Alcuni la definirebbero una prova di forza ma resta di fatto che qualcuno ce l’ha fatta e anche i sistemi dell’inviolabile FBI sono stati vittima di un attacco informatico. Secondo quanto riportato dall’esperto di sicurezza informatica Brian Krebs alcuni giorni fa la Federal Bureau of Investigation (FBI) ha visto il suo nome di dominio e l’indirizzo Internet sfruttati per inviare mail fasulle. L’FBI ha poi confermato nella giornata di sabato 13 novembre la veridicità della notizia, affermando che il server incriminato è stato immediatamente scollegato dalla rete.
Cerchiamo di ricostruire l’accaduto e capire le origini di una violazione così epocale. Nella tarda serata di venerdì 12 novembre migliaia di e-mail sono state inviate dall’indirizzo eims@ic.fbi.gov, registrato nel dominio governativo dell’FBI. Le mail contenevano informazioni fuorvianti circa un presunto attacco cyber da cui proteggersi in un contesto del tutto legittimo e sono state scoperte inizialmente da The Spamhaus Project, un’organizzazione senza scopo di lucro che indaga sugli spammer.
Guardando nel dettaglio all’intestazione del messaggio, il campo From della mail conteneva correttamente l’indirizzo del server dell’Agenzia governativa, risultando lecito. Nel frattempo, anche KrebsOnSecurity riceveva una mail simile in cui si veniva invitati a verificare la veridicità dell’attacco da parte di Pompompurin, nome in codice di un utente.
In questo modo, Pompompurin voleva dare dimostrazione della vulnerabilità dei sistemi informativi dell’Agenzia americana, sfruttandoli per i suoi fini e dando spettacolo delle proprie capacità. Tuttavia, il baco c’era davvero ed era colossale.
Uno dei siti messi a disposizione nel dominio governativo fbi.gov è il Law Enforcement Enterprise Portal (LEEP), usato da investigatori e agenzie di intelligence per condividere internamente le informazioni. Per accedere a tale portale, come accade sempre, si passa per un processo di registrazione tramite moduli in cui inserire le proprie informazioni. Al termine della procedura una e-mail di conferma contenente un codice monouso viene inviata all’utente che si registra per concludere il processo e quindi autenticarsi.
Qui inizia il bello arriva la parte più interessante. Infatti, il codice monouso viene generato a tempo di esecuzione dal lato del client e, contestualmente, il browser genera una richiesta per il web server. La richiesta serve proprio a far partire la mail di conferma e contiene tutti i campi necessari per preparare il messaggio di posta. In sostanza, la gestione della conferma dell’utenza è tutta lasciata in mano all’esecuzione del browser lato client.
L’attaccante è stato pertanto capace di modificare la POST inviata al server inserendo i campi Subject e Body personalizzati. Infine, grazie ad uno script, si è potuto automatizzare l’attacco, facendo spedire migliaia di e-mail da un dominio dell’FBI.
Nella giornata di domenica 14 novembre è arrivata un’ulteriore nota da parte dell’FBI, in cui si assicurava che il server era usato solo per inviare le notifiche di LEEP ma che non era parte della rete di posta elettronica interna. Inoltre, l’FBI ha precisato che non ci sono stati accessi non autorizzati ai sistemi interni né a informazioni sensibili.
Il baco è stato prontamente corretto ma l’attacco parla chiaramente di quanto siano attenzionati gli obiettivi sensibili a livello nazionale. E il trend di attacchi continua a crescere negli ultimi tempi non solo da un punto di vista del phishing. Inoltre, sembra sempre più evidente la scarsa attenzione alla sicurezza che continua ad essere vista come un costo piuttosto che come un investimento.