Passa ai contenuti principali

Trojan di Stato o captatori informatici installati a distanza. Come funzionano?

Dopo il caso Palamara del 2019 sono sorte curiosità sui Trojan di Stato (detti anche 'captatori informatici') introdotti dal DL 216/2017. In particolare ci si chiede se siano davvero installabili a distanza in un cellulare senza che l'utente se ne accorga.

L'installazione a distanza di un Trojan non è impossibile. Ma non è neppure una prassi comune. Diciamo subito che stiamo parlando di strumenti concepiti per gli enti di intelligence. Quindi nulla a che vedere con le App Spyphone commerciali.

Il primo passo per tentare l'inoculazione del Trojan consiste nello studio a distanza del cellulare target allo scopo di individuare delle vulnerabilità, cioè delle falle nella sicurezza del sistema operativo del cellulare (o delle App installate nel cellulare) che siamo sfruttabili per tentare l'inoculazione a distanza del Trojan.

Quasi in disuso sono invece le tecniche di 'social engineering' (dette anche 'tre click'), cioè instaurare contatti a distanza con la vittima per convincerla ad installare una App apparentemente innocua nel suo cellulare. In questo caso la vittima deve fornire delle conferme all'installazione. Ma l'accresciuta consapevolezza sui rischi informatici e le ripetute segnalazioni dei sistemi operativi quando si installano delle App hanno reso molto improbabile che qualcuno cada in nel tranello.

I vettori privilegiati per l'inoculazione a distanza dei captatori informatici sono le vulnerabilità di categoria 'overflow'. Più avanti vedremo meglio cosa sono. Ad es. un captatore professionale che può essere inoculato a distanza sfruttando determinate vulnerabilità è il 'Pegasus NSO' nelle sue numerose varianti. Pegasus nasce in Israele da ex tecnici del Mossad e viene usato da varie organizzazioni mondiali di intelligence soprattutto per l'antiterrorismo. Per sfatare il mito dell'insicurezza di Android va detto che negli ultimi anni ci sono state vulnerabilità sia nei sistemi operativi IOS che nei sistemi operativi Android.

Uno dei punti di riferimento per tentare inoculazioni a distanza è WhatsApp, grazie alla sua estrema diffusione e al suo ventaglio di vulnerabilità. 

Basti pensare che nel 2020 sono stati identificati 5 nuovi bug di WhatsApp: i CVE 1886 1889 1890 1891 e 1894. Un paio di questi potrebbero prestarsi anche all'inoculazione a distanza dei Trojan o a più semplici controlli nascosti come la posizione GPS del cellulare.

Conviene diffidare del sensazionalismo mediatico dopo il caso del trojan di Stato nel cellulare del magistrato Palamara: online girano dei video della RAI e delle Iene dove sembra che installare un Trojan a distanza in un cellulare sia una banalità alla portata di qualsiasi smanettone. Ovviamente si tratta solo di dimostrazioni preparate per fini mediatici. Nella realtà tutto ciò è possibile solo con sofisticati strumenti riservati agli enti di intelligence, che devono essere gestiti da esperti informatici. Ma soprattutto è possibile solo quando nel cellulare target ci sono vulnerabilità sfruttabili come vettori di inoculazione. Diversamente anche le più importanti agenzie mondiali di intelligence devono entrare in possesso fisico del cellulare per effettuare l'installazione (questa attività viene definita 'inoculazione locale'). E se il cellulare è protetto da password sconosciuta, l'inoculazione locale diviene quasi impossibile. Guardate ad es. cosa ha dovuto fare l'FBI americana nel 2016 per riuscire a rimuovere la password in un Iphone5: cliccare qui.

Nel Web è facile trovare 'esperti' che promettono di installare le App SpyPhone a distanza per svelare ogni segreto. Raccomandiamo di diffidare di queste promesse, anche se si trovano in sfavillanti siti internet. Oggigiorno un sito internet apparentemente super professionale può essere creato in meno di due ore con conoscenze tecniche quasi nulle. E i feedback positivi possono essere falsificati molto facilmente, semplicemente acquistandoli a pochi euro presso attività specializzate in questo tipo di servizi.

