skip to main | skip to sidebar
25 commenti

HackingTeam e la fattura al Sudan: nuovi documenti smontano la difesa dell'azienda

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “icaro200*”, “antonio.bu*”, “robyv*” e “alberto.dol*”. Se vi piace, potete incoraggiarmi a scrivere ancora.
Ultimo aggiornamento: 2015/07/11 18:50.

HackingTeam ha venduto il proprio malware di sorveglianza di massa ai servizi di sicurezza del Sudan, il cui governo ha una lunga e ben nota storia di abusi dei diritti umani: schiavitù, genocidio e uso di bambini come soldati, oltre che persecuzione di chi si batte per il rispetto di questi diritti.

La vendita risulta dalla fattura per 480.000 euro pubblicata fra i dati trafugati all'azienda (immagine parziale qui accanto). È davvero difficile pensare che i responsabili di questa vendita non sapessero in che sorta di mani stessero mettendo strumenti così letali.

In un'intervista all'International Business Times, il portavoce di HackingTeam, Eric Rabe, ha difeso oggi l'operato dell'azienda facendo notare che la fattura in questione (di cui non ha smentito l'autenticità) risale al 2012, quando il Sudan non era ancora nella lista nera dell'ONU. Una difesa abbastanza fragile, dato che ben prima che entrasse formalmente in lista nera il Sudan non era un paese al quale si poteva vendere malware di sorveglianza sperando che venisse usato eticamente e a fin di bene. Ora nuovi documenti smontano questa difesa e dimostrano che i rapporti di HackingTeam con il governo sudanese sono proseguiti almeno fino a gennaio 2014. Ma partiamo dall'inizio.

––------------------

L'ipotesi che HackingTeam facesse affari con il Sudan, basata sulle indagini tecniche di Citizen Lab, aveva già spinto le Nazioni Unite ad incaricare un comitato di esperti di investigare sull'azienda a settembre 2014, anche perché tali affari sarebbero stati probabilmente in violazione delle sanzioni europee sul commercio di armi militari verso il Sudan.

Come racconta in dettaglio Motherboard, HackingTeam inizialmente ha risposto all'ONU che il Sudan non era uno dei suoi clienti e poi ha detto all'ONU che il software non è considerato un'arma e che quindi le Nazioni Unite non hanno l'autorità per fare domande. Ma HackingTeam non ha mai chiarito se aveva avuto affari in passato con il governo del Sudan.

Ora, grazie ai dati trafugati, sappiamo che li aveva avuti. La fattura, fra l'altro, riguarda solo metà dei pagamenti ricevuti dal Sudan, che ammontano in tutto a 960.000 euro.

David Vincenzetti, CEO di HackingTeam, era indubbiamente al corrente delle perplessità dell'ONU: a febbraio rispose al comitato di esperti delle Nazioni Unite usando toni decisamente aggressivi e dicendo che ogni ulteriore richiesta del comitato di esperti gli sembrava una violazione ingiustificata e ingiustificabile del diritto al segreto commerciale. Il 21 aprile, Vincenzetti addirittura ha accusato l'inchiesta ONU di essere un danno per la reputazione e l'immagine di HackingTeam.

L'ONU ha chiesto ancora a HackingTeam ben cinque volte (l'ultima il 15 maggio scorso) di chiarire se l'azienda avesse mai fatto affari con il Sudan. HackingTeam non ha mai risposto.

Questo muro del silenzio si è infranto con la fuga di dati di ieri, dalla quale sono emersi documenti che smentiscono le parole di HackingTeam. Tanto per cominciare, c'è l'elenco dello stato dei rapporti con vari paesi. Per il Sudan, al posto di Active (attivo) o di Expired (scaduto) usati per gli altri paesi clienti (tranne la Russia), c'è una frase compromettente: “12/31/2014 Not officially supported” (non supportato ufficialmente). Sarebbe molto interessante chiedere ad Eric Rabe di spiegare il significato di questa frase.



