Pwned by CIA. Wikileaks, vault7 e l'hacking di stato


Vai a pagina 1, 2, 3, 4, 5, 6  Successivo
Autore Messaggio
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Mer 08 Mar, 2017 15:58    Oggetto: Pwned by CIA. Wikileaks, vault7 e l'hacking di stato   

Come tutti sapranno dai tg di ieri (LOL... neanche ne hanno parlato quasi), wikileaks ha rilasciato il primo "epocale" rilascio di dati riservati di sempre. Definito dagli stessi "l'anno zero".

Nell'archivio, denominato Vault7, sono presenti importanti documenti che confermano l'esistenza di un preciso progetto da parte dell'Agenzia per infiltrare praticamente tutti i dispositivi connessi ad Internet al fine di spionaggio e controllo.

Nonostante l'importanza del rilascio, la notizia ha meritato giusto un trafiletto nei principali media italiani, probabilmente per la nostra abitudine a vivere nel medioevo Smile

In realtà credo che gli italiani (soprattutto) non ne abbiano capito la portata.
In sintesi, a mio parere:

- Il clou non è che la cia ci spia (si sapeva), ma che ha fatto ben peggio di quanto si suppone abbia fatto Putin. Alla fin fine di Putin si sospetta che avrebbe potuto interferire con le elezioni USA (ma non ci sono prove che ne avesse le capacità), della CIA è confermata la sua interferenza nella politica europea: addirittura l'ambasciata USA a Francoforte era il quartiere generale dell'Hacking in Europa.

- La cosa inquietante è l'utilizzo possibile di alcune di queste armi, ad esempio, il controllo di veicoli. Immaginate da soli qual è l'utilizzo primario, vero?

- Tutto questo non l'ha fatto Putin, ma la CIA. Non il cattivo rais, ma i paladini della democrazia. Violando molte leggi basilari, tra cui quelle che per spiare, intercettare ed usare i dati serve un mandato di un giudice, che funge da limitatore del potere.

- Tutte le armi ora sono di pubblico dominio. I nostri dati non erano al sicuro prima e lo sono ancora meno ora, finché almeno i produttori non tapperanno le falle (e si, dovranno correre). Potete giurarci che i primi ad usare tali armi saranno i cattivi. Cioè non Putin, ma quelli che vogliono i vostri soldi, e fino a ieri vi proponevano di vendere un rene, domani venderanno quelle foto che avete sul telefonino, si, quelle dei vostri figli.

- Se la Cia, invece di aver usato le falle scoperte per farsi delle arme avesse collaborato con i produttori per tapparle, il mondo sarebbe un mondo migliore. E no, non l'hanno fatto per il vostro benessere, statene certi.


Vediamo come risponderanno i produttori...
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Mer 08 Mar, 2017 16:32    Oggetto:   

Qui alcune riflessioni che non condivido al 100%, almeno riguardo la commistione tra wikileaks e Trump. Anche fosse vero, il mondo ci ha guadagnato parecchio. Ma il succo del discorso è interessante.

https://www.theregister.co.uk/2017/03/08/cia_exploit_list_in_full/?mt=1488985331045

Parte dell'articolo è MOLTO tecnico e nel contempo davvero MOLTO interessante.
Prime considerazioni:

- Windows è abbastanza semplice da bucare, e molte vulnerabilità risalgono al design del sistema, e non saranno facilmente fixate nel futuro prossimo.

- MacOS non si salva, anche se, scrivono gli analisti di WL, "Apple poses a significantly more difficult challenge for the CIA than Redmond's code"- Questo ci aiuta a rendere poco verosimili le voci che vi sia stata collaborazione delle aziende USA con CIA per rendere "deboli" i loro prodotti. No, niente backdoor di stato, sembra.

- iOS: vulnerabile, nonostante si creda il contrario, ma le falle vengono via via fixate da Apple, rendendo credibile l'atteggiamento ostile di Apple vs le richieste delle varie agenzie governative di rendere i propri prodotti meno sicuri

- Android: lista lunga di vulnerabilità, non tutte fixabili da distribuzioni alternative del s.o. (penso a Cyanogen). Infatti alcune sono in driver proprietari che non possono essere fixate se non dai produttori stessi. In ogni caso mi pare che Android ne esca con le ossa rotte: la lista è vecchia di 3 anni e ancora alcuni exploit sono non fixati nelle recenti versioni del s.o.

- Antivirus: lunga la lista di metodi per evadere i più diffusi antivirus. Simpatico che Comodo sia definito "PITA" (Pain in the ass, significato più o meno chiaro). Comunque tutti vengono più o meno sconfitti.

- Signal/Whatsapp: la crittografia ne esce imbattuta

- Samsung TV: vecchie versioni possono essere trasformate in spie, ma occorre installare il malware accedendo fisicamente tramite USB. Comunque pare sia stata fixata

Ma l'archivio deve essere ancora studiato per bene... c'è di che rendere molto meno ridicoli i filmettoni americani dove FBI e CIA possono fare praticamente tutto.
L.MCH
Horus Horus
Messaggi: 5855
Località: non pervenuta
MessaggioInviato: Gio 09 Mar, 2017 02:18    Oggetto:   

Purtroppo molti difetti strutturali strutturali di S.O. ed applicazioni resteranno tali e quali (persino quille legate ad alcune peculiarità dei firmware UEFI) e saranno fonte di nuovi exploit simili a quelli descritti, senza contare che quel che è uscito è solo la cima dell'iceberg se si parla di tool da cyberwarfare in uso o in fase di sviluppo.
Oltre a questo, la maggior parte dei dispositivi IoT hanno delle falle assurde legate al voler risparmiare sul software ed al comprare "pacchetti firmware" compilati con librerie con ancora vecchi bug e cose simili.

Inoltre visto che si parla di software c'e' poca roba che descrive l'hardware "d'attacco" che costituisce un altro elemento che viene sottovalutato.
Albacube reloaded
Horus Horus
Messaggi: 3927
Località: Un paesello in provincia di Padova
MessaggioInviato: Gio 09 Mar, 2017 14:45    Oggetto: Re: Pwned by CIA. Wikileaks, vault7 e l'hacking di stato   

HappyCactus ha scritto:
...
- Tutto questo non l'ha fatto Putin, ma la CIA. Non il cattivo rais, ma i paladini della democrazia. Violando molte leggi basilari, tra cui quelle che per spiare, intercettare ed usare i dati serve un mandato di un giudice, che funge da limitatore del potere.
...

Concordo su quasi tutto e la preoccupazione è tanta, non da ieri.
Mi permetto solo di sottolineare che l'estratto qui sopra è un po' ingenuo.
Per assurdo basterebbe scoprire qualcosina sul giudice di turno e i mandati fioccherebbero (qualora il giudice non fosse già parte attiva e politica del gioco).
Nirgal
Haut-Lord Haut-Lord
Messaggi: 1751
MessaggioInviato: Gio 09 Mar, 2017 15:44    Oggetto:   

Faccio le solite vecchie considerazioni.
Quando gli americani hanno accusato cinesi e russi di determinate cose è perché sapevano che si poteva fare (per esperienza).

Le centrali di ascolto CIA in europa, permettevano ai servizi europei di bypassare le leggi europee facendo spiare alla CIA le persone che interessavano.

Ormai per creare profili non è che sia così necessario spiare, i social network e la smania di protagonismo della gente risolvono il problema.
L'utilizzo dei profili per manipolare la gente è la percezione della realtà è usato da anni da pubblicitari, lobbisti, politici (sopratutto in america), oggi con i big data e il  machine learnig ha raggiunto una precisione inquietante.
a questo va aggiunto come si sia espanso enormemente il numero di persone che possa usare questo tipo di tecnologia.
Il fenomeno più eclatante è quello dell'ISIS, che ha poggiato buona parte del suo impatto proprio su questi fattori, riuscendo in una notevole opera di reclutamento.

