Il paradosso di Hacking Team e il fallimento della sicurezza

hacking-teamNon se ne parla mai ma tutti i governi, le corporazioni, le banche si avvalgono di hacker sia per la propria sicurezza sia per tentare di sottrarre ed avvalersi di informazioni utili relative alla propria concorrenza. Per far ciò, logicamente, si devono appoggiare e pagare degli informatici che, per professione, fanno gli hacker e, di conseguenza, sono anche disposte a comprare programmi che aiutino a migliorare e velocizzare questa attività.

Hacking Team è una compagnia italiana dedicata proprio allo sviluppo di specifici programmi per la pirateria informatica che domenica scorsa è stata presa di mira e violata da hacker anonimi ma diamo un’occhiata al suo passato.

PRECEDENTI:

Questa non è la prima volta che Hacking Team si trova nell’occhio del ciclone: nel 2011 WikiLeaks aveva pubblicato dei documenti su cui venivano descritte le funzioni degli spyware (programmi software che raccolgono illegalmente ed invisibilmente informazioni monitorando computers e smartphones senza che il proprietario se ne accorga) creati dall’azienda ed offerti alle agenzie governative nel 2008.

Agli inizi del 2012 gli esperti di Kaspersky Lab (azienda conosciuta in tutto il mondo per il proprio antivirus) hanno notato dei programmi sospetti e malevoli che ricordavano molto la descrizione del software sviluppato dall’Hacking Team, descritto su WikiLeaks, e del suo sistema di controllo remoto (strumento per monitorizzare ogni azione performata da un pc) che era stato caratterizzato sul sito della stessa compagnia.

Nel giugno 2012 le varie compagnie di antivirus avevano ricevuto un’e-mail su cui vi era scritto un esempio di codice virus per il sistema operativo Mac OS X con le stesse caratteristiche annotate nel 2011 su Wikileaks. L’e-mail a quanto detto dagli esperti di Kasperky conteneva solamente un allegato chiamato AdobeFlashPlayer.zip su cui vi era salvato il suddetto codice virus che fu nominato dalle diverse compagnie di antivirus in disparati modi tra cui Crizis, DaVinci, Boychi, Morcut etc.

[youtube https://www.youtube.com/watch?v=R63CRBNLE2o&w=560&h=315]

In altre parole questo virus che si era iniziato a diffondere anche sui computer di ignari privati cittadini era stato realizzato dall’Hacking Team. Sia chiaro, per accusare effettivamente la compagnia della creazione di questo spyware virale non vi sono solamente i documenti di Wikileaks e l’ipotesi di una connessione tra questi ed il codice inviato via e-mail ma vi sono anche altre evidenze. Per esempio, nell’allegato, leggendo lo script, erano presenti tutti i nomi dei file e dei moduli che gli autori avevano utilizzato spesso preceduti dall’abbreviazione RCS (ovvero Remote Control System, il sistema di controllo remoto di cui sopra) sempre utilizzata dalla Hacking Team nella promozione dei propri prodotti e sulla stessa descrizione del loro sito.

Inoltre, nello stesso mese di giugno virustotal.com ha trovato e pubblicato una vulnerabilità di sitema interno al sito di HackingTeam che permetteva a qualunque hacker abbastanza sveglio di fare il download del virus ed appropriarsene. Attraverso l’analisi del codice che era, ora, possibile recuperare direttamente dalla fonte il team di Kaspersky ha potuto effettivamente notare che le funzioni del codice virus ricevuto via e-mail ed i nomi erano le stesse del prodotto di HackingTeam. Non solo ma all’interno del file era possibile, anche, risalire alla cartella di un file con il nome di Guido, lo stesso di uno sviluppatore dell’Hacking Team.

OGGI:

hackingteam_logo-100594944-primary.idgeDomenica scorsa, 5 giugno 2015, Hacking Team è stato attaccato da un gruppo di hacker, ancora anonimo, che ha pubblicato e recuperato informazioni per circa 1 Tera-byte (solo 400GB sono stati resi pubblici al momento). Pochi quotidiani italiani ne hanno parlato e male (ho trovato solo un articolo sul Corriere della Sera che meritava d’essere letto) mentre all’estero questa notizia non è passata così inosservata: ci si aspetterebbe più attenzione da parte dei giornalisti italiani considerando il fatto che l’azienda è italiana ma così non è stato.

