Tecnologia

Internet, virus su Facebook <br> Nulla di fatto sull’affaire Koobface

Secondo le stime, i cyber-criminali sono riusciti a penetrare e rubare le informazioni di centinaia di migliaia di Pc. Nonostante alcuni informatici fossero riusciti a individuarli, le autorità non hanno fatto nulla per identificarli. Anzi hanno ostacolato le indagini

Due pesi e due misure: dopo l’arresto di Kim “Dotcom” Schmitz e la chiusura di MegaUpload, dal Web cresce l’indignazione per l’inerzia dimostrata nei confronti di Koobface, il cyber-criminale attivo da anni che gli esperti di sicurezza su Internet hanno individuato con certezza già da tempo. Al momento, però, i membri del gruppo sono ancora a piede libero e possono godersi i profitti della loro attività.

Tutto inizia nel 2008, quando il virus Koobface fa la sua comparsa sul Web. Si tratta di un worm in grado di colpire gli utenti Facebook, che vengono adescati attraverso falsi messaggi e collegamenti a presunti video. Un clic di troppo e il computer è compromesso. Secondo le stime di numerose società antivirus, gli autori di Koobface hanno colpito tra i 400 e gli 800mila computer, creando una botnet (una rete di computer-zombie controllati a distanza). La rete di Pc viene utilizzata per scopi diversi: furto di informazioni su carte di credito e account personali, invio di spam e diffusione di altri virus e spyware. Di certo ci sono i guadagni straordinari del gruppo di pirati informatici e i danni per Facebook e per i suoi iscritti.

La Gang di Koobface, che ama farsi chiamare “Ali Baba & 4”, commette però qualche errore di troppo. Abbastanza per consentire agli esperti di sicurezza di Facebook di mettersi sulle loro tracce. A seguire la pista, però, non ci sono solo loro: anche Jan Drömer, ricercatore indipendente, e Dirk Kollberg di SophosLabs si mettono a caccia del gruppo. La ricostruzione della loro indagine è degna di un poliziesco e altrettanto appassionante. I due riescono a individuare alcuni server usati per controllare la botnet e mettono le mani sui file di backup usati dalla gang. Siamo all’inizio del 2010 e i ricercatori trasmettono immediatamente le informazioni a tutte le autorità competenti, ma non smettono di investigare.

Proprio tra i file recuperati dal server trovano i primi indizi: nickname usati dai programmatori di Koobface e alcuni numeri di telefono con prefisso russo. Il colpo migliore, però, è l’individuazione di una fotografia inserita all’interno di un file di sistema. Analizzando il file, Drömer e Kollberg scoprono che è stata scattata con un iPhone. All’interno dei dati EXIF (le informazioni memorizzate dallo smartphone al momento dello scatto) trovano anche la data e le coordinate GPS del luogo in cui è stata scattata: San Pietroburgo. L’indizio più prezioso, però, è il nickname rintracciato tra le pieghe dei file. Seguendone le tracce, gli analisti arrivano facilmente agli account di tutti i social network a cui è iscritto il suo proprietario, ricostruiscono i suoi rapporti e scovano la società per cui lavora, identificando in breve tempo tutti gli altri membri del gruppo. In tutto cinque persone, guidate presumibilmente da Stanislav Adveyko, di vent’anni più vecchio del resto della gang e già coinvolto in questioni legali legate alla diffusione di uno spyware. Oltre alla loro identità, gli analisti riescono a ricostruirne gli spostamenti in mezza Europa: Spagna, Nizza, Monte Carlo e Germania.

Tutto finito? Non proprio. Per quanto l’indagine possa essere accurata, rimane il problema di trasformare i sospetti in prove e, da ultimo, in accuse. Un passo che richiede l’intervento delle forze di polizia e della magistratura. Ed è qui che la vicenda si fa surreale. Perché al momento non risulta che alcuno dei personaggi coinvolti sia stato nemmeno indagato.

Nonostante una serie di dichiarazioni ispirate al “politically correct”, l’impressione è che gli esperti di sicurezza di Facebook non abbiano trovato molta collaborazione nelle istituzioni. Qualche giorno fa la decisione di rendere pubbliche tutte le informazioni raccolte sul gruppo senza aspettare altro tempo. Risultato: i presunti membri della gang hanno immediatamente cancellato tutti i loro account sui social network individuati e i server di Koobface hanno interrotto ogni attività. Se la stampa americana riferisce che l’Fbi si è trincerata dietro un laconico “no comment”, le autorità russe hanno cercato di mettere una pezza che risulta peggiore del buco, sostenendo di non aver investigato sulla gang Bookface semplicemente perché “nessuno glielo ha mai chiesto”. Il dubbio rimane: avremmo assistito allo stesso copione se le richiesta fosse arrivata dalle major di Hollywood?