Spesso le vulnerabilità di sistemi operativi e App vengono pubblicizzate nella comunità hacker internazionale, quindi vengono corrette dagli sviluppatori. Ma non è sempre così. Esiste infatti un mercato nel dark-web dove alcuni hacker mettono in vendita le vulnerabilità che hanno scoperto a cifre oscillanti fra i 40000 euro e il milione di euro. Il pagamento avviene ovviamente in criptovalute. Chi acquista l'informazione per sfruttare la vulnerabilità acquista anche il silenzio dell'hacker sulla sua scoperta. Quindi l'exploit potrebbe restare sfruttabile anche per anni. Se invece la vulnerabilità viene pubblicizzata, la correzione da parte degli sviluppatori di sistemi operativi e App avviene quasi sempre con tempistiche dilatate. Ad es. il clamoroso CVE3568 di WhatsApp (buffer overflow durante una chiamata vocale) è stato corretto solo a fine 2019. Questo nonostante se ne sia parlato per alcuni mesi. Significa che nel 2020 centinaia di milioni di cellulari sono stati vulnerabili a cyber attack su bug CVE3568. E a confermare il fatto che WhatsApp non è diventato sicuro neppure dopo l'acquisizione da parte di Meta, sono emerse nel 2022 due nuove vulnerabilità piuttosto serie: le CVE 27492 e 36934.

Ma come si sfruttano queste vulnerabilità? Senza voler banalizzare un'attività estremamente complessa come il cyber attack, è cosa nota anche a programmatori alle prime armi che i buffer overflow e gli stack overflow opportunamente gestiti possono consentire l'esecuzione da remoto di codici malevoli sulla device attaccata. Ci riferiamo all'immissione in una stringa di un numero di bytes maggiore dell'array del buffer che deve contenerla.

Esempio in linguaggio C:
void leggostringatest(void) {
long num = 0;
char buff[6];
gets(buff);
}

In sintesi se 'gets' raccoglie un numero di bytes maggiore della capienza di 'buff[6]' e se l'overflow (cioè i bytes in eccesso oltre il sesto) contiene un codice eseguibile e correttamente allocabile, può succedere l'imprevisto. Logica vorrebbe che tutto ciò che eccede i 6 bytes venga scartato causa mancata capienza. In realtà viene inviato al processore del cellulare come fosse una normale richiesta della App. Poniamo che lo script arbitrario contenga un 'requestLocationUpdates' per leggere la posizione GPS del cellulare e inviarla all'IP di un determinato server: la CPU del cellulare prende in carico il codice e lo esegue. Quindi l'attacker riceve le coordinate GPS del cellulare come se fossero state inviate da una App che in realtà non ha una funzione del genere. Ovviamente nella pratica non è così facile. Qui abbiamo solo voluto rappresentare il fatto che sono attività possibili, ma certamente non alla portata degli utenti comuni e non connesse alle App SpyPhone acquistabili online.

Servizi tecnici, informatici, difesa elettronica. Vedi...


I post più letti...

Cosa possono fare le agenzie investigative in Italia?

Partiamo da quanto pubblicato recentemente dal portale del Diritto La legge per tutti : "Un investigatore privato può compiere tutte quelle attività che sarebbero lecite anche se fossero compiute da un normale cittadino." In pratica un investigatore privato non può perquisire persone e luoghi, intercettare comunicazioni riservate, acquisire dati coperti da privacy, accedere ad ambienti privati senza il consenso del titolare del luogo. Mentre un investigatore privato può pedinare e appostarsi in luogo pubblico, scattare foto in luogo pubblico, raccogliere informazioni da banche dati pubbliche, accedere ad ambienti privati con il consenso del titolare del luogo. Quali sono le differenze giuridiche fra un investigatore privato e un normale cittadino? La principale differenza giuridica sta nel fatto che l'investigatore privato, in virtù della licenza rilasciata dal Prefetto ex art. 134 TULPS, è autorizzato a svolgere delle indagini in forma professionale e per conto di te

I localizzatori satellitari GPS con SIM non intestate sono anonimi?

Alcuni localizzatori satellitari sul mercato, ad es. i nostri NoSIM , trasmettono tramite particolari linee dati di tipo 'M2M' (Machine to Machine) che non devono essere intestate agli utilizzatori finali. Questo tipo di linee viene spesso definito anonimo. Ma fino a che punto? Vediamo le caratteristiche generali delle linee industriali M2M, note anche come IoT: 1) Non possono inviare o ricevere chiamate vocali. 2) No n possono inviare o ricevere SMS a/da normali utenze telefoniche. 3) Funzionano solo con l'apparato fornito. 4) Hanno una numerazione detta International Network non riferita ad una nazione ma a tutto il pianeta. In pratica sono linee che non devono essere intestate all'utilizzatore finale perché non sono in grado di funzionare come normali utenze per telefonini. Naturalmente g li operatori che forniscono le linee M2M/IoT hanno i dati di chi le ha acquistate. In molti casi sono operatori esteri, come per i ns. localizzatori No SIM . Ma dopo l'acquis

Sicurezza e privacy cellulari contro lo spionaggio.

