skip to main | skip to sidebar
22 commenti

HackingTeam, il giorno dopo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mauriziosi*”, “mauro.oli*” e “italoiv*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:25.

Continua la saga della colossale fuga di dati (almeno 400 gigabyte) dalla società di sicurezza informatica italiana HackingTeam, iniziata epicamente ieri mattina e descritta in questo mio articolo. Questo articolo verrà aggiornato man mano che arrivano nuovi dati.


Chi è stato?


Il presunto autore dell'incursione si fa chiamare “Phineas Fisher” e ci sono alcune conferme indipendenti della validità della sua rivendicazione. Stanotte ha tweetato (immagine qui accanto) che scriverà come ha fatto a penetrare in HackingTeam “quando avranno avuto tempo di fallire nel capire cosa è successo e avranno cessato gli affari.” Cattivello, ma anche astuto nell'atteggiarsi a novello Robin Hood.

L'ipotesi, avanzata da alcuni, che l'incursione sia stata opera di una società di sicurezza rivale non ha alcuna prova a sostegno; inoltre, a giudicare dall'approccio alla sicurezza comicamente dilettantesco usato da HackingTeam, non sembra affatto necessario invocare il talento di esperti per spiegare l'intrusione, per cui è poco credibile. Motherboard è riuscita a contattare brevemente Phineas Fisher e autenticarne parzialmente il ruolo.

L'altra ipotesi, ossia che i dati messi in circolazione siano in tutto o in parte inventati, non è credibile, non solo per la quantità immensa dei dati stessi, ma anche perché HackingTeam ha ammesso che le sono stati rubati dei dati.


Conseguenze per Hacking Team


Quanto sarebbero gravi, dal punto di vista legale, le azioni compiute da HackingTeam? L'europarlamentare olandese Marietje Schaake ieri ha scritto che la vendita di questo software al Sudan “non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945, 2091 e 2138, ma [...] violerebbe anche la Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014 riguardanti le misure restrittive in considerazione della situazione in Sudan”. La Schaake aveva già presentato, un paio di mesi fa, un'interrogazione parlamentare sui possibili abusi del software di HackingTeam contro giornalisti e difensori dei diritti umani in Marocco. Ora chiede alle autorità italiane di indagare su HackingTeam.

HackingTeam dichiara, nella propria Customer Policy, di fornire il proprio software soltanto a governi o agenzie governative, ma dai dati trafugati stanno emergendo rapporti e fatture di vendita a società private. Nella stessa Policy HT dichiara anche di non vendere a governi presenti nelle liste nere USA, UE, ONU, NATO o ASEAN, ma ha venduto per esempio al Sudan (nei dati c'è una fattura al governo di quel paese). E i rapporti con il Sudan sono proseguiti almeno fino a gennaio 2014, nonostante le dichiarazioni del portavoce di HackingTeam che minimizzano dicendo che la fattura risale al 2012 e quindi è pre-embargo ONU. I dettagli sono in questo mio articolo.

Come già detto ieri, inoltre, HackingTeam avrebbe mentito anche ai propri clienti governativi, installando nel proprio software una backdoor (controllo remoto) senza dirlo ai clienti stessi.

La collezione di exploit di HT veniva aggiornata anche attingendo disinvoltamente agli exploit pubblicati in Rete dai ricercatori di sicurezza.

Su un piano individuale, i dati trafugati contengono moltissimi dati di persone che lavorano per HT o di loro familiari: foto, numeri di carte di credito, conti correnti, clienti e fornitori, siti frequentati e relative password, dati anagrafici e altro ancora. Queste persone dovranno cambiare tutti questi dati, ove possibile, per evitarne abusi e saccheggi.


Conseguenze per i governi clienti


Fondamentalmente, tutti i clienti che hanno pagato centinaia di migliaia di euro a HackingTeam si trovano adesso con un prodotto inutilizzabile. Una bella fregatura. Non solo HT ha chiesto di sospenderne l'uso, ma sono stati trafugati gli exploit che lo costituivano e che gli consentivano di attaccare in modo invisibile. Questi exploit erano i gioielli della corona di HT e ora verranno eliminati con gli aggiornamenti degli antivirus e del software commerciale, per cui HT ora probabilmente non ha più un malware da vendere.


Conseguenze per noi utenti: nuove falle rivelate, sfruttate e da turare


Iniziano ad emergere le prime conseguenze tecniche della rivelazione del codice sorgente dei prodotti di HackingTeam: oggi Tor Project dice che HT ha tentato di violare la sicurezza del loro software ma finora non sono emersi exploit di HT contro Tor, ma terranno d'occhio gli sviluppi.

