Qualche minuto fa un collega mi ha gentilmente avvertito che il prodotto di Hacking Team è in grado di installarsi su qualsiasi sistema sfruttando Adobe Flash. Vediamo perché, e come difendersi anche se queste informazioni sono vecchie di oltre un anno. Ebbene sì…
Perché Flash?
Perché con Adobe Flash si creano veri e propri software che, generalmente, sono filmati interattivi. Tecnicamente sono alla stregua di applicativi che, tramite il lettore Adobe Flash Player, eseguono codice potenzialmente dannoso.
Ci sono altre due ragioni. La prima è che l’utente autorizza Flash Player ad eseguire questo codice, esponendo il sistema a potenziali falle di sicurezza.
Il secondo è che Flash può essere incapsulato dentro un documento Word, nascondendone la pericolosità. Poi il documento si apre, il filmato parte ed il sistema viene corrotto.
Proteggersi come?
Disattivando Flash. Claudio Guarnieri e altri esperti del Citizen Lab dell’Università di Toronto, nel 2014 hanno pubblicato un interessante studio che trovate allegato alla mail. Riuscirono ad individuare 6 varianti del software di HT e a fornire indicazioni utili sul riconoscimento. Unico elemento in comune tra tutte e sei? La presenza di un filmato Flash incapsulato dentro il documento.
Roul Chiesa (per chi non lo conoscesse posso solo dire che non è l’ultimo degli idioti…anzi) raccomanda di usare il programma gratuito Detekt (https://resistsurveillance.org) sviluppato dallo stesso Team ed in grado di localizzare le potenziali minacce. Vi invito a leggere le informazioni sulla scansione (sono importanti). Tenete anche presente che il prodotto è disponibile solo per Windows (niente Mac) e che la versione Windows 8.1, al momento della redazione del presente articolo, non è supportata.
Windows 8.1 64bit is currently not supported because the tool appears to be unable to complete the execution and just goes on forever. This issue needs to be investigated and resolved as soon as possible.
Detekt trova varie minacce tra cui:
BlackShades RAT: Questo è un comune spyware che si trova gratuitamente da scaricare su Internet ed è a disposizione di tutti. Dovrebbe essere normalmente identificato e messo in quarantena dalla maggioranza di AntiVirus. Anche se non è possibile sapere chi possa averti attaccato, dovresti comunque cercare aiuto.
DarkComet RAT: Questo è un comune spyware che si trova gratuitamente da scaricare su Internet ed è a disposizione di tutti. Dovrebbe essere normalmente identificato e messo in quarantena dalla maggioranza di AntiVirus. Anche se non è possibile sapere chi possa averti attaccato, dovresti comunque cercare aiuto.
FinFisher FinSpy: Questo è uno spyware molto sofisticato prodotto da una società tedesca e venduto ad agenzie governative in tutto il mondo. Potresti essere attaccato dal tuo governo o da un governo straniero. Dovresti essere molto cauto sui tuoi prossimi passi al fine di non compromettere ulteriormente la tua condizione.
Gh0st: Questo è un comune spyware che si trova gratuitamente da scaricare su Internet ed è a disposizione di tutti. Dovrebbe essere normalmente identificato e messo in quarantena dalla maggioranza di AntiVirus. Anche se non è possibile sapere chi possa averti attaccato, dovresti comunque cercare aiuto.
Njrat: Questo è un comone spyware che si trova gratuitamente da scaricare su Internet ed è a disposizione di tutti. Dovrebbe essere normalmente identificato e messo in quarantena dalla maggioranza di AntiVirus. Anche se non è possibile sapere chi possa averti attaccato, dovresti comunque cercare aiuto.
Hacking Team RCS Scout or detection: Questo è uno spyware molto sofisticato prodotto da una società tedesca e venduto ad agenzie governative in tutto il mondo. Potresti essere attaccato dal tuo governo o da un governo straniero. Dovresti essere molto cauto sui tuoi prossimi passi al fine di non compromettere ulteriormente la tua condizione.
ShadowTech RAT: Questo è un comune spyware che si trova gratuitamente da scaricare su Internet ed è a disposizione di tutti. Dovrebbe essere normalmente identificato e messo in quarantena dalla maggioranza di AntiVirus. Anche se non è possibile sapere chi possa averti attaccato, dovresti comunque cercare aiuto.
Xtreme RAT: Questo è un comune spyware che si trova gratuitamente da scaricare su Internet ed è a disposizione di tutti. Dovrebbe essere normalmente identificato e messo in quarantena dalla maggioranza di AntiVirus. Anche se non è possibile sapere chi possa averti attaccato, dovresti comunque cercare aiuto.
È particolarmente utile notare che, in merito alle sei varianti, lo studio dice:
The exploits we examine here all present themselves as malicious documents. It is possible that the vulnerabilities, pre-weaponization, were discovered and/or sold by different actors. However the exploit documents bear enough similarity to suggest that they are produced using the same procedure or program. Six of these documents appear to facilitate the installation of Hacking Team’s RCS, while the other installs a remote access toolkit known as SpyNet. This suggests that there may be a common actor supplying the exploits independent of Hacking Team.
Futuro
È solo questione di tempo prima che Adobe e Microsoft blindino anche questa minaccia. Su questo non ci sono dubbi ma, senza nessuna incertezza, sorge spontaneo domandarsi la stessa cosa che si chiese Steve Jobs 8 anni fa: ha senso portare avanti il progetto Flash?
Link
Documento: Mapping Hacking Team’s Spyware