GERMANIA
*Mamma, ho hackerato mezzo Parlamento*
Il più grande data leak della storia della Germania - come è stata
enfaticamente definita la diffusione online, a dicembre, di dati e
comunicazioni personali che hanno toccato quasi un migliaio di
personaggi pubblici tedeschi, soprattutto politici - non è stato
perpetrato da un manipolo di agenti dei servizi stranieri, da hacker di
Stato, da qualche pericoloso gruppo di cybercriminali organizzati, bensì
da un ventenne tedesco, che vive coi suoi genitori, e che ha gestito il
tutto presumibilmente da solo, dalla sua stanzetta. E lo avrebbe fatto
per ragioni politiche vaghe, cioè per esprimere la sua insoddisfazione e
il suo malcontento verso una certa classe dirigente. E ha confessato,
anche grazie all'intervento della madre.
*Premessa*
A partire da dicembre, un utente Twitter dal nome G0d (spalmato su
almeno altri due account) ha iniziato a pubblicare un calendario
dell'avvento, tradizione molto tedesca che serve a contare i giorni che
mancano al Natale, e che spesso è accompagnata da regalini o pacchettini
giorno per giorno. Solo che in questo caso i pacchettini da scartare
erano un tweet, con un link a un archivio contenente dati personali su
una serie di personaggi pubblici, quasi mille fra politici, giornalisti,
celebrità varie, Youtuber ecc. Ogni giorno dal primo dicembre al 25
dunque un link con dei dati da scaricare. Nessuno o quasi però sembra
essersi accorto di cosa stesse effettivamente succedendo fino al 3/4
gennaio quando un noto YouTuber, che aveva avuto l'account Twitter
hackerato dallo stesso autore del leak, ha diffuso un messaggio (video
[
https://www.youtube.com/watch?v=dTvMExmgxn8]); e quando qualcuno
nell'ufficio di Andrea Nahles, la leader del partito socialdemocratico
tedesco, si è accorto di qualcosa e ha avvisato i servizi. A quel punto
è arrivata anche la stampa, ed è quando è uscita la notizia che ha fatto
il giro del mondo, come il più grande data leak della Germania.
*Un patchwork di leak*
A ben vedere però le dimensioni del leak non sono così grandi. È vero
che sono state coinvolte quasi mille persone, ma su gran parte di queste
i dati diffusi sono pochi (per quanto sicuramente sensibili) tipo
indirizzo, telefono, Skype, e altre informazioni semi-pubbliche. Mentre
di altri, una minoranza, ci sono molti più dati, incluse foto, documenti
su Dropbox, chat ecc. L'impressione - ha notato su Twitter un
ricercatore di sicurezza, Luca Hammer [
https://twitter.com/luca/status/1081849016500084736] - è che siano stati
violati solo alcuni account (forse anche solo una decina
[
https://www.tagesschau.de/inland/hacker-datendiebstahl-101.html]), da
cui l'attaccante ha poi ricavato informazioni su molti altri contatti.
Con un gran lavoro manuale in mezzo di ricomposizione dei dati. E
l'origine sembrano essere account privati, social media, servizi cloud.
Sarebbe insomma un patchwork, e non la violazione diretta di un network
o server governativo (ipotesi per altro smentita quasi da subito dalle
autorità tedesche). In parte, ha detto il capo della polizia federale
tedesca, Holger Münch, le informazioni diffuse nel leak erano già
pubbliche, mentre ci sarebbero stati 116 casi di documenti personali
illegalmente divulgati. E l'attaccante avrebbe agito da solo, sfruttando
la debolezza di password come 1234, e altre tecniche non sofisticate. La
maggior parte dei politici interessati sono della CDU, ma sono stati
toccati tutti i partiti parlamentari ad eccezioni del partito di estrema
destra AfD (New York Times
[
https://www.nytimes.com/2019/01/08/world/europe/germany-hacking-arrest.html]).
Come ha notato qualcuno, più che capacità l'attacco denota dedizione e
pazienza. Come mostrato anche dal modo in cui l’attaccante ha divulgato
il leak, in modo capillare, distribuendolo in molteplici archivi e loro
mirror, che devono aver richiesto molte ore di upload, ha twittato il
ricercatore The Grugq
[
https://twitter.com/thegrugq/status/1081191019993915392].
*Le indagini*
Il 7 gennaio la polizia ha però fermato e perquisito Johannes S., venti
anni, studente, che vive in famiglia a Homberg (Ohm) e che sarebbe stato
convinto a confessare dalla madre, secondo il magazine Kontrast. Ad
aiutare nell'identificazione dell'attaccante, il contributo di un altro
giovane di 19 anni, che da tempo era in contatto con lui e che il 6
gennaio è stato perquisito e interrogato dalla polizia come testimone.
(fonte Tagesschau). L’autore del leak è stato rilasciato, e considerata
l’età potrebbe ricevere una pena molto inferiore a tre anni (WSJ [
https://www.wsj.com/articles/arrest-in-german-hacking-case-quells-fears-cyberattack-was-state-sponsored-11546941722])
*Conclusioni*
La vicenda denota:
- che un attaccante solitario, poco skillato (come si dice in gergo,
cioè poco tecnico), ma determinato, metodico e con tanto tempo a
disposizione, è in grado di fare comunque molti danni;
- che in ciò è sicuramente aiutato dal livello medio di (in)sicurezza
delle persone e delle istituzioni, dei loro account e delle password
utilizzate;
- che non tutti gli attacchi sono spionaggio internazionale, hacker di
Stato, APT, o hanno un movente economico;
- che dunque non bisogna subito correre ad attribuire ad “hacker di
[inserisci il tuo Stato canaglia a piacere]” per ogni violazione;
- che le relazioni sociali degli hacker, quando ci sono, restano ancora
uno dei modi più efficaci per individuarli;
- che la polizia tedesca è stata lenta nell'individuare quanto stava
succedendo, e tutto sommato rapida nell'intervenire;
- e che c'è stato un intenso lavoro di pulizia dei link e dei profili
coinvolti nella diffusione del materiale da parte delle autorità.
*E che questa gif è un evergreen*.
[
https://imgur.com/NyXTM2c]
da: Guerre di Rete di Carola Frediani
--
"Faccio un lavoro che di fatto non è un lavoro, direi che è un modo di
vivere" L. Bertell
"tecnologie appropriate"
GPG keys available on keyserver
https://pgp.mit.edu/
Ox 44CC 163A
Fingerprint: 946A 499A E30B 78B6 BAE1 F5B8 A03A 5077 44CC 163A