Così, domenica il sito di Hacking Team ha cambiato faccia e logo diventando l’Hacked Team e, utilizzando il loro Twitter, qualcuno ha iniziato a pubblicare e-mail e file “scottanti” della compagnia compreso un file torrent di 400gb contenente importanti documenti che dimostrano come questa azienda italiana abbia venduto i propri prodotti anche a governi oppressivi e contrari ai Diritti Umani (al contrario di quanto è sempre stato annunciato) come Sud Corea, Kazakhstan, Saudi Arabia, Oman, Libano e Mongolia. Poco dopo è stato pubblicata, sempre su Twitter, una fattura per 58.000 euro per la vendita di uno spyware, RCS Exploit Portal, all’Egitto.

Secondo una lista pubblicata e recuperata dalle varie fughe di notizia su csoonline.com alcuni dei clienti dell’HackingTeam sono stati:

Egitto, Etiopia, Marocco, Nigeria, Sudan

Cile, Columbia, Ecuador, Honduras, Messico, Panama, Stati Uniti

Azerbaijan, Kazakhistan, Malesia, Mongolia, Singapore, Sud Corea, Tailandia

Uzbekistan, Vietnam, Australia, Cipro, Repubblica Ceca, Germania, Ungaria

Italia, Lussemburgo, Polonia, Russia, Spagna, Svizzera, Bahrain, Oman

Arabia Saudita, UAE

Potremmo dire che questo problema è relativo solamente ad una “questione morale”: un’azienda può, teoricamente, vendere i propri prodotti a chi vuole ma molti dei clienti qui nominati, come il Sudan, sono dittature e opposti tra loro. Si crea, in questo, un enorme paradosso: ognuno di questi Paesi osservava l’altro con le stesse armi e strumenti creati da HackingTeam che, oltretutto, è una delle poche aziende sul mercato ad offrire questo tipo di servizi. Personalmente, non penso questa compagnia abbia scelto servizi di prima o seconda qualità relativamente al governo che “servivano” in quel dato momento ma che, semplicemente, abbiano venduto per soldi a chiunque potessero fingendo di non supportare alcuni di questi compratori.

Cosa ancora più assurda, in un certo senso deprimente e che mostra quanto la sicurezza non veniva presa seriamente: le password utilizzate da HackingTeam sono un grandioso esempio di password vulnerabili, ovvero facili da trovare. Qui alcune che sono state pubblicate sul sito csoonline.com:

HTPassw0rd

Passw0rd!81

Passw0rd

Passw0rd!

Pas$word

Rite1.!!

Uno dei membri di HackingTeam, inoltre, Christian Pozzi ha pubblicato sul proprio personale Twitter vari commenti relativi all’innocenza della propria compagnia ma, poco dopo, il suo account è caduto a sua volta nelle mani degli hacker.

La compagnia, secondo una fonte anonima intervistata dalla rivista Motherboard, pare non essere stata ancora in grado di recuperare l’accesso al loro sistema e-mail e che tutti i loro clienti sono stati caldamente invitati a non utilizzare più il loro RCS chiamato Galileo.

Sebbene l’Hacking Team sia situata in Italia pare, secondo wired.com, che organizzazioni statunitensi quali FBI, DEA ed esercito degli U.S abbiano comprato ed utilizzato fin dal 2011 spyware prodotti dall’azienda italiana; inoltre, le regolazioni dell’esportazione del Dipartimento del Commercio degli Stati Uniti sono sensibili a tali questioni ed includono violazioni legislative relative.

AGGIORNAMENTO: cliccando sul seguente link si può accedere alla ricerca delle e-mail di HackingTeam trapelate sul web https://wikileaks.org/hackingteam/emails/

Riferimenti:

Lorenzo Franceschi Biccherai, Hacking Team asks costumers to stop using its software after hack, in Motherboard, http://motherboard.vice.com/read/hacking-team-asks-customers-to-stop-using-its-software-after-hack

Cora Currier, Leaked documents show FBI, DEA and U.S. Army buying italian spyware, in The Intercept, https://firstlook.org/theintercept/2015/07/06/hacking-team-spyware-fbi/

Andy Greenberg, Hacking Team breach shows a global spying firm run amok, in Wired, http://www.wired.com/2015/07/hacking-team-breach-shows-global-spying-firm-run-amok/

Sergey Golovanon, Spyware, HackingTeam https://securelist.com/analysis/publications/37064/spyware-hackingteam/

Steve Ragan, Hacking Team hacked, attackers claim 400GB in dumbed data, in csoonline.com, http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html

Documenti WikiLeaks https://wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf

Virustotal https://www.virustotal.com/en/file/81e9647a3371568cddd0a4db597de8423179773d910d9a7b3d945cb2c3b7e1c2/analysis/

Share the love

Comincia la discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.