skip to main | skip to sidebar
24 commenti

Il malware di HackingTeam che ora sarebbe una “minaccia importante” per tutti? È riconosciuto persino dagli antivirus gratuiti

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “alessandro.p*” e “lori10*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora (ora anche con un microabbonamento).
Ultimo aggiornamento: 2015/07/11 19:45.

Avete letto il catastrofico comunicato stampa di HackingTeam? Quello che dice che “esiste una minaccia importante perché dei criminali informatici hanno postato su Internet il software proprietario di Hacking Team” e che ora “terroristi, estorsori e altri possono installare a piacimento questa tecnologia”?

È lo stesso comunicato che dice “Prima dell'attacco, HackingTeam era in grado di controllare chi aveva accesso a questa tecnologia”. Certo, abbiamo visto come eravate in grado. Così in grado che non solo le vostre mail di lavoro e quelle dei vostri clienti, ma persino i codici sorgente del vostro malware sono ora spiattellati su mezza Internet.

Qualcuno vuol dare a intendere che è tutta colpa dei brutti cattivi che hanno trafugato e messo in giro il malware di HackingTeam. Non è colpa di chi invece stava giocando col fuoco e se l'è fatto sfuggire di mano perché non ha saputo prendere precauzioni adeguate al compito delicatissimo che gli era stato affidato.

Adesso, stando al comunicato di HackingTeam, il mondo intero sarebbe in pericolo. Balle. Persino il mio antivirus gratuito (Sophos per Mac) riconosce il malware di HackingTeam, e lo fa dal 6 luglio scorso, il giorno stesso della fuga dei dati:



Anche i prodotti di Kaspersky riconoscono le backdoor DaVinci/RCS di HackingTeam su PC Windows, su Mac e sui dispositivi Android, come descritto in questo articolo tecnico di giugno 2014 (grazie a Tommaso.M* per la segnalazione). E lo fanno già da tempo, da ancora prima che ci fosse la fuga di dati, anche i prodotti di F-Secure, mi dice Mikko Hypponen.

Gli altri produttori di antivirus non sono certo rimasti con le mani in mano: guardate quanti riconoscono il malware per Flash di HackingTeeam secondo Virustotal.



Quindi niente panico, gente. Se c'è qualcuno che deve avere un attimo di panico è semmai tutta la clientela di HackingTeam che ha sborsato (o fatto sborsare ai governi) centinaia di migliaia di euro per un malware che ora è del tutto inutilizzabile perché viene fermato dai comuni antivirus.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (24)
Si, ma non dimenticare che c'è una non strettissima fascia di giovanissimi e meno giovani che non usa un antivirus, nè si preoccupa di aggiornare flash o altro.
Forse non ho capito una cosa... Perché Eric Rabe (Chief Marketing and Communications Officer, +39 337 1143876) ha un numero di cellulare italiano?
Quello che mi dispiace della vicenda è che avira non lo riconosca ancora :-(

Strano, di solito, sono molto più proattivi!
Dove si può avere un sample del malware? Così posso inviarlo ad avira e dargli la sveglia...
@lufo88
condivido...
Un classico: se la pistola ce l'hanno quelli che son convinti di essere buoni, le armi sono una cosa buona. Se invece ce l'hanno quelli che sono considerati cattivi, le armi sono una cosa cattiva. Potrebbero candidarsi come dirigenti d'azienda, hanno la mentalità idonea per i piani alti.
Preferisco che ci sia un trojan in giro conosciuto dagli antivirus piuttosto che in mano ad un'azienda che lo ha venduto a _chiunque_
https://firstlook.org/theintercept/2015/07/09/hacking-team-employee-jokes-assassinating-aclu-technologist-christopher-soghoian/

Son proprio dei simpaticoni questi di Hacked Team!
Il problema semmai è il contrario, che molta gente potenzialmente pericolosa tenuta sotto controllo perché da polizia, fbi etc si accorgerà di essere spiata, ergo andranno a farsi benedire un bel po' di operazioni di polizia
Saxabar,

è possibile, ma in compenso pensa a quanti perseguitati politici si salveranno in paesi nei quali ti ammazzano per il solo reato di criticare il governo o perché sei un giornalista.

E va detto che HT non avesse venduto a regimi impresentabili, non ci sarebbe neanche da fare questo bilancio.
Ma questo flash0day è soltanto l'exploit di Flash o è il client di RCS?
Paolo c'è tuttavia da tener conto di un dettaglio non irrilevante. Che gli antivirus riconoscano quel dato software di HT non significa che riconoscano l'ultima versione di quel software. E' tipico per software di questo genere continuare a evolvere, in particolar modo dopo che vieni bloccato da software antivirus. E se lo scopo è quello di eludere i controlli AV l'aspetto del codice binario tra una versione e l'altra potrebbe venir completamente rivoluzionato. Quindi tecnicamente potrebbero aver ragione entrambi: una parte che dice che è una minaccia (l'ultima versione), l'altra parte che dice che viene già rilevato (la versione vecchia).

