Spie, a memoria credo che sia la prima volta che ascolto una notizia del genere, ma forse sono troppo “piccolo” per ricordare di notizie di guerra fredda nei TG nostrani, ho seguito un pò di straforo la questione dei 10 arresti e delle vicende annesse spizzicando qua e la e non ho potuto veramente fare a meno di trarne qualche spunto (dopo tutto si tratta di errori eccellenti):

Crittografa la tua wifi

Le spie a quanto traspare dai fatti, usavano connessioni wifi per comunicare. Molto intelligentemente, invece di utilizzare il medesimo access point effettuavano delle connessioni adHoc (WIN).

Il grande pregio di una soluzione come questa è che esclude di fatto la possibilità di essere spiati tramite una infrastruttura di comunicazione che non si possa controllare (internet point, gestore, wisp) costringendo l’FBI a fare degli appostamenti nei pressi di caffè/bar/abitazioni e/o altri luoghi di incontro con i rappresentanti dell’ambasciata.

Tuttavia nel tentativo di “far commettere” un errore agli agenti dell’FBI non si sono resi contro dell’enorme errore a cui sono andati incontro: le adHoc network supportano solo l’encryption via WEP (MEGA FAIL) quindi a meno di non crittografare end to end tutte le sessioni, le comunicazioni risultavano reversibili esponendo MAC address (se non modificato) e contenuti alla mercè degli agenti.

Usate delle password sicure

Durante gli ultimi anni di indagini (non è che si becca una spia dall’oggi al domani) gli agenti avevano rinvenuto e copiato, durante una perquisizione nella casa di una spia, una serie di harddisk peccato per loro che fossero però codificati (WIN). Tuttavia un agente in una di queste perquisizioni ha notato un appunto con una stringa di 27 caratteri alfanumerica, non c’è voluto molto a capire che quella fosse la password (FAIL) non solo, all’interno degli HD rinvenuti c’erano una serie di tool/siti e altre risorse utilizzate per steganografare e scambiarsi informazioni, insomma hanno lasciato il cifrario incustodito (double FAIL) direttamente fornito da Schneier e tratto da cnet:

Ricci said the steganographic program was activated by pressing control-alt-E and then typing in a 27-character password, which the FBI found written down on a piece of paper during one of its searches

Obscurity non è security

I contenuti scambiati nei siti di cui sopra venivano steganografati cioè, modificati ed inseriti all’interno di altri file (es. immagini). Questo garantiva all’informazione l’impossibilità di esser “vista” a colpo d’occhio (WIN) tuttavia però è buona pratica, quando si steganografano delle informazioni cifrarle in modo da non rendere facilmente reversibili le info, specialmente se per fare tutte queste operazioni si stanno utilizzando dei software “comuni” (FAIL) e specialmente se (vedi punto precedente) si tengono questi manuali di decrifrazione tutti insieme nello stesso point of failure (EPIC FAIL)

Perfect forward secrecy – PFS

Il concetto è un pò contorto ma tenterò di spiegarlo brevemente.

Se in un sistema informatico (qualunque) si usasse la password precedente per generare o codificare la password futura, basterebbe intromettersi in un anello qualsiasi di questa catena per scoprire passo dopo passo tutte le “password” che sono state create nel tempo.

Così nella nostra spy story, le spie utilizzavano sempre i soliti sistemi di comunicazioni per pianificare incontri futuri e/o per scambiarsi password o protocolli atti a decifrare le loro comunicazioni, così agli agenti dell’FBI è bastato abbattere un muro (quello delle comunicazioni wifi) per rendere vani tutti gli altri articolati metodi per codificare le informazioni (GAME OVER)

Remember: La velocità di una flotta è data dalla nave più lenta che la compone!