Se qualcuno vuol farsi un'idea di come funzioni la "guerra informatica" può dare un'occhiata a Zero Days il documentario che racconta la storia di Stuxnet e le delle potenzialità offensive dei cyber attacchi.

Perché il problema di spiare, o meglio di creare profili dei cittadini, perché questo è l'obiettivo, impallidisce di fronte a quelli che potrebbero essere i risultati di attacchi informatici su larga scala.

Chissà cosa direbbe quell'utopista di Orwell  Dizzy ?
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Gio 09 Mar, 2017 16:43    Oggetto: Re: Pwned by CIA. Wikileaks, vault7 e l'hacking di stato   

Albacube reloaded ha scritto:
HappyCactus ha scritto:
...
- Tutto questo non l'ha fatto Putin, ma la CIA. Non il cattivo rais, ma i paladini della democrazia. Violando molte leggi basilari, tra cui quelle che per spiare, intercettare ed usare i dati serve un mandato di un giudice, che funge da limitatore del potere.
...

Concordo su quasi tutto e la preoccupazione è tanta, non da ieri.
Mi permetto solo di sottolineare che l'estratto qui sopra è un po' ingenuo.
Per assurdo basterebbe scoprire qualcosina sul giudice di turno e i mandati fioccherebbero (qualora il giudice non fosse già parte attiva e politica del gioco).

Scusami, ma non ho mica capito cosa intendi dire. Smile

nirgal ha scritto:

Perché il problema di spiare, o meglio di creare profili dei cittadini, perché questo è l'obiettivo, impallidisce di fronte a quelli che potrebbero essere i risultati di attacchi informatici su larga scala. 


Perdonami anche tu, ma neanche qui ho capito qual è il nesso tra l'intercettazione illegale e la profilazione.
Sono attività molto diverse con rischi altrettanto diversi. La profilazione al di là di tutto ha anche dei risvolti positivi per il consumatore, e personalmente la trovo un rischio molto più basso rispetto l'intercettazione attiva.

Non da ultimo, c'è un aspetto pericolosissimo in tutto ciò, e lo metteva in luce un articolo che purtroppo non riesco più a trovare. 
Certamente un aspetto è il cittadino comune esposto alla possibilità di violazioni (legali o meno) da parte sia dell'Agenzia, ma anche da parte di terze parti, non dimentichiamo che una falla può essere scoperta, e sfruttata, indipendentemente anche da altri ricercatori privati (e pare che alcuni tool siano stati "rubati" proprio da pc di ricercatori).
Ma risultano in ugual modo esposti anche obiettivi ben più sensibili, senatori, politici, e lo stesso presidente. 
Magari a noi italiani non fa effetto, ma nell'ambito di una sana democrazia la separazione dei poteri va a farsi benedire ... 
Fedemone
Asgard Asgard
Messaggi: 1427
MessaggioInviato: Ven 10 Mar, 2017 08:59    Oggetto:   

POi si confonde sempre il data mining, che alla fine vuole incatenare il consumatore al prodotto (un ipotetico eccesso è la schiavitù per far versare ogni minuto del nostro tempo e ogni spicciolo che incassiamo in prodotti e intrattenimento più o meno farlocchi), con lo spionaggio serio, tipo attivisti dei diritti umani o politici di ogni genere.

Se uno può dire, beh, che mi spiino se vogliono perché non ho nulla da nascondere, al massimo mi vogliono vender eun paio di scarpe extra, in posti come la Turchia la questione dello spionaggio verso il cittadino è qualcosa di effettivamente minaccioso (vedasi anche epurazioni e scontri nonché arresti).

