Gaia Bottà

FBI, spyware per fermare un ragazzino

Per smascherare l'autore di email minatorie e di un account MySpace, l'FBI ha messo in campo un software installato da remoto, capace di raccogliere e trasmettere dati utili per le indagini. L'assalto del fedware

Washington - È allarme bomba alla Timberland High School, nei pressi di Washington. A fine maggio, un avvertimento scritto. Dall'inizio di giugno, racconta Ars Technica, una sventagliata di email avvertiva il personale dell'istituto della presenza di ordigni, prospettava attacchi DoS contro il network scolastico, augurando al dirigente scolastico di godersi la propria fine. Evacuazioni all'ordine del giorno, studenti terrorizzati, ma nessuna traccia di esplosivo. Un caso per l'FBI, che con questa operazione ha disvelato una delle sue nuove procedure antiterrorismo cyber.

Le email minatorie seguitavano ad affollare le caselle di posta dell'istituto: provenivano da account Gmail freschi di registrazione, uno dei quali intestato ad uno studente della scuola, nel tentativo di depistare le indagini. Il mittente ostentava sicurezza, sbeffeggiava le forze dell'ordine ritenendo indubbia la propria superiorità, conscio di non aver trascurato alcun particolare. Addirittura sfidava le autorità a tracciarlo: le ricerche hanno condotto ad un server italiano, ma era un depistaggio, peraltro persino preannunciato dall'ignoto autore.

Nel frattempo 33 studenti della scuola ricevono la richiesta per essere aggiunti alla lista di amici di tale Timberlinebombinfo, identità assunta dal mitomane su MySpace. Ecco aprirsi uno spiraglio per l'FBI.
L'agente speciale Norman Sanders, il 12 giugno, inoltra ad un giudice federale una richiesta nella quale si domanda l'autorizzazione per poter utilizzare il sistema Computer & Internet Protocol Address Verifier (CIPAV), da installare in remoto sulla macchina dell'intestatario dell'account MySpace.
Al pari di Magic Lantern, software che l'FBI ha ammesso con candore di aver sviluppato per il monitoraggio dei netizen sospetti, CIPAV può garantire ai Federali prove in grado di incastrare il colpevole. Una volta installato, come fosse uno spyware, il sistema può individuare e comunicare all'FBI indirizzo IP e indirizzo MAC della macchina, porte aperte, programmi in esecuzione, informazioni riguardo al sistema operativo e ai browser installati. Può inoltre tenere traccia delle operazioni compiute su Internet, senza carpire però il contenuto delle comunicazioni. Un tipo di sorveglianza, riporta Wired, che a differenza di quella operata sul contenuto delle email non necessita di particolari autorizzazioni, in quanto paragonabile alla consultazione dei tabulati telefonici, operazione che a parere della Corte d'Appello del Nono Distretto, non calpesta alcun diritto alla privacy dei cittadini.

C'è voluto poco ovviamente per ottenere l'indirizzo IP e solo pochi istanti di più per rintracciare il misterioso attentatore. Si tratta di Josh Glazebrook, 15 anni, studente dell'istituto, script kiddie con manie di grandezza. È stato condannato a 90 giorni, di cui un terzo già scontato, e al pagamento di un'ammenda, per rifondere le spese che la scuola ha dovuto affrontare per le ripetute evacuazioni.

Nessuna informazione riguardo all'installazione e al funzionamento di quello che già si definisce fedware: cnet suggerisce sia stato recapitato via email, mentre a parere di Wired l'FBI avrebbe sfruttato il sistema di messaggistica di MySpace. Resta il problema di stabilire, si discetta su Slashdot, come sia stato possibile installare CIPAV senza che Glazebrook se ne sia accorto, bypassando le protezioni antispyware o antivirus, che si dà per scontato fossero attive sul suo computer. Che l'FBI abbia sfruttato una vulnerabilità del browser, contando sulla negligenza del ragazzo nell'operare gli aggiornamenti? Che l'FBI abbia invece individuato e approfittato di bug di cui il resto del mondo è ignaro? C'è chi avanza il dubbio che l'FBI abbia stipulato accordi con le softwarehouse della sicurezza, affinché non imbriglino il fedware: cnet ne ha contattate tredici, e tutte negano ogni coinvolgimento con le forze dell'ordine, ricalcando gli esiti del sondaggio di due anni fa, all'epoca Magic Lantern.

