Cerca nel blog

2015/07/11

Il malware di HackingTeam che ora sarebbe una “minaccia importante” per tutti? È riconosciuto persino dagli antivirus gratuiti

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “alessandro.p*” e “lori10*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora (ora anche con un microabbonamento).
Ultimo aggiornamento: 2015/07/11 19:45.

Avete letto il catastrofico comunicato stampa di HackingTeam? Quello che dice che “esiste una minaccia importante perché dei criminali informatici hanno postato su Internet il software proprietario di Hacking Team” e che ora “terroristi, estorsori e altri possono installare a piacimento questa tecnologia”?

È lo stesso comunicato che dice “Prima dell'attacco, HackingTeam era in grado di controllare chi aveva accesso a questa tecnologia”. Certo, abbiamo visto come eravate in grado. Così in grado che non solo le vostre mail di lavoro e quelle dei vostri clienti, ma persino i codici sorgente del vostro malware sono ora spiattellati su mezza Internet.

Qualcuno vuol dare a intendere che è tutta colpa dei brutti cattivi che hanno trafugato e messo in giro il malware di HackingTeam. Non è colpa di chi invece stava giocando col fuoco e se l'è fatto sfuggire di mano perché non ha saputo prendere precauzioni adeguate al compito delicatissimo che gli era stato affidato.

Adesso, stando al comunicato di HackingTeam, il mondo intero sarebbe in pericolo. Balle. Persino il mio antivirus gratuito (Sophos per Mac) riconosce il malware di HackingTeam, e lo fa dal 6 luglio scorso, il giorno stesso della fuga dei dati:



Anche i prodotti di Kaspersky riconoscono le backdoor DaVinci/RCS di HackingTeam su PC Windows, su Mac e sui dispositivi Android, come descritto in questo articolo tecnico di giugno 2014 (grazie a Tommaso.M* per la segnalazione). E lo fanno già da tempo, da ancora prima che ci fosse la fuga di dati, anche i prodotti di F-Secure, mi dice Mikko Hypponen.

Gli altri produttori di antivirus non sono certo rimasti con le mani in mano: guardate quanti riconoscono il malware per Flash di HackingTeeam secondo Virustotal.



Quindi niente panico, gente. Se c'è qualcuno che deve avere un attimo di panico è semmai tutta la clientela di HackingTeam che ha sborsato (o fatto sborsare ai governi) centinaia di migliaia di euro per un malware che ora è del tutto inutilizzabile perché viene fermato dai comuni antivirus.

24 commenti:

Anonimo ha detto...

Si, ma non dimenticare che c'è una non strettissima fascia di giovanissimi e meno giovani che non usa un antivirus, nè si preoccupa di aggiornare flash o altro.

Cmd.J.Keyl ha detto...

Forse non ho capito una cosa... Perché Eric Rabe (Chief Marketing and Communications Officer, +39 337 1143876) ha un numero di cellulare italiano?

lufo88 ha detto...

Quello che mi dispiace della vicenda è che avira non lo riconosca ancora :-(

Strano, di solito, sono molto più proattivi!

lufo88 ha detto...

Dove si può avere un sample del malware? Così posso inviarlo ad avira e dargli la sveglia...

yos ha detto...

@lufo88
condivido...

Un bischero ha detto...

Un classico: se la pistola ce l'hanno quelli che son convinti di essere buoni, le armi sono una cosa buona. Se invece ce l'hanno quelli che sono considerati cattivi, le armi sono una cosa cattiva. Potrebbero candidarsi come dirigenti d'azienda, hanno la mentalità idonea per i piani alti.

Davide ha detto...

Preferisco che ci sia un trojan in giro conosciuto dagli antivirus piuttosto che in mano ad un'azienda che lo ha venduto a _chiunque_

Unknown ha detto...

https://firstlook.org/theintercept/2015/07/09/hacking-team-employee-jokes-assassinating-aclu-technologist-christopher-soghoian/

Son proprio dei simpaticoni questi di Hacked Team!

Saxabar ha detto...

Il problema semmai è il contrario, che molta gente potenzialmente pericolosa tenuta sotto controllo perché da polizia, fbi etc si accorgerà di essere spiata, ergo andranno a farsi benedire un bel po' di operazioni di polizia

Paolo Attivissimo ha detto...

Saxabar,

è possibile, ma in compenso pensa a quanti perseguitati politici si salveranno in paesi nei quali ti ammazzano per il solo reato di criticare il governo o perché sei un giornalista.

E va detto che HT non avesse venduto a regimi impresentabili, non ci sarebbe neanche da fare questo bilancio.

Gabry89 ha detto...

Ma questo flash0day è soltanto l'exploit di Flash o è il client di RCS?

Fx ha detto...

Paolo c'è tuttavia da tener conto di un dettaglio non irrilevante. Che gli antivirus riconoscano quel dato software di HT non significa che riconoscano l'ultima versione di quel software. E' tipico per software di questo genere continuare a evolvere, in particolar modo dopo che vieni bloccato da software antivirus. E se lo scopo è quello di eludere i controlli AV l'aspetto del codice binario tra una versione e l'altra potrebbe venir completamente rivoluzionato. Quindi tecnicamente potrebbero aver ragione entrambi: una parte che dice che è una minaccia (l'ultima versione), l'altra parte che dice che viene già rilevato (la versione vecchia).

