Londra – Vero o falso? Di fronte alle capacità del codice noto come D.I.R.T. qualche grammo di diffidenza non può che far bene. Già, perché se D.I.R.T. verrà confermato come funzionante, le agenzie governative e le polizie di mezzo mondo avranno a disposizione un sistema che consentirebbe loro, secondo i produttori del programma, di entrare con la massima facilità in pressoché qualsiasi computer collegato ad Internet.
La prima traccia della potenza del nuovo tool sviluppato da Codex Data Systems arriva da slide apparse sul sito cryptome.org , che più volte in passato ha pubblicato documenti inediti che hanno suscitato, a ragione, preoccupazioni e polemiche.
Le slide sembrano in tutto e per tutto un prodotto di qualche agente della Codex intenzionato a presentare la potenza di D.I.R.T. alle agenzie di polizia. Il testo è preoccupante:
“Immagina di essere capace di monitorare da remoto qualsiasi PC nel mondo in qualsiasi momento. Supponi di poter leggere qualsiasi tasto venga premuto… Accedere o recuperare qualsiasi file dall’hard disk senza averne un accesso fisico… Nessun segreto…”
Altre slide mettono in scena alcuni “scenari” nei quali D.I.R.T. potrebbe dare il meglio di sé:
“Vuoi eseguire una scansione elettronica invisibile via Internet per consentire il recupero da remoto di prove digitali. Cosa utilizzi?”
Il tuo investigatore sotto mentite spoglie riesce a contattare un sospetto pedofilo in una chat room. Il sospetto invia immagini illegali. Quindi c’è più di un sospetto. Vuoi monitorarlo da remoto e recuperare più prove dal suo computer. Cosa puoi utilizzare?
La tua inchiesta ha determinato che gli elementi sospetti utilizzano tecnologie di cifratura potenti per difendersi. Hai bisogno di craccare le loro email e i loro file protetti da password o cifratura. E non hai né tempo né soldi per un attacco brute-force. Cosa utilizzi?”
La risposta suggerita apparentemente da Codex è che in questi tre casi il sistema da utilizzare è D.I.R.T., perché D.I.R.T. può essere usato facilmente come altri troiani o, come scrive TheRegister, “come un Subseven tirato su a steroidi”. D’altra parte, stando a queste slide, “D.I.R.T. è user-friendly e può essere utilizzato anche da operatori che non hanno una grande esperienza informatica”. E può essere utilizzato anche per inviare codici sul computer dell’utente, “semplicemente puntando e cliccando”. Alé.
L’idea dietro D.I.R.T. è quella di individuare le chiavi e le password utilizzate dall’utente-vittima-sospetto monitorando tutte le attività portate avanti sul computer, in modo tale da entrare in possesso dei codici che servono. In questo modo rende inefficaci, a quanto pare, anche i firewall noti: sarebbe in grado di chiuderli e far apparire la loro icona come se fossero attivi nel system tray, dopodiché potrebbe aprire una connessione FTP nascosta per accedere al computer dell’utente da remoto.
Il troiano che deve essere infilato sulla macchina vittima per poter “sniffare” le operazioni che vi vengono condotte può essere inserito in uno qualsiasi dei formati di file più utilizzati, da quelli delle applicazioni Microsoft ai documenti.rtf, ai.bat e via dicendo. File che possono essere inviati via Internet o forniti attraverso Cd-ROM e che hanno tutto l’aspetto di file “legittimi”.
In due documenti, uno per sistemi UNIX e uno per Windows , sono presenti indicazioni su come monitorare l’attività della connessione e del computer. Difendersi da una cosa come D.I.R.T., se davvero è quello che si teme, non è facile ma il primo passo è senz’altro quello di dotarsi degli strumenti necessari per sapere sempre cosa sta facendo il PC e perché.
Se può consolare (?), Codex sul proprio sito afferma che “D.I.R.T. – Data Interception by Remote Transmission” viene venduto esclusivamente ad agenzie governative o di polizia. C’è di che stare tranquilli…
UPDATE: D.I.R.T. fa meno paura?
Sembra proprio che Punto Informatico abbia fatto bene a prendere “con le molle” questa notizia. Secondo un articolo appena pubblicato da The Register (http://www.theregister.co.uk/content/4/19480.html), D.I.R.T. potrebbe non essere così invasivo e pericoloso come temuto. L’autore della prima indagine sul prodotto, infatti, ha scoperto che se D.I.R.T. non può essere riconosciuto dai software antivirus questo accade solo perché ancora non rientra nelle definizioni di sicurezza (!). E avrebbe determinato che i firewall, i software pensati per garantire sicurezza ai computer connessi, non sarebbero così facilmente violabili da D.I.R.T che, a suo parere, rimane comunque un prodotto inquietante.
Altre indagini sembrerebbero indicare un coinvolgimento nell’operazione della Codex di Francis Edward Jones, personaggio che è ritenuto autore anche di alcune frodi in relazione a sistemi di sicurezza e la cui attendibilità è dunque messa in forse.