Ovviamente è solo un'ipotesi, credo che a questo punto (con il codice disponibile) sia piuttosto rapida una verifica da parte degli addetti ai lavori.

Per il resto: certo, se non avessero venduto a regimi impresentabili ma solo a agenzie "buone" come l'NSA immagino che ti sarebbe stato bene, eh? Sono ironico :D
Se non ho capito male però rileva solo l'exploit che utilizzavano per uplodare il software, non rileva il software stesso che può essere caricato utilizzando altri exploit o accedendo fisicamente all'hardware (telefonino o computer)
@Fx:

Si spera che gli antivirus non lo rilevino solo in base alla firma del binario, ma aggiornino anche i motori euristici per rilevare software che si comporta in maniera simile, usa expolit simili, chiama api simili ecc ecc.
In quel caso farlo "evolvere", cosa che loro hanno promesso ai loro clienti faranno, sarebbe sempre possibile ma non così semplice.
Bisognerebbe comunque fare dei cambiamenti sostanziali, scoprendo nuove falle, la versione attuale sarebbe una potenziale base per una versione futura, ma non più di quanto non lo siano tante altre che si trovano già.
Insomma, il codice sarebbe un buon materiale di studio, una buona base di partenza, ma nulla più, niente di catastrofico come vogliono far credere.

Piuttosto fossi in loro inizierei a preoccuparmi a nascondermi dai clienti scontenti, cercare di convincerli che non tutto è perduto mi sembra troppo pretenzioso...
Ma il CEO di quest'azienda sa che sta dicendo cavolate oppure non sa di cosa parla?
http://www.corriere.it/tecnologia/15_luglio_12/david-vincenzetti-hacking-team-intervista-b4d96884-2861-11e5-8e27-9292b85fb2a2.shtml

"Siamo stati attaccati quattro volte e questa non è stata la peggiore, è solo la più rilevante dal punto di vista mediatico perché i dati sono stati pubblicati"
Questi sono stati penetrati altri 3 volte!!! E lo ammette candidamente, affermando che questa non è nemmeno la più grave!

LOL! Date un premio a chi ha pubblicato i dati di hacking team, perché ha tolto il velo ad un'azienda dove la sicurezza era solo un telo di carta velina!!!!!!!!!!!!!
Lufo88,

cautela nel criticare questo aspetto: "attaccati" non significa necessariamente "penetrati".
Beh, da come ha esposto il proprio pensiero si suppone che siano stati "penetrati". Anche l'azienda dove lavoro viene attaccata di tanto in tanto (sia i propri server, sia i server nel datacenter).
Ad ogni modo dice in modo esplicito che questo caso non è nemmeno il più grave! A segno che hanno subito violazioni ben peggiori.
Questi sono stati penetrati altri 3 volte!!! E lo ammette candidamente, affermando che questa non è nemmeno la più grave!

cautela nel criticare questo aspetto: "attaccati" non significa necessariamente "penetrati".

E qui si torna al discorso sullo studio della letteratura italiana...
Lufo88: che la furbizia non appartenga loro ormai credo sia lampante. Tu faresti qualcosa di illegale parlandone via normalissime email in chiaro e memorizzando le stesse in un archivio PST? Come dicevo da un'altra parte: vendi illegalmente il software al Sudan e... fai fattura? Ha davvero dell'incredibile il contrasto tra quello che facevano e l'ingenuità con la quale operavano.
Siamo stati attaccati quattro volte e questa non è stata la peggiore

Al di là delle possibili diatribe sul lessico italiano, il messaggio è chiaro.
Tristemente chiaro.
Da come si esprime Vincenzetti, sono stati attaccati altre volte.
Se questa, in cui sono stati penetrati e molti dati rubati, non è la peggiore, esiste almeno un altro caso in cui sono stati penetrati e è stato asportato un volume maggiore di dati (o dati più importanti!). L'unica differenza è che non sono stati sputt... sui media.
Non sembra in effetti una azienda sicurissima....

In più che una azienda come la loro sia attaccata "solo" quattro volte è improbabile. Con i clienti che ha (aveva?) gli interessati con ampie risorse non sono pochi.
@Unknown
No. Vero, "attaccare" non significa "penetrare", ma se il ceo dice esplicitamente che questa non è stata la violazione più grave...posso intuire che parli di "4 volte" come penetrazioni riuscite, perché con tool automatici anche l'azienda dove lavoro è stata attaccata e ben più di 4 volte.
Attaccare, penetrare... Per dirimere la questione viene in nostro aiuto quella signora, decisamente "upper-class", che al giovinastro al quale la sera prima durante un party ha concesso inopinatamente le sue grazie e e che ora la sta importunando al bar, dice sdegnata: "Sir, in the circle I move in, penetration is not introduction!"
piu' che una societa' di sicurezza HT e' una societa' di INnsicurezza...