“Hacker Republic” e le “Basi segrete in CyberWorld”

Ho appena finito di leggere “Hacker Republic” di Fabio Ghioni. Il libro in sé è interessante e condivisibile, anche se piuttosto divulgativo, ma ci sono alcune cose che mi hanno lasciato perplesso. Una di queste è l’intero capitolo “Basi segrete in CyberWorld” che inizia a pagina 86. Questo capitolo contiene una tale concentrazione di errori concettuali, sia da parte di Larsson che da parte di Ghioni, che non posso far a meno di parlarne.

Per quelli che non hanno ancora letto il libro, riporto qui di seguito le parti che ci interessano.

Necessità di un sito

“Ogni associazione segreta che si rispetti offre un rifugio nascosto dove i suoi membri possono confrontarsi apertamente e dove le ricette proibite prendono vita dal crogiolo delle loro menti non convenzionali.”

[Hacker Republic – Pag. 86]

In realtà, sarebbe opportuno chiedersi quanto sia realmente necessario avere un “portale” presso il quale raccogliere i membri di un simile gruppo. Quale dovrebbe essere lo scopo di un simile portale? Pubblicare documentazione che non deve essere vista dalle autorità? Scambiarsi informazioni al riparo da sguardi indiscreti? Creare un punto di incontro per gli hacker? O magari creare un mercato per i loro servizi?

Questi obiettivi sarebbero sicuramente appetibili nel caso che si stesse parlando di “hacker” nel senso stretto e tradizionale del termine: persone che sono interessate a studiare gli “internals” dei sistemi ed i modi di abusarne. Questo tipo di “hacker”, però, non ha nessun bisogno di ricorrere a procedure così complesse: esistono letteralmente migliaia di comunità hacker che svolgono appunto queste attività alla luce del sole. In molti casi, questa gente non si preoccupa nemmeno di restare anonima. Le loro attività, per quanto anticonvenzionali, sono del tutto legali in tutto il mondo (si tratta quasi sempre di specialisti di infosecurity).

A questo punto, è chiaro che deve trattarsi di “hacker” nel senso di cybercriminali, cioè gente dedita alle truffe bancarie, al furto, al commercio di droga ed organi umani e via dicendo.

Ma allora le tecniche di sicurezze adottate dovrebbero essere ben altre. Qui non si tratta certo di rendere più o meno invisibile il portale e/o di rendere più o meno complessa la procedura di accesso. Il vero pericolo, infatti, non è la polizia. Qui il vero problema di sicurezza consiste nel difendersi dai propri clienti e fornitori (e da qualche occasionale infiltrato). Il rischio maggiore non è la galera. Il vero rischio è quello di essere identificati da qualcuno dei criminali con cui si entra in contatto e venire ricattati, rapiti, torturati o persino uccisi per le ragioni più diverse e più imprevedibili.

In questo caso, la maggiore preoccupazione dei partecipanti dovrebbe essere quella di mantenersi anonimi ed irrintracciabili gli uni rispetto agli altri. A questo punto, però, casca l’asino: chi gestisce il portale? Vi fidate dei gestori? Su quali basi si fonda la vostra fiducia? Siete veramente sicuri che i gestori del portale non siano in grado di risalire alla vostra identità e/o di spiare le vostre comunicazioni all’interno del sito? Come fate ad esserne sicuri?

Non solo: come fanno i gestori del sito a fidarsi di voi che, per definizione, dovreste essere persone del tutto anonime? Come fanno a sapere che non siete poliziotti o che non rappresentate un pericolo per loro? Soprattutto, date le vostre competenze tecniche, come possono evitare che installiate una backdoor od uno spyware da qualche parte all’interno del sistema?

E non è ancora finita: su che sistema gira quel portale? Drupal su LAMP? Plone? Vi fidate di quel codice? Si possono fidare i suoi gestori? Su che server si trova? Dreamhost? Vi fidate di loro? Quali linee utilizza per comunicare con il mondo esterno? AT&T? Inet? Chi gestisce i router ed i DNS che esso utilizza? Come potete fidarvi, voi ed i gestori, di tutto questo hardware e questo software che, per definzione, non si trova sotto il vostro controllo?

Per avere un’idea di quanto sia difficile soddisfare questi “requirements” di sicurezza ed anonimato nel mondo reale, non dovete fare altro che leggere la documentazione di Anonet (http://anonet.it e http://www.anonet.org/).

Francamente, è inconcepibile usare un “portale” (o, per essere più esatti, un “community web site”) per raccogliere una comunità di delinquenti, almeno non il tipo di portale che descrive Larsson e non per il tipo di delinquenti che egli ritrae.

Per quanto mi riguarda, mi è capitato raramente di entrare in contatto con comunità underground di questo tipo ma gli strumenti di comunicazione e di aggregazione che ho visto usare erano comunque molto diversi da questi. Per quanto riguarda le comunità “aperte”, ho già citato un esempio degli strumenti che vengono utilizzati: Anonet. Altri circuiti simili, altrettanto pubblici, sono Freenet ed alcune altre reti AP2P o F2F come WASTE. In realtà, però, ho quasi sempre visto usare delle VPN o delle LAN private per queste applicazioni. La ragione è ovvia: si tratta di gruppi chiusi che normalmente non sono visibili su Internet. A volte non sono nemmeno collegati fisicamente ad Internet. In nessun caso, comunque, ho incontrato qualcosa come il sistema descritto da Stieg Larsson.

Mimetizzazione del sito

Qui sono costretto a citare (sommariamente) un lungo frammento di uno dei romanzi di Stieg Larsson, già citato da Ghioni nel suo libro.

“Cominciò col visitare un pagina privata di un fotografo dilettante sconosciuto.”

“Lisbeth scaricò l’immagine #167 e cliccò su ingrandimento. La foto rappresentava una chiesa. Cliccò sulla punta del campanile.”

“Si aprì una finestra che chiedeva identità e password. Digitò username e password. Apparve una finestra che recitava “Error: wrong password. Try again.” Lisbeth sapeva bene che se avesse cliccato su OK sarebbe solo apparsa la stessa finestra. Cliccò invece sulla “o” di Error.”

“Lo schermo diventò nero. Si aprì una porta animata e spunto fuori Lara Croft. Un fumetto chiese: “Who goes there”?

“Scrisse la password. Comparve uno sfondo blu con un testo: Welcome to Hacker Republic…”

[La regina dei castelli di carta – Pag 381 e seguenti]

Francamente, la lettura di questo brano può solo far rotolare in terra dalle risate qualunque professionista. Comunque, torniamo ai fatti.

Una conseguenza del ragionamento esposto nel capitolo precedente è che non esiste nessuna vera ragione per nascondere un sito o per mimetizzarlo. Se si vuole comunicare con il mondo esterno, il sito deve essere visibile. Anzi: deve essere il più visibile possibile. Se si vuole mantenere la comunicazione riservata ad un gruppo chiuso, basta usare una rete chiusa, cioè una VPN, una rete F2F od anche un sistema di autenticazione che autorizzi solo determinate persone ad accedere al sito. C’è solo l’imbarazzo della scelta per il tipo di tecnologia da usare.

Se Larsson è arrivato a concepire qualcosa di così assurdo, probabilmente è perchè l’unico tipo di “portale” che conosceva e poteva immaginare era un sito web od una BBS. Purtroppo per lui, esistono da molti anni decine di altre possibilità, a partire dalle VPN per arrivare ai siti anonimi di Freenet.

La surreale procedura di login escogitata da Larsson merita però un’analisi più dettagliata.

Camuffamento delle procedure di login

Nel nostro ambiente esiste una “malattia” alla quale ci si riferisce con il nome di “sindrome del caso unico” (“Single Case Sindrome” o SCS). Questa malattia si manifesta normalmente in persone che non conoscono l’informatica e che chiedono ad un consulente una soluzione ad un problema che loro ritengono importante e piuttosto singolare. Un esempio classico è un’agenda degli impegni per un’ufficio legale. Quando il consulente sospira e gli fa notare che dentro il loro normalissimo programma di posta elettronica, che usano da dieci anni, c’è sempre stata anche l’agenda, questi personaggi reagiscono immancabilmente con la frase “No, a noi non basta una soluzione standard come questa. Noi abbiamo esigenze particolari. Ci serve qualcosa su misura.”

Quali potranno mai essere queste esigenze particolari? Come potete facilmente immaginare, nessuna. Da almeno 20 anni (venti) non esistono più casi che non siano già stati affrontati e riaffrontati tante di quelle volte da aver dato origine a soluzioni standard (spesso ottime e quasi sempre gratuite). In generale, il software esistente fornisce già da decenni (e spesso gratuitamente) soluzioni che vanno molto al di là della più fervida immaginazione dell’utente.

Lo scenario descritto da Stieg Larsson in queste pagine appartiene a questa categoria. Larsson evidentemente ha pensato che i normali sistemi di autenticazione non potessero essere sufficienti per degli hacker brutti e cattivi come la Salander ed i suoi amici. Peccato, però, che non avesse la benchè minima idea di quali fossero le alternative presenti sul mercato e si sia sentito in obbligo di inventare qualcosa di personale. L’effetto finale, purtroppo per lui, è semplicemente esilarante.

La realtà è molto diversa. Gli hacker “brutti&cattivi” hanno esattamente gli stessi problemi di autenticazione di qualunque altra organizzazione che debba difendere dati riservati o sistemi critici. In altri termini, hanno gli stessi problemi di una banca e possono usare (al massimo) le stesse soluzioni. Per loro fortuna, persino le meno robuste di queste soluzioni sono immensamente più robuste di quella concepita da Larsson.

In particolare, tutti coloro che devono controllare l’accesso a sistemi critici fanno uso di sistemi di autenticazione a due o più fattori: qualcosa che l’utente sa (username e password), qualcosa che l’utente possiede (un “token” fisico di identificazione) e magari qualcosa che l’utente è (un parametro biometrico, come il disegno dell’iride). Per controllare l’accesso ai siti di home banking si usano di solito dei piccoli generatori di password “a perdere” ausiliarie, come i Vasco OTP. Lo stesso farebbero probabilmente i membri di “Hacker Republic” se dovessero decidere di mettere in piedi un portale.

In realtà, la complessa e contorta procedura concepita da Larsson non potrebbe fornire un briciolo di sicurezza in più di una normale coppia username/password per il banale motivo che nessun hacker perderebbe mai il proprio tempo nel tentare di “decifrare” la procedura di login di un sistema, qualunque essa sia. Gli attacchi ai sistemi di autenticazione avvengono sempre (e solo) per altre vie, scavalcando la procedura di login. Ad esempio, spesso viene “catturato” il file in cui il server conserva le password e poi queste vengono “crackate” con tutta calma su un computer dell’hacker. E non illudetevi che i complessi e fantasiosi sistemi di login grafici di Larsson possano modificare la situazione: anche questi parametri, alla fine, sarebbero memorizzati come parametri numerici in un file sul server e sarebbero vulnerabili a questi ed altri tipi di attacco. Persino molti sistemi di login biometrico sono vulnerabili ad attacchi di questo genere.

A parte questo, attaccare applicazioni come queste analizzando il codice e/o il traffico client/server è spesso piuttosto facile.

Il problema dello scambio delle chiavi

Lisbeth Salander esegue una procedura complessa e convoluta per accedere al “portale” di Hacker Republic ma… vi siete chiesti come ha imparato questa procedura? Qualche hacker gliel’ha mostrata? Qualcuno gliel’ha descritta per iscritto, magari usando la posta elettronica?

Già, perchè, prima che sia possibile mettere in atto una qualunqe comunicazione “protetta” tra due interlocutori è necessario che questi ultimi si scambino le informazioni necessarie, cioè le cosiddette “chiavi di cifra”. In questo caso, è necessario che Lisbeth ed i gestori del portale si mettano d’accordo sui dettagli della loro complicatissima procedura di autenticazione.

Durante questa fase, le comunicazioni possono solo avvenire “in chiaro” e quindi è ancora piuttosto facile intercettarle ed impossessarsene. Per questa ragione, tutta la sicurezza di un sistema risiede, di fatto, nella procedura usata per scambiarsi le chiavi. E qui casca l’asino: una procedura complessa come quella descritta da Larsson richiederebbe un lungo documento descrittivo o persino un video. Non è certo il tipo di informazione che si può far scivolare inosservata tra le pieghe di qualcos’altro.

Come se questo non bastasse, una procedura così complessa non può certamente essere cambiata con facilità ed in poco tempo. Di conseguenza, se viene compromessa non è possibile “turare la falla” rapidamente. Il danno prodotto da un eventuale infiltrato sarebbe quindi molto grave.

Queste sono le ragioni per cui nella realtà non si usano mai procedure così complesse. Ci si limita ad usare una qualche forma di crittografia ed a scambiarsi le chiavi nel modo più sicuro possibile. Le chiavi sono quasi sempre delle semplici sequenze di lettere e numeri casuali, impossibili da ricostruire per via deduttiva, e vengono scambiate attraverso canali separati da Internet e considerati sicuri, per esempio (ma non solo) via SMS.

Uscite di sicurezza

Nel capitolo in questione, Ghioni porta l’esempio di due ladri d’auto che per entrare in un veicolo sfruttano il meccanismo di apertura delle portiere attivato dai sensori d’impatto.

“I ladri osservarono la superba autovettura e chiesero di avere il manuale delle istruzioni.”

“Dopo qualche minuto, uno di loro assestò un colpo al paraurti anteriore e l’auto si apri.”

“I ladri spiegarono ch doveva esistere un modo per far uscire il passeggero in caso di incidente. Loro avevano solo cercato sul manuale dove fosse il sensore.”

