Cerca nel blog

2015/07/06

Lo spione spiato: HackingTeam si fa fregare 400 giga di dati. Compresi gli affari con governi impresentabili

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ste.simon*”, “davidedani*” e “matteo.cam*” ed è stato aggiornato estesamente dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora.
Ultimo aggiornamento: 2015/07/11 18:45.

Stanotte HackingTeam, la controversa società italiana che vende software di sorveglianza a governi d'ogni sorta e per questo è etichettata come “nemica di Internet” da Reporter Senza Frontiere, è stata violata massicciamente: questo è, perlomeno, quanto risulta a giudicare dai 400 gigabyte di suoi dati riservati che sono ora a spasso su Bittorrent, a disposizione di chiunque abbia banda sufficiente a scaricarli e tempo e competenza per analizzarli.

Anche l'account Twitter di HackingTeam (@HackingTeam) è stato violato ed è stato usato per pubblicare schermate del materiale pubblicato e tweet di sfottimento come quello mostrato qui sopra.

Dentro la collezione di dati trafugata, stando ai primi esami, c'è di tutto: registrazioni audio, mail, codice sorgente, credenziali di login per i siti di supporto di Hacking Team in Egitto, Messico e Turchia. Secondo l'analisi dell'elenco di file del pacchetto Bittorrent, i clienti di HackingTeam includono la Corea del Sud, il Kazakistan, l'Arabia Saudita, l'Oman, il Libano e la Mongolia; c'è una fattura da 480.000 euro al NISS (National Intelligence and Security Services) del Sudan, che secondo Human Rights Watch ha soffocato le proteste contro il governo facendo 170 morti nel 2013, e c'è una fattura da un milione di euro tondi alla Information Network Security Agency dell'Etiopia, eppure HackingTeam ha dichiarato di non fare affari con governi oppressivi.

Stando ai dati pubblicati a seguito dell'intrusione, ci sono clienti di HackingTeam nei seguenti paesi: Arabia Saudita, Australia, Azerbaigian, Bahrein, Cile, Cipro, Colombia, Corea del Sud, Ecuador, Egitto, Emirati Arabi, Etiopia, Germania, Honduras, Italia, Kazakistan, Lussemburgo, Malesia, Marocco, Messico, Mongolia, Nigeria, Oman, Panama, Polonia, Repubblica Ceca, Russia, Singapore, Spagna, Stati Uniti, Sudan, Svizzera, Tailandia, Ungheria, Uzbekistan, Vietnam.

Fra questi paesi quello più scottante è il Sudan, perché c'è un embargo ONU contro questo paese e un'eventuale violazione di quest'embargo da parte di HT sarebbe decisamente imbarazzante, viste anche le dichiarazioni passate di HackingTeam, secondo le quali ci sarebbe un “comitato legale” che “tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International”. Attenzione: “tenere conto” non è sinonimo di “rispettare”. E in un'intervista a Wired di febbraio 2014 HT dichiarava che “Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne.” I risultati di questo lavoro si sono visti stamattina.

C'è anche, secondo Christopher Soghoian, un file Excel con tutti i clienti governativi, le date di primo acquisto da HackingTeam e i ricavi accumulati (maggiori dettagli negli aggiornamenti qui sotto).

Non è finita: alcuni screenshot rivelano pratiche di sicurezza davvero imbarazzanti per una società che si occupa di sicurezza informatica a livelli governativi. Ci sono le password di una persona dotata di account di posta su Hackingteam.com, conservate in chiaro in un file (forse custodito dentro un volume cifrato Truecrypt, comunque scavalcato) e costituite principalmente dalla parola Passw0rd usata ripetutamente per più siti.


E la stessa persona conserva sul computer di lavoro dei link a Youporn (aggiornamento 2015/07/11: potrebbe esserci una ragione di lavoro):

Ho contattato il CEO di HackingTeam per avere una dichiarazione sulla vicenda e sono in attesa di risposta.

Se i dati vengono confermati come autentici, è una carneficina digitale e la reputazione di HackingTeam ne esce a pezzi. Alcuni governi si cominceranno a chiedere in che mani hanno messo i loro affari più sensibili.