Certo è che queste tecniche investigative solleveranno inedite questioni relative ai diritti dei netizen, prospetta il legale di Electronic Frontier Foundation David Sobel, citato da Wired. Questioni a cui gli Stati Uniti sono soliti rispondere con documenti rassicuranti, sanatorie ad hoc e provvedimenti che sembrano incoraggiare una sorveglianza sempre più pervasiva.

Gaia Bottà
24 Commenti alla Notizia FBI, spyware per fermare un ragazzino
Ordina
  • ho visto un persona simeli a lui un latitante che abita a matelica macerata italia in via cavalieri
    non+autenticato
  • un programma cosi sul computerOcchiolino

    aspe forse vado a guardare anche il mio chissa
    non+autenticato
  • Bè, si, dai, certo, come no... (sequenza inutile di parole per creare suspance)
    E' sicuramente molto probabile che una persona in grado di mascherare con efficacia il suo ip (non che sia difficilissimo) e che ha registrato un account gmail e uno myspace allo scopo esclusivo di compiere azioni minatorie (gravi o meno gravi che siano) e che arriva anche a sfidare le Law Enforcement sul farsi tracciare, poi si metta ad aprire il primo file che gli inviano proprio su quegli account e profili che usa allo scopo esclusivo di compiere suddette azioni "criminali".
    Ma non è meglio dire chiaro e tondo "gli hanno infilato il trojan senza alcuna azione dell'interessato, con una delle tante "vulnerabilità" e potrebbero farlo con chiunque, sempre che non lo stiano facendo, magari supportato con un software che analizza automaticamente i log di tale trojan sui campioni infetti, per tracciarne vari profili".

    Saluti
    non+autenticato
  • - Scritto da: Guy Faux

    > Ma non è meglio dire chiaro e tondo "gli hanno
    > infilato il trojan senza alcuna azione
    > dell'interessato, con una delle tante
    > "vulnerabilità" e potrebbero farlo con chiunque,
    > sempre che non lo stiano facendo, magari
    > supportato con un software che analizza
    > automaticamente i log di tale trojan sui campioni
    > infetti, per tracciarne vari
    > profili".

    Magari invece hanno fatto portare a tutti gli studenti il proprio computer e costretto uno ad uno a installare lo spyware federale antiterrorismo con una pistola puntata alla tempia.
    non+autenticato
  • - Scritto da: Guy Faux
    > Bè, si, dai, certo, come no... (sequenza inutile
    > di parole per creare
    > suspance)
    > E' sicuramente molto probabile che una persona in
    > grado di mascherare con efficacia il suo ip (non
    > che sia difficilissimo) e che ha registrato un
    > account gmail e uno myspace allo scopo esclusivo
    > di compiere azioni minatorie (gravi o meno gravi
    > che siano) e che arriva anche a sfidare le Law
    > Enforcement sul farsi tracciare, poi si metta ad
    > aprire il primo file che gli inviano proprio su
    > quegli account e profili che usa allo scopo
    > esclusivo di compiere suddette azioni
    > "criminali".
    > Ma non è meglio dire chiaro e tondo "gli hanno
    > infilato il trojan senza alcuna azione
    > dell'interessato, con una delle tante
    > "vulnerabilità" e potrebbero farlo con chiunque,
    > sempre che non lo stiano facendo, magari
    > supportato con un software che analizza
    > automaticamente i log di tale trojan sui campioni
    > infetti, per tracciarne vari
    > profili".
    >
    > Saluti


    sai da te che un giornale può affermare solo i fatti, non AFFERMARE le supposizioni. Può accernnarle ma devono essere ben distinguibili dai fatti accertati.