Il futuro si presenta sempre più inquietante
Paolo7
Horus Horus
Messaggi: 3240
MessaggioInviato: Ven 10 Mar, 2017 10:07    Oggetto:   

Attivissimo ridimensiona - almeno in parte - la portata delle rivelazioni:

http://attivissimo.blogspot.it/2017/03/no-la-cia-non-ti-spia-wikileaks-gonfia.html
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Ven 10 Mar, 2017 11:16    Oggetto:   

Attivissimo non è sempre unbiased, eh. E ultimamente la fa fuori dal vaso, a forza di voler prendere posizioni politiche.

Perché CIA, FBI o STASI, il problema è che si sta con il culo fuori e non lo sappiamo. Anzi. Chi dovrebbe "proteggerci" non lo fa.

Alcune considerazioni che dovrebbero (dovrebbero... seee....) chiudere ogni discussione:

- La CIA ha scoperto delle falle su praticamente tutti i sistemi informatici disponibili. Chi garantisce che non siano anche i cattivi ad averle? Non è che la CIA ha l'esclusiva per la ricerca in campo, anzi, tutt'altro.

- La CIA ha subito il leak mesi e mesi fa, e lo sapeva. Perché non ha avvertito utenti o produttori?

- Alcuni dipendenti della CIA sfruttavano questi strumenti per spiare mogli ed ex fidanzate. E' fantascienza pensare che possano aver spiato anche obiettivi sensibili per interessi al di fuori della sicurezza nazionale o di quelli dell'Agenzia? La corruzione non è peculiarità italiana

- Il leak coinvolge non uno o due vulnerabilità, ma una intera "pila". Ora, grazie a WL, sono di pubblico dominio, e con il tempo forse tutti i prodotti coinvolti saranno fixati, ma nel frattempo ? Per fare un paragone più intuitivo, è come se un'agenzia governativa avesse perso i piani non per arricchire l'U238, ma per costruire un intero arsenale di missili nucleari a partire dal ferro e dal minerale grezzo. Solo che i leak hanno un potenziale molto più pericoloso, in fin dei conti è difficile procurarsi kerosene e Uranio per i missili, ma creare un worm che infetti e metta fuori uso l'intera infrastruttura informatica di una nazione, ora, lo può fare anche un ragazzino.

Insomma, raffreddare gli animi va bene, difendere l'hacking di stato non ha alcun senso, significa ignorare i principi basilari della sicurezza. E non fa onore ad Attivissimo, sinceramente.
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Ven 10 Mar, 2017 11:24    Oggetto:   

Inoltre, a proposito dell'articolo di Attivissimo:

attivissimo ha scritto:

Secondo Wikileaks la CIA avrebbe anche modi per “scavalcare la cifratura” che protegge WhatsApp, Signal, Telegram e molte altre app di messaggistica ritenute sicure


No, qui il nostro giornalista pare aver travisato.
Wikileaks scrive infatti nella press release:

wikileaks ha scritto:

These techniques permit the CIA to bypass the encryption of WhatsApp, Signal, Telegram, Wiebo, Confide and Cloackman by hacking the "smart" phones that they run on and collecting audio and message traffic before encryption is applied.


E l'articolo riportato nel mio secondo post lo ribadisce: infettare uno smartphone è l'unico modo ad oggi per bypassare la cifratura di queste app di messaging.
Attivissimo nel seguito dell'articolo sembra correggersi, e però sembra criticare comunque WL.
Sinceramente, mi pare un articolo un po' raffazzonato, talmente incerto su quale posizione tenere che sembra essere fatto esclusivamente per criticare o sminuire la portata della rivelazione.
Uno dei peggiori articoli di Attivissimo, che già da tempo mi sembra aver perso un pochino di smalto...
Paolo7
Horus Horus
Messaggi: 3240
MessaggioInviato: Ven 10 Mar, 2017 12:32    Oggetto:   

Anche a me è sembrato che volesse a tutti i costi gettare acqua sul fuoco, forse per bilanciare quanto scritto altrove.
Albacube reloaded
Horus Horus
Messaggi: 3927
Località: Un paesello in provincia di Padova
MessaggioInviato: Ven 10 Mar, 2017 14:00    Oggetto: Re: Pwned by CIA. Wikileaks, vault7 e l'hacking di stato   

HappyCactus ha scritto:
Albacube reloaded ha scritto:
HappyCactus ha scritto:
...
- Tutto questo non l'ha fatto Putin, ma la CIA. Non il cattivo rais, ma i paladini della democrazia. Violando molte leggi basilari, tra cui quelle che per spiare, intercettare ed usare i dati serve un mandato di un giudice, che funge da limitatore del potere.
...

