Immagina un mondo in cui i fornitori di sicurezza consentano il passaggio di ceppi specifici di malware su richiesta dei governi. Se esposto, li rovinerebbe sicuramente: l'industria deve mantenere la fiducia dei clienti per sopravvivere. Ma il sospetto latente di collusione tra fornitori di antivirus e governi è stato risvegliato nel novembre 2014, dalle rivelazioni relative a un malware altamente sofisticato chiamato Regin.
Vedi correlati
Symantec è stata la prima di una serie di società di sicurezza a pubblicare un rapporto sul malware, evidenziando le sue molteplici fasi di esecuzione, ciascuna nascosta e crittografata. Gli attacchi erano molto più mirati rispetto ai tipici exploit criminali: Symantec ha segnalato meno di 100 incidenti.
Secondo L'intercettazione, uno di questi attacchi ha coinvolto l'ISP belga Belgacom. La società di sicurezza olandese Fox-IT ha contribuito a rimuovere il malware e in seguito è emerso, grazie a un tweet di uno dei suoi dipendenti, che il malware potrebbe essere stato creato da spioni del GCHQ e della NSA.
Il malware è stato utilizzato per prendere di mira individui di interesse, incluso il noto crittografo Jean-Jacques Quisquater, che ci ha detto di ritenere che altri accademici della sicurezza siano stati presi di mira dall'intelligence occidentale agenzie. Quisquater ha persino ammesso che, se fosse stato lui a occuparsi delle operazioni di sorveglianza, l'avrebbe fatto anche lui esperti di crittografia mirati per scoprire la tecnologia di sicurezza "allo stato dell'arte" prima della sua diffusione pubblicazione.
Corri a pubblicare
Le aziende antivirus, nella loro fretta di diffondere analisi tecniche di Regin, si sono aperte alle critiche. Era evidente che avevano rilevato il malware molto prima della loro divulgazione, quindi perché impiegare così tanto tempo per pubblicare la loro ricerca?
Personale tecnico a L'intercettazione ci ha detto che le aziende di antivirus hanno saputo del proprio rapporto e hanno cercato di renderlo pubblico prima della pubblicazione come parte di un esercizio di pubbliche relazioni. Questo è stato il primo fallimento delle società di sicurezza: non hanno visto alcun valore nel parlare di Regin fino a quando i media non sono stati pronti a denunciarlo.
(Sopra: Kaspersky Lab ha ora pubblicato la sua ricerca su Regin, inclusa questa guida su come il malware rimane nascosto)
Curiosamente, la maggior parte bloccava parti di Regin almeno cinque anni fa. Symantec aveva contrastato i componenti del malware nel 2010 e sia F-Secure che Kaspersky Lab stavano facendo lo stesso nel 2009. A marzo 2011, il software antivirus di Microsoft rilevava e identificava Regin per nome. Quindi è evidente che le società di sicurezza erano a conoscenza di Regin; semplicemente non ne parlavano.
Ciò solleva una domanda pertinente: alle società di sicurezza è stato detto di tacere dal GCHQ e dalla NSA, o hanno taciuto semplicemente per mantenere felici i governi occidentali? Nessuno dei due scenari ispira fiducia.
"Le società di sicurezza non hanno ritenuto utile parlare di Regin fino a quando i media non sono stati pronti a denunciarlo"
Tali preoccupazioni non sono riservate a chi indossa cappelli di carta stagnola. F-Secure ha ammesso che le era stato chiesto da un cliente – non del settore pubblico – di tacere su Regin, per paura di esporlo come vittima. A Kaspersky è stato chiesto, attraverso quelli che descrive come canali "informali", di non rilevare "malware delle forze dell'ordine", ma ha dichiarato esplicitamente che non accetterà mai tale richiesta.
Esattamente quante altre aziende sono state contattate con tali richieste "informali", e forse avere un succoso contratto governativo che aspetta solo di essere firmato, è qualcosa su cui possiamo solo ipotizzare.
Lento a fare domande
Justin Clarke, co-fondatore della società di servizi di sicurezza Gotham Digital Science, ritiene che l'industria sia stata semplicemente lenta a mettere insieme il puzzle. "Non mi aspetto che le aziende di antivirus stiano seduti su Regin senza motivo", ha affermato Clarke. "Probabilmente è più che non avevano riconosciuto cosa fosse fino a quando non avevano abbastanza informazioni."
Il loro silenzio è anche sintomatico di un'industria che non condivide. Kaspersky Lab è stato l'unico fornitore a fornire una spiegazione completa del ritardo, confrontando il dispendio di tempo lavoro che entra nei rapporti sulle minacce alla paleontologia: “Tutti possono avere un osso, ma nessuno ha il pieno scheletro."
(Sopra: Regin ha una notevole struttura modulare, con molteplici fasi di esecuzione, ciascuna nascosta e crittografata)
Resta però un altro dubbio. Secondo L'intercettazioneSecondo il rapporto di, il malware potrebbe risalire al 2003, lasciando un periodo di sei anni in cui nessun sistema antivirus aveva rilevato Regin o i suoi componenti.
“Storicamente, le società di antivirus si sono concentrate sulla protezione degli utenti da minacce diffuse che sono state viste in precedenza. In quanto tali, sono utili per la protezione da malware generici che rubano informazioni bancarie, credenziali di gioco online e così via on", ha affermato Morgan Marquis-Boire, un ex professionista della sicurezza di Google ora responsabile della protezione di First Look Media, l'editore Di L'intercettazione.
“Sono meno efficaci contro gli impianti di sorveglianza personalizzati che non si vedono in quantità. Ciò include toolkit boutique come Regin sviluppati internamente presso grandi agenzie di intelligence, ma vendeva anche strumenti di "intercettazione legale" come il sistema di controllo remoto di Hacking Team e FinFisher FinSpy.»
Collusione o incompetenza?
In effetti, gli stessi difetti del software antivirus possono offrire alle società di sicurezza una difesa plausibile contro le accuse di cospirazione. "Dato che l'antivirus è scarso nel rilevare malware mirati, sarebbe difficile determinare se un'azienda non è riuscita a rilevare qualcosa a causa della collusione", ha affermato Marquis-Boire.
Ma suggerire che Regin abbia esposto il software antivirus come nemico sarebbe una reazione eccessiva, osserva Bruce Schneier, esperto di crittografia e CTO di Sistemi Resilienti, che nel 2013 ha condotto una campagna affinché le società di sicurezza rivelassero se avevano mai inserito malware nella whitelist su richiesta di un ente governativo. Evitare l'antivirus sarebbe come rinunciare alle serrature delle porte di casa tua, suggerisce Schneier.
Nonostante i suoi molteplici fallimenti, l'antivirus è ancora una tecnologia necessaria. Ma rimangono interrogativi sulla risposta del settore a Regin: anche se il numero di persone e aziende attaccate fosse piccolo, gli avvertimenti pubblici avrebbero dovuto essere più forti.