La paziente analisi collettiva dei documenti interni di HackingTeam ora resi pubblici ha rivelato oggi anche un altro documento di HackingTeam che parla di una fattura “116/2012” etichettata “NISS” per un importo di 76.000 (euro, si presume) all'interno di un elenco etichettato “Fatture 2013 da riaprire”.


Ma soprattutto sono state segnalate oggi due mail dello staff di HackingTeam in cui viene prestata assistenza al Sudan il 15 gennaio 2014 proprio per il malware di sorveglianza RCS. La scusa che la fattura trafugata è del 2012 e che quindi non ci sono più rapporti con il governo del Sudan ha insomma seri problemi di credibilità.


Trascrizione delle mail (evidenziazioni aggiunte da me):

Da: Alessandro Scarafile [a.scarafile@hackingteam.com]
15/01/14 10:02
Oggetto: Problema core iOS in RCS 9.1.14
A: ornella-dev@hackingteam.com

Vi segnalo un'anomalia urgente e bloccante rilevata in Sudan, durante l'installazione di RCS 9.1.4 + hotfix.

Durante la build di un Installation Package per iOS, si ottiene l'errore "Core for ios not found..." (screenshot allegato).
La cosa è evidentemente collegata alla mancanza dell'indicazione del core per iOS nella sezione Monitor (screenshot allegato).

Segnalo anche che "ogni tanto" (misurato su alcuni login/logout dalla console) non viene mostrato il numero di versione di RCS (screenshot allegato).

Spero che il problema per iOS possa essere risolta [sic] semplicemente caricando a mano il core, in quanto la connessione internet da qui non consentirebbe - al momento - il download di un intero file di installazione di RCS.

Grazie,
Alessandro


Da: Alessandro Scarafile [a.scarafile@hackingteam.com]
15/01/14 10:11
Oggetto: Supporto Anonymizers RCS 9.1.14
A: ornella-dev@hackingteam.com

Condivido direttamente su "ornella-dev" un altro problema che abbiamo in Sudan, per avere supporto rapido, in quanto siamo di fronte al cliente.

2 Anonymizers correttamente installati. La sezione System della Console continua a mostrare in rosso SOLO quello più vicino al Collector.

Le connessioni in SSH sulle macchine Linux dicono che i sistemi sono up and running; il daemon dell'anonymizer è in piedi e attivo.
"Allontanando" un Anonymizer dal Collector e posizionandolo come ultimo hop... diventa verde in Console.

Non credo questo comportamento possa essere collegato a qualche firewall (che non hanno), in quanto a quel punto il Collector non riuscirebbe nemmeno a parlare con l'Anonymizer più “lontano”.

Avete suggerimenti su cosa potrebbe essere?
Forse qualcosa in fase di installazione? (che spiegherebbe anche i problemi sul core iOS della mia e-mail precedente).

FYI di seguito i dati dei 2 VPS:

IP: 46.251.239.129
User: root
Pass: ousKvawcAH

IP: 46.251.239.130
User: root
Pass: Wb9cofhJjj


Sarà molto interessante chiedere al portavoce di HackingTeam di giustificare questi segni di attività recente con i servizi di sicurezza del Sudan.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (25)
Ma che genio è il sysadmin che in una mail NON criptata o almeno firmata digitalmente mette IN CHIARO IP, user e password di una VPN??
Sai se le rivelazioni avranno anche risvolti penali?

Perché per quanto mi riguarda, dal punto di vista giornalistico, la vicenda è chiusa. Altre cose sono solo dettagli.
Chi non ha provato a loggarsi con ssh a 46.251, ecc. scagli la prima pietra!
Il Lupo: mah, credo che questo episodio testimoni quanto le paranoie sulla crittografia siano tali. Crittografavi l'email e poi? Ti hanno rubato i PST. La realtà è che è stupidamente più complesso intercettare un'email piuttosto che fregarla direttamente alla fonte dove vai a colpo sicuro. E' come dire che tieni il PIN del Bancomat sul telefonino ma codificato in modo tale che tu solo possa estrapolarlo: va benissimo, per carità, peccato che ti rapinano appena dopo il prelievo quando del PIN gliene frega zero, si accontentano dei contanti =)