È presumibile che a breve i principali antivirus riconosceranno il malware di HackingTeam, se non lo fanno già, e quindi molti dei soggetti sorvegliati si accorgeranno di essere stati messi sotto sorveglianza. Potrebbero essere ben poco contenti di scoprirlo. MIkko Hypponen di F-Secure mi ha confermato che il loro software già bloccava il malware di HT, come confermato dalla documentazione interna di HT che ora è pubblica. Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l'anno.

Ci sono dei benefici per tutti noi: l'esame dei file di HT ha rivelato che l'azienda usava anche falle di Adobe Flash per infettare i propri bersagli. Una di queste falle (CVE-2015-0349) era già nota ed è stata corretta di recente, mentre un'altra sfrutta un exploit che ha effetto anche sulla versione più recente di Flash Player per Windows, Mac e Linux, che è la 18.0.0.194. Questo secondo exploit, finora sconosciuto, è stato subito sfruttato dai criminali informatici non appena è stato reso noto, secondo Trend Micro; ora potrà essere corretto, consentendo di eliminare una vulnerabilità (CVE-2015-5119) alla quale sono stati esposti tutti gli utenti Flash del mondo e di cui HackingTeam era a conoscenza (tenendosela però ben stretta). Adobe ha annunciato per domani (8 luglio) il rilascio di un aggiornamento d'emergenza di Flash che chiude questa seconda falla. Google sta già inviando l'aggiornamento agli utenti di Chrome, secondo quanto riporta Brian Krebs.

L'analisi dei file di HackingTeam ha inoltre permesso di scoprire che l'azienda sfruttava una falla di Windows presente in tutte le versioni, da XP a 8.1, e basata sull'uso di un file di font appositamente confezionato. Non è noto quando Microsoft rilascerà una correzione.

Ci sarebbe anche una falla in SELinux sfruttata da HT, forse sfruttabile per attaccare i telefonini Android.


Mettiamoci una pezza


Lexsi.com, uno dei clienti di HT, ha inviato una richiesta di rimozione a Musalbas.com, uno dei siti che ospita una copia d'archivio dei dati trafugati, dicendo che si tratta di materiale sensibile e riservato. Su questo non c'è dubbio, ma è totalmente inutile chiudere un pezzetto del recinto quando i buoi sono scappati da un pezzo e si stanno moltiplicando allegramente ovunque.


Analisi dei file


Premessa importante: il materiale pubblicato in Rete contiene moltissime immagini della sfera privata di persone legate a HackingTeam, di persone esterne a HT e anche di bambini. Nelle foto e nei video non c'è nulla di imbarazzante, provocante o pertinente per eventuali indagini giornalistiche, per cui credo che sia doveroso rispettare la privacy di queste persone estranee ai fatti e di questi minori che non hanno alcuna colpa. Lascio quindi in pace chi non c'entra.

Gli screenshot pubblicati dall'intrusione includono immagini anche recentissime (primi di luglio) dei desktop dei PC Windows dei due amministratori di sistema e contengono di tutto: dati di richiesta del passaporto per un familiare, sessioni di Solitario e altri giochi (Command and Conquer, mi pare), conversazioni WhatsApp e Facebook, sessioni di scaricamento film su eMule, taglie di reggiseno usate come risposte alle domande d'emergenza per recupero password. Al di là del contenuto relativamente frivolo, l'esistenza di questi screenshot dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi. Questo indica che la sottrazione dei dati non è stata commessa semplicemente copiando i file dai computer e dai server, ma anche infettando direttamente i computer degli admin. Che figuraccia.


Almeno una delle password elencate nei file trafugati è obsoleta (ne ho avuto conferma dall'azienda interessata); potrebbero anche esserlo le altre e comunque sarebbe saggio, da parte dei membri di HT, cambiare tutte le proprie password su qualunque servizio (e magari attivare l'autenticazione a due fattori, che non sembra ci fosse), oltre che cambiare tutti i dettagli delle proprie carte di credito, i cui numeri e altri dati sono recuperabili dai file in circolazione.

I file audio finora esaminati sono semplici test e non contengono nulla di significativo dal punto di vista tecnico.

Il presunto software per iniettare materiale pedopornografico sembra sempre più un falso allarme: probabilmente “semplicemente una demo di cattivo gusto”.

Le mail catturate (interi file PST da vari gigabyte ciascuno) appartengono a molte persone legate a HackingTeam e includono, fra le altre cose, un messaggio nel quale si dice che il sistema RCS di HackingTeam in Colombia è dentro l'ambasciata degli Stati Uniti, dove c'è anche “un altro strumento di intercettazione... che riceverà tutto il traffico degli ISP colombiani”, a conferma del fatto che l'intercettazione di massa preventiva è una prassi del governo degli Stati Uniti.

I nomi degli utenti sono stati mascherati da me; la pecetta non è nell'originale.

Non mancano perle come questa: il CEO di HackingTeam, David Vincenzetti, che dice che non serve ricorrere alla crittografia perché tanto non hanno nulla da nascondere.


Al tempo stesso, notate con quanta circospezione HT parla, in una mail interna, del “cliente E.” che è stato mollato (va detto) da HT dopo che Citizen Lab e Human Rights Watch hanno segnalato gli abusi commessi dal cliente. Notare che la cartella di mail è denominata “EH_Etiopia”, per cui non è difficile per chi analizza questi dati capire quale paese sia il “cliente E.” in questione. I “rapporti di CitizenLab” di cui parla sono probabilmente questi, che denunciano l'uso del malware di Hacking Team contro giornalisti etiopi a Washington.


Niente da nascondere. No, assolutamente.

Ma cosa si aspettavano quelli di HackingTeam quando hanno venduto il proprio software di sorveglianza a un governo come quello dell'Etiopia? Che, con tutti i problemi drammatici che ha quel paese, l'avrebbero usato per sorvegliare pedofili e spacciatori? Siamo seri. Vendere malware a governi di questo genere è esattamente come fare i trafficanti d'armi.


Altri sviluppi


Finalmente i media italofoni cominciano a parlare della vicenda: dopo gli articoli preliminari di ieri di Repubblica, Messaggero, Punto Informatico, per citarne alcuni, oggi ANSA descrive gli eventi; Motherboard in italiano traccia il profilo di HackingTeam; su Webnews si propone un'inchiesta parlamentare; Il Secolo XIX osserva quanto siamo vulnerabili; e ci sono le riflessioni di Stefano Quintarelli. Io, nel mio piccolo, sono stato intervistato dalla Rai per i radiogiornali. La Procura di Milano, intanto, dichiara che aprirà un'inchiesta sull'intrusione.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
"non sapevano di avere dentro i propri computer di lavoro capace di vedere quello che avevano sui loro schermi"

Tra lavoro e capace manca la parola software.
Paolo, refuso:
"non sapevano di avere dentro i propri computer di lavoro capace di vedere quello che avevano sui loro schermi"
presumo tu volessi dire:
"non sapevano di avere dentro i propri computer di lavoro un software capace di vedere quello che avevano sui loro schermi"
o qualcosa di simile ...
P.S: non li invidio, quelli di HT ... non faranno belle vacanze, quest'anno, e mi sa per un bel po'

Ciao
Zappa
"dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro capace di vedere quello che avevano sui loro schermi."

Per forza! Usano windows! :P :P :P :P
Ciao Paolo. Ti segnalo un refuso nel periodo a commento della foto con la sessione del solitario:

"...non sapevano di avere dentro i propri computer di lavoro capace di vedere quello che avevano sui loro schermi."

Grazie per il tuo lavoro di analisi di questo gravissimo avvenimento, di cui tra l'altro i giornali italiani parlano a malapena.


Unknown l'altro
Sembrerebbe che l'autore del leak e intrusione abbia anche colpito Gamma International, omologhi tedeschi di Hacking Team, autori del software FinFisher (i cui siti sono attualmente down)

Phineas Fisher ‏@GammaGroupPR Jul 5
gamma and HT down, a few more to go :)
Tutti,

refuso corretto, grazie!
Situazione pesantissima per loro ma gestione della sicurezza che definire dilettantesca è dire poco...
Erano probabilmente uno dei bersagli privilegiati di una buona quantità di hacker e gestivano la sicurezza con cui neanche io a casa mia la gestirei una situazione paradossale.
"Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l'anno."
Mi verrebbe da pensare: "perchè chi si occupa istituzionalmente di queste cose in realtà non ne capisce nulla..."
i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi.

Ancora molto più grave è il fatto che per scaricare 400gb di roba non è che l'attaccante ci abbia messo cinque minuti.