Iniziamo dicendo che il controllo nascosto di un cellulare non avviene solo tramite le App Spyphone (dette anche App Parental Control).  In pratica le App SpyPhone sono dei software acquistabili in internet che consentono il controllo a distanza delle attività svolte con il cellulare. Per installarli bisogna conoscere la password del cellulare e bisogna disporre fisicamente del cellulare. Le App SpyPhone non sono così nascoste come sembrano.  Nei moderni smartphone hanno buone possibilità di restare nascoste solo all'utente comune, cioè a chi usa il  cellulare per chiamate, messaggistica, navigazione in internet e poco altro. Mentre possono essere notate da utenti più esperti e da chi fa ampio uso del cellulare. Le App SpyPhone sono infatti piuttosto invasive negli ecosistemi dei cellulari e possono essere rilevate dalle componenti per la sicurezza. Per quanto riguarda iPhone, Apple è riuscita a limitare drasticamente la possibilità di installare le App Spyphone nei suoi cell

I localizzatori GPS con microfono non rappresentano violazione della privacy.

Secondo la Cassazione nascondere un localizzatore satellitare GPS dotato di microfono ambientale in un autoveicolo non configura il reato di violazione della privacy art. 615bis. In passato la Cassazione ha statuito molte volte che l'abitacolo di un autoveicolo non era una privata dimora ex art. 615bis. Salvo camper, roulotte o cuccette di camion se erano chiaramente usati come privata dimora. Quindi, se venivano rinvenute delle microspie ambientali all'interno di autoveicoli, l'art. 615bis veniva escluso (es. sentenze 10095/2001, 12042/2008, 4926/2009, 28251/2009, 45512/2014). Questo generava un'assoluzione. Ma dopo i chiarimenti sui limiti della privata dimora introdotti dalla sentenza 31345/2017 , sembrava essere iniziata un'inversione di marcia. Ad es. nella sentenza 33499/2019 Cassazione (punto 2.2 motivazioni che però non ha generato condanne), nella sentenza di primo grado del Tribunale di Napoli sez. II 2885/2017, nella sentenza di primo grado del Tribuna

Cosa sta succedendo alla vecchia rete GSM?

La Svizzera ha spento le reti 2G GSM . Altre nazioni europee, fra cui la Francia, hanno intenzione di spegnerle a breve. Qual'è la situazione in Italia? La nostra nazione al momento è in controtendenza. Il MISE (Ministero dello Sviluppo Economico) su sollecitazione dell'autorità per le telecomunicazioni AGCOM ha prorogato le licenze per lo spettro radio GSM fino a dicembre 2029. L'AGCOM ha inoltre esortato gli operatori telefonici a mantenere in vita il GSM perchè di rilevante interesse strategico.  Nella consultazione pubblica AGCOM 176/20/CONS gli operatori hanno preso atto della necessità di mantenere in vita il GSM. Ma come è possibile che una rete con 33 anni di vita sia così strategica?  Secondo AGCOM a  settembre 2020 in Italia c'erano 26,3 milioni di SIM card attive in contatori luce/gas, centraline meteo, sistemi salvalavita, POS, sistemi IoT industriali, sistemi telemetrici e logistici, localizzatori satellitari, sistemi di sicurezza, rilevatori vulcanologi

La funzione Geofence dei localizzatori satellitari GPS.

Il Geofence è una funzione poco utilizzata dei sistemi di localizzazione satellitare GPS, ma davvero utile e potente. Il Geofence, detto anche 'recinto virtuale' o 'area protetta' , consente di creare un confine virtuale che delimita un'area geografica. E' una funzione offerta dalle piattaforme WEB per il tracking satellitare GPS. Lo scopo del geofencing è definire un'area di particolare interesse per ricevere un avviso appena un veicolo dotato di localizzatore satellitare entra o esce da quell'area. Con alcuni esempi pratici possiamo  chiarire meglio il funzionamento e l'utilità del geofencing Esempio 1  Mario è dipendente di un'azienda che gli ha affidato un furgone attrezzato per fare assistenze tecniche.   Ma l'azienda sospetta che Mario a volte si rechi in determinate zone per fare assistenze non dichiarate. In questo caso è possibile creare delle aree Geofence sulle zone sospette. Impostando gli avvisi di ingresso nelle aree, l'

Le norme GDPR e le piattaforme WEB per il cloud GPS tracking.