In passato mi sono scagliato anche contro Paolo per l'eccessivo peso che viene dato a certi aspetti come la crittografia, che in realtà rischiano solamente di darti un falso senso di protezione e di farti abbassare la guardia. La cosa giusta sarebbe curare ogni singolo anello della catena, perché dobbiamo ricordare ci sono parecchi punti fragili; in mancanza di questo bisognerebbe utilizzare un criterio di priorità. E la crittografia non è nelle prime "best pratice" - ripeto, questo caso lo dimostra in modo piuttosto plateale. Ma anche se andiamo su esempi concreti che riguardano l'utente comune vediamo che il rischio di essere intercettati in quel modo non è di certo concreto.

Tra l'altro questo caso dimostra per l'ennesima volta un'altra cosa che ripeto da anni: è inutile concentrarsi troppo sugli aggiornamenti SW che turano falle di sicurezza. Ok, quando ci sono fateli, ma di norma vale la regola che quando un bug viene turato è perché chi con i bug ci campa ne ha già di nuovi e di più interessanti (e ovviamente del tutto sconosciuti se non a una ristrettissima cerchia di persone) quindi anche qui l'idea di essere "a posto" andrebbe sradicata. E' come mettere la cintura di sicurezza: ok, ti offre un certo grado di protezione, molto meglio che senza, ma i miracoli non esistono, quindi a 200 all'ora non ci andare uguale se ti preoccupi della tua incolumità.

Paolo: mi accordo anch'io alla domanda de "ilcomizietto", hai parlato dell'indagine della procura di Milano sull'intrusione, ma sulla liceità dell'attività di HT sbaglio o se ne stanno sbattendo un po' tutti? Per intanto eh, immagino che se la notizia è arrivata a chi ha ripetutamente posto domande dall'ONU prima o poi torneranno alla carica.

Tra l'altro non mi stupirebbe che in Italia, con il regime ultra garantista che abbiamo, questi leak non costituissero prova perché non acquisiti secondo prassi. In America sarebbero piombati in dodicimila nella sede dell'azienda e nelle case delle persone chiave + una parte degli sviluppatori, requisendo qualsiasi PC / dispositivo elettronico trovato e arrestando chiunque.
Letto un articolo de "La Stampa" con dichiarazioni di Rabe: "Noi scontiamo forse il fatto di essere stati più aperti di altri nel comunicare il nostro business rispetto alle aziende del settore. E questo ha attirato attenzione. Insieme al fatto che siamo dei leader nel nostro campo, che ci comportiamo correttamente e che siamo responsabili. Sicuramente meglio che un simile lavoro venga fatto da noi che da qualche gruppo oscuro".

