Milano – Non è la prima volta che i creatori del malware sfruttano i sistemi DRM per veicolare codice sui computer vittima, ma quanto scoperto da Hacker House è un inedito: approfittare del meccanismo di gestione dei diritti di riproduzione dei file integrato in Windows Media Player per scavalcare l’anomimizzazione garantita da Tor. Uno strumento che ha almeno due livelli di efficacia , e che potrebbe anche essere sfruttato per cercare di tracciare attivisti politici che usano la rete della cipolla per coprire le proprie tracce in Rete.
TorBrowser decloak with WMV from Hacker Fantastic on Vimeo .
Il meccanismo funziona come segue : si induce la vittima a scaricare un file multimediale, magari fornendogli contenuti a cui potrebbe essere interessato secondo i suoi gusti personali, e gli si mette a disposizione un file in formato WMF con incoprorata una protezione DRM . La configurazione di default di Windows prevede che gli oggetti Windows Media File siano aperti da Windows Media Player: quello che fa questo software, nel caso in cui sia necessaria una chiave, è aprire un’istanza Internet Explorer per recuperare l’autorizzazione e consentire quindi la visione dei contenuti. In questo frangente è possibile iniettare un payload malware a bordo della macchina bersaglia.
Secondo Hacker House, con questo meccanismo è possibile anche svelare l’IP di una macchina in teoria nascosta dietro gli strati della rete Tor : lo stratagemma è lo stesso, si sfrutta un file multimediale per costringere la vittima a ospitare suo malgrado del codice indesiderato sul suo PC. Codice che può essere usato per scavalcare le protezioni a garanzia dell’anonimato, a danno di chi necessità della propria privacy in Rete per qualsivoglia ragione.
Ancora secondo il racconto fatto da Hacker House, ci sono due diversi modi di attuare questo attacco: se il file multimediale non è firmato in modo ortodosso con gli strumenti offerti da Microsoft presenta una finestra di dialogo che chiede all’utente di consentire di andare online per ricevere l’autorizzazione – circostanza nella quale i più scafati potrebbero insospettirsi e fermare il processo prima che sia troppo tardi. Ma se si decide di usare la firma ottenibile tramite l’SDK di Microsoft, passaggio che richiede l’investimento di circa 10mila dollari per ottenere gli strumenti necessari, il procedimento può avvenire in modo completamente silente e passare inosservato.
Spendere 10mila dollari per attaccare un utente qualsiasi, soprattutto se l’attaccante è un creatore di malware di basso livello, potrebbe essere una spesa che non vale l’impresa: ma se dietro l’attacco di fosse una intelligence in cerca di indizi sull’identità e la localizzazione di un sospettato , la faccenda potrebbe essere molto differente. Scovare gli attivisti dell’ISIS che seminano propaganda su Internet, o rintracciare dissidenti politici che cercano di mantenere il proprio anonimato per proteggersi da un regime totalitario, pare alla portata di chi sia in grado di sfruttare questo espediente tecnico e mettendo in campo un minimo di ingegneria sociale per carpire i gusti e gli interessi della vittima.
Luca Annunziata