13:30. La vicenda sta scivolando rapidamente nel surreale. In tarda mattinata Christian Pozzi di HackingTeam si è affacciato su Twitter per dire che l'azienda ha inviato “una mail di massa a tutti i nostri clienti colpiti non appena abbiamo saputo dell'attacco informatico”. Una dichiarazione che suona decisamente come una conferma dell'autenticità dei dati in circolazione.

Non vorrei essere nei panni della persona di HT che deve spiegare ai servizi di sicurezza russi o di altri paesi che i loro dati riservati ora sono a spasso su Internet.

Non è finita: poco dopo che Pozzi ha tweetato la dichiarazione, anche il suo account Twitter è stato violato, probabilmente a causa di una password un tantinello ovvia come quelle mostrate qui sopra. Ora l'account Twitter risulta disattivato, ma non prima che ne siano stati catturati screenshot assolutamente epici.

Questa vicenda sta diventando un perfetto manuale di tutto quello che non va fatto quando c'è una violazione della sicurezza informatica. E anche di quello che non va fatto per evitare che si verifichi. Regola numero uno: quando succede un casino, stai zitto e lascia che parlino gli avvocati.

Intanto emergono dati aggiuntivi: secondo le ricerche degli esperti, nei file trafugati ci sono dati e password dei clienti di HackingTeam, contratti, parametri di configurazione e un file particolarmente compromettente, che elenca lo stato dei vari clienti, con Russia e Sudan etichettati come “non supportati ufficialmente”:


14:10. La vicenda dovrebbe far riflettere, a mio avviso, su tutta la questione dei trojan di stato. Se, come sembra, il codice sorgente del malware creato da HackingTeam è stato pubblicato nel pacchetto di dati trafugati, questo dimostra concretamente quello che gli esperti dicono da anni: non c'è modo per un governo di creare un malware che potrà essere usato soltanto dai “buoni”. Il malware è malware. È tossico per tutti, esattamente come le armi chimiche o batteriologiche. E prima o poi sfugge di mano.


16:30. Un utente, “Phineas Fisher”, si è attribuito con un tweet (parzialmente confermato) il merito di quest'incursione e di quella ai danni di un'altra società dello stesso settore, Gamma, qualche tempo addietro. Intanto dal Torrent sono stati estratti e segnalati online dei file Excel (Client Overview*) nei quali ci sono i clienti e i loro indirizzi di mail e su Github sono stati pubblicati quelli che sembrano essere i codici sorgente trafugati. Ci sono persino degli screenshot dei desktop dei computer del personale della società. La situazione per HackingTeam, insomma, diventa sempre più disastrosa.


17:00. Apple avrebbe dato a HackingTeam un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo in teoria avrebbe permesso a HackingTeam di inviare alla vittima via mail o postare su un sito (non nell'App Store) un'app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.


18:00. C'è anche la Svizzera, e specificamente la Polizia Cantonale di Zurigo, fra i clienti di HackingTeam. Per la cifra non trascurabile di 486.500 euro la Kantonspolizei ha acquistato a fine 2014 da HT il Remote Control System Galileo (fattura numero 072/2014). Di questo acquisto ho conferma da fonte indipendente. Galileo è uno dei nomi usati da HT per indicare il proprio malware usato per intercettare i contenuti di smartphone (iOS, Android, Windows Phone, BlackBerry, Symbian) e computer (Windows, Linux, OS X) scavalcandone la crittografia. Galileo viene offerto vantandone l'uso per gestire “fino a centinaia di migliaia di bersagli”.


HackingTeam e i suoi clienti difendono spesso l'uso di malware di stato dicendo che è necessario per lottare contro terrorismo, narcotraffico e pedopornografia. Ma quando si parla di “centinaia di migliaia di bersagli” siamo nel campo della sorveglianza di massa della popolazione e quei reati non c'entrano nulla. A meno che qualche governo se la senta di dire che ha in casa centinaia di migliaia di terroristi, spacciatori e pedofili.


