Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mauriziosi*”, “mauro.oli*” e “italoiv*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora.

Ultimo aggiornamento: 14:20.

Continua la saga della colossale fuga di dati (almeno 400 gigabyte) dalla società di sicurezza informatica italiana Hacking Team, iniziata epicamente ieri mattina e descritta in questo mio articolo. Questo articolo verrà aggiornato man mano che arrivano nuovi dati.

Chi è stato?

Il presunto autore dell'incursione si fa chiamare “Phineas Fisher” e ci sono alcune conferme indipendenti della validità della sua rivendicazione. Ha tweetato stanotte che scriverà come ha fatto a penetrare in Hacking Team “quando avranno avuto tempo di fallire nel capire cosa è successo e avranno cessato gli affari.” Cattivello, ma anche astuto nell'atteggiarsi a novello Robin Hood.

L'ipotesi che l'incursione sia stata opera di una società rivale non ha alcuna prova a sostegno; inoltre, a giudicare dall'approccio alla sicurezza comicamente dilettantesco usato da Hacking Team, non sembra affatto necessario invocare il talento di esperti per spiegare l'intrusione, per cui è poco credibile.

Conseguenze per Hacking Team

Quanto sarebbero gravi, dal punto di vista legale, le azioni compiute da Hacking Team? L'europarlamentare Marietje Schaake ieri ha scritto che la vendita di questo software al Sudan “non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945, 2091 e 2138, ma [...] violerebbe anche la Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014 riguardanti le misure restrittive in considerazione della situazione in Sudan”. La Schaake aveva già presentato, un paio di mesi fa, un'interrogazione parlamentare sui possibili abusi del software di Hacking Team contro giornalisti e difensori dei diritti umani in Marocco.

I documenti trafugati indicano che Hacking Team ha mentito pubblicamente e pesantemente: mentre scriveva nella propria Customer Policy che forniva il proprio software a governi o agenzie governative, emergono rapporti con società private. Mentre scriveva nella stessa Policy che non vendeva a governi nelle liste nere USA, UE, ONU, NATO o ASEAN, lo faceva eccome, per esempio con il Sudan. Cito dalla Policy: “We provide our software only to governments or government agencies. We do not sell products to individuals or private businesses. We do not sell products to governments or to countries blacklisted by the U.S., E.U., U.N., NATO or ASEAN.”

Come già detto ieri, inoltre, Hacking Team avrebbe mentito anche ai propri clienti governativi, installando nel proprio software una backdoor (controllo remoto) senza dirlo ai clienti stessi, per cui la catena delle bugie è davvero lunga e devastante.

Conseguenze per noi utenti

Iniziano ad emergere le prime conseguenze tecniche della rivelazione del codice sorgente dei prodotti di Hacking Team: oggi Tor Project dice che HT ha tentato di violare la sicurezza del loro software ma finora non sono emersi exploit di HT contro Tor, ma terranno d'occhio gli sviluppi.

La collezione di exploit di HT veniva aggiornata attingendo disinvoltamente agli exploit pubblicati dai ricercatori di sicurezza.

È presumibile che a breve i principali antivirus riconosceranno il malware di Hacking Team e quindi molti dei soggetti sorvegliati si accorgeranno di essere stati messi sotto sorveglianza. Potrebbero essere ben  poco contenti di scoprirlo. MIkko Hypponen di F-Secure mi ha confermato che il loro software già bloccava il malware di HT, come confermato dalla documentazione interna di HT che ora è pubblica. Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l'anno.

Un beneficio per tutti noi: l'esame dei file di HT ha rivelato almeno un exploit 0day per Flash, che ora potrà essere corretto, eliminando una vulnerabilità alla quale sono esposti tutti gli utenti Flash del mondo.

Mettiamoci una pezza

Lexsi.com, uno dei clienti di HT, ha inviato una richiesta di rimozione a Musalbas.com, uno dei siti che ospita una copia d'archivio dei dati trafugati, dicendo che si tratta di materiale sensibile e riservato. Su questo non c'è dubbio, ma è totalmente inutile chiudere un pezzetto del recinto quando i buoi sono scappati da un pezzo e si stanno moltiplicando allegramente ovunque.

Analisi dei file

Premessa importante: il materiale pubblicato in Rete contiene moltissime immagini della sfera privata di persone legate a Hacking Team, di persone esterne a HT e anche di bambini. Nelle foto e nei video non c'è nulla di imbarazzante, provocante o pertinente per eventuali indagini giornalistiche, per cui credo che sia doveroso rispettare la privacy di queste persone estranee ai fatti e di questi minori che non hanno alcuna colpa. Lascio quindi in pace chi non c'entra.

Gli screenshot pubblicati dall'intrusione includono immagini anche recentissime (primi di luglio) dei desktop dei PC Windows dei due amministratori di sistema e contengono di tutto: dati di richiesta del passaporto per un familiare, sessioni di Solitario e altri giochi (Command and Conquer, mi pare), conversazioni WhatsApp e Facebook, sessioni di scaricamento film su eMule, taglie di reggiseno usate come risposte alle domande d'emergenza per recupero password. Al di là del contenuto relativamente frivolo, l'esistenza di questi screenshot dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi. Questo indica che la sottrazione dei dati non è stata commessa semplicemente copiando i file dai computer e dai server, ma anche infettando direttamente i computer degli admin. Che figuraccia.




Le mail catturate (interi file PST da vari gigabyte ciascuno) appartengono a molte persone legate a Hacking Team e includono, fra le altre cose, un messaggio nel quale si dice che il sistema RCS di Hacking Team in Colombia è dentro l'ambasciata degli Stati Uniti, dove c'è anche “un altro strumento di intercettazione... che riceverà tutto il traffico degli ISP colombiani”, a conferma del fatto che l'intercettazione di massa preventiva è una prassi del governo degli Stati Uniti.

I nomi degli utenti sono stati mascherati da me; la pecetta non è nell'originale.

Non mancano perle come questa: il CEO di Hacking Team, David Vicenzetti, che dice che non server ricorrere alla crittografia perché tanto non hanno nulla da nascondere.


Al tempo stesso, notate con quanta circospezione HT parla del “cliente E.” che è stato mollato (va detto) da HT dopo che Citizen Lab e Human Rights Watch hanno segnalato gli abusi commessi dal cliente. Notare che la cartella di mail è denominata “EH_Etiopia”.


Niente da nascondere. No, assolutamente.

Ma cosa si aspettavano quelli di Hacking Team quando hanno venduto il proprio software di sorveglianza a un governo come quello dell'Etiopia? Che, con tutti i problemi drammatici che ha quel paese, l'avrebbero usato per sorvegliare pedofili e spacciatori? Siamo seri. Vendere malware a governi di questo genere è esattamente come fare i trafficanti d'armi.