Buche d’acqua e dissidenti da un milione di dollari: l’economia in evoluzione della sorveglianza digitale

Buche d'acqua e dissidenti da un milione di dollari: l'economia in evoluzione della sorveglianza digitale

Di recente, Project Zero di Google ha pubblicato un rapporto che descrive una campagna di sorveglianza recentemente scoperta utilizzando catene di exploit iOS zero day per spiare gli iPhone. Questa campagna ha utilizzato diversi siti Web compromessi in quello che è noto come un attacco di “abbeveratoio”. I siti Web compromessi eseguiranno automaticamente la catena di exploit su chiunque abbia visitato, con l'obiettivo di installare un impianto di sorveglianza sul dispositivo. Google non ha rivelato i nomi dei siti Web o in effetti chi era stato preso di mira, ma presto è diventato chiaro attraverso altri rapporti che il probabile obiettivo di questa campagna era la comunità uigura , una minoranza musulmana turca in Cina che stava affrontando la detenzione di massa e altri duri repressioni perpetrate dal governo cinese con le politiche più repressive in atto negli ultimi anni.

La società di sicurezza Volexity ha seguito la settimana successiva rapporti dettagliati su catene di exploit di siti Web simili rivolti a dispositivi Android e Windows , ancora una volta ospitati su siti Web con un pubblico principalmente uiguro . Questa settimana, un'altra pubblicazione ha confermato che il governo cinese aveva compromesso diversi sistemi di telecomunicazioni internazionali al fine di eseguire una sorveglianza ancora più invasiva sugli uiguri espatriati.

Ripristino del nostro pensiero su Stati e Zero Days

Ci sono molte cose importanti da togliere a questi sorprendenti rapporti di Google e di altri. La lezione più grande è che dobbiamo riconsiderare la nostra comprensione di come gli attori statali usano zero giorni. Il pensiero dominante tra i ricercatori di sicurezza è stato a lungo che i governi e le forze dell'ordine vorrebbero utilizzare solo exploit zero-day con parsimonia e con obiettivi molto specifici, per ridurre il rischio che un exploit venga scoperto da ricercatori o società di sicurezza, che quindi sistemerebbero i bug alla base dell'exploit, rendendolo così inutile.

Gli exploit zero day possono essere costosi, con exploit iPhone utilizzati contro un singolo attivista che secondo quanto riferito sta recuperando fino a 1 milione di dollari . Il rapporto di Google apparentemente ribalta la logica tradizionale dell'economia zero day. Questa volta veniva utilizzato un giorno zero per sfruttare migliaia di utenti, indirizzando indiscriminatamente tutti i visitatori a un insieme specifico di siti Web. Ma se consideriamo gli obiettivi di questa campagna e i probabili attori dietro di essa, l'economia ha perfettamente senso. Mentre è nuovo osservare un attore sponsorizzato dallo stato che brucia zero giorni per colpire un'intera comunità anziché un individuo nella comunità, in questo caso è una tattica ragionevole.

Questi attacchi hanno probabilmente l'obiettivo di spiare la diaspora uigura al di fuori della Cina, per ottenere quanta più intelligenza possibile su chiunque sia associato a questo movimento all'interno della Cina o sostenere la comunità al di fuori dei confini nazionali della Cina. In passato, la Cina ha già arrestato molti leader della comunità , attivisti uiguri, difensori dei diritti umani , nonché i loro parenti , ed è probabilmente interessato a scoprire eventuali leader nascenti prima che diventino un problema.

Il rapporto di Google e la recente risposta di Apple mancano entrambi di impatto sull'impatto di questo attacco. Il post di Project Zero di Google era vago sulla natura mirata dell'attacco dicendo “Non vi era alcuna discriminazione target; semplicemente visitare il sito compromesso è stato sufficiente affinché il server exploit attaccasse il tuo dispositivo … stimiamo che questi siti ricevano migliaia di visitatori alla settimana. “La risposta di Apple sottovaluta l'impatto della vulnerabilità affermando che” l'attacco sofisticato è stato focalizzato in modo ristretto, non un ampio exploit basato sull'iPhone “in massa” “come descritto.” La realtà è più complicata, si è trattato di un attacco altamente mirato contro ogni membro e sostenitore della comunità uigura. Anche se tecnicamente si tratta di un attacco “watering hole”, i siti web hanno riferito dal fatto che Volexity era stato compromesso erano tutti iper-mirati alla comunità uigura e ai suoi supporti, alcuni erano scritti in lingua uigura, una lingua turca scritta con la scrittura araba, che oggi pochissime lingue turche moderne usano.

Il post di Google è stato leggero sui dettagli, ma il ricercatore del Project Zero e l'autore del rapporto Ian Beer hanno evidenziato un modo importante in cui questa scoperta influisce sul modo in cui pensiamo alla sicurezza dei dispositivi:

Gli utenti reali prendono decisioni sui rischi in base alla percezione pubblica della sicurezza di questi dispositivi. La realtà rimane che le protezioni di sicurezza non elimineranno mai il rischio di attacchi se vieni preso di mira. Essere presi di mira potrebbe significare semplicemente nascere in una determinata regione geografica o far parte di un determinato gruppo etnico. Tutto ciò che gli utenti possono fare è essere consapevoli del fatto che lo sfruttamento di massa esiste ancora e comportarsi di conseguenza; trattare i loro dispositivi mobili come parte integrante della loro vita moderna, ma anche come dispositivi che, se compromessi, possono caricare ogni loro azione in un database per essere potenzialmente utilizzati contro di loro. Spero di guidare la discussione generale sullo sfruttamento lontano da un focus sul dissidente di milioni di dollari e verso la discussione del costo marginale per il monitoraggio del n + 1 ° futuro dissidente potenziale. Non entrerò in discussione se questi exploit costino $ 1 milione, $ 2 milioni o $ 20 milioni. Suggerirò invece che tutti questi prezzi sembrano bassi per la capacità di indirizzare e monitorare le attività private di intere popolazioni in tempo reale.

Se stai prendendo di mira un attivista, potrebbe costare un milione di dollari per l'exploit zero day necessario, ma se sei in grado di monitorare migliaia di attivisti o un'intera popolazione etnica con un unico exploit improvvisamente, il costo per persona scende a molto di più prezzo abbordabile. È irragionevole pensare che l'economia di scala non si applichi agli exploit zero day come fanno per tutto il resto. Molti paesi hanno interesse a rivolgersi a popolazioni specifiche per la sorveglianza (palestinesi in Israele, immigrati privi di documenti negli Stati Uniti, curdi in Iran). Tenendo presente ciò, è probabile che questa non sia l'ultima volta che vedremo un attore di stato prendere di mira un intero gruppo etnico o attivista in massa con exploit zero day.

(Articolo originale: EFF)

Commenta su Facebook

Babel Fish

Con l'ausilio di un Pesce di Babele, Babel Fish traduce in italiano articoli da noti blog intergalattici e - giammai soddisfatto - traduce dall'italiano al Vogon e poi di nuovo dal Vogon all'italiano articoli da noti blog italiani. I risultati delle lavoro di Babel Fish sono pubblicati su questo blog.