Aug 14 2014

Il blackout internet in Siria? Colpa dell’Nsa

akamai (3)

Ricordate il blackout Internet in Siria del novembre 2012? All’epoca governo e ribelli si incolparono a vicenda dell’oscuramento. Per il regime di Assad erano stati i “terroristi”; per le forze antigovernative, e per molti media occidentali, il colpevole era il governo.

Ora sappiamo che invece, molto probabilmente, il responsabile era la Nsa, o meglio un suo braccio operativo, l’unità speciale di hacker TAO. A dirlo è Edward Snowden nel corso di una lunga intervista a Wired.com.

Hanno installato un exploit da remoto su un core router di uno dei maggiori ISP in Siria  (…)”, dice Snowden. “Ciò avrebbe dato alla Nsa accesso alle email e altro traffico internet di buona parte del Paese. Ma qualcosa è andato storto, e invece il router è stato messo fuori gioco, reso inservibile. La rottura di questo router ha provocato l’improvvisa perdita di connessione a internet della Siria, anche se il pubblico non sapeva che il governo americano ne era il responsabile“.

Il TAO non è stato in grado di riparare il router, e a farlo sono stati poi i tecnici dell’Isp o del governo anche se non è chiaro se si siano mai resi conto di quanto accaduto effettivamente. Il giornalista, che riferisce le parole di Snowden, che a sua volta riporta il racconto di un operativo del TAO, è abbastanza vago sull’aspetto tecnico della faccenda (un solo router?).

Per altro dal libro di Glenn Greenwald sappiamo che la Nsa riceve o intercetta router, server e altri apparecchi esportati dagli Stati Uniti, prima che siano consegnati a clienti internazionali, per impiantare delle backdoor. Tra questi anche gli apparecchi prodotti da Cisco.

All’epoca comunque il principale indiziato era il governo di Assad (che per altro avrebbe staccato internet altre volte, ad esempio nel 2013, anche se a questo punto bisognerebbe riconsiderare ogni episodio).  La ragione di tale sospetto nasceva dalla dinamica di quanto avvenuto. Secondo l’azienda di sicurezza Cloudflare, ad esempio, era improbabile fosse un attacco fisico alla rete (da parte dei ribelli) perché erano ben 4 i cavi che avrebbero dovuto danneggiare. Mentre l’analisi del distacco da internet mostrava come ad essere interessati fossero router BGP, cioè router di frontiera o perimetro usati per connettere tra loro sistemi diversi. Come scriveva all’epoca Cloudflare, “il fornitore esclusivo di accesso internet in Siria è la Syrian Telecommunications Establishment, a controllo statale, che gestisce anche questi router. Il modo sistematico in cui l’instradamento del traffico è stato interrotto suggerisce che ciò sia stato fatto attraverso un aggiornamento nelle configurazioni dei router, non attraverso un attacco fisico”, scrivevano gli analisti.

E probabilmente avevano ragione. Solo che a fare “l’aggiornamento” dei dispositivi era la Nsa. E, come capita a tutti, non sempre gli aggiornamenti finiscono bene. (Il che, per inciso, mostra ancora una volta come sia difficile, in questo campo, attribuire la responsabilità di un attacco).