[Cyber-rights] Storia passata e finale

Marco Calamari marcoc1 at dada.it
Fri Apr 20 13:32:26 CEST 2012 

Succede questo

https://help.riseup.net/it/sequestro-aprile-2012

.... ma torniamo al passato .....

http://www.firenze.linux.it/comunicati/2005-attacco-al-serverone/

http://www.edri.org/edrigram/number3.14/Italy

====================================================================

Resoconto dettagliato delle compromissioni individuate al server del
Firenze Linux User Group
FLUG, 3 agosto 2005

Lunedì 27 giugno 2005 due aderenti del Flug si sono recati alla sede
milanese del provider Inet per riprendere il server del Flug, là
ospitato negli spazi del provider Dada con il quale esisteva un
contratto di housing da circa 6 anni. Questo cambiamento di provider era
stato programmato da alcuni giorni sulla base di una proposta di
sponsorizzazione (da concretizzarsi con l’housing del server) giunta al
Flug da un altro provider fiorentino.
Vedi:
https://lists.firenze.linux.it/pipermail/flug/2005-June/009578.html

Con questo server il Flug offre servizi come liste di posta elettronica
alla comunità di appassionati al software libero di Firenze. Inoltre
ospita simili servizi per conto di altri gruppi simili al Flug di altre
città; per fare questo il server non contiene alcun tipo di dato
sensibile eccettuati quelli necessari al funzionamento dei servizi
stessi (come la chiave privata del server ssh, i certificati ssl per il
server web e le chiavi private del remailer Antani). Unica eccezione è
la posta elettronica personale dei pochi aderenti al Flug autorizzati
all’accesso diretto al server, autorizzazioni giustificate da compiti di
gestione del server.

Al momento del ritiro dell’hardware, avvenuto verso le 11.30 del 27
giugno in presenza di un tecnico di Inet, sono state riscontrate le
seguenti anomalie:

    Il server (rack di tipo 1U) aveva il coperchio del case chiuso con
le viti di fissaggio ma con un lato fuori dalle guide. Sono evidenti
anche graffi sullo stesso coperchio, attribuibili all’inserimento e
all’estrazione dall’armadio rack.
    Il cavo ide di collegamento del cdrom era completamente staccato.
    Le viti di fissaggio delle slitte dei dischi fissi erano mancanti.

È stato deciso di riprendere ugualmente il server e di riportarlo a
Firenze nella prospettiva di sistemarlo quanto prima presso il nuovo
provider.

Quando ancora si trovavano presso il data-center di Inet, i due
incaricati del Flug hanno preso contatto con i riferimenti del provider
Dada: nelle conversazioni telefoniche con questi riferimenti (prima
commerciale e poi tecnico) è stato confermato lo spostamento di stanza
programmato (spostamento peraltro verificato direttamente dai due
incaricati del Flug, i quali erano presenti anche alla prima
installazione), ma sono state escluse manomissioni dell’hardware.
Inoltre, è stato contattato il membro del Flug che per ultimo era
intervenuto sul server, il quale ha confermato di aver lasciato il
server regolarmente chiuso e con tutto l’hardware regolare.

All’arrivo a Firenze il server è stato riavviato più volte per problemi
con il kernel installato: solo in un secondo momento è iniziata
l’analisi delle tracce di manomissione.

In seguito ad un’analisi più specifica dell’hardware (in particolare il
controller delle unità di memorizzazione di massa, che non permette
l’installazione e l’uso di dispositivi di memorizzazione non presenti
all’avvio), a fronte di quelle che sono le evidenti manomissioni
dell’hardware sopra elencate, sono state escluse manomissioni dei dati
contenuti negli hard-disk “a caldo” cioè con i sistema operativo
funzionante: di conseguenza se questi dati sono stati manomessi o anche
solo copiati deve essere avvenuto necessariamente dopo un riavvio del
sistema operativo. I riavvii durante la permanenza ad Inet sono stati
tre:

    Al momento della prima installazione (avvenuta nel febbraio 2003),
compiuta da tre aderenti al Flug.
    Il giorno successivo alla prima installazione, ad opera di un altro
aderente del Flug per ovviare a problemi riscontrati con uno degli slot
della ram.
    Durante lo spostamento degli armadi del provider Dada che ospitavano
il server, così come annunciato anche nella lista di discussione
generale del Flug.

Vedi:
https://lists.firenze.linux.it/pipermail/flug/2005-March/009243.html

Il fatto che gli unici riavvii subiti dal serverone siano quelli
elencati viene fatto risalire dal controllo dell’”uptime”, cioè il tempo
di funzionamento ininterrotto così come viene registrato dal kernel
Linux. Questo dato in effetti può essere alterato usando sistemi
piuttosto sofisticati. L’ipotesi che il supposto attaccante abbia usato
questi sistemi per truccare questo dato viene considerata assolutamente
non plausibile perché difficilmente conciliabile con le evidenti tracce
poi lasciate sull’hardware.

Per i primi due interventi sul server risulta assolutamente accettabile
escludere un riassemblaggio inaccurato ad opera degli aderenti al Flug.
Per il terzo risulta difficilmente accettabile supporre manomissioni
accidentali o dovute a ragioni contingenti allo spostamento: d’altro
canto non ci è neanche possibile escluderle dato che nessun aderente del
Flug era presente. Per queste considerazioni risulta inevitabile
concludere che se è stata compiuta una manomissione dei dati questa deve
essere necessariamente avvenuta in occasione dell’ultimo riavvio, cosa
peraltro assolutamente esclusa dai rappresentanti tecnici di Dada, così
come scritto in precedenza.

Da quanto esposto, a fronte dell’evidenza delle manomissioni
all’hardware, non risultano altrettanto evidenti manomissioni o anche
semplici copie dei dati contenuti sul server: si è però deciso
ugualmente di considerare il server compromesso in toto e di conseguenza
di non reinserirlo subito in rete ma di procedere ad una installazione
ex-novo del software così come viene considerata prassi normale in casi
analoghi. I dati sono stati preservati in attesa di un controllo da
parte dei responsabili dei vari servizi: ad oggi (mercoledì 3 agosto
2005) è stata completata la riattivazione di tutti i servizi
preesistenti.

L’installazione è avvenuta su due nuovi dischi con caratteristiche
tecniche uguali ai precedenti, i quali sono attualmente in consegna
presso un aderente del Flug in attesa di svolgere analisi forense.

==================================================================

Another Italian community server violated?
14 July, 2005
» 
Privacy | Wiretapping | Security

After the recent discovery that the Italian Autistici/Inventati server
had been seized by the Italian police and a backdoor had been probably
installed to allow for easier monitoring of all communication going
through it, looks like another Italian community server could have
endured the same fate.

On Monday 27 June 2005, two members of FLUG (Firenze Linux User Group)
visited the data centre of Dada S.p.a., in Milan, where the community
server of the group is physically housed, in order to move it to another
provider.

When the server was put out of the rack, however, it was discovered that
the upper lid of the server case was half-opened. At a closer
inspection, it was also discovered that the case lid was scratched, as
if it had been put out and reinserted into the rack. Worse, the CD-ROM
cable was missing, as were the screws that kept the hard disks in place.

Dada S.p.a. was immediately contacted, but its representatives denied
any fiddling with the server. Other FLUG members that could have
potentially had access to the server farm confirmed that they had not
tampered with the server.

Even though a quick forensics analysis of the system showed that no
shutdown and reboot operations, besides those that had been planned in
the past, had taken place (the hard disks were not "hot swappable",
therefore a shutdown of the machine is necessary in order to take them
off the server) FLUG decided to consider the server as compromised, as
the shutdown/reboot operations could have been erased from the logs.

What is particularly worrying is that the server hosted an anonymous
remailer, whose keys and anonymity capabilities could have been
compromised. Considering what happened to Autistici/Inventati server -
which hosted another anonymous remailer - this possibility is not so far
fetched. This begs the question whether a co-ordinated attempt at
intercepting anonymous/private communications on the Internet has been
ongoing in the past weeks and months.

An interrogation to the relevant ministries will be probably issued in
the coming days by Mr Fiorello Cortiana (Green Party).

EDRI-gram 3.13, Autistici/Inventati server seized by the Italian police
(29.06.2005)
http://www.edri.org/edrigram/number3.13/backdoor

Web page of the Firenze Linux User Group (FLUG)
http://www.firenze.linux.it/

Announcement by FLUG
http://punto-informatico.it/p.asp?i=53755

Photos of the server
http://www.firenze.linux.it/~leandro/compromissione/

=============================================================

E' stata presentata un'interrogazione parlamentare al Ministro
 dell'Interno e degli Affari Esteri; risultato in sintesi
"non ne sappiamo niente"


-- 
+--------------- http://www.winstonsmith.org  ---------------+
| il Progetto Winston Smith: scolleghiamo il Grande Fratello |
| the Winston Smith Project: unplug the Big Brother          |
| Marco A. Calamari marcoc at marcoc.it  http://www.marcoc.it   |
| DSS/DH:  8F3E 5BAE 906F B416 9242 1C10 8661 24A9 BFCE 822B |
+ PGP RSA: ED84 3839 6C4D 3FFE 389F 209E 3128 5698 ----------+

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part
URL: <http://lists.ecn.org/pipermail/cyber-rights/attachments/20120420/353ac89c/attachment.pgp>

More information about the Cyber-rights mailing list