri software.
Ovviamente, la societa' sostiene che il pirata non ha ne' scaricato ne'
modificato sorgenti (in pratica punta a far passare l'incidente come
opera di un pesce piccolo, aiutato da un impiegato imbecille che apre un
worm). Tuttavia ha richiesto immediatamente l'aiuto dell'FBI (che si
dichiara "a conoscenza dei rischi" di manipolazione e divulgazione di
codice [7]). Se veramente si trattasse del caso 1, come giustificare
un'indagine federale per una ragazzata ? (vi ricordo che al di sotto dei
20.000 dollari dimostrabili di danni le autorita' federali americane
manco si muovono... certo che se e' Microsoft a telefonare...). Per
l'eventuale divulgazione di segreti industriali ci sono 500.000$ di
multa e fino a 15 anni di carcere, invece. Capite che la cosa e' un po'
diversa.
Cio' che sconcerta e' semmai che Microsoft abbia preso tutte le misure
per proteggere la sua rete dalle intrusioni, rimuovere le backdoor e i
troiani, impedire l'accesso al sistema... insomma, ha fatto di tutto per
spaventare a morte l'intruso e costringere, sostanzialmente, l'FBI a
battere una pista fredda, quando tutti sanno che il modo migliore per
tracciare un hacker e' osservarlo all'opera [8]. Ora, possiamo tutti
capire che MS fosse ansiosa di togliersi dalle scatole uno spione... ma
perche' farlo PRIMA di consentire all'FBI di vederlo entrare e di
iniziare una procedura di tracciamento? La mia ipotesi, anche in questo
caso, me la riservo per la conclusione.
Vorrei puntualizzare un'ultima cosa, per evitare che qualcuno di voi
inizi ad osannare lo scriteriato (si', scriteriato) che ha commesso
questa immane cazzata. E non lo dico solo perche' IN OGNI CASO entrare
in sistemi informatici protetti e' contrario alla legge, e bla bla bla
(fate conto che abbia scritto tutti quegli avvertimenti che di solito
saltate...). Lo dico anche e sopratutto dal punto di vista della
comunita' hacker e della sicurezza. Innanzitutto, questo attacco
aumentera' la paranoia che gia' monta da mesi intorno alle attivita'
dell'underground digitale, e cio' e' male. Inoltre, da questo momento in
avanti chiunque scopra debolezze nel codice dei programmi Microsoft
potrebbe essere lecitamente sospettato di aver avuto accesso ai sorgenti
e di essere quindi complice di un reato (e cio' non e' bello). In terzo
luogo, chi ha fatto questa cosa, se veramente si tratta di un'intrusione
e non e' una balla colossale, NON era un ragazzo simpatico che provava a
usare il suo troianello nuovo. Non era nemmeno uno che lo faceva per
passione, o per vanita'. Questo era uno che lo faceva per soldi, e
rubare segreti industriali non e' diverso dal rubare macchine o
autoradio.
Al contrario di quello che sentite ripetere di solito da riviste come
questa, non si tratta di una persona il cui unico crimine sia la
curiosita'. Si tratta di un ladro, ne' piu' ne' meno.
Ma c'e' un ultimo e piu' importante autogol in questa situazione.
Immaginate che tra qualche anno (quando questo misterioso "prodotto in
sviluppo" sara' rilasciato) venga trovata in esso una backdoor, come
quella che Rain Forest Puppy ha trovato nelle Front Page Extensions (e
per i dettagli vi rimando a System Down 5, se e quando mai uscira'...).
Chi impedirebbe alla Microsoft di urlare "Ecco, lo hanno fatto gli
hacker!" e scaricare su altri una colpa che altrimenti potrebbe ricadere
soltanto su di loro (e non e' un dubbio solo mio)? Ecco che cosa ha
fatto l'imbecille che e' entrato in quella rete... altro che osannarlo,
ci sarebbe da crocifiggerlo solo per questo!
Ma vorrei lasciarvi con un sospetto strisciante (non sia mai, un
articolo su Microsoft senza nemmeno una frecciatina!). Non vi pare che
ci sia qualcuno che avrebbe soltanto da guadagnarci a creare dal nulla
questo casino? Qualcuno a cui un hacker su cui scatenare caccia ed
eventuali colpe facesse comodo? In fin dei conti, non vi sono prove
dell'intrusione di questo tizio (salvo quelle loggate da Microsoft, e
sappiamo che i log non sono certo inalterabili...), non vi e' stata una
vera attivita' investigativa (che e' stata stroncata proprio da alcune
discutibili decisioni della societa' stessa), e anche sul metodo di
intrusione non vengono fornite notizie attendibili.
Non so a voi, ma a me tutta questa vicenda lascia piu' domande che
risposte. E qualsiasi ipotesi alternativa io scelga per spiegare tutto,
qualcosa rimane inevitabilmente fuori posto, stonato. E sono portato a
credere che manchino ancora dei tasselli, volutamente occultati o ancora
non compresi, non saprei dirlo.
[1] Fonte: Wall Street Journal 27/10/00. Rappresentante della compagnia
che ha richiesto di non essere citata.
[2] Fonte: comunicato ufficiale Microsoft 27/10/00. Anonimo.
[3] Fonte: CNET News 29/10/00. Dichiarazione di Steve Ballmer, CEO di
Microsoft Corporation.
[4] Fonte: IDGNS, 27/10/00. Sichiarazione di Russ Cooper, gestore di
NTBugTraq.
[5] Fonte: Wall Street Journal 27/10/00. Dichiarazione di fonte anonima.
[6] Fonte: ComputerWorld online 27/10/00. Dichiarazione di Graham
Cluley, security expert di Sophos PLC.
[7] Fonte: ComputerWorld online 27/10/00. Dichiarazione di
rappresentante anonimo dell'FBI.
[8] Si veda l'articolo di Kevin Poulsen su SecurityFocus del 30/10/00.
==============================================================================
---------------------------------[ EOF 6/21 ]---------------------------------
==============================================================================
