mercoledì 25 febbraio 2015

NSA e la PsyWAR contro PGP/GPG

Girando per blog di "IT", tutti o quasi rigorosamente americani, mi trovo a leggere sempre piu' attacchi contro GPG/PGP. Ci sono un paio di cose che non mi tornano in questi attacchi, piu' un paio di cose che stanno iniziando a vedersi con chiarezza, pensieri che mi frullano per la testa e ho voglia di buttare giu'.



Se raddoppia la quantita' di blog che parlano di GPG , mi aspetto che cresca la sua adozione, la sua notorieta' o che sia un prodotto che si diffonde in qualche modo.

Sfortunatamente, le cose non stanno esattamente cosi':


Come potete vedere, la "domanda" di gpg e' in calo. Se anche venisse adottato maggiormente dovrei assistere ad una crescita di query per il suo utilizzo, cosa che pero' non vedo. Dunque, GPG e' un software di nicchia, che viene usato da una nicchia, e peraltro viene usato MENO di prima.

Tuttavia, se cerco per il blog  , sembra che la blgosfera "tecnica" si stia riempiendo di rants contro GPG. Questi rants, peraltro, si basano sempre sulle stesse cose: "la riga di comando di gpg e' complicata" (perche' non attaccare allora openssl?) , "e' difficile da integrare" (poi usano formati chiusi come se piovesse) , e altre minchiatine che mi aspetto da wired, che possono sempre tradursi come "uso un mac e non trovo l'icona di gpg", o se preferite "ma MacOS e' UNIX, guarda, c'e' la shell", oppure "ma sul mio iPhone non c'e', quindi non serve a niente".

Come mai sta crescendo l'accanimento contro un software che, in ultima analisi, viene usato solo da chi ne ha davvero bisogno e soltanto per comunicare con altri che lo usano? 

La risposta va cercata in una semplice domanda: CHI di preciso utilizza GPG?

Ci sono due tipi di utilizzatori:

  • Chi vuole spedire email certificando il mittente o criptando il contenuto.
  • Chi usa reti F2F, Friend to Friend, come RetroShare, che usano chiavi crittografiche per dare una identita'.
E chi lo fa, di preciso?

Se ci riferiamo a RetroShare, e andiamo qui : http://www.google.com/trends/explore#q=retroshare&cmpt=q&tz= 

Come vedete, e' un sistema che desta interesse prevalentemente  in Europa.

Del resto, nella ricerca precedente che usava come chiave GPG, GnuPG &al, scopriamo che oltre al Sudafrica ed al Pakistan , il maggiore interesse e' europeo, precisamente da paesi come Germania, Francia ed Italia. Il volume del regno unito, che ha popolazione paragonabile , e' molto piu' basso.

E' molto interessante quindi notare una cosa: qualsiasi genere di attacco si faccia contro l' uso di GPG/PGP, esso colpira' specialmente utlizzatori europei. E' interessante notare questo, insieme ad un'altra serie di strani fatti.

Andiamo al primo fatto: NSA e Stato Islamico. Sino a quando lo Stato Islamico esibisce la sua superiorita' nello sgozzare giornalisti, dare fuoco a gente chiusa in una gabbia o altro che si fa sul campo, i conti tornano. NSA lavora principalmente su internet, ove - a sentire Snowden - sarebbe in grado di scaricare per intero qualsiasi cosa sia su internet, ma non e' cosi' pervasiva al suolo.

Ma lo Stato Islamico   oggi non lotta solo al suolo. Esso recluta , anche negli USA e in UK, proprio usando internet. Insomma, nel territorio ove NSA avrebbe un predominio totale ed una potenza di fuoco assoluta.

Ora, a giudicare da quel che si dice e si sa di NSA, si direbbe che lo Stato Islamico non abbia alcuna probabilita' di aprire bocca senza essere visto. Invece questo non succede. Non solo: prima dell'attacco a Charlie Hebdo, i servizi segreti Algerini informarono quelli francesi. Dagli americani, che pure sorvegliano l'intera internet, nulla.  E ancora le primavere arabe, organizzate quasi interamente usando twitter e facebook, che COLGONO DI SORPRESA il governo americano. Uhm! Davvero NSA si occupa di queste cose, o si occupa di altro? Una domanda interessante.

Interessante. E' interessante perche' se togliamo il fatto che NON ESISTONO evidenze di NSA che attacca o scofigge terroristi online, tutte le (poche) evidenze che abbiamo di come lavori NSA sono riassumibili in questi termini:

NSA (ed alleati) attaccano principalmente industrie europee.

prendiamo un caso relativamente "antico", come Stuxnet.

Stuxnet e' stato creato dal governo USA ( http://arstechnica.com/tech-policy/2012/06/confirmed-us-israel-created-stuxnet-lost-control-of-it/ ) esso attaccava un software SCADA (controlli industriali) di Siemens. Esso, si diceva , era mirato a colpire le centrali nucleari iraniane.

Adesso riduciamo le cose a tre informazioni:

  1. Stuxnet e' stato creato da NSA. Fatto accertato.
  2. Esso attacca gli SCADA NCS e WINCC di Siemens. Fatto accertato.
  3. Esso era diretto a colpire l' Iran. Diceria non verificabile.

 Ed e' proprio quel "diceria non verificabile" il punto. Che Stuxnet sia ufficialmente un virus americano (e israeliano) lo si sa ed e' stato ammesso. Che attacchi software di Siemens e' noto, e verificabile esaminando il codice.

Che abbia attaccato gli impianti iraniani, o che sia stato fatto con quegli impianti in mente, e' una diceria senza prova alcuna.

Ma se tolgo la 3)  e mi attengo solo a fatti noti e verificabili, che cosa ci rimane?

Rimane che NSA ha concepito un virus per colpire sistemi di Siemens, un'azienda europea.

Anche l'attacco a Belgacom e' abbastaza interessante. Si tratta di un attacco mirato a "spiare il parlamento europeo". Ora, il fatto che l'attacco sia avvenuto e' noto. Rimane il fatto che fosse mirato a colpire il parlamento europeo.

Rifacciamo il facts checking:

  1. Belgacomm e' stata attaccata dal servizio segreto inglese (fatto noto e comprovato con prove materiali, depositate in tribunale).
  2. L'attacco era mirato al parlamento europeo . Diceria non verificabile.

e se adesso vediamo cosa rimane, rimane che i servizi segreti inglesi hanno attaccato un'azienda europea.

Andiamo ancora all'ultimo esempio, quello contro Gemalto. NSA e servizi inglesi hanno rubato le credenziali crittografiche di milioni di SIM, da un'azienda leader nel settore, Gemalto. ( http://en.wikipedia.org/wiki/Gemalto ). Ho gia' spiegato che genere di potere dia il fatto di avere quelle credenziali, ma il problema non e' questo.

Il problema e' che i terroristi usano Thuraya, ovvero un provider satellitare con bridge GSM. Si tratta di una cosa nota, al punto che il governo indiano ha bandito ogni cellulare satellitare dopo i terribili attentati di cui e' stata oggetto ( http://arstechnica.com/tech-policy/2011/09/india-seeks-to-disable-satellite-phones-at-the-border-to-fight-terrorism/ ) . Ma Thuraya non usa sim Gemalto. E specialmente, non esiste l' OTA via satellite che possa beneficiare del possesso del Ki di una SIM.

Ancora una volta, vediamo la stessa cosa: NSA e GCHQ attaccano un'azienda europea, in questo caso olandese.

Potete tranquillamente scorrere l'intera storia delle operazioni note di NSA. Potete dividere cio' che e' un fatto da cio' che e' una diceria non verificabile.

E alla fine, osserverete una semplice cosa:

Tutto cio' che sappiamo per certo di NSA , GCHQ&co, e' che attaccano aziende e industrie europee e asiatiche. Sugli scopi, o presunti scopi, abbiamo SOLO dicerie non verificabili.

Cosa c'entra con GPG?

E' molto interessante come hanno attaccato Gemalto. Si sono focalizzati su un impiegato tailandese che spediva file criptati con GPG/PGP. Hanno dedotto che questo impiegato stesse inviando i file con le credenziali a qualche cliente, tipicamente una telco. Cosi' hanno letto tutte le sue email, la parte in chiaro, osservando le parole che usava. Poi hanno seguito , su gmail , yahoo ed altri, la ricerca di queste chiavi, e leggendo dentro la posta elettronica di impiegati che facevano lavori simili a quelli del thailandese, sono riusciti a venire in possesso di milioni di credenziali, di coloro che non le inviavano criptandole.

Le aziende attaccate sono Nokia, Ericcson, Gemalto, Bluefish, ancora Belgacomm, eccetera. Ma ancora una volta, tutto quello che sappiamo e' che NSA attacca aziende leader in giro per il mondo.

Tutto quello che sappiamo di NSA in generale, e' che attaccano aziende.

  • Non si sa di NSA che attacca terroristi.
  • Non si sa di NSA che attacca governi.
  • Si sa solo di NSA che attacca aziende.
  • Si sa che NSA abbia qualcosa a che vedere con le aziende americane, ma non e' chiaro se siano attaccati o se collaborino attivamente.
  • La legge americana obbliga le aziende americane a collaborare attivamente.

Dunque, sembra che PGP/GPG godano del maggiore interesse degli utenti in Europa. Gli unici FATTI che abbiamo di NSA e' che attacca aziende europee. Sappiamo che almeno una, Gemalto, usava GPG e che per avere le Ki delle SIM hanno dovuto attaccare le controparti del signore Thailandese che usava GPG/PGP.

C'e' da stupirsi che appaiano in giro attacchi, tutti uguali, a GPG/PGP, mentre la diffusione del sistema diminuisce globalmente, tranne un certo interesse europeo, pakistano e sudafricano?



Discussioni & Commenti (Il Salotto Buono di KEIN PFUSCH®).

Per postare nel gruppo, semplicemente cliccate sul tasto rosso a sinistra se l'argomento e' nuovo, oppure cliccate sugli argomenti per rispondere. In caso non siate iscritti il sistema vi guidera' all'accesso. In ogni caso il vostro indirizzo email non sara' pubblicato dal forum.

So che e' seccante, ma l'aumento del traffico sul sito mi obbliga ad usare un sistema piu' adatto alle mie disponibilita' di tempo, cioe' un sistema ove la quantita' di commenti da moderare NON cresca con la quantita' di traffico. Inoltre adesso gli argomenti non sono piu' legati al post, cosi' se volete iniziare un OT non c'e' problema come prima. Inizialmente i vostri messaggi verranno moderati, poi verrete sbloccati appena sara' chiaro che non siete troll. Una volta iscritti e' possibile postare sia attraverso il web (come prima) che via email (scegliendo di ricevere i messaggi via email). Quando vi iscrivete, per favore scrivete due righe di presentazione.Altrimenti non vi iscrivo.