Cosa direste se migliaia e migliaia di videoconferenze registrate, con anche tutti i materiali annessi (le presentazioni, i documenti condivisi) fossero visibili da tutti su Internet facendo un po’ di tentativi con vari indirizzi? E cosa direste poi se scopriste che sono migliaia di riunioni riservate fatte dagli ufficiali delle forze armate tedesche: ammiragli, generali, capi di stato maggiore, oltre che migliaia di riunioni operative a tutti i livelli?
Se lo stanno chiedendo in queste ore i lettori del giornale tedesco Die Zeit Online, che ha scoperto che migliaia e migliaia di ore di videoconferenze delle forze armate tedesche, la Bundeswehr, sono ripetibili da chiunque riesca ad azzeccare l’indirizzo del meeting su WebEx. Un indirizzo facile da indovinare perché con poche cifre che variano e senza ulteriori meccanismi di autenticazione. Le riunioni erano disponibili online, con un meccanismo di archiviazione che non prevedeva né la cancellazione né la loro secretazione.
Il problema di sicurezza
Come scrive Eva Wolfangel, la giornalista esperta di cyber-sicurezza e autrice dello scoop, “Chiunque voglia sapere di cosa si occupa la Bundeswehr internamente, ha potuto vederlo liberamente su internet per mesi”. Le istanze ospitate sui server delle forze armate sono infatti risultate mal configurate e aperte a tutti i curiosi della rete. Ci sono stati migliaia di link a riunioni video con informazioni interne che sono rimasti aperti in rete fino allo scorso venerdì sera: tra queste, scrive Wolfangel, “molte riunioni classificate come riservate. E anche le riunioni passate non sono state apparentemente cancellate”.
La Bundeswehr, che è venuta a conoscenza della vulnerabilità di sicurezza solo tramite lo scoop di Wolfangel, ha subito sganciato il suo sistema di videoconferenze da internet. Come ha dichiarato a Die Zeit Online, tuttavia, la Bundeswehr non ha potuto escludere che le informazioni riservate siano state trasmesse a persone non autorizzate a causa dell’attuale problema di sicurezza.
L’impatto sulle forze armate tedesche
La vulnerabilità è stata scoperta da un team di esperti di sicurezza IT facente parti dell’associazione Netzbegrünung. Wolfangel li ha verificati attraverso una serie di tentativi a campione e ha scoperto che effettivamente era possibile accedere allo streaming dei dati senza bisogno di alcuna autenticazione, semplicemente azzeccando l’indirizzo.
L’incidente riguarda la istanza Webex installata sui server della Bundeswehr. Si tratta di una soluzione che in realtà è considerata particolarmente sicura e sulla quale si tengono anche discussioni con livelli di segretezza elevati. I temi trattati dalle forze armate tedesche sono ovviamente riservati e, in un contento come quello attuale con la guerra molto vicina ai confini tedeschi, toccano spesso temi operativi estremamente rilevanti e top secret.
Secondo quanto riportato nel suo articolo da Wolfangel, le forze armate tedesche, che attualmente hanno in servizio più di 181mila militari e 81mila civili, tengono 45.000 riunioni al mese, cioè una media di più di mille al giorno. L’esercito tedesco è il secondo più grande dell’Unione europea (dopo quello francese) e la Germania, che spende l’1,4% del suo Pil (poco più di 55 miliardi di euro) per le forze armate, ha deciso di alzare questo cifra al 2% e portare i soldati alla cifra record di 203mila entro il 2025 proprio a causa del deteriorarsi della situazione tra Russia e Ucraina.
La debolezza di Cisco
Webex è un applicativo lato client e lato server di videoconferenza del gruppo statunitense Cisco. È funzionalmente paragonabile a Zoom o Teams. Il suo utilizzo è stato ponderato a lungo: l’Ufficio federale per la sicurezza dell’informazione ha approvato Webex per l’uso da parte delle autorità pubbliche nel 2019 e lo ha certificato secondo il suo catalogo di criteri per il Cloud-Computing.