In effetti la cosa che mi stupisce di più è che facessero regolari fatture, come se stessero vendendo consulenza informatica ad un'azienda. Prima di pensare alla crittografia delle email, ma davvero vuoi emettere dei documenti che hanno valore legale, per la cui gestione (e la gestione di tutto il resto, a partire dalla paghe dei dipendenti) ti affidi a terze parti, che sono registrati in sistemi informatici governativi con il tipo di attività che fai? Per lavorare nel campo dell'intelligence, con i rischi del caso - al di là di quello che si è manifestato, ovvero andare a gambe all'aria da un giorno con l'altro, anche quelli sull'incolumità di dirigenti e dipendenti - è davvero sorprendente come fosse tutto alla luce del sole. Tra questo e il resto che è uscito danno l'impressione di avere grandi competenze lato software ma grande ingenuità su altri aspetti, sembra operassero con la leggerezza (poche o nessuna policy, niente compartimenti, eccetera) che si può permettere giusto un'azienda di piccole dimensioni.
La sicurezza informatica non è un prodotto ma un lungo, difficile e faticoso processo (proprio per questo molti preferiscono ignorarla). La sicurezza al 100% non esiste e di certo la crittografia delle email non avrebbe risolto le grosse lacune dell'hacking team, ma se avessero crittografato anche i dati (possibilmente utilizzando una chiave diversa da 123456, o password), applicato degli IDS, tenuto i dati sensibili su sistemi non accessibili dalla rete esterna e analizzato il traffico della propria rete (ecc ecc ecc) avrebbero sicuramente reso la vita più difficile a qualche malintenzionato.
Per quanto riguarda le parole di RABE, bhè, si contraddice da solo. come fa a dire che sono leader del mercato se le altre aziende che fanno il loro stesso lavoro tendono a rimanere nascoste e farsi meno pubblicità? e poi definirsi responsabili dopo che è stato mostrato la loro incapacità di gestire un minimo di sicurezza dei dati sensibili lo trovo un grande controsenso.
di solito lurko e non commento. sto seguendo questa notizia attraverso tutte le fonti disponibili (grazie a Paolo perchè le cita sempre).
L'aspetto che trovo preoccupante è il credito che tutti tendiamo a dare a tutto ciò che è "leaked".
Uno scenario distopico che mi turba è il seguente: in HT lavora un pollo (un pollo, poverino lo trovi in ogni organizzazione), buco il suo pc e attraverso quello faccio un dump di tutta la roba che trovo. la analizzo e poi mi basta modificare, aggiungere, togliere qualche documento per raccontare la storia che mi interessa. pubblico tutto su torrent e l'effetto sui media sarà dirompente.
insomma davvero dobbiamo decidere che tutto ciò che è leaked è automaticamente vero? è un paradosso, perchè di fatto non esiste modo di fare verifiche indipendenti... la credibilità dei soggetti coinvolti è distrutta per sempre dalla combo devastante di "sei un fesso, ti sei fatto fregare" e "sei cattivo e ti hanno beccato".

Sbaglio?
Caro Paolo,

ho una curiosita' (assolutamente nessuna polemica, meglio mettere le mani avanti.. ;-) )

Ma te non rischi qualcosa dal punto di vista legale a pubblicare sul tuo blog delle mail private?

Non ho idea di come funzioni..

Grazie,

Francesco
Il 21 aprile, Vincenzetti addirittura ha accusato l'inchiesta ONU di essere un danno per la reputazione e l'immagine di Hacking Team.

Ma se l'ONU era definita un danno per la reputazione, gli admin della stessa HT come devono essere definiti?
@Francesco Talarico:
Non sarò io a scagliarla:D
Fx,

hai parlato dell'indagine della procura di Milano sull'intrusione, ma sulla liceità dell'attività di HT sbaglio o se ne stanno sbattendo un po' tutti?

Non tutti: c'è appunto l'interrogazione europarlamentare olandese. Ma io non sono un avvocato e quindi non posso dare giudizi tecnici sulla liceità in senso legale. In senso morale, invece, sì, e trovo che la vendita di malware di stato a governi che lo usano contro giornalisti e dissidenti sia moralmente inaccettabile.
Con tutti i soldi che hanno fatto con attività, diciamo così, discutibili, o la morale non ce l'hanno proprio, o l'hanno relegata in un cassetto polveroso
Dai... Almeno queste password sono decenti... :P
Fra,

Ma te non rischi qualcosa dal punto di vista legale a pubblicare sul tuo blog delle mail private?

La denuncia a scopo intimidatorio/vessatorio può arrivare anche solo se citi il nome di un'azienda (vedi il caso IMAX recente).

Detto questo, ormai quelle mail sono di dominio pubblico: non sono io il primo a pubblicarle. E sulla privacy, in questo caso, prevale il diritto/dovere di cronaca. Quelle mail rivelano affari immorali e probabilmente illegali che costano vite.

Inoltre chiedermi di rimuoverle sarebbe un'implicita ammissione di autenticità, e penso che in un frangente del genere un buon avvocato non voglia togliersi nessuna via di fuga, compreso il negare tutto e dire che si tratta di falsi.
Non mi sorprenderei se i tizi di HT usassero le stesse Passw0rd anche nei loro profili LinkedIn... ma resisto alla tentazione.
Paolo: si, quello l'avevo letto tuttavia mi pare una reazione del tutto insignificante; ora non vorrei fare il complottista ma è fino sospetto che non si sia sollevato un polverone a livello politico (italiano in primis) e non siano partite le tremila indagini che partono ogni volta che c'è l'intercettazione cretina