    tu hai le tue ragioni, ma non puoi pretendere che PI, che già te lo fa capire, AFFERMI qualcosa di non dimostrato sull'FBI
    non+autenticato
  • Rilevare un IP in se non è violazione della privacy ma il MAC Address credo proprio che lo sia.
    In un elenco telefonico posso leggere un numero di telefono non la marca dello strumento utilizzato dal possessore del numero interessato
    non+autenticato
  • - Scritto da: ...
    > Rilevare un IP in se non è violazione della
    > privacy ma il MAC Address credo proprio che lo
    > sia.
    > In un elenco telefonico posso leggere un numero
    > di telefono non la marca dello strumento
    > utilizzato dal possessore del numero
    > interessato

    Può darsi che tu abbia ragione, ma davanti al tribunale non esiste "violazione" di privacy...
  • ne sei sicuro? e il codice IMEI allora?Sorride
    MeX
    16902
  • - Scritto da: ...
    > Rilevare un IP in se non è violazione della
    > privacy ma il MAC Address credo proprio che lo
    > sia.
    > In un elenco telefonico posso leggere un numero
    > di telefono non la marca dello strumento
    > utilizzato dal possessore del numero
    > interessato
    Il MAC address, normalmente, ti permette di rilevare quale computer è stato usato nel caso di una LAN con un NAT: se quello si collegava da una rete con 100 PC il solo IP forse non sarebbe servito.
    Ovviamente è possibile cambiare anche il MAC ma è più complesso e... insomma se vuoi fare il fesso in giro per internet non puoi mica scendere a livelli di paranoia come quelli della CIA, no?!?
    non+autenticato
  • Il MAC lo vedi solo se stai nella stessa lan, quindi non usabile in questo caso. Per quanto poi sia complicato cambiarlo il MAC, è del tutto banale, su linux basta un banale ifconfig, su win non lo so, ma credo che sia veramente banale pure li.
    non+autenticato
  • - Scritto da: ...
    > Rilevare un IP in se non è violazione della
    > privacy ma il MAC Address credo proprio che lo
    > sia.
    L'attività giudiziaria non prevede la raccolta del "consenso informato".... D.Lgs.196/2003.

    Tra l'altro l'articolo dice chiaramente che, prima di farlo, hanno chiesto l'autorizzazione di un giudice, mica hanno fatto di testa loro.

    Cioè, come dovrebbe essere nelle democrazie, due poteri separati (potere giudiziario e potere esecutivo: la polizia dipende da questo) hanno autorizzato al superamento di un diritto di un cittadino a fronte di evidenze di gravi violazioni da parte di quest'ultimo, secondo le norme definito dal terzo potere separato (quello legislativo).

    Quasi roba da manuale.

    Magari fosse sempre così.
    non+autenticato
  • In azienda sto utilizzando Nessus per avere un'idea del grado di sicurezza dei PC che gestisco.

    La configurazione standard è Win2000 SP4 con Personal Firewall, Antivirus, Antispyware attivi; Windows Update eseguito regolarmente (con gli update automatici); inoltre ho disabilitato tutti i servizi inutili "Messenger, e compagnia cantante" e l'uso di IE...

    Nessus mi ha trovato mediamente 5/6 problemi di medio livello e 1/2 problemi gravi per ogni PC.

    Anche WinXP Pro SP2 (e stessa configurazione di prima) ha problemi.

    Ora mi chiedo... se un tool automatico riesce a trovare così tanti buchi, immagino cosa possa fare un utente esperto (hacker/cracker) o un'istituzione che voglia controllami.

    E non mi dite "usa linux"... io lo uso, ma tutti i pc in azienda hanno bisogno di Windows.
    E comunque anche una scansione su linux (Kubuntu Feisty con "apt-get upgrade" effettuato un attimo prima) ci sono problemi di media gravità
  • già penso anche io che sfruttino vari bug più o meno noti.

    qualche tempo fà ho letto dei buchi inclusi nell'hardware di rete per via di qualche strana legge americana sulpatriottismo. qualcuno ne sà niente?
    non+autenticato
  • - Scritto da: ottomano
    > La configurazione standard è Win2000 SP4 con
    > Personal Firewall, Antivirus, Antispyware attivi;
    > Windows Update eseguito regolarmente (con gli
    > update automatici);

