DI DECLAN MCCULLAGH
News.com
Il mese scorso, l’FBI ha utilizzato un nuovo tipo di spyware installato a distanza, per
indagare su chi stesse inviando minacce di attentati via email ad un liceo in prossimità di
Olympia, Washington.
Gli agenti federali hanno ottenuto, il 12 giugno, un’ordinanza della magistratura per
inviare un programma spyware, denominato CIPAV, ad un account MySpace che si sospettava
venisse usato dall’autore delle minacce. Il software era progettato per inviare all’FBI,
una volta installato, l’indirizzo IP del computer del sospetto, altre informazioni trovate
sul suo PC e, soprattutto, la traccia delle connessioni in uscita dall’utente.
L’indagato, Josh Glazebrook, ex studente del liceo Timberline, è stato condannato
questa settimana a 90 giorni di carcere minorile, a seguito della sua ammissione di
colpevolezza di aver minacciato attacchi dinamitardi e di altre accuse.Mentre si è speculato ampiamente su come possa l’FBI inviare spyware in via telematica,
questo sembra essere il primo caso che rivela come questa tecnica venga applicata
praticamente. Già nel 2001 l’FBI aveva confermato di star lavorando su di un virus chiamato
Lantern, ma da allora ha praticamente taciuto sull’argomento. Negli altri due casi su
cui si è saputo che gli investigatori federali usassero spyware (i casi Scarfo e Forrester), degli
agenti erano fisicamente entrati di nascosto negli uffici per installare dei key logger
[software progettati per registrare tutto l’input da tastiera, NdT].
Una deposizione di 18 pagine, effettuata presso la corte federale dall’agente dell’FBI Norm
Sanders il mese scorso e messa a disposizione di CNET News.com, afferma che i dettagli
dello spyware governativo rimangono segreti. L’FBI chiama il suo spyware Computer and
Internet Protocol Address Verifier, o CIPAV.
“La natura esatta dei comandi, dei processi, delle funzionalità e delle loro configurazioni
è segreta, in quanto si tratta di strumenti investigativi essenziali per l’applicazione
della legge, e la loro divulgazione potrebbe compromettere altre indagini in corso e/o
future”, scrive Sanders. Il fatto che compaia un riferimento al registro del sistema
operativo indica che CIPAV prende di mira Microsoft Windows, come ci si può aspettare data
la sua diffusione sul mercato. Altri dati inviati all’FBI comprendono il tipo e numero di
serie del sistema operativo, lo username di autenticazione sullo stesso, e l’URL al quale
si era “precedentemente connesso”.
News.com ha pubblicato la deposizione di
Sanders e un riassunto
dei risultati del CIPAV che l’FBI ha consegnato al giudice James Donohue.
Ci sono state indicazioni che l’FBI abbia adottato questa tecnica in passato. Su di un
articolo del Minneapolis Star Tribune del 2004, si leggeva che l’ufficio governativo
aveva usato un “Internet Protocol Address Verifier”, che era stato inviato all’indagato via
email.
Tuttavia, i bloggers di allora (col senno di poi, forse a torto) lo liquidarono come
una semplice immagine esterna inclusa dall’FBI in un messaggio di posta in formato HTML, noto anche come Web Bug.
Scoprire chi c’è dietro un account MySpace
Un aspetto interessante è che l’ufficio dello sceriffo di contea venne informato del
profilo MySpace — timberlinebombinfo
— quando il suo creatore tentò di persuadere altri studenti ad includerne il link e almeno
un genitore si rivolse alla polizia. L’ufficio dello sceriffo ha dichiarato che 33 studenti
avevano ricevuto richiesta di includere l’indirizzo di “timberlinebombinfo” sulla propria
pagina MySpace.
Inoltre, l’autore inviava una serie di messaggi provocatori da indirizzi di posta Google
Gmail (tra cui [email protected]) nella settimana del 4 giugno. Un estratto significativo
diceva “Ci sono 4 bombe piazzate nel liceo Timberline. Esploderanno a 5 minuti l’una
dall’altra a partire dalle 9:15”.
L’FBI rispose facendosi consegnare i log di Google e MySpace. Entrambi puntavano
all’indirizzo IP 80.76.80.103, che si scoprì poi essere un computer “bucato” in
Italia.
Fu allora che l’FBI decise di dispiegare l’artiglieria pesante: CIPAV. “Sono giunto a
conclusione che l’uso di un CIPAV sull’account Myspace ‘Timberlinebombinfo’ possa assistere
l’FBI nel determinare l’identità dell’utente della macchina compromessa”, è scritto nella
deposizione di Sanders.
CIPAV sarebbe stato installato “attraverso un programma di messaggi elettronici da un
account controllato dall’FBI”, il che probabilmente significa a mezzo email. Per consegnare
un file infettato da CIPAV si potrebbero usare o email oppure un servizio di messaggistica
istantanea, ma il linguaggio usato in questa parte della deposizione fa pendere l’ago della
bilancia verso le email.
Dopo che CIPAV è stato installato invierà al governo, a detta dell’FBI, l’indirizzo IP del
computer, l’indirizzo MAC, “altre variabili, e alcune informazioni del registro”, dopodiché
registrerà gli indirizzi IP visitati nei 60 giorni successivi, ma non il contenuto delle
comunicazioni.
Mettendo per un attimo da parte la questione legale, c’è un punto chiave che rimane un
mistero: supponendo che l’FBI invii spyware via email, come avrebbe fatto il programma a
superare le difese antispyware e ad autoinstallarsi come malware? Nel documento del
tribunale non vengono nominate difese antivirus, questo è vero, ma l’autore delle minacce
aveva effettuato anche attacchi di tipo “denial of service” verso i computer della scuola,
il che, unito all’aver bucato il server in Italia, lascia immaginare una certa padronanza
tecnica.
Una possibilità è che l’FBI abbia persuaso i produttori di software per la sicurezza a
sorvolare su CIPAV e a non avvisare gli utenti della sua presenza.
Un’altra è che l’FBI abbia individuato (o pagato qualcuno per rivelare) delle vulnerabilità
sconosciute di Windows o di software di sicurezza per Windows, che consentirebbero
l’installazione di CIPAV. Dal punto di vista dell’FBI, questa sarebbe la possibilità più
desiderabile, dato che ovvierebbe alla necessità di fare pressione su decine e decine di
produttori di software, alcuni dei quali con sede all’estero, affinché lascino passare
CIPAV.
Qualche giorno fa, News.com ha intervistato 13 produttori di software di sicurezza e tutti hanno affermato che
l’individuazione dello spyware di polizia fa parte della loro politica. Alcuni, tuttavia,
si sono dichiarati disposti ad ottemperare ad un’ordinanza del tribunale di ignorare il
cosiddetto “policeware”, e né McAfee né Microsoft farebbero sapere se hanno ricevuto o meno
tale ordinanza.
I risultati della nostra indagine li trovate parola per parola qui.
Titolo originale:”FBI remotely installs spyware to trace bomb threat”
Fonte: http://news.com.com
Link
18.07.2007
Traduzione per www.comedonchisciotte.org a cura di KURTZ