La Bundeswehr ovviamente non ha scelto di utilizzare Webex nella variante ospitata nel cloud pubblico di Cisco, ma ha scelto la modalità di funzionamento basata sull’installazione di una istanza privata sul proprio cloud nazionale. “Questo – scrive Wolfangel – significa che le informazioni si trovano sui server interni, il che è particolarmente importante per le autorità, in modo che, per esempio, i dati dei cittadini non siano memorizzati in altri paesi. Ma naturalmente è anche rilevante in materia di sicurezza nazionale”. Sicurezza che però non è stata curata dal punto di vista della corretta configurazione dei server.
Le due debolezze
L’articolo scende nei dettagli tecnici spiegando le due vulnerabilità che sono state scoperte dai ricercatori e raccontate dalla giornalista tedesca. Sostanzialmente, si tratta di due differenti modi di utilizzo di Webex, entrambi mal configurati. Nel primo si tratta semplicemente di azzeccare il codice della riunione, che è composto da una serie di numeri che fanno parte secondo uno schema noto dell’indirizzo web della videochiamata. “L’industria della sicurezza – scrive Wolfangel – raccomanda di distribuire i numeri in modo randomizzato, cioè casuale, negli indirizzi web, in modo da non poter semplicemente passare da una riunione all’altra aumentando di uno. Ma questo non era apparentemente il caso di Webex”.
La seconda debolezza invece ha a che fare con le Sale riunioni permanenti. Un modo per tenere attivi, con indirizzi e password utenti, delle “stanze” virtuali in cui poter entrare velocemente per partecipare a una riunione. Questa modalità utilizzava, secondo quanto visto da Die Zeit Online, password facilissime da compromettere e ha permesso alla giornalista di collegarsi a sale riunioni virtuali in quel momento non utilizzate ma assegnate a progetti top secret e comunque riservati.
Tra i video disponibili online, infatti, Die Zeit Online ha individuato quella per missile Taurus, o quella intitolata “Campo di battaglia digitale – solo per uso di servizio” in cui il tema del confronto, riporta Eva Wolfangel, è stato quello del missile aria-aria Meteor, prodotto in Europa e considerato il sistema più avanzato nel suo settore.
Fra le seimila riunioni analizzate da Die Zeit Online, la più vecchia è del novembre 2023, ma molte altre non sono state visionate dai ricercatori e dalla giornalista, e adesso non sono più accessibili.
Lo spionaggio reso facile
Un altro aspetto molto interessante che emerge dallo scoop di Wolfangel è quello relativo allo spionaggio russo. Nei mesi scorsi erano infatti stati diffusi su Telegram dai media russi degli audio in cui il capo di stato maggiore dell’aviazione tedesca, Ingo Gerhartz, discuteva dell’uso del missile Taurus per distruggere alcune infrastrutture realizzate da Mosca, tra cui il ponte costruito verso la penisola ucraina della Crimea, a sua volta annessa in violazione del diritto internazionale.
Il dubbio su come gli zero zero sette russi si fossero impadroniti dell’audio di queste riunioni riservate, che si erano in realtà svolte su Webex, e l’avessero poi passato ai media russi è adesso stato implicitamente chiarito. La colpa forse non è della linea telefonica “non sicura” da cui si era collegato un generale tedesco che si trovava in missione a Singapore. Invece, ci potevano essere dei “ghost user”, degli utenti fantasma che ascoltavano tutto senza farsi notare all’interno della riunione. Questo potrebbe essere stato dimostrato empiricamente, visto che la giornalista ha potuto unirsi con dei semplici dati di accesso (usando “Test” come nome utente) alla sala riunioni dello stesso Gerhartz.
Le forze armate tedesche hanno “ripulito” in tutta fretta la loro istanza di Webex e reso irraggiungibili tutti i contenuti scoperti dagli analisti e da Eva Wolfangel. Il risultato però è clamoroso e fa capire come anche dei semplici errori (forse in buona fede, forse no) nella configurazione di una piattaforma di videochiamate possano portare a clamorosi autogol di sicurezza.
E, aggiungiamo, fanno pensare anche quale potere potrebbe avere un Paese che costringa le “sue” aziende che producono questi software o le apparecchiature di rete a inserire delle backdoor, delle entrate di servizio, dalle quali sia possibile accedere come utenti fantasma a tutti gli incontri sia strategici di alto livello che tecnico-operativi di qualsiasi branca dello Stato, in qualsiasi Paese.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.