21:30. Si stanno accumulando molte domande, anche autorevoli (The Register, Kevin Mitnick), intorno ad alcuni pezzi di codice sorgente (come questo e questo) che a prima vista sembrano istruzioni per piazzare file di contenuto pedopornografico nei dispositivi dei sorvegliati. Prima di fare un'accusa così grave aspetterei un'analisi esperta di quel codice: non vorrei che si trattasse, per esempio, di semplici funzioni usate per creare un file dimostrativo per i test di funzionalità del malware. Quei nomi pippo e pluto, così tipici della programmazione fatta da italofoni, hanno l'aria di utenti demo.




22:45. Motherboard (Vice.com) scrive che HackingTeam “ha detto a tutti i propri clienti di interrompere tutte le attività e di sospendere ogni uso dello spyware dell'azienda”, riferendosi specificamente al software Galileo/RCS. Scrive inoltre che HT non ha più accesso alla propria mail e che probabilmente i 400 GB di dati sono solo una parte del materiale trafugato. L'intrusione sarebbe avvenuta entrando nei computer dei due amministratori di sistema di HT, Christian Pozzi e Mauro Romeo (sì, la persona che usa come password Passw0rd e lo fa ripetutamente è un sysadmin; non ridete). Nessuno dei dati sensibili era cifrato: passaporti dei dipendenti, elenchi di clienti, tutto in chiaro. Il profilo LinkedIn di Pozzi lo descrive come Senior System and Security Engineer, Hacking Team, April 2014 – Present (1 year 4 months).

Correzione: in una versione precedente di questo articolo avevo scritto che il profilo era stato cancellato; invece era online e c'era un errore mio nell'URL che stavo usando.

C'è anche di peggio. Sempre secondo le fonti di Motherboard, il software di HT ha una backdoor (probabilmente questa) che permette a HT di disattivare o sospendere il suo funzionamento, e questo non lo sanno neppure i clienti.

E ancora: ogni copia del software ha un watermark, per cui “HackingTeam, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. [...] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a HackingTeam di spegnerli indipendentemente dal cliente e di recuperare l'indirizzo IP finale che devono contattare”.

Saranno contentissimi i clienti di HT, che volevano un prodotto che desse loro una backdoor per spiare i loro bersagli e invece si sono trovati con un prodotto che ha anche una backdoor che agisce contro di loro e rivela chi volevano spiare. Sembra un brutto remake di Inception.

Come se non bastasse tutta questa devastazione, su Twitter gira un umiliante abbinamento di carte: da una parte c'è un documento datato 2015 in cui il rappresentante all'ONU dell'Italia, Sebastiano Cardi, dichiara che HackingTeam al momento non opera nel Sudan e chiede che HackingTeam chiarisca se ci sono stati affari precedenti con il Sudan; dall'altra c'è una fattura di HackingTeam al Sudan datata 2012. Sarebbe interessante sapere come si sente ora Sebastiano Cardi.

Correzione: il paragrafo precedente è stato aggiornato per presentare più correttamente il ruolo di Cardi.


23:00. È una disfatta totale: sono finiti online anche gli estratti conto delle carte di credito dei membri di HackingTeam, i file audio, gli screenshot di Pozzi che ha in archivio il file pirata di Cinquanta sfumature di grigio, si collega dal lavoro a un desktop remoto e lo usa per scaricare film pirata su Emule e altre chicche. Vediamo quali altre sorprese ci porterà la notte.


23:55. Vorrei concludere la giornata con un grandissimo grazie pubblico a tutti i lettori che mi hanno aiutato a raccogliere al volo i pezzi di questa vicenda; senza di voi non sarebbe stato possibile, ma siete troppi per potervi ringraziare uno per uno. A domani!


2015/07/07 10:40. Ho sistemato alcune imprecisioni nel testo di questo articolo e ne sto preparando uno supplementare con gli aggiornamenti della notte e del mattino. Eccolo.


Fonti aggiuntive (con link al Torrent, a screenshot e a documenti): The Register (anche qui), The Next Web, CSO Online (anche qui), Wired, Bruce Schneier, The Intercept, Ars Technica, The Guardian.

Nessun commento: