Come attaccare Gmail in Cina

In by Simone

Spesso si usano parole ridondanti, vengono usati termini finali, come cyberwar, cyberterrorismo, eccetera, descrivendo gli autori di attacchi informatici come elementi immensamente astuti e pronti a scaricare conti in banca con un solo click, usando spesso la parola hackers a sproposito (senza alcuna distinzione o senza valutare in nessun modo quella che è e rimane l'etica hacker). Poche volte però viene sottolineato il fatto che le violazioni informatiche più banali avvengono a causa dell'ingenuità (o pigrizia) dell'utilizzatore del computer attaccato.


Immaginate di ricevere una email da un amico o da indirizzo elettronico chiaramente correlato ad un evento che state seguendo (nel caso foste operatori nel mondo della comunicazione, ad esempio). Probabile prevalga la fiducia, una mail tra le tante, o la curiosità di ricevere notizie importanti. Probabile quindi la apriate senza neanche pensarci troppo. Cliccate e senza saperlo consegnate nelle mail di qualcun altro tutta la vostra casella email (e spesso nel caso di Gmail stiamo parlando di intere vite lavorative).


E' questo il modo più comune con il quale i cinesi –  e non solo loro – entrano in possesso di informazioni preziose. Un elemento che viene cliccato fa partire un malware che pesca immediatamente il cookie che vi aggancia al vostro servizio email (avete presente quando incautamente dite al vostro computer, si voglio rimanere connesso? Ecco, in quel modo). Da quel momento in poi l'intruso potrà comodamente accedere alla vostra mail, forwardare quanto di interessante vi trova, scaricare attachment e così via. Se nella pesca virtuale rientra un account di Gmail, usato ormai nella maggioranza dei casi come una sorta di disco esterno, è una specie di festa colma di regali.


Melissa Chan è una giornalista, corrispondente dalla Cina per Al Jazeera. In un suo recente post ha raccontato la sua personale esperienza, alla luce della nuova lite sorta tra Google e la Cina. Prima dell'accusa formale di Google nei confronti di Pechino (rea di alterare volontariamente il funzionamento di Gmail in Cina), l'11 marzo c'era stata una dichiarazione ufficiale da Mountain View in cui, senza citare la Cina, si denunciavano attacchi al sistema di mail con caratteristiche classiche del modo d'agire dei cyber spioni cinesi  (Google stesso metteva in evidenza il fatto che gli expoloit erano resi semplici dalla vulnerabilità MHTML di Internet Explorer).


La Chan ha passato una mail giuntale da un certo indirizzo Gmail (nella quale si annunciavano fotografie relative alla rivoluzione del gelsomino) ad un suo consulente tecnologico, che dopo alcune verifiche con un software ad hoc, ha scoperto l'inghippo e lo ha rappresentato attraverso un grafico (questo qui sotto) nel quale emerge l'IP di origine (a Hong Kong) e la trama finale, che si snoderebbe, appunto, in Cina (a questo indirizzo i dettagli, in inglese).

Da qui si evincerebbe la scarsa sicurezza di Gmail e l'astuzia dei mandanti dell'operazione. 


Si tratta quasi sicuramente di un'operazione condotta dalla Cina, probabilmente dietro una chiara direttiva politica, volta a scovare eventuali agitatori e capire cosa avessero in mano molti dei giornalisti occidentali “attaccati”, in relazione alle proteste ventilate nelle domeniche scorse in Cina. E' pur vero però che la tecnologia fa parte della nostra vita ed è uno strumento utile di cui bisogna essere consapevoli. Usare – specie se si è giornalista in Cina per un grande media – uno strumento di protezione come ad esempio pgp, eliminerebbe molte possibilità di vedere facilmente violate le proprie mail. Anche se non si ha niente da nascondere: d'altronde se spediamo una lettera con la posta ordinaria, tendiamo sempre a chiudere la busta. Anche se non nascondiamo niente di scabroso al suo interno.


Postilla 


Gli attacchi informatici di cui stiamo parlando, sono ormai un classico nella letturatura cinese al riguardo. Si chiamano Advanced Persistent Threats, ovvero minacce avanzate e persistenti: un nome coniato per definire gli attacchi effettuati da cinesi ad aziende e persone. Scoperti nel 2010, il caso più eclatante si è concentrato proprio sulla battaglia Google-Cina. 

L'azienda di Mountain View denunciò gli attacchi provenienti dalla Cina e partì la nota diatriba tra Google e Pechino. In realtà, secondo un rapporto della Mandiant, una società di sicurezza informatica statunitense, a finire sotto gli attacchi cinesi furono migliaia di aziende, non solo il colosso Google. 


Violazioni in corso da anni: perché le intrusioni cinesi si caratterizzano per alcune novità e per la loro infinita pazienza. Anche Bruce Sterling, noto scrittore di fantascienza, si è interrogato sugli APT, finendo per evidenziarne alcune caratteristiche: gli hacker cinesi attaccano le macchine (i server) partendo da dati pubblici. Un caso classico: la mail fittiziamente inviata da un collega di lavoro, con un documento da scaricare. Effettuare il download significa aprire una back door, un porta di accesso nel pc preso di mira. A quel punto i cinesi, invece di cercare l'exploit, ovvero manifestare l'hacking riuscito attraverso un cambio della home page di un sito o un semplice messaggio sul desktop, piazzano sui loro obiettivi una sorta di fotocopiatrice virtuale, entrando nel sistema altrui in modo diversificato. E soprattutto: persistente, continuo, nel tempo. L'obiettivo è non farsi vedere e succhiare più informazioni possibili. Le analisi della Mandiant hanno evidenziato la continua ricerca di documenti in pdf, in word, simbolo evidente di una ricerca mirata, su materiali sensibili. Google è stato il caso più eclatante, ma sarebbero moltissime le aziende spiate dagli hackers cinesi: da anni, non mesi o giorni. 


Questi attacchi, dicono dalla Mandiant, «coinvolgono migliaia di aziende, si tratta di attività fuori dal comune».

[Anche su Wired]