    > E comunque anche una scansione su linux (Kubuntu
    > Feisty con "apt-get upgrade" effettuato un attimo
    > prima)
    Se io fossi un agente federale, e stessi cercando un modo di installare un programmino silente, una volta che è noto l'IP ed il sistema operativo, vado direttamente da MS o da Canonical e, con l'autorizzazione del giudice in mano, gli chiedo:"Gentilemente, quando questo IP fa il prossimo upgrade, gli installate anche sta roba qui insieme?".
    Sono una forza di polizia, mica una gang di cracker. Possono anche farsi dare una mano, alla luce del sole.
    Non è un problema (il problema è quando non è alla luce del sole, non c'è l'autorizzazione del giudice e non si fa per 1 solo IP....).
    non+autenticato
  • - Scritto da: Skywalker
    > - Scritto da: ottomano
    > > La configurazione standard è Win2000 SP4 con
    > > Personal Firewall, Antivirus, Antispyware
    > attivi;
    > > Windows Update eseguito regolarmente (con gli
    > > update automatici);
    >
    > > E comunque anche una scansione su linux (Kubuntu
    > > Feisty con "apt-get upgrade" effettuato un
    > attimo
    > > prima)
    > Se io fossi un agente federale, e stessi cercando
    > un modo di installare un programmino silente, una
    > volta che è noto l'IP ed il sistema operativo,
    > vado direttamente da MS o da Canonical e, con
    > l'autorizzazione del giudice in mano, gli
    > chiedo:"Gentilemente, quando questo IP fa il
    > prossimo upgrade, gli installate anche sta roba
    > qui insieme?".

    MA uno puo' sempre non aggiornare o scaricare a mano gli aggiornamenti e poi applicarli, in questo secondo caso come fai ?? Non sai neanche da dove li scarichera', mica esiste solo il repository, gli aggiornamenti sono pubblici.

    E' solo questione di quanto vuole essere prudente la persona sotto analisi, oltre certi livelli non c'e' niente da fare.

    > Sono una forza di polizia, mica una gang di
    > cracker. Possono anche farsi dare una mano, alla
    > luce del sole.
    > Non è un problema (il problema è quando non è
    > alla luce del sole, non c'è l'autorizzazione del
    > giudice e non si fa per 1 solo IP....).
    krane
    22544
  • > Se io fossi un agente federale, e stessi cercando
    > un modo di installare un programmino silente, una
    > volta che è noto l'IP ed il sistema operativo,
    > vado direttamente da MS o da Canonical e, con
    > l'autorizzazione del giudice in mano, gli
    > chiedo:"Gentilemente, quando questo IP fa il
    > prossimo upgrade, gli installate anche sta roba
    > qui insieme?".
    ci sono tante informazioni frammentarie e tante omissioni che dicono che sicuramente e' questa la strada che usano;

    La Fcc nel suo regolamento chiede l'implementazione di backdoor su software e dispositivi di comunicazioni altrimenti potrebbe decidere di non autorizzatare la commercializzazione del prodotto.
    Pensate solo al recente caso delle stampanti che aggiungono informazioni codificate nelle stampe, virtualmente qulsiasi prodotto progettato e/o destinato al mercato americano e' a rischio .

    I tool di Microsoft non sono fuori da questi giochi, e le collaborazioni sono un po' troppo frequenti....le notizie in proposito invece sono un vero e proprio segreto di stato, Google e isp ormai battagliano quasi ogni giorno a suon di tribunali e avvocati per proteggere la privacy dei propri utenti mentre Microsoft che piu' degli altri ha delle ragioni nulla di nulla? ma veramente e' possibile?

    Mi domando se ci sono altri programmi a grande diffusione a rischio, pensate tools come antivirus gratuiti e utility comune in genere.