Ela: i leak sono rappresentati in genere da una quantità del tutto considerevole di materiale di cui è possibile verificarne, in modi più o meno complessi, l'autenticità. Al di là di quello già il fatto che si tratti di materiale nella sua interezza credibile rappresenta una sfida del tutto notevole nel caso in cui lo si volesse generare appositamente: creare una distesa così immensa di documenti con riferimenti incrociati tra di loro in modo che sia tutto coerente è un'impresa titanica. Questo ovviamente non ci permette di escludere che sia materiale falsificato ma per lo meno ci permette di sapere che sarebbe estremamente svantaggioso produrlo, rendendo di conseguenza questa possibilità fuori portata per singoli o per organizzazioni che non siano governative - le quali ovviamente hanno di meglio (forse) da fare. Può esserci una parziale falsificazione ma a che pro? Se hai già un leak, inserire del materiale falso significherebbe semplicemente rischiare di screditarlo, perché la vittima del leak potrebbe facilmente dimostrarne la falsità. E' insomma o sconveniente o controproducente.

Io cito sempre i leak ai complottisti: un milione di persone che dicono che i vaccini fanno male non fanno una prova, altro che interessi farmaceutici. Una persona sola che porta delle prove concrete, guarda Snowden ma non è l'unico nella storia, invece fa saltare per aria un sistema che è anche più grande degli interessi farmaceutici. La differenza è proprio questa: stronzate vs prove concrete e verificabili.
FX: non so, sono perplessa. non garantista tout court, ma perplessa.
Non è necessario fabbricare *tutti* i dati, basta fabbricarne alcuni, se decidiamo che l'accusa è "lavorare con il sudan" allora basterà fabbricare pochi documenti per renderla credibile.
Il modo migliore di nascondere una menzogna è per l'appunto farla abbracciare dalla verità. ovvero siccome tutti i documenti innocui sono effettivamente autentici e verificabili e siccome i documenti autentici e innocui sono 400gb di roba, nessuno - come accade - si prende la pena di verificare 4mb di dati compromettenti e *forgiati* ad arte in modo da essere coerenti.

ora magari non è questo il caso...

quello che mi spaventa è che questa capacità *operativa* sia più o meno alla portata di tutti. un concorrente con pochi scrupoli può violare i sistemi del mio studio, scaricarmi tutta la documentazione e forgiare ad arte pochissimi documenti fittizi che dimostrano che ho avuto scambi e contatti con un tangentista. andrò sotto processo e nessun giudice troverà alcuna evidenza, ma ormai il mio studio sarà definitivamente out of business...
Questo, FX, per rispondere al tuo "Qui Prodest?"

HT è storia ormai, qualcun altro starà certamente contattando i suoi clienti e ne sta prendendo il posto.
i cattivi continueranno a fare i cattivi, pagheranno fatture ad un altro iban...

alla fine, se si osserva lo schema generale, non è successo proprio nulla.
Fx, il mio punto è che io nelle mail semplicemente non mando password..e quando mi occupato di assistenza It e dovevo configurare password, le facevo digitare direttamente agli utonti. Fatto poche volte ma capitava
Non volevo spedire. Comunque la firma digitale serve per assicurarsi che il messaggio sia autentico e la crittografia parte dal presupposto che il computer non sia compromesso. Ovvio che se ho i file di Outlook.. (anche se in teoria sarebbero criptati
"CUI prodest"...
A parte questo, leggendo l'intervista al link che segue, si scopre che uno dei più leggendari titoli di testa di "Cuore" (il famoso: "Hanno la faccia come...") è sempre attuale e che, soprattutto in un Paese ipergarantista come il nostro, la miglior difesa resta sempre l'attacco.

http://www.repubblica.it/tecnologia/sicurezza/2015/07/08/news/il_portavoce_di_hacking_team-118585787/?ref=HREC1-32
@Ela
Non è necessario fabbricare *tutti* i dati, basta fabbricarne alcuni, se decidiamo che l'accusa è "lavorare con il sudan" allora basterà fabbricare pochi documenti per renderla credibile.
Il modo migliore di nascondere una menzogna è per l'appunto farla abbracciare dalla verità. ovvero siccome tutti i documenti innocui sono effettivamente autentici e verificabili e siccome i documenti autentici e innocui sono 400gb di roba, nessuno - come accade - si prende la pena di verificare 4mb di dati compromettenti e *forgiati* ad arte in modo da essere coerenti.


Ciò che ha distrutto HT non è la fattura al Sudan. HT è stata più volte accusata di collaborare con dittature e governi oppressivi ma questo non ha scalfito minimamente l'azienda.
La "mazzata alla nuca" è stato invece far emergere l'assoluta mancanza di professionalità nella sicurezza informatica.
Come ho già scritto in un altro commento, non è che 400Gb di dati li scarichi in cinque minuti. Sicuramente è stato un attacco che è durato ore, se non giorni. E nessuno se n'è accorto.
Se nessuno se n'è accorto allora nessuno monitorava la rete.
Se sono state catturate videate dei pc dei sysadmin nessun firewall (se ce n'era uno) è stato mai configurato per bloccare questo tipo di connessioni.
Il fatto che abbiano trafugato dei dati vuol dire, come hanno fatto già notare altri, che questi dati non erano su pc isolati dal mondo esterno.

scaricarmi tutta la documentazione e forgiare ad arte pochissimi documenti fittizi che dimostrano che ho avuto scambi e contatti con un tangentista. andrò sotto processo e nessun giudice troverà alcuna evidenza, ma ormai il mio studio sarà definitivamente out of business...

Se tu fossi un avvocato cosa ti distruggerebbe di più l'attacco alla rete del tuo studio con relativo furto di dati o "riuscire" a far condannare per omicidio la vittima?
Voglio dire che un errore che non entra nel campo della tua professione difficilmente ti danneggia, mentre ma si deve aver paura degli errori nel proprio campo professionale.
Ah, nota, qui non siamo negli USA in cui se le prove non son state acquisite con tutti i crismi (e l'approvazione dell'indagato) non sono valide. Per lo meno per i reati in cui l'azione penale è obbligatoria. Il contrabbando non penso ricada li'
Ela: c'è quello che si chiama rasoio di occam, secondo cui per spiegare un fenomeno è bene prendere la spiegazione più semplice.

Perché NON E' così strano che una società che si occupa di spionaggio e controspionaggio menta sui propri clienti. Non è AFFATTO strano che a questi livelli se ne freghino di cosa se ne fanno i loro clienti dei programmi che gli vendano. Se avessero degli scrupoli morali farebbero un altro lavoro.

Perché inventare una trama da film di 007 quando si sa che gli incompetenti sono ovunque e che nel campo della sicurezza informatica o sei paranoico all'eccesso o sei a rischio?
Ela: capisco quello che vuoi dire ma la fai troppo semplice, se io mi invento una fattura e tre email di dubbia provenienza gli eventuali inquirenti ne andranno a verificare l'attendibilità prima di fare qualsiasi cosa. Diciamo che se volessero usare questi metodi per attaccare HT vedo più facile far saltare il CEO per accuse di molestie sessuali, che è un caso in cui c'è la parola di A contro la parola di B e non hai log, registri o terze parti tramite i quali poter oggettivare una conclusione.

Lupo: fai bene ma per quella che è la mia esperienza il rischio che ti intercettino è bassissima e relegata prevalentemente ad attacchi manuali (qualcuno che ce l'ha con te - e quando c'è qualcuno che ce l'ha con te, ha un po' di capacità e tempo da perdere prima o poi ti frega comunque), mentre molto più comune è che ti freghino attraverso attacchi automatici (leggi: virus e malware che l'utente si ritrova sul PC, e quando hai il PC compromesso ciao).

souffle: anch'io avrei detto qui prodest, grazie :)
Riguardo alle conseguenze legali che Hacking Team rischia, volevo chiedere: considerato che da quello che è uscito sembra che i loro prodotti avessero una backdoor per spiare i loro clienti, potrebbero essere accusati di spionaggio in questi stati?