============================================================================== -------------[ BFi numero 9, anno 3 - 03/11/2000 - file 6 di 21 ]------------- ============================================================================== -[ C0LUMNS ]------------------------------------------------------------------ ---[ L0 SPETTAC0L0 DEVE C0NTiNUARE -----[ Raistlin Non avrei mai immaginato, dopo aver scassato i maroni a Cavallo per mesi col ritornello "Ma quand'e' che esce BFi ?", e dopo aver salutato con la stessa frase il povero smaster allo SMAU, di essere proprio io a dover rincorrere, in un pomeriggio maligno e piovoso di novembre l'ultimissimo treno per infilare questo articolo in BFi#9. Tuttavia c'e' una ragione ben precisa per cui questo pezzo arriva con tutto questo fiatone, ed e' che al contrario di tutti gli articoli di questa e-zine parla di un evento di strettissima attualita'; e chi avrebbe potuto immaginare, anche soltanto un mese fa, che avremmo potuto dar notizia di una penetrazione nella rete corporate di Microsoft ? [Forse era meglio se la chiamavano rete corporaLe :), NdCavallo] Riassumo gli eventi, per coloro di voi (e spero non siano tanti) che non leggono mai una rivista, un quotidiano, o un portale di notizie sull'informatica (e che cosa state leggendo a fare BFi allora? Non sarebbe il caso di preoccuparvi del mondo reale, prima dell'underground digitale?). I virgolettati sono citazioni letterali. Il 27 ottobre un portavoce ufficiale di Microsoft rilascia una dichiarazione che fa il giro del mondo in pochi secondi: "Confermiamo che mercoledi' (il 25, NdRaistlin) abbiamo scoperto che la nostra rete e' stata penetrata da sconosciuti, che hanno avuto accesso ad essa e alle risorse della societa' per un tempo indeterminato, forse piu' di un mese. E' possibile che abbiano avuto accesso al codice in development di prodotti delle linee Office e Windows". [1] Alla faccia! Nel pomeriggio dello stesso giorno, un altro comunicato [2] riduceva ampiamente queste dichiarazioni, affermando che "la situazione era meno critica di quanto originariamente si pensasse": in particolare "le indagini interne non hanno trovato alcun indizio che provi che l'intruso abbia avuto accesso al codice dei prodotti chiave" (Windows o Office). Inoltre, sebbene l'hacker abbia potuto "visionare il codice di un nuovo prodotto ancora in fase di sviluppo e lontano dal rilascio, l'indagine ha appurato che nessun tipo di modifica o di danno e' stato operato sul codice". Inoltre l'intrusione viene datata al 14 ottobre, riducendo a 11 giorni il "tempo indeterminato" del primo comunicato. La stessa versione viene fornita poi sempre venerdi' pomeriggio dal CEO di Microsoft, Steve Ballmer.[3] In poche parole, Microsoft ha subito cercato di minimizzare l'allarme lanciato da Russ Cooper, il noto gestore di NTBugTraq su SecurityFocus (wow! I giornali hanno intervistato qualcuno che ne capisce qualcosa! Incredibile!): "Non e' un affare semplice. Cosa succede se questo qualcuno ha inserito una back door di qualche tipo in una porzione di codice della prossima release di Windows, per dire ?" [4] Ovviamente, come tutti sappiamo, questa possibilita' non e' cosi' remota... e apre un problema notevole. Imnmaginate il lavoro dell'ambiente di sviluppo di Microsoft. Centinaia di sviluppatori al lavoro su porzioni diverse di codice, in un approccio inventato da loro e chiamato "Synchronize-and-stabilize" per cui le modifiche introdotte dai vari team di sviluppo vengono fatte convergere in un'unica "build" di sviluppo solo ad intervalli. Sicuramente progetti che cambiano cosi' di continuo vengono backuppati su unita' di storage solo ad ampi intervalli, quando viene conclusa la fase di stabilizzazione. L'unico modo che Microsoft avrebbe per essere certa che nessuna modifica non autorizzata sia stata fatta sarebbe di ispezionare a mano tutto il codice (HA!) partendo dall'ultima build sicura e controllando OGNI MODIFICA REGISTRATA DA OGNI SVILUPPATORE durante il mese circa di permanenza dell'hacker nella rete. [Scusate qui io rido AHAHAHAHAHA, NdCavallo] Verrebbe da dire "e stikazzi !", e' da simpatizzare con Microsoft... ma la cosa inquietante e' che l'azienda si e' detta "sicura che il codice non sia stato cambiato", e che "non ci sono indizi che..." a meno di 12 ore dal primo annuncio, e a meno di 72 ore dalla scoperta dell'intrusione. O su quel prodotto lavorano un gran poco, o hanno trovato una scorciatoia molto intelligente all'ispezione del codice (ma sara' altrettanto sicura?), oppure stanno mentendo. Scegliete voi. Siccome so che siete tutti dei legittimissimi amministratori di macchine e reti, e che leggete questa rivista solo per informazione personale, immagino che la vostra, ehm, curiosita' scientifica vi porti a voler sapere come cavolo ha fatto questo sconosciuto pirata (che alcuni, non dubito, stimeranno gia' un mito) a entrare in una rete che, a rigor di termini, dovrebbe essere l'equivalente commerciale del Department of Defense: grossa, cazzuta, con delle protezioni impenetrabili, e a rischio delle tue chiappe se provi anche solo a PENSARE a scannarla. La risposta vi fara' inumidire gli occhi dalla disperazione. Con il QAZ ([5] e [6]). Si', avete proprio letto bene, il QAZ, un troiano da quattro soldi che viene spedito in email, con l'icona di un blocchetto di testo stile notepad, e che quando viene eseguito invia in email password e ip della macchina a un indirizzo prefissato. Inoltre, come tutti i bravi troiani, e' fatto per garantire una shell di comandi da remoto... Vabbe', quei POCHI di voi che frequentano IRC hanno visto abbastanza troiani da sapere di cosa si tratta, no? Lo trovate anche nel database del vostro antivirus, come Troj.QAZ, Worm.QAZ o QAZ.Trojan. E' il nono o decimo troiano per diffusione al mondo. Dunque, un impiegato (temporaneo, pare: in ogni caso non scommetterei sul suo posto di lavoro...) apre una email, esegue brillantemente l'attach, parte una mail diretta a un indirizzo di San Pietroburgo in Russia (che puo' voler dire qualsiasi cosa, visto che sappiamo tutti quanto sono gestiti e chiusi i computer russi...) e da li' il nostro hacker arriva fregandosi le mani... Quelli che hanno creduto anche solo per un istante a questa storia possono frustarsi le dita, e rinunciare a fare gli amministratori di sicurezza, gli hacker, o i detective (potete, invece, fare i giornalisti: quelli ci cascano spesso e volentieri). Innanzitutto, come si fa notare in [6], nessuno in Microsoft ha confermato o smentito questa notizia, il che e' strano visto che hanno parlato ampiamente della vicenda. In secondo luogo, da quando i computer di un impiegato cosi' fesso da aprire un troiano sono in prossimita' di rete con le macchine su cui lavorano gli sviluppatori? (e visto che ci siamo, COSA CI FANNO in rete le macchine con il codice SORGENTE?). In terzo ed ultimo luogo, c'e' un piccolo problemino da superare. I firewall! Ammettiamo che ci sia in rete il PC di una segretaria imbranata che apre il troiano. Ammettiamo che ci siano macchine accessibili col codice sorgente. Ammettiamo anche che gli antivirus di Microsoft siano cosi' arretrati da non riconoscere il QAZ (e in una struttura corporate e' una GROSSA supposizione!). Ammettiamo che il troiano si installi e inizi ad aspettare una connessione dal suo creatore. Ammesso tutto questo, spiegatemi COME E' POSSIBILE che la connessione avvenga dietro i bastioni telematici che devono esserci alla frontiera della rete di Microsoft. Ragion vorrebbe che dall'esterno all'interno non passi nulla, specie se diretto verso macchine di sviluppo che NON dovrebbero ragionevolmente avere servizi offerti all'esterno. Io, almeno, quel firewall lo imposterei cosi'. CHIUNQUE lo imposterebbe cosi'. Capite che la storiella del QAZ regge solo fino a un certo punto. Anzi, diciamo pure che non regge affatto (lo dice anche Russ Cooper sempre in [4]). E quindi permettetemi di presentarvi la MIA supposizione relativa a cio' che e' successo. Vi dipingo due possibili scenari: 1) Le macchine erano esposte in un modo talmente banale che a Redmond si vergognano di non averlo intuito subito. Dopo aver fucilato il team di sicurezza e firewalling, viene imposto il "no comment" tanto per ridurre le dimensioni della figuraccia e scaricarle su un "impiegato occasionale" che ha aperto un worm. 2) Ancora nessuno ha capito bene da dove siano entrati. Ne' sa se le misure prese serviranno a fermare un secondo tentativo. Questo e' possibile, se si tratta magari di uno 0-day particolarmente pericoloso. Microsoft non commenta per non spargere il panico. Ma c'e' anche un terzo, possibile scenario: 3) In realta' non e' successo. Lo scopo di questa manovra (un possibile scopo) lo esporro' piu' avanti. In ogni caso, che sia uno qualunque dei tre, la storiellina del QAZ se la possono risparmiare, per quanto mi riguarda. Alla fine di questa analisi sommaria dei dati, facciamo cio' che fa ogni buon investigatore, ed esaminiamo i possibili moventi: 1) Gloria. Il classico e vero hacker che cerca semplicemente di fare il fighetto: "Wow, che fico scrivere y0u w3r3 0wn3d sulla home di www.microsoft.com!". Sarebbe sicuramente il caso meno dannoso per Microsoft. 2) Spionaggio industriale. Il codice sorgente e' ovviamente merce preziosissima, l'unica che Microsoft produca. Un competitore potrebbe avvantaggiarsi dall'acquisire codice illecitamente. Inoltre, se vi ricordate che Microsoft e' sotto accusa per pratiche illecite di trust, alcune parti di quel codice potrebbero anche essere prove a carico, che Redmond avrebbe tutto l'interesse a tener nascoste sotto l'angolino del tappeto. 3) Pirateria. Anche se altamente improbabile, una delle motivazioni potrebbe essere la speranza di poter compilare il codice sorgente in proprio e distribuirlo in versioni piratate, magari munite di backdoor. 4) Sabotaggio. Modifica del codice, oppure distruzione di esso. Ancora peggio, pubblicazione (per esempio su un newsgroup) del codice integrale di un prodotto MS. Una botta economica valutabile in migliaia di miliardi di dollari. 5) Data Hostage. Una forma di crimine informatico analoga al sequestro di persona. Teoretizzata ma mai messa in pratica, per quanto noto. Un gruppo che fosse in possesso dei codici di un prodotto e minacciasse di renderli pubblici potrebbe estorcere sostanzialmente qualsiasi cosa da Microsoft. 6) Exploiting. Studiare il codice sorgente aiuterebbe sicuramente a scrivere exploit ben piu' mirati e dannosi del solito, per un sistema operativo e dei programmi che non essendo open-source non sono stati certo auditati e esaminati con l'accuratezza che e' stata riservata ad altri software. Ovviamente, la societa' sostiene che il pirata non ha ne' scaricato ne' modificato sorgenti (in pratica punta a far passare l'incidente come opera di un pesce piccolo, aiutato da un impiegato imbecille che apre un worm). Tuttavia ha richiesto immediatamente l'aiuto dell'FBI (che si dichiara "a conoscenza dei rischi" di manipolazione e divulgazione di codice [7]). Se veramente si trattasse del caso 1, come giustificare un'indagine federale per una ragazzata ? (vi ricordo che al di sotto dei 20.000 dollari dimostrabili di danni le autorita' federali americane manco si muovono... certo che se e' Microsoft a telefonare...). Per l'eventuale divulgazione di segreti industriali ci sono 500.000$ di multa e fino a 15 anni di carcere, invece. Capite che la cosa e' un po' diversa. Cio' che sconcerta e' semmai che Microsoft abbia preso tutte le misure per proteggere la sua rete dalle intrusioni, rimuovere le backdoor e i troiani, impedire l'accesso al sistema... insomma, ha fatto di tutto per spaventare a morte l'intruso e costringere, sostanzialmente, l'FBI a battere una pista fredda, quando tutti sanno che il modo migliore per tracciare un hacker e' osservarlo all'opera [8]. Ora, possiamo tutti capire che MS fosse ansiosa di togliersi dalle scatole uno spione... ma perche' farlo PRIMA di consentire all'FBI di vederlo entrare e di iniziare una procedura di tracciamento? La mia ipotesi, anche in questo caso, me la riservo per la conclusione. Vorrei puntualizzare un'ultima cosa, per evitare che qualcuno di voi inizi ad osannare lo scriteriato (si', scriteriato) che ha commesso questa immane cazzata. E non lo dico solo perche' IN OGNI CASO entrare in sistemi informatici protetti e' contrario alla legge, e bla bla bla (fate conto che abbia scritto tutti quegli avvertimenti che di solito saltate...). Lo dico anche e sopratutto dal punto di vista della comunita' hacker e della sicurezza. Innanzitutto, questo attacco aumentera' la paranoia che gia' monta da mesi intorno alle attivita' dell'underground digitale, e cio' e' male. Inoltre, da questo momento in avanti chiunque scopra debolezze nel codice dei programmi Microsoft potrebbe essere lecitamente sospettato di aver avuto accesso ai sorgenti e di essere quindi complice di un reato (e cio' non e' bello). In terzo luogo, chi ha fatto questa cosa, se veramente si tratta di un'intrusione e non e' una balla colossale, NON era un ragazzo simpatico che provava a usare il suo troianello nuovo. Non era nemmeno uno che lo faceva per passione, o per vanita'. Questo era uno che lo faceva per soldi, e rubare segreti industriali non e' diverso dal rubare macchine o autoradio. Al contrario di quello che sentite ripetere di solito da riviste come questa, non si tratta di una persona il cui unico crimine sia la curiosita'. Si tratta di un ladro, ne' piu' ne' meno. Ma c'e' un ultimo e piu' importante autogol in questa situazione. Immaginate che tra qualche anno (quando questo misterioso "prodotto in sviluppo" sara' rilasciato) venga trovata in esso una backdoor, come quella che Rain Forest Puppy ha trovato nelle Front Page Extensions (e per i dettagli vi rimando a System Down 5, se e quando mai uscira'...). Chi impedirebbe alla Microsoft di urlare "Ecco, lo hanno fatto gli hacker!" e scaricare su altri una colpa che altrimenti potrebbe ricadere soltanto su di loro (e non e' un dubbio solo mio)? Ecco che cosa ha fatto l'imbecille che e' entrato in quella rete... altro che osannarlo, ci sarebbe da crocifiggerlo solo per questo! Ma vorrei lasciarvi con un sospetto strisciante (non sia mai, un articolo su Microsoft senza nemmeno una frecciatina!). Non vi pare che ci sia qualcuno che avrebbe soltanto da guadagnarci a creare dal nulla questo casino? Qualcuno a cui un hacker su cui scatenare caccia ed eventuali colpe facesse comodo? In fin dei conti, non vi sono prove dell'intrusione di questo tizio (salvo quelle loggate da Microsoft, e sappiamo che i log non sono certo inalterabili...), non vi e' stata una vera attivita' investigativa (che e' stata stroncata proprio da alcune discutibili decisioni della societa' stessa), e anche sul metodo di intrusione non vengono fornite notizie attendibili. Non so a voi, ma a me tutta questa vicenda lascia piu' domande che risposte. E qualsiasi ipotesi alternativa io scelga per spiegare tutto, qualcosa rimane inevitabilmente fuori posto, stonato. E sono portato a credere che manchino ancora dei tasselli, volutamente occultati o ancora non compresi, non saprei dirlo. [1] Fonte: Wall Street Journal 27/10/00. Rappresentante della compagnia che ha richiesto di non essere citata. [2] Fonte: comunicato ufficiale Microsoft 27/10/00. Anonimo. [3] Fonte: CNET News 29/10/00. Dichiarazione di Steve Ballmer, CEO di Microsoft Corporation. [4] Fonte: IDGNS, 27/10/00. Sichiarazione di Russ Cooper, gestore di NTBugTraq. [5] Fonte: Wall Street Journal 27/10/00. Dichiarazione di fonte anonima. [6] Fonte: ComputerWorld online 27/10/00. Dichiarazione di Graham Cluley, security expert di Sophos PLC. [7] Fonte: ComputerWorld online 27/10/00. Dichiarazione di rappresentante anonimo dell'FBI. [8] Si veda l'articolo di Kevin Poulsen su SecurityFocus del 30/10/00. ============================================================================== ---------------------------------[ EOF 6/21 ]--------------------------------- ==============================================================================