La nota e controversa Hacking Team, società italiana rivenditrice di tool di sorveglianza a governi e ad organizzazioni in ambito legale, è da tempo etichettata come “Nemica di Internet“.
Ironia della sorte, dato il suo nome, ora sta provando sulla sua pelle cosa significhi avere file personali e strettamente confidenziali di pubblico dominio.
[UPDATE]: Dopo esservi letto il completo resoconto, in questo articolo trovate qui le ultime sul caso hacking team.
La pubblicazione è avvenuta nel modo più efficace possibile: direttamente dall’account Twitter @hackingteam, e con un sarcasmo da parte dell’anonimo cracker degna di nota:
Dato che non abbiamo nulla da nascondere, stiamo pubblicando tutte le nostre mail, i nostri file e il codice sorgente.
La società ha già provveduto a cancellare il tweet, e ad ottenere la rimozione di infotomp.com/eyyxo.torrent, link a circa 24 MB di file torrent (che permettono di scaricare 400 GB di archivi) per scaricare i dati trafugati, ma nuovi link girano in rete, dando la possibilità a chiunque abbia sufficiente banda e tempo di scaricarli e analizzarli.
Secondo i primi esami sul record di dati trafugato, vi si trova di tutto: mail, codice sorgente, registrazioni audio, credenziali di login per siti di supporto di Hacking Team dall’Egitto, al Messico alla Turchia. stando all’elenco di file dell’archivio torrent, tra i clienti della società spuntano la Corea del Sud, il Kazakistan, il Libano, l’Arabia Saudita, l’Oman e la Mongolia.
Salta all’occhio una fattura da circa mezzo milione di Euro al National Intelligence and Security Service del Sudan, il quale secondo associazioni di controllo dei diritti umani (link al report di Human Rights Watch) ha soffocato nel sangue le proteste rivoluzionarie contro il governo, causando 170 morti nel 2013.
Ma non è niente in confronto alla fattura da un milione di euro giusti all’Information Network Security Agency etiope, nonostante Hacking Team avesse sempre dichiarato di non fare affari con governi autocrati ed oppressivi.
Ecco l’elenco delle nazioni in cui risiedono i clienti di questa società:
- Arabia Saudita
- Australia
- Azerbaigian
- Bahrein
- Cile
- Cipro
- Colombia
- Corea del Sud
- Ecuador
- Egitto
- Emirati Arabi Uniti
- Etiopia
- Germania
- Honduras
- Italia
- Kazakistan
- Lussemburgo
- Malesia
- Marocco
- Messico
- Mongolia
- Nigeria
- Oman
- Panama
- Polonia
- Repubblica Ceca
- Russia
- Singapore
- Spagna
- Stati Uniti
- Sudan
- Svizzera
- Thailandia
- Ungheria
- Uzbekistan
- Vietnam
Ci teniamo a sottolineare la collaborazione col Sudan, poiché è in vigore l’embargo ONU contro questo stato, ed un’eventuale collaborazione con esso avrà sicuramente risvolti penali, visto anche alcune precedenti dichiarazioni di Hacking Team:
Esiste un comitato legale che tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International
Si potrebbe dire che “tener conto” abbia un significato semantico diverso da “rispettare”.
Stando ad un’intervista rilasciata a Wired nel febbraio 2014, HT affermava quanto segue:
Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne”.
Dichiarazioni tanto belle su carta, quanto false e ipocrite nella realtà, come si è potuto osservare.
Stando all’esperto di privacy e tecnologia Christopher Soghoian (@csoghoian), esiste anche un file Excel con l’elenco di tutti i clienti governativi, la date di primo acquisto di software e i ricavi guadagnati.
Ma c’è ancora molto altro: sembra che i tecnici di Hacking Team abbiano abitudini di sicurezza imbarazzanti per chi lavora nel settore, soprattutto a quei livelli di tipo governativo. Ebbene, la password più comune usata è “Passw0rd“; usando il tool howsecureismypassword.net, abbiamo giustamente ottenuto questo report – provare per credere:
Di peggio c’è solo che le altre banalissime password sono conservate SENZA ALCUNA CIFRATURA in un file di testo, e tali chiavi sono del calibro di “universo” e “wolverine“, come da screenshot.
–> CONTINUA A LEGGERE il resto della storia sull’Hacking Team
Chiunque abbia mai usato un tool di bruteforcing, saprà che le password di soli caratteri, per giunta minuscoli, sono crackabili nel giro di un paio di minuti. Pochi secondi per “wolverine”, in quanto rientra nella top 3000 delle chiavi comunemente usate.
E perché non aggiungere anche un bel file di testo con un una serie di link a video per adulti, trovati nel PC di un sysadmin?
Incredibile poi come nel giro di neanche un’ora anche Christian Pozzi di Hacking Team sia stato tradito dalla probabile flebilità della sua password Twitter. Il cracker ha clamorosamente esordito con “Uh Oh – anche il mio account è stato hackerato”:
Rovina ed imbarazzo per Hacking Team, che sicuramente patirà le conseguenze anche per merito delle collaborazioni rivelate con degli scottanti Governi.
Questa vicenda si è particolarmente evoluta in una specie di tutorial che potrebbe avere questo titolo:
“Sicurezza informatica, cosa NON fare”
Sarebbe inoltre saggio ragionare su come non si possa creare un malware, distribuirlo e affermare che verrà usato solo per scopi “buoni”. Il malware è malware, prima o poi qualcuno lo sfrutta per i suoi scopi personali e ne vanifica le miti intenzioni. Non dimentichiamoci che è un arma, che spessissimo passa inosservata ai più.
Esaminiamo ora degli snippet di codice sorgente trafugato.
Questo script sembra stare ad indicare uno dei metodi usati da Hacking Team per introdurre prove false nei terminali vittima. “Pedoporno.mpg” e “Childporn.avi” lasciano trasparire che ci sia l’intenzione di incastrare qualche persona scomoda tramite l’inject forzato di materiale pedopornografico.
È altresì vero che nome utenti come “pippo” e “pluto”, ricorrentissimi nelle guide italiane alla programmazione, e nei forum gestiti da developers italiani in generale, danno più l’impressione di un template o un codice dimostrativo, più che di un malware decisamente al top in fatto di immoralità.
Questa porzione di codice invece evidenzia come questa backdoor abbia lo scopo di creare false prove, “fake evidences” per l’appunto.
Inoltre, pare che i clienti richiedenti l’uso di backdoor per spiare qualcuno, si siano ritrovati loro stessi ad essere osservati da altre backdoor, direttamente per conto dell’ormai imbarazzante società. Un “prendi 2, paghi 1” che dubito lasci col sorriso le centinaia di clienti che si erano fidati di un sistema rivelatosi così fragile e debole in termini di sicurezza.
Hacking Team, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. […] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a Hacking Team di spegnerli indipendentemente dal cliente e di recuperare l’indirizzo IP finale che devono contattare
Per concludere in bellezza, sono stati pubblicati screenshot e file audio che dimostrerebbero come Pozzi si collegasse dall’ufficio al desktop di casa in remoto per scaricare illegalmente film pirata, come ad esempio “Cinquanta sfumature di grigio”.
Che sorte pensate sia prevista per Hacking Team?
Non esitate a farci sapere i vostri commenti in merito alla bollente questione.