skip to main | skip to sidebar
16 commenti

È finita: WikiLeaks pubblica un milione di mail di HackingTeam. Con pratica funzione di ricerca

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/11 18:50.

Wikileaks ha messo online un archivio cercabile contenente oltre un milione di mail provenienti dalla fuga di dati che ha colpito HackingTeam.

Se in questi primi giorni le indagini giornalistiche per verificare eventuali collaborazioni dell'azienda italiana con governi repressivi sono state ostacolate dalla difficoltà tecnica di scaricare i 400 gigabyte di dati trafugati o di sfogliarne online le varie parti, ora chiunque può cercare in tutta la corrispondenza di HackingTeam con un semplice clic.

Per esempio, una ricerca di “IP address” insieme a “VPS” rivela molte comunicazioni interessanti e dettagli dell'infrastruttura di sorveglianza di HackingTeam. Una ricerca per “gov.sa” rivela comunicazioni con indirizzi governativi dell'Arabia Saudita, e così via. Altre parole chiave potenzialmente interessanti sono exploit, Eric.rabe, e.rabe, leak e leaker.

Dall'archivio di mail risultano scambi anche recentissimi con i servizi di sicurezza dell'Etiopia, come questa mail del 10 giugno 2015:

David, Giancarlo,tomorrow at midnight the temporary, read-only license we gave to INSA is going to expire. Since we issued this last license. We have not received any reply from them, on any channel.I would wait and see if anything moves on their side, or do you want to anticipate action (e.g., issue a new license)?Thanks,Daniele

E si vede anche il commercio di exploit (vulnerabilità) per Adobe Flash, negoziate da HackingTeam (grazie a @mme_bathory per la segnalazione):

Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita' ma
stessi target) che aveva accorpato in un unica descrizione... abbiamo
preso uno... prendiamo l'altro?

#1,#2 (two 0days) Adobe Flash Player
versions: 9 and higher
platforms: 32- and 64-bit Windows, 64-bit OS X
price: $45k by three monthly payments

Gli chiederi semplicemente conferma che siano effettivamente due
distinte vulnerabilita' in parti diverse del codice(per evitare che
patchato uno perdiamo pure l'altro).

Senno' c'era anche l'opzione 3 (credo che 32-bit windows vada bene per
browser a 32-bit su architettura x64, da verificare nel caso):

#3 Adobe Flash Player
versions: 11.4 and higher
platforms: 32-bit Windows
payload: calc.exe is launched on Windows
price: $30k by two monthly payments

In pratica HackingTeam sta discutendo l'acquisto di vulnerabilità inedite per Adobe Flash che sono presenti in milioni di computer e invece di renderle pubbliche per consentire a tutti di essere più sicuri se le vorrebbe tenere per sé per usarle nei propri prodotti di sorveglianza. È l'equivalente di scoprire una malattia e tenere per sé la cura per farci dei soldi.

Ma non è il caso di pensare che HackingTeam sia l'unica a fare commerci loschi di questo genere. Un'altra mail di HT fa infatti quest'osservazione a proposito di ditte concorrenti:

Ribadisco l’importanza di prendere contatti: ci saranno un sacco di researchers asiatici  e non solo con exploit da vendere e *****, te l’assicuro, compra in questo modo la maggior parte degli exploits che poi, debitamente controllati e ripuliti, vengono venduti a 10 volte il prezzo originario.

[...]

I HAVE strong, incontrovertible EVIDENCE that the most famous 0-day vendors (e.g., *****, *****) do NOT create/find/research the vast majority of the numerous exploits they sell. 
According to my intelligence information I can tell you that only about ** 30% ** of the exploits in such famous 0-day vendors' commercial catalogs have been internally researched. 
That is, an amazing 70%, of the exploits actually commercially proposed by such exploits vendors are BOUGHT from THIRD PARTIES, then worked out, possibly enhanced, polished and eventually sold to their own clients with hefty profit margins.
When at the conference, I urge you to start building up as many commercial relationships with new exploits researchers and minor/still unknown exploit vendors as possible. We need external resources in order to effectively compete, and win, in the 0-day game.

Così fan tutti, insomma, e allora facciamolo anche noi. Da notare che quella che per noi utenti è un'infezione potenzialmente devastante per loro è un game: un gioco. E a furia di giocare con i virus, se li sono lasciati sfuggire.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (16)
Sul piatto delle riflessioni sulla vicenda metterei anche questo interessante post di Umberto Rapetto:

http://www.ilfattoquotidiano.it/2015/07/09/hacking-team-ora-chi-fornira-delle-risposte/1858601/

Quello che mi domando io è: possibile che ancor nessun magistrato si sia accorto della spaventosa mole di reati che sta uscendo da queste "carte"? Per ora la sensazione è che quelli di Hacking Team continuino a giocare a fare le vittime indignate e ci sia pure chi tiene loro bordone!