Può sembrare una genialata ma non lo è: salvo casi eccezionali (come quello in cui è in gioco la vita dell’utente), anche le uscite di sicurezza sono protette. Basti pensare al PUK delle schede SIM dei telefoni GSM. Si possono fare tre tentativi di login con il PIN della SIM. Se si sbagliano questi tre tentativi, se ne hanno a disposizione altri tre con il PUK (che è in possesso del produttore del telefono e/o del gestore che fornisce la SIM). Poi basta. Nessun sistema di sicurezza perdona in eterno.

Security By Obscurity

La parte finale di questo capitolo del libro di Ghioni è quella che mi ha lasciato più perplesso. In particolare, mi hanno scosso queste due frasi:

“Una delle più grandi falle di un sistema collegato alla rete è la documentazione che lo descrive nel minimo dettaglio.”

“Quando possibile, non spiegate mai a nessuno come funzionano i vostri meccanismi di sicurezza perchè conoscerli apre la possibilità di violarli.”

[Hacker Republic – Pag. 91 e seguenti]

Ciò che Ghioni promuove in questo modo è la cosiddetta “security by obscurity”, cioè “sicurezza attraverso la segretezza”, e viene considerata come il più grave e pericoloso errore concettuale che uno specialista di sicurezza possa commettere. Vedi:

http://en.wikipedia.org/wiki/Security_by_obscurity

La ragione è semplice: se la vostra sicurezza dipende dalla segretezza di qualche dettaglio di implementazione, se (o quando) questo dettaglio viene scoperto, voi siete rovinati. Non avete modo di accorgervene e non potete sostituirlo senza modificare il sistema e senza comunicare i cambiamenti agli utenti. Siete morti.

Per questa ragione tutti i “crittografari” di un certo livello rendono sempre pubblici tutti i dettagli di implementazione, di solito rendendo open source l’intero sistema, e affidano tutta la sicurezza alle sole chiavi di cifra. Vedi:

http://en.wikipedia.org/wiki/Kerckhoffs’_principle

Questa è la vera chiave della sicurezza di un sistema: tutta la sicurezza deve dipendere solo dalle chiavi di cifra. Anche avendo una copia completa e funzionante del sistema non deve essere possibile violarlo senza usare le chiavi corrette.

In questo modo eventuali falle vengono scoperte subito e possono essere corrette subito. Se le chiavi vengono compromesse, basta cambiare le chiavi (che comunque non è un problema da poco).

Tutti i sistemi di cifra attualmente in uso (PGP in testa) che non sono stati ancora crackati sono concepiti in questo modo. Viceversa, tutti quelli che sono stati crackati (CSS dei DVD in testa) sono stati progettati basandosi sulla segretezza di qualche componente che, una volta scoperto, è stata la ragione della loro caduta. La percentuale di insuccesso della security by obscurity è quindi del 100%. Non dovrebbe essere necessario dire altro.

Non riesco a credere che persino Fabio Ghioni possa essere caduto vittima del fascino diabolico e pericoloso della security by obscurity.

Conclusioni

Lisbeth Salander sarebbe un genio dell’hacking, come mi è stata descritta spesso? I membri di Hacker Republic, così come li descrive Larsson, sarebbero geni di livello pari alla Salander? Stieg Larsson sarebbe quindi un fine conoscitore della sicurezza informatica e del mondo hacker?

Francamente, non mi sembra proprio.

Lisbeth Salander si lascia cogliere spesso mentre compie operazioni a dir poco “curiose” per chiunque conosca questo settore. I suoi “amici” non le sono da meno. A questo punto, è chiaro che Larsson aveva solo una conoscenza piuttosto superficiale di queste cose, oltretutto inquinata da una notevole quantità di luoghi comuni e di mitizzazioni giornalistiche.

La “bacchettata” più severa se la “becca” però Fabio Ghioni che, avendo lavorato in questo settore per anni, ed ai massimi livelli, dovrebbe ben essere in grado di riconoscere il grano dalla pula.

Alessandro Bottoni

Annunci
Comments
One Response to ““Hacker Republic” e le “Basi segrete in CyberWorld””
  1. Sandro kensan ha detto:

    Molto interessante, letto tutto. Segnalo che Radio radicale su Media e dintorni ne aveva parlato bene (avevano intervistato il Ghioni). Della serie quante stupidaggini si dicono nei media.

    http://www.radioradicale.it/scheda/298864/media-e-dintorni

    Fabio Ghioni
    scrittore e saggista, esperto in sicurezza e tecnologie non convenzionali
    08:30 22′ 29″

    File real audio.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: