In effetti molti sospetti.

Ho capito la ragione di tante richieste di parlare di NSA e “contratto di internet” nel momento in cui ho visto che Attivissimo ha postato il TED di Mikko Hypponen . Per cui, adesso capisco le domande che arrivano. Una che sta diventando molto ricorrente e’ “ma le aziende sono complici o no di questo genere di attivita’? “. So che diventero’ impopolare, ma la mia opinione e’ la stessa di Hypponen: le aziende vengono attaccate dai loro stessi governi.(1)
Hypponen, che cura la sicurezza di molte aziende, avra’ i suoi motivi per esserne sicuro. Io ne ho di diversi, e sono basati su altri eventi.
Prendiamo un esempio noto, il caso Belgacom: Belgacom e’ un “partner market” di Vodafone, o se preferite Vodafone e’ “strategic partner” di Belgacom.(dipende dal marketing, insomma). Significa che non usa direttamente il brand di Vodafone, ma Vodafone ne possiede una quota sufficiente nel CDA da essere tra gli stakeholder dell’azienda. Insomma, Vodafone fa soldi sul business di Belgacom, e nell’alleanza Belgacom ci guadagna perche’ si integra dentro e tramite infrastrutture condivise con Vodafone: sia sul piano del management, che sulla definizione dei prodotti, sia mediante l’uso di infrastrutture comuni.
“Uso di infrastrutture comuni” e’ il fulcro del problema.
Ora, succede che i servizi segreti inglesi abbiano attaccato la rete di Belgacomm, (e si sa come, hanno usato diverse modalita’ di Social Engineering per arrivare ad alcuni dipendenti, piu’ altri metodi per ottenere l’accesso una volta entrati nel computer). per ottenere dati sulle telefonate di membri del parlamento europeo.Ora, la domanda e’: perche’?

Se supponiamo che Vodafone sia un’azienda che, da azienda inglese, coopera con il governo inglese, allora i sistemisti di Vodafone hanno sufficiente accesso da dare al governo inglese tutto quello che vuole. Del resto, Vodafone ha in Germania (proprio qui a Düsseldorf) un centro di servizi condivisi per tutta la rete (Anche Belgacom ne usa, se fate caso menziona Vodafone Group Services, ovvero il nodo tecnico di Düsseldorf/Ratingen) quindi, il succo e’ che se pensiamo che le aziende cooperino, e se pensiamo che si siano usati dei sistemi di intercettazione legale normalmente in atto, non esisteva nessun bisogno di fare social engineering sui dipendenti di Belgacom.
A livello legale, se il governo inglese avesse avuto la cooperazione di Vodafone, non aveva alcun bisogno di un attacco  di tipo Social Engineering: in tal caso gli bastava usare la cooperazione di Vodafone e sfruttare le strutture condivise. Niente di che.
Sono numerosi i casi nei quali, conoscendo almeno qualche “internal” sulle cooperazioni in atto e sui sistemi condivisi, e’ possibile capire che le aziende in questione NON stanno cooperando coi governi. Restando in ambito della galassia Vodafone, per esempio: sapendo che Vodafone Spagna e Vodafone Portogallo condividono una batteria di Wap Gateway/MSP (con tutto quello che comporta riguardo al funzionamento dei GGSN) , se qualcuno mi dicesse che i servizi spagnoli hanno dovuto attaccare utenti portoghesi mi stupirei, oppure escluderei che Vodafone abbia collaborato: sarebbe assai facile avere quei dati sulla navigazione senza attaccare nessuno.
Andando in Italia, sapete bene che i servizi di intercettazione legale dello stato lavorano molto bene e molto a stretto contatto con Telecom Italia, cosa che ha portato in passato ad uno scandalo su intercettazioni illegali. Ora, se mi chiedete quale sia l’atteggiamento di Vodafone Italia rispetto alle stesse persone, “culo e camicia” con Telecom Italia, che entrino sui loro sistemi a prendere i dati dei loro utenti, beh: non ho bisogno di dimostrarvi che l’idea di gente che si spazzola la tua utenza e magari poi riferisce al concorrente sia poco ben vista. La nobilta’ d’animo o i principi non c’entrano: la stessa logica del business chiaramente si opporrebbe. (2)
Come dice Hypponen, esiste la seria possibilita’ che le aziende menzionate nel rapporto di Snowden non stessero affatto collaborando col governo, ma siano state attaccate. Hypponen , che dentro queste aziende si occupa di security avra’ le sue ragioni per dirlo, ma anche riguardo a Google , Microsoft e Facebook ho i miei personali dubbi a riguardo.
Prendiamo quello che e’ successo qualche mese fa. Un consulente  stava per scappare in Canada dopo aver rubato qualche milione di record sugli utenti di una delle telco locali connesse ai nostri sistemi, motivo per il quale ci siamo visti il Kriminalamt in azienda. Fortunatamente era appena arrivato, perche’ non aveva ancora avuto accesso a dati piu’ importanti: io potrei fuggire portandomi dietro dati su 200 milioni di numeri di telefono , circa, e faccio presente che spesso lavoro da casa.
Sono perfettamente autorizzato a fare dump dei miei filesystem, e sono assolutamente autorizzato ad analizzarli, cosa che faccio copiosamente usando tool come Splunk, Hadoop, ed altri. Non solo sono autorizzato: sono pagato per farlo, perche’ mi devo occupare della capacita’ dei sistemi, e quindi del loro dimensionamento, e quindi del loro traffico. Se quando lavoro da casa scaricassi il dump  delle PDU di duecento milioni di utenti unici di sms, nessuno mi direbbe nulla. Tuttavia, sono convinto che se all’indomani del dump io avessi in programma un viaggio in Canada, come aveva in programma il ladro di cui sopra, la polizia tedesca mi aspetterebbe in aereoporto. Del resto, la polizia tedesca ha scoperto ilfurbone dopo un anno, quando hanno notato che sto tizio si era fatto il viaggio in Canada e aveva appena scaricato un bel blocco di dati: lo sorvegliavano da mesi. (3)
Questa e’ la ragione per cui a noi consulenti viene imposto il freeze il venerdi’. Ma questo vi fa capire una cosa: se due milioni di record sono abbastanza per prenotare un viaggio in Canada e rifarsi una vita, 200 milioni sono ancora piu’ attraenti: se sono qui e’ perche’ qualcuno pensa che non scappero’ in Canada coi dati. La morale della storia e’ che quando il governo ti spazzola un database, l’azienda si chiede sempre se quel poliziotto sottopagato ( comunque pagato con gli stipendi dello stato, che sono inferiori a quelli di noi consulenti) non potrebbe avere la tentazione di vendere quei dati ad altri.
 Aneddoti a parte, il punto e’ che l’accesso legittimo ai dati di valore e’ un problema gravissimo per le telco.
E’ un problema grave perche’ non sono mai chiari i rapporti tra stato e telco concorrenti (pensate al fatto che normalmente lo stato italiano si affida a Telecom Italia che e’ italiana, o al fatto che ci fosse in ballo una trattativa per la cessione della rete, o al fatto che in Germania solo Deutsche Telekom si occupa delle reti governative, eccetera) , ma non sono nemmeno chiari i rapporti tra singoli dipendenti e concorrenti.
Prendete T-Mobile negli USA: ha ricevuto 78 milioni di dollari dal governo USA per fornire supporto alle intercettazioni. Ora, questo significa che ad un certo punto un tizio dello stato USA e un manager di T-Mobile si sono incontrati a discutere: perche’ 78 e non 79, perche’ 78 e non 77, insomma, una trattativa. Se due manager trovano un accordo su 78 milioni di dollari, magari qualche soldino sottobanco e’ passato, qualche biondina si e’ persa la notte in un albergo,  e cosi’ via . Il problema e’ sempre “per cosa?”.
La base di utenti e’, per la telco, un patrimonio enorme. E’ semmai IL patrimonio enorme. Lasciarselo spazzolare da gente che guadagna meno della personal assistant di una terza linea del CEO non e’ una cosa che li rende felici: qualcuno potrebbe offrire loro piu’ soldi di cosi’.
Capisco quindi perche’ sia stato necessario attaccare Belgacom, ovvero perche’ sia stato necessario attaccare un partner di Vodafone, pur avendo, come servizio segreto, un accesso legittimo ai sistemi: questi accessi sono molto, molto, molto malvisti. E spesso persone come Hypponen sono chiamate a fermarli.
IN questi giorni, mi colpisce molto un’iniziativa di Google. Questi si sono fatti una chiatta enorme, solo per questioni promozionali dicono, ma quando non avevano ancora spiegato cosa fosse, qualcuno si era chiesto se non fosse un data center. Non che sia l’unico datacenter: Google ha gia’ reso pienamente operativo, dopo il rollout dell’anno scorso (ed altri problemini), un datacenter in Finlandia: http://royal.pingdom.com/2010/09/15/googles-mega-data-center-in-finland/il quale ha aperto la strada all’idea di usare acqua marina fredda come raffreddamento.