Questi non monitoravano nemmeno la rete.
C'è un altro refuso, molto più divertente: "che dice che non server ricorrere" :-D
in un qualsiasi posto serio che tratti di roba simile un monitoring di rete ci deve essere, deve far scattare allarmi a non finire in caso di connessioni anche solo minimamente sospette per quantità o tipo dei dati.
questi magari si lamentavano pure perchè emule ( mi pare di averlo riconosciuto dagli screen) era lento mentre sotto il naso gli fottevano HD di dati sensibili.
volevo segnalare sta cosa sull'ansa in tema di sicurezza

http://www.ansa.it/sito/notizie/tecnologia/software_app/2015/07/07/fb-app-segnala-chi-ha-tolto-amicizia_36c48f47-854e-4d98-88c5-78b71d3b36b6.html

solo a me sembra essere un emulo di quell'applicazione che ti rubava le password e scartabellava tutto il tuo account ?
se è quella avranno un po' più di clienti da oggi visto la pubblicità.
"l'approccio alla sicurezza comicamente dilettantesco"
Vedo molto più probabile che ci sia stato il coinvolgimento di un interno.
Leggo su Repubblica il grassetto è mio):

"Tra i clienti di Hacking Teamci, infine, ci sono anche istituzioni finanziarie, assicurative e aziende soprattutto italiane: ABI, l'associazione bancaria italiana, Ubi Banca, Generali, Unipol, Cattolica, CnpCapitalia, Fondiaria SAI, Itas Assicurazioni, ma anche ING Direct, Deutsche Bank, Barclays, RSA e Axa. E poi TIM e Alenia Aermacchi la società controllata da FinMeccanica. Aziende che avrebbero chiesto all'Hacking Team di testare il loro grado di impenetrabilità agli attacchi informatici."

LOL
Secondo me questa situazione rappresenta alla perfezione la gestione delle cose "all'italiana": presunzione, furbizia nell'aggirare le regole per fare qualche soldo in piu' (tanto chi vuoi che se ne accorga del'Etiopia???), e via dicendo.
Il tutto condito da un livello di incompetenza che dovrebbe essere un case study in ogni universita' tecnica.
Devo dire che non mi dispiace per niente che siano stati sputtanati in questo modo.
@Paolo
[Vicenzetti] dice che non server ricorrere alla crittografia
Segnalo un errore, o una tipica deformazione professionale :-)
Mentre scriveva nella stessa Policy che non vendeva a governi nelle liste nere USA, UE, ONU, NATO o ASEAN, lo faceva eccome, per esempio con il Sudan
Mi sfugge qualcosa, o HT srl vendeva a chi non doveva... emettendo pure regolare fattura?
Il buon Schneier, nel suo ultimo Data and Goliath, aveva anticipato le due grosse rivelazioni di questi giorni: che HT faceva affari con chi non avrebbe dovuto e che i governi fanno spionaggio di massa anche con l'aiuto di questo tipo di società. (p. 73,81,149,150)

Un mio misero e indegno riassunto dell'ultimo saggio di Schneier qui: https://ilcomizietto.wordpress.com/2015/07/04/libro-data-and-goliath/
Come notarella segnalo che il sistema RCS di Hacked Team è fra quelli che Detekt dovrebbe rilevare.
Maggiori info:
https://resistsurveillance.org/
Pensavo che eMule fosse ormai relegato all'archeoinformatica..
Ciao Paolo, ti faccio notare questo bell'articolo su Androidiani

http://www.androidiani.com/news/hacking-team-aggiornamenti-considerazioni-245793

Non è proprio copia e incolla, ma ci siamo molto vicini.

Ad esempio, loro scrivono "perché le forze di polizia internazionali avrebbero dovuto spendere centinaia di migliaia di euro, quando con una cifra irrisoria di abbonamento annuale a F-Secure tale malware sarebbe stato stoppato?" mentre tu parli di qualche decina di euro l'anno, ma siamo lì.

Ottimo articolo cmq (come quello precedente e ovviamente il resto del blog), un must per chi vuole essere informato piuttosto che infarinato.

Ciao
che sia HT o qualcun altro, poco importa. Viviamo in un cybermondo e dobbiamo imparare a difenderci. La prima regola è non credere di aver capito qualcosa, c'è ancora molto da capire. Certo, che la magra figura della squadra con il furgone tipo A-team è un punto importante, come il borsello, vedere violati i loro server e la semplicità di security lascia attoniti. ciao attivissimo