martedì 23 settembre 2014

Perche' vedremo ancora molti "Fappening".

Ho gia' scritto in passato cosa penso dei furti di fotografie dagli account riservati delle star di Hollywood, e del perche' sia doveroso e patriottico vederle ( http://www.keinpfusch.net/2014/09/telefoni-spiati-ed-attrici-nude-e.html )  , ma il punto che non si e' ancora capito che questa storia non finira' mai. Per una ragione semplice: quando piazzi una backdoor, non puoi avere la certezza di essere l'unico a saperla usare.
Posso iniziare con l'esempio di Snowden: lui e' scappato via con il suo bagaglio di conoscenze , le ha date ai giornali - che le stanno filtrando - ed ha fatto scatenare il disastro.

Ma NSA, secondo le stime, impiega da 30.000 a 70.000 persone, di cui un 30% di contractors come Snowden. La domanda e': essendo un contractor, Snowden poteva decidere, che so io, di cambiare lavoro. Poteva trovare una brava ragazza in Virginia e andare a lavorare li' come esperto di sicurezza. 

In quel caso, poteva anche usare le cose che sapeva, diciamo se conosceva delle backdoor, per il proprio lavoro fuori da NSA.

Adesso passiamo al Generale Alexander. Destituito con cattiva grazia dal governo USA, adesso ha aperto la sua azienda di consulenza per la sicurezza. Avra' come cliente la NSA stessa - cui magari fornira' contractors piu' fedeli di Snowden - e con le maggiori aziende americane. Ovviamente, NSA non uccide i dipendenti che si licenziano , e nemmeno puo' "sparaflasharli" come facevano i MIB.

Se consideriamo un esercito che va dalle 10.000 alle 20.000 persone che conosce le backdoor, anche immaginando un turnover molto basso - problemi di famiglia, relocation, problemi di salute , etc - , siamo nell'ordine delle centinaia di persone che se ne vanno a zonzo per il mondo conoscendo backdoor. Ogni anno.

Ci sono poi quelli che osservano il codice. Per esempio, il governo cinese ha deciso di creare il suo sistema operativo nazionale. Per passare al setaccio tutto il kernel ha ordinato ad una apposita divisione dell'esercito, circa 10.000 persone, di spazzolarlo riga per riga. Alla fine, e' uscito fuori il sistema operativo cinese.

Supponiamo - per ipotesi -  che abbiano trovato la backdoor.  A questo punto NON hanno bisogno di inserire la LORO backdoor nei sistemi americani, per poterci entrare. Posso entrarci usando la backdoor della NSA. 

MA andiamo anche a semplici persone qualsiasi. Si dice che NSA abbia chiesto a Linus Torvalds di inserire una backdoor nel kernel. La sfiga e' che sul kernel di Linux lavorano molte persone, e che per questioni di studio o hacking, moltissime altre persone si tengono aggiornate. Piu' le aziende che devono fare i porting necessari per migliaia e migliaia di embedded devices.

Quale sara' la percentuale di rischio che qualcuno abbia notato la backdoor nel momento in cui fu inserita, esaminando il  singolo commit subito dopo? Diciamo 1 per mille? Ok, diciamo uno per mille. Allora sono altre venti persone che conoscono la backdoor. Piu' tutti quelli che devono essere avvisati di non toccare quel pezzo di codice, per non toglierla da li'. Cosa che restringe la cosa al codice che solo Linus va a cambiare.

Perche' i casi sono due: o inserite la backdoor in un punto del kernel  che solo Linus tocca,e allora tutti sanno dove cercare, o la inserisci dove qualcun altro lavora - in genere persone singole che si dedicano ad un pezzetto di codice - e allora la persona va a leggere sta roba che qualcuno ha committato nel pezzo di C che lui mantiene.

Questo vale ovviamente per tutto il personale che lavora per le aziende che scrivono codice: qual'e' il turnover? Normalmente le HR alzano una bandierina quando il turnover si alza oltre il 7%, almeno in Europa, quindi se andiamo dallo 0 al 7%, e consideriamo per dire una Microsoft, ogni volta che si sono inserite backdoor , entro una decina di anni chi sapeva e' finito sul mercato.

Il risultato di aver riempito ogni software di backdoor e' che negli scorsi 10 anni sono finite  sul mercato dalle 1000 alle 5000 persone che sanno di quelle backdoor. OGNI ANNO. 

Queste persone ovviamente non rimangono sole. Ognuno di loro trova altri lavori, e magari usa quelle backdoor, insegnandole ad altri, come "trucchi". E' impossibile sapere, oggi, QUANTA gente sappia delle backdoor piazzate ovunque.

Qual'e' il turnover degli impiegati di Apple? Potete leggere molte opinioni a riguardo, https://www.google.com/search?q=Apple+employees+turnover&ie=utf-8&oe=utf-8#q=apple+employee+turnover&revid=1559299899  ma il problema non e' se sia un problema PER APPLE.

Anche con il dato migliore sul mercato, SE esiste una backdoor segreta, richiesta da NSA, i iCloud, a conoscerla sono, considerando gli anni passati dalla sua nascita, almeno una cinquantina di ex dipendenti, che dovevano essere a conoscenza della backdoor, se non altro per non rimuoverla.

