Cosa diresti se migliaia e migliaia di videoconferenze registrate, con tutto il materiale di accompagnamento (presentazioni, documenti condivisi) fossero visibili a tutti su Internet facendo qualche tentativo con indirizzi diversi? E cosa diresti se scoprissi che ci sono stati migliaia di incontri riservati tenuti da ufficiali delle forze armate tedesche?: ammiragli, generali, capi di stato maggiore, oltre a migliaia di riunioni operative a tutti i livelli?
Se lo chiedono proprio adesso i lettori del quotidiano tedesco Die Zeit Online, dopo aver scoperto che migliaia e migliaia di ore di videoconferenze delle forze armate tedesche, la Bundeswehr, possono essere ripetute da chiunque riesca a indovinare l’indirizzo dell’incontro del WebEx. Un indirizzo facile da indovinare perché composto da poche cifre variabili e senza ulteriori meccanismi di autenticazione. Gli incontri erano disponibili online, con un meccanismo di archiviazione che non ne prevedeva né la cancellazione né la segretezza.
Il problema della sicurezza
Come scrive Eva Wolfangelil giornalista esperto di sicurezza informatica e autore dello scoop, “Chiunque voglia sapere cosa fa internamente la Bundeswehr può vederlo liberamente su Internet da mesi”. Le istanze ospitate sui server delle forze armate sono infatti risultate mal configurate e aperte a tutti i curiosi della rete. Erano migliaia i link a videoconferenze con informazioni interne rimaste aperte online fino a venerdì sera scorso: tra questi, scrive Wolfangel, “molti incontri classificati come confidenziali. E a quanto pare anche gli incontri passati non sono stati cancellati”.
La Bundeswehr, che è venuta a conoscenza della vulnerabilità della sicurezza solo tramite lo scoop di Wolfangel, ha immediatamente disconnesso da Internet il suo sistema di videoconferenza. Come hai affermato tu Die Zeit in lineaTuttavia, la Bundeswehr non poteva escluderlo che le informazioni riservate sono state trasmesse a persone non autorizzate a causa dell'attuale problema di sicurezza.
L'impatto sulle forze armate tedesche
La vulnerabilità è stata scoperta da a team di esperti di sicurezza informatica dell'associazione Netzbegrünung. Wolfangel li verificò attraverso una serie di tentativi casuali e scoprì che in realtà era possibile accedere allo streaming di dati senza bisogno di alcuna autenticazione, semplicemente indovinando l'indirizzo.
L'incidente riguarda l'istanza Webex installata sui server della Bundeswehr. Si tratta di una soluzione considerata infatti particolarmente sicura e su cui le discussioni si svolgono anche con elevati livelli di segretezza. I temi trattati dalle forze armate tedesche sono ovviamente riservati e, in un contesto come quello attuale con la guerra molto vicina ai confini tedeschi, toccano spesso argomenti operativi estremamente rilevanti e top secret.
Secondo quanto riportato da Wolfangel nel suo articolo, le forze armate tedesche, che attualmente hanno in servizio più di 181mila militari e 81mila civili, tengono 45.000 riunioni al mese, cioè una media di più di mille al giorno. L’esercito tedesco è il secondo più grande dell’Unione Europea (dopo quello francese) e della Germania, che spende per le forze armate l’1,4% del suo Pil (poco più di 55 miliardi di euro), ha deciso di innalzare questo dato al 2% e portare i soldati alla cifra record di 203mila entro il 2025 proprio a causa del deterioramento della situazione tra Russia e Ucraina.
Il punto debole di Cisco
Webex è un'applicazione di videoconferenza lato client e lato server del gruppo statunitense Cisco. È funzionalmente paragonabile a Zoom o Teams. Il suo utilizzo è stato preso in considerazione già da tempo: nel 2019 l'Ufficio federale per la sicurezza dell'informazione ha approvato Webex per l'utilizzo da parte delle autorità pubbliche e lo ha certificato secondo il suo catalogo di criteri per il cloud computing.
Naturalmente la Bundeswehr non ha scelto di utilizzare Webex nella variante ospitata nel cloud pubblico di Cisco, ma ha scelto la modalità operativa basata sull'installazione di un'istanza privata sul proprio cloud nazionale. “Ciò – scrive Wolfangel – significa che le informazioni si trovano su server interni, il che è particolarmente importante per le autorità, in modo che, ad esempio, i dati dei cittadini non vengono archiviati in altri paesi. Ma ovviamente è rilevante anche in materia di sicurezza nazionale.” Sicurezza che però non è stata curata dal punto di vista della corretta configurazione dei server.
I due punti deboli
L'articolo entra nei dettagli tecnici spiegando le due vulnerabilità scoperte dai ricercatori e segnalate dal giornalista tedesco. Fondamentalmente si tratta di due modi diversi di utilizzare Webex, entrambi mal configurati. Nella prima è semplicemente questione di ottenere il codice riunione corretto, che è formato da una serie di numeri che compongono l'indirizzo web della videochiamata secondo uno schema noto. “L’industria della sicurezza – scrive Wolfangel – consiglia di distribuire i numeri in modo casuale, cioè casuale, negli indirizzi web, quindi non è possibile passare semplicemente da un incontro all'altro incrementando di uno. Ma a quanto pare questo non era il caso di Webex.”
Il secondo punto debole riguarda invece le sale riunioni permanenti. Un modo per mantenere attive, con indirizzi utente e password, “stanze” virtuali nelle quali entrare velocemente per partecipare ad un meeting. Questo metodo utilizzato, come visto da Die Zeit in lineapassword molto facili da compromettere e che permettevano al giornalista di connettersi a sale riunioni virtuali all'epoca non utilizzate ma assegnate a progetti top secret e riservati.
Tra i video disponibili online, infatti, Die Zeit in linea identificato quello per il missile Taurus, o quello intitolato “Campo di battaglia digitale: solo per uso del servizio” in cui il tema del confronto, riporta Eva Wolfangel, era quello di Missile aria-aria Meteorprodotto in Europa e considerato il sistema più avanzato nel suo settore.
Tra i seimila incontri analizzati da Die Zeit in linea, il più vecchio è di novembre 2023ma molti altri non sono stati visti dai ricercatori e dal giornalista, e ora non sono più accessibili.
Spiare diventa facile
Un altro aspetto molto interessante che emerge dallo scoop di Wolfangel è quello relativo allo spionaggio russo. Negli ultimi mesi erano stati infatti diffusi su Telegram dai media audio russi in cui il capo di stato maggiore dell'aeronautica tedesca, Ingo Gerhartzdiscusso l'uso di Missile Taurus per distruggere alcune infrastrutture costruite da Moscacompreso il ponte costruito sulla penisola ucraina di Crimea, a sua volta annessa in violazione del diritto internazionale.
Il dubbio su come gli zero zero sette russi si fossero impossessati dell'audio di questi incontri riservati, avvenuti effettivamente su Webex, e lo avessero poi passato ai media russi, è ormai implicitamente chiarito. Forse la colpa non è della linea telefonica “non sicura” alla quale si era collegato un generale tedesco in missione a Singapore. Potrebbero invece esserci dei “ghost users”, utenti fantasma che ascoltavano tutto senza farsi notare all'interno della riunione. Ciò potrebbe essere stato dimostrato empiricamentedato che il giornalista ha potuto entrare nella sala riunioni di Gerhartz con semplici dati di accesso (utilizzando “Test” come nome utente).
L’esercito tedesco ha frettolosamente “ripulito” la propria istanza Webex e ha reso irraggiungibili tutti i contenuti scoperti dagli analisti e da Eva Wolfangel. Il risultato, però, è clamoroso e fa capire che sono stati commessi anche semplici errori (forse in buona fede, forse no) nella configurazione di una piattaforma di videochiamata può portare a clamorosi autogol di sicurezza.
E, aggiungiamo, fanno anche riflettere quale potere potrebbe avere un paese Quello costringe le “sue” aziende che producono questo software o apparecchiature di rete per inserirne alcuni porta sul retrodegli ingressi di servizio, dai quali è possibile accedere a tutte le riunioni come utenti fantasma sia di alto livello strategico che tecnico-operativo di qualsiasi ramo dello Stato, in qualsiasi Paese.
Per tutte le novità sulla sicurezza informatica vi rimandiamo alla sezione dedicata di macitynet.