Il fatto che Google abbia acquisito esperienza in raffreddamento ad acqua di mare aveva fatto pensare subito che il chiattone di Google fosse il progetto di un datacenter galleggiante, naturalmente: il mare e’ un ottimo serbatoio di calore, quindi basterebbe portare a nord , diciamo nel baltico, il datacenter galleggiante, e puf: ecco risparmiati milioni di dollari.
Il problema vero e’ che quel datacenter scandinavo di Google e’ innanzitutto in mano ad uno stato straniero, e in secondo luogo si trova circondato da Russia ed UE. vorrei capire, a questo punto: Google sta cercando di svincolarsi? Che garanzie ha il governo USA che i dati tenuti in Finlandia siano poi girati intatti e non inquinati? Google risparmiera’ quasi 30 milioni di dollari ogni anno facendo il datacenter proprio in Finlandia, cifra che era nelle disponibilita’ di NSA: perche’ NSA non ha offerto 30 milioni +1$ a Google per tenere il datacenter in USA, e semmai usare una CDN in Finlandia?
Stessa cosa per facebook, che l’anno scorso ha iniziato a mettere online un suo datacenter in Svezia: http://www.engadget.com/2013/06/13/facebooks-swedish-data-center-goes-live/ : questo non lo fai di certo per conto di un governo che ti spia. Lo stesso governo svedese potrebbe spiare Facebook legittimamente , e inquinare i dati, piazzandosi in ascolto sul backbone. Per non parlare dei russi, che sono a due passi da li’: il governo russo non ha mosso nessuna obiezione quando Yandex (il motore di ricerca piu’ amato in Russia) ha annunciato un datacenter in Finlandia:
http://slashdot.org/topic/datacenter/yandex-to-build-data-center-in-finland/.La stessa posizione di Microsoft e’ diventata “sospetta”, visto che avevano un datacenter da record in Irlanda, e che ti fanno? Te ne aprono uno in Olanda, http://www.wpcentral.com/microsoft-looking-invest-new-netherlands-data-center  , ove per trasmettere dati dovra’ passare per Francia, Germania. Il governo USA e’ contento? Uhm.

