L'FBI INSTALLA SPYWARE ANTI-TERRORISMO

DI DECLAN MCCULLAGH
News.com

Il mese scorso, l’FBI ha utilizzato un nuovo tipo di spyware installato a distanza, per

indagare su chi stesse inviando minacce di attentati via email ad un liceo in prossimità di

Olympia, Washington.

Gli agenti federali hanno ottenuto, il 12 giugno, un’ordinanza della magistratura per

inviare un programma spyware, denominato CIPAV, ad un account MySpace che si sospettava

venisse usato dall’autore delle minacce. Il software era progettato per inviare all’FBI,

una volta installato, l’indirizzo IP del computer del sospetto, altre informazioni trovate

sul suo PC e, soprattutto, la traccia delle connessioni in uscita dall’utente.

L’indagato, Josh Glazebrook, ex studente del liceo Timberline, è stato condannato

questa settimana a 90 giorni di carcere minorile, a seguito della sua ammissione di

colpevolezza di aver minacciato attacchi dinamitardi e di altre accuse.Mentre si è speculato ampiamente su come possa l’FBI inviare spyware in via telematica,

questo sembra essere il primo caso che rivela come questa tecnica venga applicata

praticamente. Già nel 2001 l’FBI aveva confermato di star lavorando su di un virus chiamato

Magic

Lantern, ma da allora ha praticamente taciuto sull’argomento. Negli altri due casi su

cui si è saputo che gli investigatori federali usassero spyware (i casi Scarfo e Forrester), degli

agenti erano fisicamente entrati di nascosto negli uffici per installare dei key logger

[software progettati per registrare tutto l’input da tastiera, NdT].

Una deposizione di 18 pagine, effettuata presso la corte federale dall’agente dell’FBI Norm

Sanders il mese scorso e messa a disposizione di CNET News.com, afferma che i dettagli

dello spyware governativo rimangono segreti. L’FBI chiama il suo spyware Computer and

Internet Protocol Address Verifier, o CIPAV.

“La natura esatta dei comandi, dei processi, delle funzionalità e delle loro configurazioni

è segreta, in quanto si tratta di strumenti investigativi essenziali per l’applicazione

della legge, e la loro divulgazione potrebbe compromettere altre indagini in corso e/o

future”, scrive Sanders. Il fatto che compaia un riferimento al registro del sistema

operativo indica che CIPAV prende di mira Microsoft Windows, come ci si può aspettare data

la sua diffusione sul mercato. Altri dati inviati all’FBI comprendono il tipo e numero di

serie del sistema operativo, lo username di autenticazione sullo stesso, e l’URL al quale

si era “precedentemente connesso”.

News.com ha pubblicato la deposizione di

Sanders e un riassunto

dei risultati del CIPAV che l’FBI ha consegnato al giudice James Donohue.

Ci sono state indicazioni che l’FBI abbia adottato questa tecnica in passato. Su di un

articolo del Minneapolis Star Tribune del 2004, si leggeva che l’ufficio governativo

aveva usato un “Internet Protocol Address Verifier”, che era stato inviato all’indagato via

email.

Tuttavia, i bloggers di allora (col senno di poi, forse a torto) lo liquidarono come

una semplice immagine esterna inclusa dall’FBI in un messaggio di posta in formato HTML, noto anche come Web Bug.

Scoprire chi c’è dietro un account MySpace

Un aspetto interessante è che l’ufficio dello sceriffo di contea venne informato del

profilo MySpace — timberlinebombinfo

— quando il suo creatore tentò di persuadere altri studenti ad includerne il link e almeno

un genitore si rivolse alla polizia. L’ufficio dello sceriffo ha dichiarato che 33 studenti

avevano ricevuto richiesta di includere l’indirizzo di “timberlinebombinfo” sulla propria

pagina MySpace.

Inoltre, l’autore inviava una serie di messaggi provocatori da indirizzi di posta Google

Gmail (tra cui [email protected]) nella settimana del 4 giugno. Un estratto significativo

diceva “Ci sono 4 bombe piazzate nel liceo Timberline. Esploderanno a 5 minuti l’una

dall’altra a partire dalle 9:15”.

L’FBI rispose facendosi consegnare i log di Google e MySpace. Entrambi puntavano

all’indirizzo IP 80.76.80.103, che si scoprì poi essere un computer “bucato” in

Italia.

Fu allora che l’FBI decise di dispiegare l’artiglieria pesante: CIPAV. “Sono giunto a

conclusione che l’uso di un CIPAV sull’account Myspace ‘Timberlinebombinfo’ possa assistere

l’FBI nel determinare l’identità dell’utente della macchina compromessa”, è scritto nella

deposizione di Sanders.

CIPAV sarebbe stato installato “attraverso un programma di messaggi elettronici da un

account controllato dall’FBI”, il che probabilmente significa a mezzo email. Per consegnare

un file infettato da CIPAV si potrebbero usare o email oppure un servizio di messaggistica

istantanea, ma il linguaggio usato in questa parte della deposizione fa pendere l’ago della

bilancia verso le email.

Dopo che CIPAV è stato installato invierà al governo, a detta dell’FBI, l’indirizzo IP del

computer, l’indirizzo MAC, “altre variabili, e alcune informazioni del registro”, dopodiché

registrerà gli indirizzi IP visitati nei 60 giorni successivi, ma non il contenuto delle

comunicazioni.

Mettendo per un attimo da parte la questione legale, c’è un punto chiave che rimane un

mistero: supponendo che l’FBI invii spyware via email, come avrebbe fatto il programma a

superare le difese antispyware e ad autoinstallarsi come malware? Nel documento del

tribunale non vengono nominate difese antivirus, questo è vero, ma l’autore delle minacce

aveva effettuato anche attacchi di tipo “denial of service” verso i computer della scuola,

il che, unito all’aver bucato il server in Italia, lascia immaginare una certa padronanza

tecnica.

Una possibilità è che l’FBI abbia persuaso i produttori di software per la sicurezza a

sorvolare su CIPAV e a non avvisare gli utenti della sua presenza.

Un’altra è che l’FBI abbia individuato (o pagato qualcuno per rivelare) delle vulnerabilità

sconosciute di Windows o di software di sicurezza per Windows, che consentirebbero

l’installazione di CIPAV. Dal punto di vista dell’FBI, questa sarebbe la possibilità più

desiderabile, dato che ovvierebbe alla necessità di fare pressione su decine e decine di

produttori di software, alcuni dei quali con sede all’estero, affinché lascino passare

CIPAV.

Qualche giorno fa, News.com ha intervistato 13 produttori di software di sicurezza e tutti hanno affermato che

l’individuazione dello spyware di polizia fa parte della loro politica. Alcuni, tuttavia,

si sono dichiarati disposti ad ottemperare ad un’ordinanza del tribunale di ignorare il

cosiddetto “policeware”, e né McAfee né Microsoft farebbero sapere se hanno ricevuto o meno

tale ordinanza.

I risultati della nostra indagine li trovate parola per parola qui.

Titolo originale:”FBI remotely installs spyware to trace bomb threat”

Fonte: http://news.com.com
Link
18.07.2007

Traduzione per www.comedonchisciotte.org a cura di KURTZ