Cerca nel blog

2015/07/09

È finita: WikiLeaks pubblica un milione di mail di HackingTeam. Con pratica funzione di ricerca

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/11 18:50.

Wikileaks ha messo online un archivio cercabile contenente oltre un milione di mail provenienti dalla fuga di dati che ha colpito HackingTeam.

Se in questi primi giorni le indagini giornalistiche per verificare eventuali collaborazioni dell'azienda italiana con governi repressivi sono state ostacolate dalla difficoltà tecnica di scaricare i 400 gigabyte di dati trafugati o di sfogliarne online le varie parti, ora chiunque può cercare in tutta la corrispondenza di HackingTeam con un semplice clic.

Per esempio, una ricerca di “IP address” insieme a “VPS” rivela molte comunicazioni interessanti e dettagli dell'infrastruttura di sorveglianza di HackingTeam. Una ricerca per “gov.sa” rivela comunicazioni con indirizzi governativi dell'Arabia Saudita, e così via. Altre parole chiave potenzialmente interessanti sono exploit, Eric.rabe, e.rabe, leak e leaker.

Dall'archivio di mail risultano scambi anche recentissimi con i servizi di sicurezza dell'Etiopia, come questa mail del 10 giugno 2015:

David, Giancarlo,tomorrow at midnight the temporary, read-only license we gave to INSA is going to expire. Since we issued this last license. We have not received any reply from them, on any channel.I would wait and see if anything moves on their side, or do you want to anticipate action (e.g., issue a new license)?Thanks,Daniele

E si vede anche il commercio di exploit (vulnerabilità) per Adobe Flash, negoziate da HackingTeam (grazie a @mme_bathory per la segnalazione):

Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita' ma
stessi target) che aveva accorpato in un unica descrizione... abbiamo
preso uno... prendiamo l'altro?

#1,#2 (two 0days) Adobe Flash Player
versions: 9 and higher
platforms: 32- and 64-bit Windows, 64-bit OS X
price: $45k by three monthly payments

Gli chiederi semplicemente conferma che siano effettivamente due
distinte vulnerabilita' in parti diverse del codice(per evitare che
patchato uno perdiamo pure l'altro).

Senno' c'era anche l'opzione 3 (credo che 32-bit windows vada bene per
browser a 32-bit su architettura x64, da verificare nel caso):

#3 Adobe Flash Player
versions: 11.4 and higher
platforms: 32-bit Windows
payload: calc.exe is launched on Windows
price: $30k by two monthly payments

In pratica HackingTeam sta discutendo l'acquisto di vulnerabilità inedite per Adobe Flash che sono presenti in milioni di computer e invece di renderle pubbliche per consentire a tutti di essere più sicuri se le vorrebbe tenere per sé per usarle nei propri prodotti di sorveglianza. È l'equivalente di scoprire una malattia e tenere per sé la cura per farci dei soldi.

Ma non è il caso di pensare che HackingTeam sia l'unica a fare commerci loschi di questo genere. Un'altra mail di HT fa infatti quest'osservazione a proposito di ditte concorrenti:

Ribadisco l’importanza di prendere contatti: ci saranno un sacco di researchers asiatici  e non solo con exploit da vendere e *****, te l’assicuro, compra in questo modo la maggior parte degli exploits che poi, debitamente controllati e ripuliti, vengono venduti a 10 volte il prezzo originario.

[...]

I HAVE strong, incontrovertible EVIDENCE that the most famous 0-day vendors (e.g., *****, *****) do NOT create/find/research the vast majority of the numerous exploits they sell. 
According to my intelligence information I can tell you that only about ** 30% ** of the exploits in such famous 0-day vendors' commercial catalogs have been internally researched. 
That is, an amazing 70%, of the exploits actually commercially proposed by such exploits vendors are BOUGHT from THIRD PARTIES, then worked out, possibly enhanced, polished and eventually sold to their own clients with hefty profit margins.
When at the conference, I urge you to start building up as many commercial relationships with new exploits researchers and minor/still unknown exploit vendors as possible. We need external resources in order to effectively compete, and win, in the 0-day game.

Così fan tutti, insomma, e allora facciamolo anche noi. Da notare che quella che per noi utenti è un'infezione potenzialmente devastante per loro è un game: un gioco. E a furia di giocare con i virus, se li sono lasciati sfuggire.

Nessun commento: