Fiducia nel mondo digitale: il rischio di alimentare botnet (in)consapevolmente

Nell’ambito della sicurezza informatica una tematica di primaria importanza è quella della fiducia (“trust”).

Come nella vita, anche nel dominio delle tecnologie digitale tale termine può avere diverse interpretazioni.

Il NIST, tra le varie, definisce la fiducia come la confidenza che un elemento ha in un altro, che il quest’ultimo si comporti come previsto.

Per l’ISO (International Organization for Standardization), invece, la fiducia è il grado di confidenza dell’utente o di un’altra parte interessata nel fatto che un prodotto o un sistema si comporti come previsto.

Di seguito vedremo come proprio il concetto di fiducia sia stato alla base di famosi attacchi informatici del passato e di come sarebbe opportuno, tutt’oggi, riflettere a chi decidiamo di dare la fiducia, in termini digitali, dandogli le “chiavi” dei nostri sistemi.

Sony DRM Rootkit

La musica è universalmente riconosciuta come uno strumento in grado di suscitare emozioni in maniera estremamente variegata. In palestra permette di aumentare la propria energia, per altri consente di favorire il rilassamento serale, e ad altri ancora permette di trovare il coraggio prima di un importante appuntamento.

Le etichette discografie moderne, tuttavia, hanno sempre avuto un problema ricorrente: contrastare i fenomeni di piraterie e violazioni dei loro diritti di proprietà intellettuale.

Con la diffusione delle tecnologie digitali questo problema si è esacerbato, rendendo di fatto la copia e diffusione non autorizzata di materiale protetto da diritto d’autore molto più semplice che in passato.

Un’importante risposta a questo problema fu trovata con i DRM (Digital rights
management), sistemi concepiti per contrastare la pirateria limitando le operazioni consentite sui contenuti digitali, come per l’appunto la copiatura dei contenuti da un CD a un altro supporto di memorizzazione.

Attiva anche nell’industria musicale, spingendosi oltre i confini della tradizionale protezione dei diritti d’autore, Sony ha deciso di adottare una strategia innovativa e, al contempo, controversa: sviluppare un DRM che agisse come un rootkit sui computer degli utenti al fine di impedire il ripping non autorizzato.

Il ripping è il processo mediante il quale il contenuto audio di un CD viene estratto e convertito in file digitali (come mp3, Flac eccetera). In pratica, si tratta di “copiare” le tracce musicali da un supporto fisico per renderle utilizzabili su computer ed altri dispositivi digitali.

Nella pratica, dunque, un utente che acquistava un CD e lo utilizzava per fruire della musica veniva inavvertitamente esposto ad un software che, peraltro, si comportava esattamente come un malware, rimanendo occulto all’interno del sistema operativo e generando notevoli rischi di sicurezza.

Il meccanismo di Sony-DRM

Il meccanismo adottato da Sony comportava, infatti, l’installazione automatica di un software nascosto, destinato a monitorare e impedire la copia non autorizzata del contenuto del CD. E agli occhi degli utenti tutto ciò ovviamente era trasparente, e non vi era motivo di diffidare di un CD musicale originale della Sony.

D’altronde, è intuitivo e naturale aver fiducia di un soggetto che riconosciamo come autorevole e genuino.

Come funzionava il DRM-rootkit di Sony

Questo stesso strumento, un insieme di strumenti utilizzati da un attaccante dopo aver ottenuto l’accesso di livello root a un host per nascondere le attività dell’aggressore sull’host e consentirgli di mantenere l’accesso di livello root all’host con mezzi nascosti, si rilevò tuttavia una sorta di testa di ponte per i criminali informatici.

Quando, infatti, questa pratica di Sony iniziò a essere nota nel settore, gruppi di cyber criminali iniziarono a sfruttare tale circostanza a loro favore. Utilizzando il rootkit di Sony come vettore per occultare altre minacce, gli aggressori riuscivano a installare malware invisibili agli antimalware, semplicemente rinominando i file in modo da farli riconoscere come parte del sistema.

Il DRM-rootkit di Sony nascondeva sé stesso e qualunque altro file il cui nome iniziasse con “$sys$”. Per i criminali informatici, quindi, bastava rinominare un malware in “$sys$<placeholder>” per rendere tale programma nascosto agli occhi dei software di protezione.

I numeri dell’iniziativa di Sony

Il risultato di questa “innovazione” fu clamoroso: si stima che siano stati distribuiti circa 25 milioni di CD contenenti il rootkit.

L’iniziativa di Sony ha infettato oltre 550.000 reti in più di 100 Paesi, coinvolgendo, tra gli altri, reti militari e governative negli Usa.

In un’ottica paradossale, un tentativo volto a impedire operazioni illecite di copia ha invece generato vulnerabilità tali da compromettere la sicurezza di sistemi di importanza strategica, come quelli del Dipartimento della Difesa.

Le giustificazioni di Sony BMG

Di fronte all’enorme scalpore mediatico, Sony ha inizialmente cercato di minimizzare l’accaduto. Il presidente di Sony BMG dell’epoca, Thomas Hesse, affermò che “La maggior parte della gente manco sa cosa sia un rootkit, quindi perché dovrebbe importargliene?”. Affermazione rivedibile sotto diversi punti di vista.

In pochi giorni, la società giapponese fu costretta a rilasciare uno strumento di rimozione – inizialmente inefficace e con ulteriori problemi di funzionamento – e, successivamente, a richiamare milioni di CD, a fornire soluzioni di disinstallazione adeguate e a corrispondere risarcimenti negli Stati Uniti a causa di diverse class action.

Stuxnet: la prima cyber-weapon

Circa cinque anni dopo lo scandalo di Sony, un nuovo malware era pronto a salire da lì a poco alla ribalta.

Nel 2010, il contesto geopolitico vedeva forti tensioni tra gli Stati Uniti d’America, Israele e l’Iran per via del programma nucleare iraniano.

I primi due Paesi avevano iniziano già da qualche anno un’operazione congiunta, seppur ufficialmente mai confermata, con l’obiettivo di perturbare il programma nucleare iraniano.

In particolare, sotto osservazione vi era l’impianto di arricchimento dell’uranio a Natanz.

L’obiettivo fu raggiunto tramite il ricorso a un potente malware specificatamente sviluppato per il caso, Stuxnet.

Stuxnet rappresenta il primo vero esempio di cyber-weapon. Il worm si distingueva per la sofisticatezza tecnica: sfruttava ben quattro vulnerabilità zero-day di Windows, un numero di soluzioni eccezionalmente elevato per un singolo attacco.

La sua finalità non rientrava nel novero di quelle classiche quali esfiltrazione o distruzione di dati, bensì il suo scopo era di colpire direttamente i sistemi
industriali Scada (Supervisory Control and Data Acquisition System), al fine di danneggiare fisicamente l’impianto nucleare compromettendo i PLC 10 Siemens che controllavano le centrifughe dell’impianto che servivano per separare gli isotopi di uranio.

Il ruolo delle chiavette Usb infette

Dalle ricostruzioni, emerse che il modo con cui gli Stati Uniti e Israele riuscirono a infiltrarsi nell’infrastruttura informatica dell’impianto di Natanz, la quale era isolata da Internet, fu tramite delle chiavette USB infette.

Una volta collegato a un computer della rete offline, Stuxnet sfruttava una vulnerabilità nel trattamento dei file .lnk (CVE-2010-2568) per propagarsi. Era necessario, infatti, solamente visualizzare il contenuto della cartella della chiavetta USB per attivare il malware, il quale sfruttando un’altra vulnerabilità era in grado di effettuare privilege escalation (CVE-2010-2743).

La diffusione del worm

Successivamente, il worm si diffondeva ulteriormente nella rete locale sfruttando un’altra vulnerabilità, relativa al software che gestisce i processi di stampa, Windows Print Spooler (CVE-2010-2729), e individuando, tra i dispositivi collegati, quelli con il software Siemens Step7, utilizzato per programmare i PLC.

A questo punto, il worm rimaneva in attesa nelle macchine target per circa 30 giorni, monitorando i log delle centrifughe sfruttando la terza vulnerabilità zero-day (CVE-2010-2772).

Trascorso il primo mese, alterava il funzionamento dei PLC, inducendo variazioni anomale di velocità, accelerazioni e rallentamenti che superavano i limiti operativi, con l’obiettivo di stressare meccanicamente le centrifughe fino al guasto.

In maniera particolarmente subdola, in aggiunta, Stuxnet manipolava anche il sistema di monitoraggio agendo come una sorta di man in the middle, trasmettendo ai pannelli di controlli i file di log genuini raccolti durante la silente di 30 giorni.

In questo modo, gli operatori dell’impianto ricevevano delle informazioni non corrispondenti la realtà.

I numeri di Stuxnet, fra centrifughe compromesse e Pc infettati

Il risultato di questa operazione fu significativo: si stima che Stuxnet abbia compromesso circa il 20% delle centrifughe nucleari iraniane di Natanz, causando ritardi rilevanti nel programma di arricchimento dell’uranio.

In termini di diffusione, Stuxnet ha infettato oltre 200.000 computer a livello globale, sebbene in molti casi i danni siano stati secondari, confinati al sistema target.

Nonostante l’obiettivo primario fosse l’impianto iraniano, il malware è stato riscontrato anche in altri Paesi, evidenziando un grado di diffusione superiore a quanto previsto.

L’a svolta’esordio della cyber war

La vicenda di Stuxnet ha segnato una svolta storica: per la prima volta un attacco informatico ha prodotto effetti tangibili nel mondo fisico, dando inizio all’era della cyberwar tra nazioni.

Tale episodio sollevò i primi interrogativi sulle conseguenze di un eventuale malfunzionamento o dell’utilizzo improprio di tecnologie simili, aprendo scenari di rischio a livello globale.

I software kernel-level anti-cheat

Nel contesto tecnologico attuale, è possibile trovare una tipologia di software che per capacità di controllo sulle risorse di sistema non hanno molto da invidiare ai due esempi di malware visti prima. Ma, come nel caso del DRM di Sony, grazie a un rapporto di fiducia con gli utenti, vengono installati con poche o senza del tutto remore.

Questi programmi sono i software di anti-cheating dei videogiochi. Negli ultimi anni, infatti, le grandi società videoludiche hanno deciso di intervenire in maniera significativa al fine di tutelare l’esperienza di gioco dei propri utenti, a scapito di quei soggetti che, con diversi strumenti, provano ad ottenere vantaggi non autorizzati sfruttando errori di programmazione e/o bug del gioco.

Il caso di Riot Games

Una delle più importanti case videoludiche mondiali, Riot Games, ha sviluppato il proprio software di anti-cheating, Riot Vanguard, in modo tale che operi a livello di kernel.

Sostanzialmente, il software si attiva sin dall’avvio del computer al fine di monitorare l’eventuale ricorso a software di cheating. La potenzialità di essere eseguito a livello di kernel ha sollevato diverse perplessità tra gli utenti circa la sua necessità.

Infatti, a seguito di molteplici feedback, la Riot ha introdotto la possibilità di disabilitare temporaneamente Vanguard quando non si sta giocando e di fatto, il driver che opera a livello di kernel, viene rimosso al riavvio se lo si è disattivato manualmente.

Ma Riot Vanguard, non è l’unico software di anti-cheating che opera a livello di kernel. Anche altre case di produzione di videogiochi hanno perseguito tale strada sostenendo che sia l’unico modo per contrastare i software di cheating più complessi che operano anch’essi a livello di kernel.

I rischi

Tuttavia, il rischio che si corre è che si verifichi nuovamente ciò che avvenne con il DRM di Sony, ovvero che sfruttando delle vulnerabilità in un software di anti-cheating a livello di kernel si permetta a dei criminali informatici, sostanzialmente, di poter disporre dei computer infettati come meglio credano.

Prendendo come esempio League of Legends, il videogioco più popolare di Riot Games, si stima che nel 2024 vi siano stati circa in media ogni mese 131 milioni di giocatori attivi.

È facile immaginare le potenziali ripercussioni se si riuscisse a sfruttare una vulnerabilità propagabile per un tale numero di utenti.

Il ruolo di potenziali dipendente infedeli

Ma oltre all’eventuale operato di criminali informatici, non sarebbe nemmeno da sottovalutare l’operato i potenziali dipendente infedeli. Anche questo scenario non è solo teorico.

Nel 2013 emerse che un dipendente di ESEA (un servizio di gaming competitivi) aveva modificato il client anti-cheat della piattaforma inserendo un modulo nascosto di bitcoin mining.

Migliaia di PC dei giocatori furono sfruttati di nascosto per minare criptovaluta, finché la cosa venne scoperta e l’azienda multata per un milione di dollari. Seppur, in quel caso, il software di anti-cheating (che ha anch’esso privilegi molto alti sul sistema) fu usato per un ritorno economico personale, il segnale d’avvertimento dovrebbe essere molto importante per gli operatori del settore.

La fiducia nella cyber security

Viviamo in un’epoca in cui il mondo digitale è intrecciato sempre più con le nostre vite e dispositivi quali computer e smartphone sono il fulcro della nostra vita professionale e privata.

Per le persone più appassionate, il mondo digitale è divenuta anche (quasi) una seconda casa.

Per questo motivo bisogna sempre di più stare attenti a cosa “ci si porta in casa”.

I casi visti nei paragrafi precedenti sono esempi significativi di come il mondo digitale è un luogo in cui un oggetto possa avere più nature di cui non siamo a conoscenza:

• Sony DRM: un esempio importante di come un tentativo di proteggere i contenuti digitali possa compromettere la sicurezza e l’integrità dei sistemi;
• Stuxnet: la cyber-weapon che ha dimostrato quanto pericoloso possa essere l’accesso al kernel per scopi di sabotaggio industriale, segnando l’inizio della cyberwarfare moderna;
• Anti-cheat kernel-level: una soluzione “estrema” per combattere il cheating nei videogiochi che, però, costringe a cedere il controllo dei propri dispositivi.

È compito dell’utente, quindi, decidere la propria soglia di tolleranza e accettabilità nei confronti di quei software che, in diverso modo, potrebbero comprometterne la capacità di controllo sul proprio dispositivo (e potenzialmente sulle proprie vite).

Bibliografia

Sony DRM Rootkit:

• Revisiting the Sony Rootkit fiasco – FSFE;
• New Virus Exploits Sony-BMG Rootkit | Electronic Frontier Foundation).

Stuxnet:

• Wired – An Unprecedented Look at Stuxnet, the World’s First Digital Weapon;
• IEEE Spectrum – The Real Story of Stuxnet.

Riot Vanguard:

• PC Gamer: The controversy over Riot’s Vanguard anti-cheat software, explained;
• The Register: Gaming co ESEA hit by $1m fine for hidden Bitcoin mining enslaver.