Concordo su quasi tutto e la preoccupazione è tanta, non da ieri.
Mi permetto solo di sottolineare che l'estratto qui sopra è un po' ingenuo.
Per assurdo basterebbe scoprire qualcosina sul giudice di turno e i mandati fioccherebbero (qualora il giudice non fosse già parte attiva e politica del gioco).

Scusami, ma non ho mica capito cosa intendi dire. Smile

Intendo dire che sperare di essere tutelati da chi avrebbe il dovere di farlo è ingenuo; ovvero caso 1) i giudici non tutelano perché schierati "politicamente" (avallano l'operato dei servizi segreti a priori), caso 2) se invece tutelano, basta spiarli un poco e si ottiene comunque la copertura giudiziaria (ritengo sia impossibile il caso del giudice immacolato, qualora poi ci fosse gli esempi siciliani abbondano).
La ragion di stato prevale rispetto al bilanciamento dei poteri. Temo sia miopia degli elettori/cittadini credere e confidare in tale bilanciamento.
Nirgal
Haut-Lord Haut-Lord
Messaggi: 1751
MessaggioInviato: Ven 10 Mar, 2017 15:50    Oggetto: Re: Pwned by CIA. Wikileaks, vault7 e l'hacking di stato   

HappyCactus ha scritto:


Perdonami anche tu, ma neanche qui ho capito qual è il nesso tra l'intercettazione illegale e la profilazione.
Sono attività molto diverse con rischi altrettanto diversi. La profilazione al di là di tutto ha anche dei risvolti positivi per il consumatore, e personalmente la trovo un rischio molto più basso rispetto l'intercettazione attiva.

Non da ultimo, c'è un aspetto pericolosissimo in tutto ciò, e lo metteva in luce un articolo che purtroppo non riesco più a trovare. 
Certamente un aspetto è il cittadino comune esposto alla possibilità di violazioni (legali o meno) da parte sia dell'Agenzia, ma anche da parte di terze parti, non dimentichiamo che una falla può essere scoperta, e sfruttata, indipendentemente anche da altri ricercatori privati (e pare che alcuni tool siano stati "rubati" proprio da pc di ricercatori).
Ma risultano in ugual modo esposti anche obiettivi ben più sensibili, senatori, politici, e lo stesso presidente. 
Magari a noi italiani non fa effetto, ma nell'ambito di una sana democrazia la separazione dei poteri va a farsi benedire ... 

Mentre parlare di privacy in paese dove abbiamo persino delinquenti che vanno a commettere crimini e postano i video su internet, mi pare un po' forzato, trovo molto più preoccupante la questione di creare profili per vari motivi, per esempio se cadi nel profilo sbagliato, potresti avere dei grossi problemi (ricordo un racconto di fantascienza (mi pare di Doctorow o Sterling) che illustrava il problema.
Poi l'utilizzo dei profili è un ottimo modo per gestire la comunicazione in modo mirato da parte di un governo o comunque da parte di chi controlla i dati.
Già oggi vediamo i politici che puntano fortemente su queste tecniche mutuate dalla pubblicità, in america ormai guidano le campagne elettorali, da noi Renzi ha importato questo modello per vendere i suoi provvedimenti.
Il problema è che in questo modo un governo può avere un controllo sui cittadini decisamente più forte, perché si è in grado di capire desideri e paure ed usarli per guidare l'attenzione della gente su quello che interessa.
Faccio un esempio non so quanto correlato ai profili, ma che illustra bene come si possa vendere un provvedimento in modo del tutto fuorviante.
A fine 2015 uno dei primi provvedimenti del ministro Franceschini fu la campagna un libro è un libro per equiparare un libro cartaceo ad un ebook, campagna che andava pure contro l'europa (che fa sempre figo)
Così tutti d'accordo e felici, peccato che alla fine, continuo a non poter prestare o rivendere un ebook il calo dell'IVA non ha portato al calo dei prezzi dei libri, ma solo ad una diminuzione delle tasse per gli editori (visto che ora solo il 4% del costo di un ebook  è costituito dall'IVA).