    Ha ragione Gibson quando dice che i vari tools proteggono i pc dell'esterno ma non dall'interno.
    non+autenticato
  • - Scritto da: Skywalker
    > - Scritto da: ottomano
    > > La configurazione standard è Win2000 SP4 con
    > > Personal Firewall, Antivirus, Antispyware
    > attivi;
    > > Windows Update eseguito regolarmente (con gli
    > > update automatici);
    >
    > > E comunque anche una scansione su linux (Kubuntu
    > > Feisty con "apt-get upgrade" effettuato un
    > attimo
    > > prima)
    > Se io fossi un agente federale, e stessi cercando
    > un modo di installare un programmino silente, una
    > volta che è noto l'IP ed il sistema operativo,
    > vado direttamente da MS o da Canonical e, con
    > l'autorizzazione del giudice in mano, gli
    > chiedo:"Gentilemente, quando questo IP fa il
    > prossimo upgrade, gli installate anche sta roba
    > qui
    > insieme?".
    > Sono una forza di polizia, mica una gang di
    > cracker. Possono anche farsi dare una mano, alla
    > luce del
    > sole.
    > Non è un problema (il problema è quando non è
    > alla luce del sole, non c'è l'autorizzazione del
    > giudice e non si fa per 1 solo
    > IP....).

    Ti sfugge un piccolo particolare: l'IP cambia.
  • E aggiungo... senza contare che non è detto che ad un IP corrisponda un solo computer. Con il tuo metodo riusciresti ad infettare (e quindi violare la privacy) di centinaia di PC in NAT su una rete locale.
  • - Scritto da: Wakko Warner
    > - Scritto da: Skywalker
    > > - Scritto da: ottomano
    > > > La configurazione standard è Win2000 SP4 con
    > > > Personal Firewall, Antivirus, Antispyware
    > > attivi;
    > > > Windows Update eseguito regolarmente (con gli
    > > > update automatici);
    > >
    > > > E comunque anche una scansione su linux
    > (Kubuntu
    > > > Feisty con "apt-get upgrade" effettuato un
    > > attimo
    > > > prima)
    > > Se io fossi un agente federale, e stessi
    > cercando
    > > un modo di installare un programmino silente,
    > una
    > > volta che è noto l'IP ed il sistema operativo,
    > > vado direttamente da MS o da Canonical e, con
    > > l'autorizzazione del giudice in mano, gli
    > > chiedo:"Gentilemente, quando questo IP fa il
    > > prossimo upgrade, gli installate anche sta roba
    > > qui
    > > insieme?".
    > > Sono una forza di polizia, mica una gang di
    > > cracker. Possono anche farsi dare una mano, alla
    > > luce del
    > > sole.
    > > Non è un problema (il problema è quando non è
    > > alla luce del sole, non c'è l'autorizzazione del
    > > giudice e non si fa per 1 solo
    > > IP....).
    >
    > Ti sfugge un piccolo particolare: l'IP cambia.

    Anche a te sfugge che il tuo provider conosce il nuovo IP ogni volta che cambia, sa per quanto tempo lo usi e quanti dati trasmetti.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Wakko Warner
    >
    >>>>>>>>>omissis
    > > Ti sfugge un piccolo particolare: l'IP cambia.
    >
    > Anche a te sfugge che il tuo provider conosce il
    > nuovo IP ogni volta che cambia, sa per quanto
    > tempo lo usi e quanti dati
    > trasmetti.
    Ops... anche a te sfugge qualcosa: non sempre (come in questo case pure) l'IP è noto.
    Questa volta conoscevano solo lo username su myspace.
    Inoltre se usi un anonymizer l'IP che trovano così facilmente non è certo quello cercato!
    non+autenticato
  • Si, ma ogni PC ha un GUID da qualche parte (sia esso HW o SW)... in tal caso si potrebbe inviare la "patch" solo al pc che corrisponde ad un certo identificativo.

    bye
  • - Scritto da: ottomano
    > Si, ma ogni PC ha un GUID da qualche parte (sia
    > esso HW o SW)... in tal caso si potrebbe inviare
    > la "patch" solo al pc che corrisponde ad un certo
    > identificativo.
    >
    > bye
    E come conosci il GUID se non sai nè l'IP né conosci praticamente niente del PC?
    non+autenticato