Ora, la seconda domanda e':

Se conoscete una backdoor in un sistema mainstream, qual'e' la maniera migliore per monetizzare questa conoscenza?

 potreste partecipare ad un contest per, che so io, 10.000$. Rivelate il baco all'azienda e quella vi deve pagare, pur non potendo toglierlo da li'. Oppure potete fare una cosa: prelevate l'augusto culone di Kim Kardashian dal suo iPhone e chiedete soldi al suo agente, o ad un giornale scandalistico.

Mano a mano che il software prolifera, ovviamente NSA pretendera' da tutti che ci siano delle backdoors. E nel corso degli anni, aumentera' gradualmente il numero di persone che ne sono a conoscenza. Col tempo, qualcuna di queste persone vorra' fare soldi facili. Parlera' magari con altri, entrera' in qualche crew di hackers, e magari loro vorranno fare soldi facili.

Per questa ragione dovete pensare a questo: PRIMA O POI tocchera' a voi. PRIMA O POI la vostra carta di credito , le vostre foto intime,  i vostri dati sulla salute presi dallo smartwatch, qualsiasi cosa possa venire rivenduto (guardate pure nei siti porno, nella sezione "hidden camera" ed "ex girlfriend") verra' attaccato.

Per ora sono le star, perche' e' piu' facile monetizzare le fotografie. Ma prima o poi il mondo del porno trovera' uno sbocco con le foto prese dai cellulari, prima o poi sara' forte la domanda di dati assicurativi raccolti dagli smart watch, per non parlare dei wallet elettronici: prima o poi, e' solo questione di tempo, in giro ci saranno i VOSTRI dati.

In generale, sebbene la qualita' del software aumenti, la quantita' di attacchi riusciti aumenta a sua volta. Un tempo questo veniva spiegato con la proliferazione dell' IT, ma in realta' il sospetto inizia a diventare legittimo.

Se la polizia chiede ai produttori di serrature un trucco per aprire rapidamente ogni serratura, quanto tempo passera' prima che tutti gli ausiliari, poi congedati, conoscano il trucco? E quanto tempo passera' prima che lo raccontino ad amici e parenti?

D'altro canto, c'e' un fattore competitivo in gioco: se l' assicurazione A riesce a mettere le mai sui vostri dati - peso, sport praticato, etc - anche l' assicurazione B cerchera' di farlo. Questo aumentera' la richiesta di quei dati, e il loro valore. E presto tutte le assicurazioni avranno i loro canali per comprare dati.

Quindi no: il mercato per quei dati c'e'. Le foto rubate di "ex girlfriend" e di "next door girls" stanno trovando un mercato sempre piu' grosso. 


Presto, la storia si ripetera', e colpira' tutti.

Solo qualche giorno fa sono usciti 5 milioni di accessi che avevano come email una email di google. Significa che qualche servizio che, nel mondo, usa l' SSO di Google e' stato craccato. Qualcuno, cioe', aveva usato l'email di google come username per qualche sito, che so un sito di commenti od un giornale online. 

Quei cinque milioni di accessi sono stati spazzolati per informazioni che abbiano un valore. Ora, si tratta di persone comuni. MA hanno un valore. Non sappiamo quale dei siti che usano SSO di google sia stato bucato, ma quella cosa ha colpito utenti comuni. Se fosse un sito di dating online, per esempio, sarebbe un disastro.

Quindi, preparatevi: sinche' NSA continua ad imporre, PER LEGGE, ai provider di piazzare backdoor, e non possono rifiutarsi - anche se Apple dice il contrario: deve obbedire alle leggi americane, PUNTO - ci sara' un numero crescente di persone che queste backdoor le conosce ma NON lavora (o non lavora piu' ) per NSA.

Il fatto che Apple non abbia fissato alcun baco e che si sia ripetuto l'evento "Fappening" fa pensare diverse cose, tra cui il fatto che quella falla NON VADA fissata perche' fa comodo a qualcuno.


Durera' sino a quando un'azienda americana non avra' il coraggio di opporsi a tutto questo e di migrare altrove per sfuggire a NSA. Ma si sa, adesso c'e' ISIS, e siamo tutti a lottare contro il terrorismo. Guai ad opporsi ad NSA.

Finche' non capitera' a voi. 

E il momento si avvicina. 

Ricordate quando finirono online le dichiarazioni dei redditi?


Discussioni & Commenti (Il Salotto Buono di KEIN PFUSCH®).

Per postare nel gruppo, semplicemente cliccate sul tasto rosso a sinistra se l'argomento e' nuovo, oppure cliccate sugli argomenti per rispondere. In caso non siate iscritti il sistema vi guidera' all'accesso. In ogni caso il vostro indirizzo email non sara' pubblicato dal forum.

So che e' seccante, ma l'aumento del traffico sul sito mi obbliga ad usare un sistema piu' adatto alle mie disponibilita' di tempo, cioe' un sistema ove la quantita' di commenti da moderare NON cresca con la quantita' di traffico. Inoltre adesso gli argomenti non sono piu' legati al post, cosi' se volete iniziare un OT non c'e' problema come prima. Inizialmente i vostri messaggi verranno moderati, poi verrete sbloccati appena sara' chiaro che non siete troll. Una volta iscritti e' possibile postare sia attraverso il web (come prima) che via email (scegliendo di ricevere i messaggi via email). Quando vi iscrivete, per favore scrivete due righe di presentazione.Altrimenti non vi iscrivo.