Questo blog è rivolto alle figure assoggettate al GDPR (aziende, professionisti ed enti che offrono beni e servizi a terzi). I privati che usano dei localizzatori satellitari in ambito domestico, o comunque per motivi confinati nella loro sfera personale, non sono assoggettati al GDPR ( 'household exclusion provision' art. 2 lett. C). Quanto incidono le norme europee GDPR (trattamento dei dati personali) sulle piattaforme WEB per il cloud GPS tracking e sui webserver che ospitano le piattaforme per la geolocalizzazione? I controlli elettronici degli spostamenti delle persone sono considerati dal GDPR 'trattamento di dati personali' quando vengono effettuati da aziende, professionisti ed enti.  Da qui scaturisce un obbligo connesso al GDPR: aziende, professionisti ed enti devono utilizzare delle piattaforme WEB per il tracking satellitare GPS installate su webserver residenti all'interno dello Spazio Economico Europeo. In sintesi il GDPR vieta che i dati personali

Doppio localizzatore GPS: una soluzione antifurto efficace.

Recentemente la cronaca ha riferito di un'azienda napoletana che ha subito il furto di decine di costosissimi macchinari, nonostante fossero dotati di antifurto satellitari GPS. PERCHE' GLI ANTIFURTO SATELLITARI FALLISCONO? Anche il ladro più sprovveduto e improvvisato sa che prima di rubare un veicolo o un macchinario deve accendere un jammer. Il jammer è un apparato elettronico portatile che non richiede conoscenze tecniche: basta accenderlo e da quel momento qualsiasi antifurto satellitare che si trovi entro un raggio di 10-15 metri non può più trasmettere allarmi e posizioni. In alcuni casi l'antifurto riesce comunque ad attivare la sirena di allarme perchè riconosce le onde radio interferenti emesse dal jammer. Ma l'affidabilità di questa funzione, detta 'anti-jammer' , è variabile soprattutto nei veicoli dotati di sistemi 'keyless' o nel caso in cui il telecomando per l'apertura delle portiere sia stato clonato. Inoltre la sfrontatezza dei la

Hotspot dei cellulari Android usati come WiFi extender. E' possibile?

L'hotspot dei cellulari Android può funzionare anche come ripetitore (extender) di un router WiFi? La funzione hotspot dei cellulari Android è semplice e veloce. Crea una rete WiFi provvisoria con prestazioni simili a quelle offerte da un normale router WiFi. Fornisce abitualmente il WiFi in seconde case, piccoli uffici distaccati, camper, bungalow, uffici mobili di cantieri, casette prefabbricate, veicoli e altri ambienti non frequentati in modo costante. Nel mondo delle tecnologie investigative l'hotspot a volte è prezioso per sfruttare le microcamere WiFi e le microspie WiFi.  In molti cellulari Android c'è una caratteristica poco nota della funzione hotspot che può rivelarsi utile in varie occasioni: il ripetitore WiFi (o  'WiFi extender' ). In pratica è la possibilità di usare un cellulare Android per estendere il raggio di azione di un router WiFi. Come funziona? Il WiFi extender negli hotspot dei cellulari Android fu introdotto in sordina con la versione 7.1

Come scoprire orario lettura messaggi WhatsApp

Un altro semplice trucco per WhatsApp.  In questo caso è una funzione alla luce del sole. Ma notiamo spesso che è una funzione poco conosciuta. Vediamo come scoprire l'orario di lettura di un messaggio inviato con WhatsApp. Bisogna premere a lungo sul messaggio di interesse per selezionarlo. Il messaggio viene evidenziato (di solito con una filigrana semitrasparente verde). A questo punto basta premere i tre puntini verticali in alto a destra e selezionare   ' Info '.   Ed ecco che appare l'orario esatto di lettura del messaggio. Ovviamente questa funzione non è attiva nel caso in cui l'interlocutore abbia scelto di disattivare le spunte blu, cioè la segnalazione grafica che il messaggio è stato letto. Electronet Modena.   Chi siamo e contatti Home page tecnologie Home page servizi  Electronet Intelligence Solutions