Ovviamente è solo un'ipotesi, credo che a questo punto (con il codice disponibile) sia piuttosto rapida una verifica da parte degli addetti ai lavori.

Per il resto: certo, se non avessero venduto a regimi impresentabili ma solo a agenzie "buone" come l'NSA immagino che ti sarebbe stato bene, eh? Sono ironico :D

Valter Battioli ha detto...

Se non ho capito male però rileva solo l'exploit che utilizzavano per uplodare il software, non rileva il software stesso che può essere caricato utilizzando altri exploit o accedendo fisicamente all'hardware (telefonino o computer)

Tukler ha detto...

@Fx:

Si spera che gli antivirus non lo rilevino solo in base alla firma del binario, ma aggiornino anche i motori euristici per rilevare software che si comporta in maniera simile, usa expolit simili, chiama api simili ecc ecc.
In quel caso farlo "evolvere", cosa che loro hanno promesso ai loro clienti faranno, sarebbe sempre possibile ma non così semplice.
Bisognerebbe comunque fare dei cambiamenti sostanziali, scoprendo nuove falle, la versione attuale sarebbe una potenziale base per una versione futura, ma non più di quanto non lo siano tante altre che si trovano già.
Insomma, il codice sarebbe un buon materiale di studio, una buona base di partenza, ma nulla più, niente di catastrofico come vogliono far credere.

Piuttosto fossi in loro inizierei a preoccuparmi a nascondermi dai clienti scontenti, cercare di convincerli che non tutto è perduto mi sembra troppo pretenzioso...

lufo88 ha detto...

Ma il CEO di quest'azienda sa che sta dicendo cavolate oppure non sa di cosa parla?
http://www.corriere.it/tecnologia/15_luglio_12/david-vincenzetti-hacking-team-intervista-b4d96884-2861-11e5-8e27-9292b85fb2a2.shtml

"Siamo stati attaccati quattro volte e questa non è stata la peggiore, è solo la più rilevante dal punto di vista mediatico perché i dati sono stati pubblicati"
Questi sono stati penetrati altri 3 volte!!! E lo ammette candidamente, affermando che questa non è nemmeno la più grave!

LOL! Date un premio a chi ha pubblicato i dati di hacking team, perché ha tolto il velo ad un'azienda dove la sicurezza era solo un telo di carta velina!!!!!!!!!!!!!

Paolo Attivissimo ha detto...

Lufo88,

cautela nel criticare questo aspetto: "attaccati" non significa necessariamente "penetrati".

lufo88 ha detto...

Beh, da come ha esposto il proprio pensiero si suppone che siano stati "penetrati". Anche l'azienda dove lavoro viene attaccata di tanto in tanto (sia i propri server, sia i server nel datacenter).
Ad ogni modo dice in modo esplicito che questo caso non è nemmeno il più grave! A segno che hanno subito violazioni ben peggiori.

Unknown ha detto...

Questi sono stati penetrati altri 3 volte!!! E lo ammette candidamente, affermando che questa non è nemmeno la più grave!

cautela nel criticare questo aspetto: "attaccati" non significa necessariamente "penetrati".

E qui si torna al discorso sullo studio della letteratura italiana...

Fx ha detto...

Lufo88: che la furbizia non appartenga loro ormai credo sia lampante. Tu faresti qualcosa di illegale parlandone via normalissime email in chiaro e memorizzando le stesse in un archivio PST? Come dicevo da un'altra parte: vendi illegalmente il software al Sudan e... fai fattura? Ha davvero dell'incredibile il contrasto tra quello che facevano e l'ingenuità con la quale operavano.

brain_use ha detto...

Siamo stati attaccati quattro volte e questa non è stata la peggiore

Al di là delle possibili diatribe sul lessico italiano, il messaggio è chiaro.
Tristemente chiaro.

Crazy ha detto...

Da come si esprime Vincenzetti, sono stati attaccati altre volte.
Se questa, in cui sono stati penetrati e molti dati rubati, non è la peggiore, esiste almeno un altro caso in cui sono stati penetrati e è stato asportato un volume maggiore di dati (o dati più importanti!). L'unica differenza è che non sono stati sputt... sui media.
Non sembra in effetti una azienda sicurissima....

In più che una azienda come la loro sia attaccata "solo" quattro volte è improbabile. Con i clienti che ha (aveva?) gli interessati con ampie risorse non sono pochi.

lufo88 ha detto...

@Unknown
No. Vero, "attaccare" non significa "penetrare", ma se il ceo dice esplicitamente che questa non è stata la violazione più grave...posso intuire che parli di "4 volte" come penetrazioni riuscite, perché con tool automatici anche l'azienda dove lavoro è stata attaccata e ben più di 4 volte.

souffle ha detto...

Attaccare, penetrare... Per dirimere la questione viene in nostro aiuto quella signora, decisamente "upper-class", che al giovinastro al quale la sera prima durante un party ha concesso inopinatamente le sue grazie e e che ora la sta importunando al bar, dice sdegnata: "Sir, in the circle I move in, penetration is not introduction!"

Guido Pisano ha detto...

piu' che una societa' di sicurezza HT e' una societa' di INnsicurezza...