Uan domanda da profano: ma il Vitaly che chiede (e presumibilmente ottiene) 45.000 dollari i tre comode rate mensili per due exploit su Flash, secondo voi fa fattura? Ditemi di sì, vi prego, perché in caso contrario ce n'è anche per la Finanza...
In tutta onestà credo che quella lista sia stata tenuta come file di testo per evitare di averla direttamente visibile nei bookmark del browser, e copiare e incollare i link su un file di solo testo è una pratica piuttosto comune (è veloce). Ritengo che sia autentica.

Non credo che ci sia stato alcun tampering nei documenti trafugati; l'onestà e l'umiltà con cui Phineas Fisher ha descritto il suo attacco a Gamma (incluso il fatto che non è riuscito nel suo scopo principale) indica un modus operandi piuttosto studiato e accorto. Anche il suo American English è assolutamente standard (è presente un solo, banalissimo errore di battitura che non rivela niente) e la rivelazione di informazioni personali è del tutto marginale, coerentemente con la sua metodologia. L'uso personale del PC lavorativo di Hacking Team esposto dalla fuga di dati è del tutto compatibile con ciò che riscontro in molte reti.
A proposito di injector nei siti porno: https://wikileaks.org/hackingteam/emails/?q=porno&mfrom=&mto=&title=&notitle=&date=&nofrom=&noto=&count=50&sort=0#searchresult
Paolo, sembra tu avessi F. Cornelli e A. Ornaghi tra i tuoi lettori
@souffle
Il problema è che sono tutte prove ottenute illegalmente. Non so nemmeno se il magistrato possa far partire un'indagine basandosi su ciò
souffle: a me onestamente stupisce che fatturassero questo tipo di servizio, è un po' come se fatturasse un mercenario... Non lo farà mai ed è in un ambito in cui la finanza non andrà mai a guardare
@lufo88 - Il magistrato non può condannare con prove illecite, ma può indagare se ha notizia di reato. Eccome se può indagare!
Paolo, un giorno dovremo anche parlare della pornografia negli uffici. Quella trovata in HT è sotto ogni standard a me conosciuto, specie in un ufficio di sysadmin dove i rubinetti sono di solito tutti aperti verso l'esterno.

Che il file con i link porno sia roba di lavoro è plausibile, come è plausibile che sia stato utilizzato per fini ludici.
@lufo88: che sciocco! Mi dimentico sempre che viviamo in un paese ipergarantista fatto su misura per i delinquenti, scusami.
@Fx: La mia, ovviamente, era una domanda retorica. Anche se francamente non capisco perché non dovrebbe interessare la GdF. Il nero è nero. O forse ci sono varie sfumature di nero?
Dimenticavo un'ultima cosa: Bruce Schneier ha dedicato numerose pagine sulla compravendita di bachi software fra ditte di spionaggio nel suo ultimo Data and Goliath. Per chi l'ha letto non c'è nulla di nuovo in queste rivelazioni.
Tutti,

ho spostato la parte dell'articolo dedicata alla lista di siti porno dedicandole un post a parte perché sono emersi dati nuovi.
souffle: dipende se vogliamo fare i teorici o attenerci alla realtà... in questo secondo caso eccome se ce ne sono, nelle attività border line poi - pensa alla prostituzione. Il giro d'affari di HT rispetto anche solo a questo unico esempio è una goccia nel mare.

Anzi, ribadisco, mi sarei aspettato molta più segretezza da una realtà come HT, ovvero nessuna posizione fiscale oppure se proprio una di copertura con scopo sociale e giro di fatture creati ad arte per sviare le attenzioni. In un'attività di questo tipo l'ultima cosa che mi verrebbe in mente è di contestarne l'evasione fiscale. Anche perché a chi lavora in questo ambito secondo me l'ultima cosa di cui gliene frega è di evadere, se lo fa non lo fa per soldi ma ripeto per questioni di riservatezza.

Anche perché alla fine tra i tuoi clienti c'è proprio lo Stato italiano, se vendessi in nero secondo te poi ti arriva la finanza? :) Sono dei mondi a parte
Paolo: hai glissato sul post di nrc o non hai ancora fatto una ricerca per "attivissimo"? Guarda in che modi incredibili ti arrivano complimenti, "vengono fuori dalle ******* pareti" :D
I pagamenti a Vitaly e soci sono stati fatti via bonifico, ci sono alcune mail di accordo tra le due parti a proposito. Per lo meno nello scambio delle coordinate le mail sono state cifrate..
Per questi "acquisti" nel black market ovviamente non ci sarà alcuna fattura, ma avendo come cliente la polizia italiana dubito che per loro sia una preoccupazione giustificare la spesa di 45k in caso di controllo finanziario.
Discorso diverso invece per la fatturazione ai clienti, li non puoi evitare di giustificare entrate a 6 zeri, dopotutto hanno effettivamente venduto un loro prodotto e/o servizio ad un cliente. Provateci voi poi a vendere 450k di software alla polizia cantonale di zurigo senza emettere fattura ;)
HT inoltre si preoccupava di far firmare al cliente, oltre alle varie NDA ed EULA, anche una certificazione che attestava che il destinatario della fattura (che non è sempre il cliente finale, ma a volte era un terzo ente) fosse anch'esso governativo o autorizzato dal governo.