Sicuramente mi direte che le ragioni per andare li’ sono energetiche: ma se andando in scandinavia ci risparmiate qualche decina di milioni di dollari di energia, si tratta di cifre che sono perfettamente nelle disponibilita’ di NSA/Cia e compagnia bella. Non vedo armonia di intenti, onestamente, tra governo ed aziende: ci fosse armonia, il governo pagherebbe loro dei soldi per rimanere, sotto molte forme.E poi, gli USA hanno l’ Alaska: un posto freddo, con un governo che vi PAGA se andate ad abitarci o ad investire, e con TASSE piu’ basse rispetto ai paesi scandinavi e ancora negli USA.
Si tratta di operazioni di dislocamento che i governi potrebbero bloccare, o (come i russi) con la forza, oppure (come NSA) dando soldi per avere i dati. Cosi’, la domanda e’ lecita: gli “over the top” rimarranno negli USA, o si propongono di curare alla propria perdita di immagine costruendo data center ove il controllo di ALTRI governi e’ legittimo?
Un ultimo sospetto mi viene dal fatto che quando lo scandalo di Snowden e’ emerso, le grandi aziende americane avrebbero voluto pubblicare i dati relativi alla loro concessione di accessi legittimi ai governi, ma il governo USA ha usato una legge locale per costringerli a non farlo: se avessero agito in accordo, avrebbero seguito una strategia comune molto piu’ indolore, invece di una farsa che costera’ 35 miliardi di dollari all’industria del cloud americano.
Sono molti i segni, se non le prove, che mi portano a dire che le aziende americane siano state attaccate dai loro governi, e non fossero d’accordo: non ultimo il fatto che, come ho detto, hanno modificato TUTTE il comportamento dei loro server per accettare di inviare la posta elettronica SOLO in formato crittografato. Questo non lo fai per rendere la vita facile al governo che spia.
Non sono previsioni facili, ma credo che prima o poi qualcuno di quei colossi americani menzionati nel rapporto di Snowden trovera’ il modo di chiarire la propria posizione: se non altro perche’ prima o poi gli azionisti chiederanno loro conto delle perdite subite nel settore del cloud computing.
Tutti questi indizi mi fanno credere che Hypponen dica il vero quando sostiene che il governo USA abbia attaccato le proprie aziende, e molti indizi su aziende che muovono i loro datacenter fuori dagli USA, il fatto che le telco vengano attaccate anziche’ “comprate”, mi fa pensare che si stia incubando un qualche tipo di nuovo equilibrio. Non so se esso consistera’ in una fuga dei datacenter dagli USA (del resto, ci sono fior di sovvenzioni per chi si muove in Alaska: mi dite per quale motivo la scandinavia, quando in Alaska si guadagna in temperatura media e si prendono pure sovvenzioni dallo stato?), o in qualche altro genere di reazione, ma non credo che questo equilibrio sia destinato a durare a lungo.
Per farvi un’idea, potete raccogliere notizie di:

  • Aziende americane che, anziche’ cercare il fresco in Alaska, vengono a pagare piu’ tasse (a livello scandinavo) per il fresco europeo. Cos’ha che non va il fresco canadese o quello americano?
  • Report di telco ed aziende che sono state ATTACCATE quando avevano fior di filiali in USA/UK e il governo poteva legalmente ottenere le informazioni: perche’ chiudere Kim Dot Com quando la Nuova Zelanda e’ uno dei “five eyes” e il governo poteva legittimamente accedere ai sistemi di Schmidt?
  • Report di Whistleblowers: perche’ tutta questa gente (non solo snowden) http://de.wikipedia.org/wiki/Whistleblower decide di disertare e cosa dice?
  • Spontanee modifiche in senso “protettivo della privacy” da parte di aziende che detengono dati: esempio,  “perche’ oggi tutti gli Over The Top supportano la forzatura della crittazione su smtp pur essendo vietata?”
  • Persone come Hypponen, che curano la sicurezza dentro delle aziende, le quali vengono messe sulla graticola se per caso qualcuno – anche un governo – penetra i loro sistemi. Se penetrano gli inglesi, perche’ non i cinesi o i concorrenti? Se loro sono incazzati, allora qualcosa puzza: se fossero d’accordo , la loro linea di difesa sarebbe molto diversa.
dopo aver fatto questo,  potrete farvi un’idea della cosa da voi.
Uriel

(1) Ho visto il discorso in inglese, e Hypponen dice proprio questo. Non so se nella versione italiana questo sia stato mantenuto. http://www.ted.com/talks/lang/it/mikko_hypponen_how_the_nsa_betrayed_the_world_s_trust_time_to_act.html

(2) Non voglio insinuare nulla sul fatto che, chiedendo una ADSL a Vodafone, dopo qualche giorno “per sbaglio” vi chiami qualcuno per consegnare la vostra nuova ADSL di Alice. A me successe quando vivevo in Italia, ma sara’ stato sicuramente un errore. Temo pero’ che questi errori non contribuiscano a rendere Telecom Italia simpatica a Vodafone Italia, tutto qui. Shit happens.

(3) Probabilmente sorvegliavano anche me, immagino. La fuga di dati sull’utenza era stata notata mesi prima, e il problema era “chi tra coloro che hanno accesso legittimo sta portando fuori dati?”. Appena il tizio ha fatto il biglietto per il Canada, e’ scattato l’auditing e lo hanno beccato.