Un provvedimento che ha abbassato le tasse agli editori, rischiando pure una sanzione da parte dell'europa, è stato presentato come una azione a favore della cultura e dei cittadini.
Ovviamente chi compra libri se ne accorge che è una fregatura, ma tutto il resto del paese è convinto che il ministro abbia proposto una battaglia per favorire la cultura.
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Ven 10 Mar, 2017 18:22    Oggetto:   

Confermo, Attivissimo è in piena confusione:

Citazione:

Anzi, secondo Moxie Marlinspike, creatore di Signal, il fatto che la CIA debba ricorrere all’infezione individuale dello smartphone significa che la crittografia di Signal è robusta contro le intercettazioni di massa. E se un intruso ha accesso fisico ai vostri dispositivi personali vuol dire che potrebbe fare ben di peggio, per esempio installando microspie tradizionali, senza prendersi la briga di architettare complicate infezioni.


Che c'entra l'accesso fisico al telefono? I tool della CIA di cui si parla sono exploit di software, locali e remoti, che includono anche la possibilità di infettare dispositivi tramite la rete internet, senza accesso fisico al telefono.
L'accesso fisico non c'entra proprio nulla, se non in alcuni casi come Wheeping Angel, l'exploit del protocollo USB degli smartphone samsung.

Citazione:

Per esempio, l’idea che la CIA studi tecniche per infettare i sistemi computerizzati che controllano il funzionamento delle nostre automobili per avere un modo di compiere delitti perfetti senza lasciare tracce è inquietante, soprattutto per chi ha un’auto interconnessa o addirittura aggiornabile via software da remoto (Tesla, per esempio, ma anche le altre marche che hanno centraline aggiornabili con un intervento locale), ma non vuol dire che ci sia riuscita, che lo faccia e che i costruttori di auto non possano prendere contromisure.


Purtroppo invece è certo che ce l'abbia fatto, del resto ci erano riusciti anche i ricercatori che infettarono due anni fa la Jeep Cherokee (ne ho parlato ad un convegno).
Ahi ahi, il disinformatico disinformato...
HappyCactus
Horus Horus
Messaggi: 5048
Località: Verona
MessaggioInviato: Ven 10 Mar, 2017 18:43    Oggetto:   

Nirgal, ti avevo risposto ma non so come è sparito il commento.

In sintesi, dicevo, è problema della maturità dell'elettorato. Un elettore che non abbia la memoria di un pesce rosso dovrebbe rendersi conto quando una promessa non è mantenuta, e dunque un politico può in teoria spararla grossa fino ad un certo punto. Purtroppo l'elettore medio è un pesce rosso, ma la colpa non è di Big Data, ma dell'elettore.
Mostra prima i messaggi di:   
   Torna a Indice principale :: Torna a Tecnologia Tutti i fusi orari sono GMT + 1 ora
Vai a pagina 1, 2, 3, 4, 5, 6  Successivo

Vai a:  
Non puoi inserire nuove discussioni in questo forum
Non puoi rispondere alle discussioni in questo forum
Non puoi modificare i tuoi messaggi in questo forum
Non puoi cancellare i tuoi messaggi in questo forum
Non puoi votare nei sondaggi in questo forum