Easter egg, Russia e Kaspersky Labs

In sintesi
In questi giorni vari collettivi hacker globali stanno operando contro sistemi informatici russi. Apparentemente, oltre a violare il sito del ministero della difesa russa, questi hacker hanno lasciato una “sorpresa digitale”, un easter egg, come viene chiamata in gergo.
Analizzando i dati relativi a questo attacco, si nota come la rete che offre servizi di protezione al sito mil.ru sia di proprietà della società Kaspersky Labs, produttrice del noto antivirus, che – trasparentemente – lavora per il ministero della Difesa russo.
Kaspersky Labs ha ottenuto un mese fa dal ministero dello Sviluppo Economico italiano una certificazione di sicurezza che ne consente l’utilizzo anche ai massimi livelli della pubblica amministrazione.
Sebbene questo non abbia costituito un’area di particolare attenzione fino a pochi giorni fa, probabilmente oggi vale la pena di interrogarsi in merito all’utilizzo di software Kaspersky sui sistemi dei privati e dello Stato italiano.

L’easter egg
Il sito web del ministero della Difesa russo sembra essere down da qualche giorno, almeno a chi si collega dall’esterno della Russia: se aprite https://mil.ru/ con un browser avrete una pagina bianca.
Se un tecnico guarda più in dettaglio, usando il comando curl, riceve

$ curl -I https://mil.ru/
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection to mil.ru:443

ma fino a qualche giorno fa rispondeva in modo diverso, secondo quanto riportato da mailing list tecniche:

$ curl -I https://mil.ru/
HTTP/1.1 418
Date: Fri, 25 Feb 2022 19:23:07 GMT
Content-Length: 0
Connection: keep-alive
Server: Ministry of Defence of the Russian Federation

L’errore 418 indicato è un codice di stato molto particolare: è stato definito, nell’RFC2324  pubblicato il primo di aprile del 1998, un pesce d’aprile. Gli RFC sono i documenti che propongono gli standard di Internet. L’RFC2324 riguarda un  protocollo fittizio per la gestione di caffettiere collegate online, l’Hyper Text Coffee Pot Control Protocol (HTCPCP).

Lo status “418 I’m a teapot” significa che il server HTCPCP è una teiera, e non è assolutamente in grado di preparare il caffè. Se la caffettiera invece fosse solo temporaneamente non in grado di preparare il caffè, dovrebbe restituire un codice 503. Se l’accesso dall’estero fosse semplicemente bloccato dagli amministratori di sistema, l’errore dovrebbe essere il 403 “Forbidden”.
Pare ci sia un’altra chiave di lettura: secondo quanto riportato, in russo colloquiale essere un bollitore (чайник) significa non avere competenze informatiche. Questo aggiunge stranezza a stranezza nel messaggio restituito dal ministero della difesa russo.

Chi gestisce mil.ru
Questa stranezza spinge ad approfondire. In primo luogo a capire quale indirizzo IP sia associato a mil.ru e se i tempi di connessione siano congrui.

$ sudo tcptraceroute mil.ru 443
[sudo] password for stefano:
Running:
traceroute -T -O info -p 443 mil.ru
traceroute to mil.ru (82.202.190.92), 30 hops max, 60 byte packets
1  192.168.0.1 (192.168.0.1)  25.769 ms  25.733 ms  25.724 ms
2  172.25.106.100 (172.25.106.100)  52.997 ms  60.257 ms  60.247 ms
3  172.30.2.125 (172.30.2.125)  94.086 ms  95.079 ms  95.070 ms
4  xe-1-2-0.954.mil.dtssi.net (31.13.143.67)  95.069 ms  95.058 ms  95.048 ms
5  * * *
6  * * *
7  80.64.108.169.rascom.as20764.net (80.64.108.169)  197.577 ms *  326.224 ms
8  * * *
9  * * *
10  * * 82.202.190.92 (82.202.190.92) <syn,ack>  161.042 ms

L’ultimo passaggio, raggiunto con tempi tutto sommato congrui, ci indica 82.202.190.92 che verifichiamo essere proprio l’indirizzo di mil.ru.

$ nslookup mil.ru
Server:  127.0.0.53
Address:                 127.0.0.53#53
Non-authoritative answer:
Name:    mil.ru
Address: 82.202.190.92

AS20764 ci indica lo “Autonomous system” della rete finale che ci collega a mil.ru. Una semplice ricerca nel database RIPE, l’entità che coordina gli indirizzi internet in Europa, ci rivela che questo autonomous system appartiene a CJSC Rascom, basata a San Pietroburgo. Quindi questa risposta arriva effettivamente dalla Russia, dato che l’ultima rete attraversata è proprio russa.
Per capire chi sia a gestire l’indirizzo 82.202.190.92 che corrisponde a mil.ru si può fare una query con il comando whois.

$ whois 82.202.190.92
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
%       To receive output for a database update, use the “-B” flag.
% Information related to ‘82.202.186.0 – 82.202.191.255’
% Abuse contact for ‘82.202.186.0 – 82.202.191.255’ is ‘abuse@kaspersky.com’
inetnum:        82.202.186.0 – 82.202.191.255
netname:        RU-KL-20031006
country:        RU
org:            ORG-KL28-RIPE
admin-c:        KLCR1-RIPE
tech-c:         KLCR1-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         KL-MNT
mnt-lower:      KDP-MNT
mnt-lower:      KL-MNT
mnt-routes:     KL-MNT
mnt-routes:     KDP-MNT
created:        2021-12-20T09:45:37Z
last-modified:  2021-12-20T09:45:37Z
source:         RIPE # Filtered
organisation:   ORG-KL28-RIPE
org-name:       Kaspersky Lab AO
country:        RU
org-type:       LIR
address:        39A/3, Leningradskoe Shosse
address:        125212
address:        MOSCOW
address:        RUSSIAN FEDERATION
phone:          +7 495 7978700
fax-no:         +7 495 7978700
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        KL-MNT
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         KL-MNT
admin-c:        KLCR1-RIPE
admin-c:        AP3146-RIPE
admin-c:        ZSB5-RIPE
abuse-c:        KLCR1-RIPE
created:        2006-09-13T11:06:21Z
last-modified:  2020-12-16T13:03:20Z
source:         RIPE # Filtered
role:           Kaspersky Lab Contact Role
address:        39A/2 Leningradskoe shosse
address:        125212
address:        Moscow
address:        RU – Russian Federation
admin-c:        AVS140-RIPE
tech-c:         AVS140-RIPE
nic-hdl:        KLCR1-RIPE
mnt-by:         KL-MNT
created:        2006-11-20T14:41:41Z
last-modified:  2015-10-08T11:01:39Z
source:         RIPE # Filtered
abuse-mailbox:  abuse@kaspersky.com
% Information related to ‘82.202.190.0/24AS209030’
route:          82.202.190.0/24
origin:         AS209030
mnt-by:         KDP-MNT
created:        2019-05-13T14:37:54Z
last-modified:  2019-05-13T14:37:54Z
source:         RIPE
% This query was served by the RIPE Database Query Service version 1.102.2 (BLAARKOP)

e anche

aut-num:        AS209030
as-name:        KL-KDP
org:            ORG-KL28-RIPE

Ovvero l’indirizzo che risponde per il ministero della Difesa russo corrisponde a un servizio di protezione del traffico di proprietà di Kaspersky Labs, lo sponsor della Ferrari e produttore dei noti antivirus fondato da Eugene Kaspersky, ex funzionario del KGB.

Il fatto che per molte ore (giorni ?) ci fosse questo “easter egg” (nomignolo affibbiato alle tracce digitali celate nei servizi informatici) per cui il sito del ministero rispondeva come una caffettiera e che ciò sia stato successivamente corretto non accettando connessioni (almeno dall’estero) pare essere un segnale che il sito web del ministero sia stato effettivamente compromesso dall’esterno e che Kaspersky Labs sia attivamente coinvolta – difficile immaginare potesse essere diversamente – nella gestione di servizi di rete anche del ministero della difesa russo.

La certificazione
Il 26 gennaio 2022 il software Kaspersky Endpoint Security for Windows ha ottenuto una certificazione tecnica da parte del ministero dello Sviluppo economico, Direzione generale per le tecnologie delle comunicazioni e la sicurezza informatica, Istituto superiore delle comunicazioni e delle tecnologie dell’informazione.Nel rapporto di certificazione si dettaglia che questo prodotto offre le seguenti funzionalità:

Protezione antivirus:
protezione del file system;
protezione della rete e scansione del traffico;
difesa proattiva.
Controlli:
controllo dell’avvio delle applicazioni;
controllo degli accessi al dispositivo;
controllo degli accessi al Web.
Cifratura completa del disco (FDE).
Gestione delle funzioni sopra elencate, inclusa identificazione e autenticazione dell’utente.

Va detto che la certificazione, che lo rende idoneo per uso in ambiti classificati, è un fatto tecnico, che si basa su un rapporto stilato da un laboratorio per la valutazione della sicurezza, in questo caso l’ungherese CCLab Software Laboratory, supervisionato dall’organismo di valutazione.
La certificazione non è una garanzia di assenza di vulnerabilità; rimane una probabilità che possano essere scoperte vulnerabilità sfruttabili dopo l’emissione del certificato. Il Rapporto di Certificazione riflette le conclusioni dell’Organismo di Certificazione al momento della sua emissione

Conclusione
Fino a una decina di giorni fa, tutto quanto sopra esposto non sarebbe stata fonte di alcuna preoccupazione.
Dopo l’aggressione russa con l’ingiustificata invasione dell’Ucraina, forse si potrebbe porre la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano.

Stefano Quintarelli

Imprenditore, manager infobulimico, attento al rapporto internet-società; sempre curioso! http:// blog.quintarelli.it