L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/09/02 21:00.
Se avete un iPhone o un iPad, aggiornate subito il suo iOS in modo da portarlo alla versione 9.3.5. Apple ha infatti distribuito ieri un aggiornamento d’emergenza che risolve ben tre falle gravissime, che sono già sfruttate da anni da operatori senza scrupoli.
Le falle, denominate Trident dagli esperti, consentono di prendere il controllo completo di un dispositivo iOS semplicemente mandandogli un SMS che contiene un link. Se la vittima tocca il link per visitarlo, il dispositivo viene silenziosamente infettato, per cui l’aggressore può intercettare tutte le comunicazioni: messaggi WhatsApp, Viber, Gmail, Facebook, Skype, FaceTime, Calendar, WeChat e altro ancora. Anche telecamera e microfono possono essere accesi da remoto. Se un dispositivo è infettato, l’infezione persiste anche se lo si aggiorna.
La scoperta è stata fatta e annunciata da Citizen Lab e Lookout su segnalazione di Ahmed Mansoor, un difensore dei diritti umani riconosciuto a livello internazionale che risiede negli Emirati Arabi Uniti. Il 10 agosto scorso ha ricevuto degli SMS che gli promettevano segreti importanti sulla tortura dei detenuti nelle carceri degli Emirati se cliccava sui link inclusi nei messaggi. Mansoor ha fiutato la trappola e li ha mandati agli esperti di sicurezza, che hanno ricostruito il funzionamento e l’origine dell’attacco.
La fonte indicata dagli esperti non è la solita banda criminale: questo è un attacco di gran lunga troppo sofisticato. Gli indizi tecnici puntano a NSO Group, una società israeliana e statunitense che crea spyware per governi senza farsi alcuno scrupolo etico e si fa pagare anche un milione di dollari per ogni malware (o 650.000 dollari, più 500.000 dollari di attivazione, per dieci telefonini da sorvegliare, secondo il New York Times). Questo è il genere di mercenari con i quali rischia di dover lavorare chi pensa di usare malware di stato, e questo è il genere di cifre che occorre far pagare ai contribuenti. Il mandante dell’attacco contro Mansoor, presumibilmente, è il governo degli Emirati.
Probabilmente non avete governi nemici che vi stanno attaccando, ma ora che le falle negli iPhone e iPad sono state annunciate e documentate pubblicamente per consentire di risolverle, i criminali informatici di piccolo calibro si daranno da fare per creare attacchi basati su queste stesse falle. Di solito riescono a farlo nel giro di 24-48 ore, per cui non è il caso di rinviare l’aggiornamento.
L'aggiornamento si installa in pochi minuti nella maniera solita: Impostazioni - Generali - Aggiornamento software. Sono aggiornabili tutti i dispositivi Apple recenti: dall’iPhone 4S in su, dall’iPad 2 in su, tutti gli iPad Mini e Pro, e gli iPod touch di quinta e sesta generazione. Chi non può aggiornarsi perché ha un iPhone o iPad molto vecchio resta gravemente vulnerabile se usa il dispositivo collegandolo a Internet e/o alla rete cellulare.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).
Secondo le ricerche effettuate da Mustafa Al-Bassam, nel mondo ci sono attualmente oltre 15.000 firewall Cisco PIX vulnerabili all’attacco (finora segreto) BENIGNCERTAIN che l’NSA si è lasciata sfuggire. Quindi nonostante risalgano a circa tre anni fa, sono tutt’altro che spuntate.
There's actually over 15,000 Cisco PIX firewalls online today vulnerable to BENIGNCERTAIN, most of them in Russia. pic.twitter.com/rmwHBEyGW9
Si sente spesso parlare degli attacchi di spionaggio informatico governativo o filogovernativo provenienti dalla Cina o dagli Stati Uniti, ma di quelli che partono dalla Russia si dice poco o nulla. Una recentissima ricerca pubblicata in inglese dalla società di sicurezza informatica F-Secure svela finalmente una parte significativa di questo mondo poco conosciuto.
La ricerca, intitolata The Dukes (i duchi) dal nome assegnato dai ricercatori ai malware coinvolti, ripercorre ben sette anni delle attività di un gruppo di spie informatiche che secondo F-Secure sono al servizio della Federazione Russa e raccolgono “dati di intelligence a supporto delle decisioni politiche estere e di sicurezza”.
I Dukes attaccano principalmente governi, ministeri, agenzie e aziende di paesi esteri in Asia, Africa, Medio Oriente, Europa e America, organizzazioni legate al terrorismo ceceno e gruppi russofoni dediti al commercio illegale di stupefacenti.
Colpisce molto la relativa semplicità delle tecniche usate: gli attacchi sfruttano per lo più lo spear phishing, ossia mail confezionate con cura su misura per lo specifico bersaglio allo scopo di indurlo a cliccare sui link o sugli allegati presenti nei messaggi e infettarlo, ma in almeno un caso è stato sfruttato anche un nodo russo della rete di anonimizzazione Tor iniettando malware nei file scaricati dagli utenti.
Fra gli strumenti sviluppati dall'organizzazione di guerra informatica c'è per esempio PinchDuke, che ruba password e identità su Yahoo, Google Talk e Mail.ru e attacca Outlook, Thunderbird e Firefox tramite un documento Word o Acrobat; c'è GeminiDuke, un malware di ricognizione che esplora le reti Windows per preparare successivi attacchi; c'è CosmicDuke, che registra le digitazioni e cattura schermate degli utenti infettati; e c'è CloudDuke, che accede ai dati delle vittime tramite il cloud, specificamente quello di Microsoft OneDrive.
Come fa F-Secure a sapere che questi malware sono di origine russa e legati almeno per intenti al governo russo? Lo indica il tipo di bersaglio preso di mira, che coincide con quelli di interesse per questo governo, la lingua russa usata per i messaggi d'errore presenti nei campioni di malware catturati, e l'uso di marcatori temporali riferiti all'ora standard di Mosca.
Anche la cronologia degli attacchi è molto illuminante: per esempio, prima dell'inizio della crisi in Ucraina i Dukes iniziarono a compiere attacchi di spear phishing usando finte mail di enti governativi dell'Ucraina per raccogliere informazioni. Inoltre la lunga durata nel tempo, il modo di agire con impunità e il coordinamento preciso, senza conflitti con altri malware, sembrano indicare un'organizzazione ben finanziata e strutturata che difficilmente potrebbe operare in Russia senza avere perlomeno l'approvazione del governo locale.
In mezzo a questa guerra di spie ci siamo inevitabilmente noi tutti, come vittime collaterali ma anche spesso come bersagli, perché vengono prese di mira non solo le grandi organizzazioni ma anche i loro dipendenti e affiliati alla ricerca dell'elemento debole che porti il malware dentro il cuore informatico del bersaglio. Conoscere le tecniche sorprendentemente banali usate spesso dalle spie informatiche ci permette di difenderci meglio dai loro attacchi. Per esempio, non aprire gli allegati senza adeguate protezioni e gestire le password con criterio invece di avere un atteggiamento facilone sarebbe già un ottimo passo avanti.
Se in questi primi giorni le indagini giornalistiche per verificare eventuali collaborazioni dell'azienda italiana con governi repressivi sono state ostacolate dalla difficoltà tecnica di scaricare i 400 gigabyte di dati trafugati o di sfogliarne online le varie parti, ora chiunque può cercare in tutta la corrispondenza di HackingTeam con un semplice clic.
Per esempio, una ricerca di “IP address” insieme a “VPS” rivela molte comunicazioni interessanti e dettagli dell'infrastruttura di sorveglianza di HackingTeam. Una ricerca per “gov.sa” rivela comunicazioni con indirizzi governativi dell'Arabia Saudita, e così via. Altre parole chiave potenzialmente interessanti sono exploit, Eric.rabe, e.rabe, leak e leaker.
Dall'archivio di mail risultano scambi anche recentissimi con i servizi di sicurezza dell'Etiopia, come questa mail del 10 giugno 2015:
David, Giancarlo,tomorrow at midnight the temporary, read-only license we gave to INSA is going to expire. Since we issued this last license. We have not received any reply from them, on any channel.I would wait and see if anything moves on their side, or do you want to anticipate action (e.g., issue a new license)?Thanks,Daniele
E si vede anche il commercio di exploit (vulnerabilità) per Adobe Flash, negoziate da HackingTeam (grazie a @mme_bathory per la segnalazione):
Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita' ma
stessi target) che aveva accorpato in un unica descrizione... abbiamo
preso uno... prendiamo l'altro?
#1,#2 (two 0days) Adobe Flash Player
versions: 9 and higher
platforms: 32- and 64-bit Windows, 64-bit OS X
price: $45k by three monthly payments
Gli chiederi semplicemente conferma che siano effettivamente due
distinte vulnerabilita' in parti diverse del codice(per evitare che
patchato uno perdiamo pure l'altro).
Senno' c'era anche l'opzione 3 (credo che 32-bit windows vada bene per
browser a 32-bit su architettura x64, da verificare nel caso):
#3 Adobe Flash Player
versions: 11.4 and higher
platforms: 32-bit Windows
payload: calc.exe is launched on Windows
price: $30k by two monthly payments
In pratica HackingTeam sta discutendo l'acquisto di vulnerabilità inedite per Adobe Flash che sono presenti in milioni di computer e invece di renderle pubbliche per consentire a tutti di essere più sicuri se le vorrebbe tenere per sé per usarle nei propri prodotti di sorveglianza. È l'equivalente di scoprire una malattia e tenere per sé la cura per farci dei soldi.
Ma non è il caso di pensare che HackingTeam sia l'unica a fare commerci loschi di questo genere. Un'altra mail di HT fa infatti quest'osservazione a proposito di ditte concorrenti:
Ribadisco l’importanza di prendere contatti: ci saranno un sacco di researchers asiatici e non solo con exploit da vendere e *****, te l’assicuro, compra in questo modo la maggior parte degli exploits che poi, debitamente controllati e ripuliti, vengono venduti a 10 volte il prezzo originario.
[...]
I HAVE strong, incontrovertible EVIDENCE that the most famous 0-day vendors (e.g., *****, *****) do NOT create/find/research the vast majority of the numerous exploits they sell.
According to my intelligence information I can tell you that only about ** 30% ** of the exploits in such famous 0-day vendors' commercial catalogs have been internally researched.
That is, an amazing 70%, of the exploits actually commercially proposed by such exploits vendors are BOUGHT from THIRD PARTIES, then worked out, possibly enhanced, polished and eventually sold to their own clients with hefty profit margins.
When at the conference, I urge you to start building up as many commercial relationships with new exploits researchers and minor/still unknown exploit vendors as possible. We need external resources in order to effectively compete, and win, in the 0-day game.
Così fan tutti, insomma, e allora facciamolo anche noi. Da notare che quella che per noi utenti è un'infezione potenzialmente devastante per loro è un game: un gioco. E a furia di giocare con i virus, se li sono lasciati sfuggire.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “icaro200*”, “antonio.bu*”, “robyv*” e “alberto.dol*”. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:50.
La vendita risulta dalla fattura per 480.000 euro pubblicata fra i dati trafugati all'azienda (immagine parziale qui accanto). È davvero difficile pensare che i responsabili di questa vendita non sapessero in che sorta di mani stessero mettendo strumenti così letali.
In un'intervista all'International Business Times, il portavoce di HackingTeam, Eric Rabe, ha difeso oggi l'operato dell'azienda facendo notare che la fattura in questione (di cui non ha smentito l'autenticità) risale al 2012, quando il Sudan non era ancora nella lista nera dell'ONU. Una difesa abbastanza fragile, dato che ben prima che entrasse formalmente in lista nera il Sudan non era un paese al quale si poteva vendere malware di sorveglianza sperando che venisse usato eticamente e a fin di bene. Ora nuovi documenti smontano questa difesa e dimostrano che i rapporti di HackingTeam con il governo sudanese sono proseguiti almeno fino a gennaio 2014. Ma partiamo dall'inizio.
––------------------
L'ipotesi che HackingTeam facesse affari con il Sudan, basata sulle indagini tecniche di Citizen Lab, aveva già spinto le Nazioni Unite ad incaricare un comitato di esperti di investigare sull'azienda a settembre 2014, anche perché tali affari sarebbero stati probabilmente in violazione delle sanzioni europee sul commercio di armi militari verso il Sudan.
Come racconta in dettaglio Motherboard, HackingTeam inizialmente ha risposto all'ONU che il Sudan non era uno dei suoi clienti e poi ha detto all'ONU che il software non è considerato un'arma e che quindi le Nazioni Unite non hanno l'autorità per fare domande. Ma HackingTeam non ha mai chiarito se aveva avuto affari in passato con il governo del Sudan.
Ora, grazie ai dati trafugati, sappiamo che li aveva avuti. La fattura, fra l'altro, riguarda solo metà dei pagamenti ricevuti dal Sudan, che ammontano in tutto a 960.000 euro.
David Vincenzetti, CEO di HackingTeam, era indubbiamente al corrente delle perplessità dell'ONU: a febbraio rispose al comitato di esperti delle Nazioni Unite usando toni decisamente aggressivi e dicendo che ogni ulteriore richiesta del comitato di esperti gli sembrava una violazione ingiustificata e ingiustificabile del diritto al segreto commerciale. Il 21 aprile, Vincenzetti addirittura ha accusato l'inchiesta ONU di essere un danno per la reputazione e l'immagine di HackingTeam.
L'ONU ha chiesto ancora a HackingTeam ben cinque volte (l'ultima il 15 maggio scorso) di chiarire se l'azienda avesse mai fatto affari con il Sudan. HackingTeam non ha mai risposto.
Questo muro del silenzio si è infranto con la fuga di dati di ieri, dalla quale sono emersi documenti che smentiscono le parole di HackingTeam. Tanto per cominciare, c'è l'elenco dello stato dei rapporti con vari paesi. Per il Sudan, al posto di Active (attivo) o di Expired (scaduto) usati per gli altri paesi clienti (tranne la Russia), c'è una frase compromettente: “12/31/2014 Not officially supported” (non supportato ufficialmente). Sarebbe molto interessante chiedere ad Eric Rabe di spiegare il significato di questa frase.
La paziente analisi collettiva dei documenti interni di HackingTeam ora resi pubblici ha rivelato oggi anche un altro documento di HackingTeam che parla di una fattura “116/2012” etichettata “NISS” per un importo di 76.000 (euro, si presume) all'interno di un elenco etichettato “Fatture 2013 da riaprire”.
Ma soprattutto sono state segnalate oggi due mail dello staff di HackingTeam in cui viene prestata assistenza al Sudan il 15 gennaio 2014 proprio per il malware di sorveglianza RCS. La scusa che la fattura trafugata è del 2012 e che quindi non ci sono più rapporti con il governo del Sudan ha insomma seri problemi di credibilità.
Trascrizione delle mail (evidenziazioni aggiunte da me):
Da: Alessandro Scarafile [a.scarafile@hackingteam.com] 15/01/14 10:02
Oggetto: Problema core iOS in RCS 9.1.14
A: ornella-dev@hackingteam.com
Vi segnalo un'anomalia urgente e bloccante rilevata in Sudan, durante l'installazione di RCS 9.1.4 + hotfix.
Durante la build di un Installation Package per iOS, si ottiene l'errore "Core for ios not found..." (screenshot allegato).
La cosa è evidentemente collegata alla mancanza dell'indicazione del core per iOS nella sezione Monitor (screenshot allegato).
Segnalo anche che "ogni tanto" (misurato su alcuni login/logout dalla console) non viene mostrato il numero di versione di RCS (screenshot allegato).
Spero che il problema per iOS possa essere risolta [sic] semplicemente caricando a mano il core, in quanto la connessione internet da qui non consentirebbe - al momento - il download di un intero file di installazione di RCS.
Condivido direttamente su "ornella-dev" un altro problema che abbiamo in Sudan, per avere supporto rapido, in quanto siamo di fronte al cliente.
2 Anonymizers correttamente installati. La sezione System della Console continua a mostrare in rosso SOLO quello più vicino al Collector.
Le connessioni in SSH sulle macchine Linux dicono che i sistemi sono up and running; il daemon dell'anonymizer è in piedi e attivo.
"Allontanando" un Anonymizer dal Collector e posizionandolo come ultimo hop... diventa verde in Console.
Non credo questo comportamento possa essere collegato a qualche firewall (che non hanno), in quanto a quel punto il Collector non riuscirebbe nemmeno a parlare con l'Anonymizer più “lontano”.
Avete suggerimenti su cosa potrebbe essere?
Forse qualcosa in fase di installazione? (che spiegherebbe anche i problemi sul core iOS della mia e-mail precedente).
FYI di seguito i dati dei 2 VPS:
IP: 46.251.239.129
User: root
Pass: ousKvawcAH
IP: 46.251.239.130
User: root
Pass: Wb9cofhJjj
Sarà molto interessante chiedere al portavoce di HackingTeam di giustificare questi segni di attività recente con i servizi di sicurezza del Sudan.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mauriziosi*”, “mauro.oli*” e “italoiv*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:25.
Continua la saga della colossale fuga di dati (almeno 400 gigabyte) dalla società di sicurezza informatica italiana HackingTeam, iniziata epicamente ieri mattina e descritta in questo mio articolo. Questo articolo verrà aggiornato man mano che arrivano nuovi dati.
Chi è stato?
Il presunto autore dell'incursione si fa chiamare “Phineas Fisher” e ci sono alcune conferme indipendenti della validità della sua rivendicazione. Stanotte ha tweetato (immagine qui accanto) che scriverà come ha fatto a penetrare in HackingTeam “quando avranno avuto tempo di fallire nel capire cosa è successo e avranno cessato gli affari.” Cattivello, ma anche astuto nell'atteggiarsi a novello Robin Hood.
L'ipotesi, avanzata da alcuni, che l'incursione sia stata opera di una società di sicurezza rivale non ha alcuna prova a sostegno; inoltre, a giudicare dall'approccio alla sicurezza comicamente dilettantesco usato da HackingTeam, non sembra affatto necessario invocare il talento di esperti per spiegare l'intrusione, per cui è poco credibile. Motherboard è riuscita a contattare brevemente Phineas Fisher e autenticarne parzialmente il ruolo.
L'altra ipotesi, ossia che i dati messi in circolazione siano in tutto o in parte inventati, non è credibile, non solo per la quantità immensa dei dati stessi, ma anche perché HackingTeam ha ammesso che le sono stati rubati dei dati.
Conseguenze per Hacking Team
Quanto sarebbero gravi, dal punto di vista legale, le azioni compiute da HackingTeam? L'europarlamentare olandese Marietje Schaake ieri ha scritto che la vendita di questo software al Sudan “non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945, 2091 e 2138, ma [...] violerebbe anche la Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014 riguardanti le misure restrittive in considerazione della situazione in Sudan”. La Schaake aveva già presentato, un paio di mesi fa, un'interrogazione parlamentare sui possibili abusi del software di HackingTeam contro giornalisti e difensori dei diritti umani in Marocco. Ora chiede alle autorità italiane di indagare su HackingTeam.
HackingTeam dichiara, nella propria Customer Policy, di fornire il proprio software soltanto a governi o agenzie governative, ma dai dati trafugati stanno emergendo rapporti e fatture di vendita a società private. Nella stessa Policy HT dichiara anche di non vendere a governi presenti nelle liste nere USA, UE, ONU, NATO o ASEAN, ma ha venduto per esempio al Sudan (nei dati c'è una fattura al governo di quel paese). E i rapporti con il Sudan sono proseguiti almeno fino a gennaio 2014, nonostante le dichiarazioni del portavoce di HackingTeam che minimizzano dicendo che la fattura risale al 2012 e quindi è pre-embargo ONU. I dettagli sono in questo mio articolo.
Come già detto ieri, inoltre, HackingTeam avrebbe mentito anche ai propri clienti governativi, installando nel proprio software una backdoor (controllo remoto) senza dirlo ai clienti stessi.
La collezione di exploit di HT veniva aggiornata anche attingendo disinvoltamente agli exploit pubblicati in Rete dai ricercatori di sicurezza.
Su un piano individuale, i dati trafugati contengono moltissimi dati di persone che lavorano per HT o di loro familiari: foto, numeri di carte di credito, conti correnti, clienti e fornitori, siti frequentati e relative password, dati anagrafici e altro ancora. Queste persone dovranno cambiare tutti questi dati, ove possibile, per evitarne abusi e saccheggi.
Conseguenze per i governi clienti
Fondamentalmente, tutti i clienti che hanno pagato centinaia di migliaia di euro a HackingTeam si trovano adesso con un prodotto inutilizzabile. Una bella fregatura. Non solo HT ha chiesto di sospenderne l'uso, ma sono stati trafugati gli exploit che lo costituivano e che gli consentivano di attaccare in modo invisibile. Questi exploit erano i gioielli della corona di HT e ora verranno eliminati con gli aggiornamenti degli antivirus e del software commerciale, per cui HT ora probabilmente non ha più un malware da vendere.
Conseguenze per noi utenti: nuove falle rivelate, sfruttate e da turare
Iniziano ad emergere le prime conseguenze tecniche della rivelazione del codice sorgente dei prodotti di HackingTeam: oggi Tor Project dice che HT ha tentato di violare la sicurezza del loro software ma finora non sono emersi exploit di HT contro Tor, ma terranno d'occhio gli sviluppi.
È presumibile che a breve i principali antivirus riconosceranno il malware di HackingTeam, se non lo fanno già, e quindi molti dei soggetti sorvegliati si accorgeranno di essere stati messi sotto sorveglianza. Potrebbero essere ben poco contenti di scoprirlo. MIkko Hypponen di F-Secure mi ha confermato che il loro software già bloccava il malware di HT, come confermato dalla documentazione interna di HT che ora è pubblica. Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l'anno.
Ci sono dei benefici per tutti noi: l'esame dei file di HT ha rivelato che l'azienda usava anche falle di Adobe Flash per infettare i propri bersagli. Una di queste falle (CVE-2015-0349) era già nota ed è stata corretta di recente, mentre un'altra sfrutta un exploit che ha effetto anche sulla versione più recente di Flash Player per Windows, Mac e Linux, che è la 18.0.0.194. Questo secondo exploit, finora sconosciuto, è stato subito sfruttato dai criminali informatici non appena è stato reso noto, secondo Trend Micro; ora potrà essere corretto, consentendo di eliminare una vulnerabilità (CVE-2015-5119) alla quale sono stati esposti tutti gli utenti Flash del mondo e di cui HackingTeam era a conoscenza (tenendosela però ben stretta). Adobe ha annunciato per domani (8 luglio) il rilascio di un aggiornamento d'emergenza di Flash che chiude questa seconda falla. Google sta già inviando l'aggiornamento agli utenti di Chrome, secondo quanto riporta Brian Krebs.
L'analisi dei file di HackingTeam ha inoltre permesso di scoprire che l'azienda sfruttava una falla di Windows presente in tutte le versioni, da XP a 8.1, e basata sull'uso di un file di font appositamente confezionato. Non è noto quando Microsoft rilascerà una correzione.
Lexsi.com, uno dei clienti di HT, ha inviato una richiesta di rimozione a Musalbas.com, uno dei siti che ospita una copia d'archivio dei dati trafugati, dicendo che si tratta di materiale sensibile e riservato. Su questo non c'è dubbio, ma è totalmente inutile chiudere un pezzetto del recinto quando i buoi sono scappati da un pezzo e si stanno moltiplicando allegramente ovunque.
Analisi dei file
Premessa importante: il materiale pubblicato in Rete contiene moltissime immagini della sfera privata di persone legate a HackingTeam, di persone esterne a HT e anche di bambini. Nelle foto e nei video non c'è nulla di imbarazzante, provocante o pertinente per eventuali indagini giornalistiche, per cui credo che sia doveroso rispettare la privacy di queste persone estranee ai fatti e di questi minori che non hanno alcuna colpa. Lascio quindi in pace chi non c'entra.
Gli screenshot pubblicati dall'intrusione includono immagini anche recentissime (primi di luglio) dei desktop dei PC Windows dei due amministratori di sistema e contengono di tutto: dati di richiesta del passaporto per un familiare, sessioni di Solitario e altri giochi (Command and Conquer, mi pare), conversazioni WhatsApp e Facebook, sessioni di scaricamento film su eMule, taglie di reggiseno usate come risposte alle domande d'emergenza per recupero password. Al di là del contenuto relativamente frivolo, l'esistenza di questi screenshot dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi. Questo indica che la sottrazione dei dati non è stata commessa semplicemente copiando i file dai computer e dai server, ma anche infettando direttamente i computer degli admin. Che figuraccia.
Almeno una delle password elencate nei file trafugati è obsoleta (ne ho avuto conferma dall'azienda interessata); potrebbero anche esserlo le altre e comunque sarebbe saggio, da parte dei membri di HT, cambiare tutte le proprie password su qualunque servizio (e magari attivare l'autenticazione a due fattori, che non sembra ci fosse), oltre che cambiare tutti i dettagli delle proprie carte di credito, i cui numeri e altri dati sono recuperabili dai file in circolazione.
I file audio finora esaminati sono semplici test e non contengono nulla di significativo dal punto di vista tecnico.
Le mail catturate (interi file PST da vari gigabyte ciascuno) appartengono a molte persone legate a HackingTeam e includono, fra le altre cose, un messaggio nel quale si dice che il sistema RCS di HackingTeam in Colombia è dentro l'ambasciata degli Stati Uniti, dove c'è anche “un altro strumento di intercettazione... che riceverà tutto il traffico degli ISP colombiani”, a conferma del fatto che l'intercettazione di massa preventiva è una prassi del governo degli Stati Uniti.
I nomi degli utenti sono stati mascherati da me; la pecetta non è nell'originale.
Non mancano perle come questa: il CEO di HackingTeam, David Vincenzetti, che dice che non serve ricorrere alla crittografia perché tanto non hanno nulla da nascondere.
Al tempo stesso, notate con quanta circospezione HT parla, in una mail interna, del “cliente E.” che è stato mollato (va detto) da HT dopo che Citizen Lab e Human Rights Watch hanno segnalato gli abusi commessi dal cliente. Notare che la cartella di mail è denominata “EH_Etiopia”, per cui non è difficile per chi analizza questi dati capire quale paese sia il “cliente E.” in questione. I “rapporti di CitizenLab” di cui parla sono probabilmente questi, che denunciano l'uso del malware di Hacking Team contro giornalisti etiopi a Washington.
Niente da nascondere. No, assolutamente.
Ma cosa si aspettavano quelli di HackingTeam quando hanno venduto il proprio software di sorveglianza a un governo come quello dell'Etiopia? Che, con tutti i problemi drammatici che ha quel paese, l'avrebbero usato per sorvegliare pedofili e spacciatori? Siamo seri. Vendere malware a governi di questo genere è esattamente come fare i trafficanti d'armi.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ste.simon*”, “davidedani*” e “matteo.cam*” ed è stato aggiornato estesamente dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:45.
Stanotte HackingTeam, la controversa società italiana che vende software di sorveglianza a governi d'ogni sorta e per questo è etichettata come “nemica di Internet” da Reporter Senza Frontiere, è stata violata massicciamente: questo è, perlomeno, quanto risulta a giudicare dai 400 gigabyte di suoi dati riservati che sono ora a spasso su Bittorrent, a disposizione di chiunque abbia banda sufficiente a scaricarli e tempo e competenza per analizzarli.
Anche l'account Twitter di HackingTeam (@HackingTeam) è stato violato ed è stato usato per pubblicare schermate del materiale pubblicato e tweet di sfottimento come quello mostrato qui sopra.
Dentro la collezione di dati trafugata, stando ai primi esami, c'è di tutto: registrazioni audio, mail, codice sorgente, credenziali di login per i siti di supporto di Hacking Team in Egitto, Messico e Turchia. Secondo l'analisi dell'elenco di file del pacchetto Bittorrent, i clienti di HackingTeam includono la Corea del Sud, il Kazakistan, l'Arabia Saudita, l'Oman, il Libano e la Mongolia; c'è una fattura da 480.000 euro al NISS (National Intelligence and Security Services) del Sudan, che secondo Human Rights Watch ha soffocato le proteste contro il governo facendo 170 morti nel 2013, e c'è una fattura da un milione di euro tondi alla Information Network Security Agency dell'Etiopia, eppure HackingTeam ha dichiarato di non fare affari con governi oppressivi.
Stando ai dati pubblicati a seguito dell'intrusione, ci sono clienti di HackingTeam nei seguenti paesi: Arabia Saudita, Australia, Azerbaigian, Bahrein, Cile, Cipro, Colombia, Corea del Sud, Ecuador, Egitto, Emirati Arabi, Etiopia, Germania, Honduras, Italia, Kazakistan, Lussemburgo, Malesia, Marocco, Messico, Mongolia, Nigeria, Oman, Panama, Polonia, Repubblica Ceca, Russia, Singapore, Spagna, Stati Uniti, Sudan, Svizzera, Tailandia, Ungheria, Uzbekistan, Vietnam.
Fra questi paesi quello più scottante è il Sudan, perché c'è un embargo ONU contro questo paese e un'eventuale violazione di quest'embargo da parte di HT sarebbe decisamente imbarazzante, viste anche le dichiarazioni passate di HackingTeam, secondo le quali ci sarebbe un “comitato legale” che “tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International”. Attenzione: “tenere conto” non è sinonimo di “rispettare”. E in un'intervista a Wireddi febbraio 2014 HT dichiarava che “Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne.” I risultati di questo lavoro si sono visti stamattina.
C'è anche, secondo Christopher Soghoian, un file Excel con tutti i clienti governativi, le date di primo acquisto da HackingTeam e i ricavi accumulati (maggiori dettagli negli aggiornamenti qui sotto).
Non è finita: alcuni screenshot rivelano pratiche di sicurezza davvero imbarazzanti per una società che si occupa di sicurezza informatica a livelli governativi. Ci sono le password di una persona dotata di account di posta su Hackingteam.com, conservate in chiaro in un file (forse custodito dentro un volume cifrato Truecrypt, comunque scavalcato) e costituite principalmente dalla parola Passw0rd usata ripetutamente per più siti.
E la stessa persona conserva sul computer di lavoro dei link a Youporn (aggiornamento 2015/07/11: potrebbe esserci una ragione di lavoro):
Ho contattato il CEO di HackingTeam per avere una dichiarazione sulla vicenda e sono in attesa di risposta.
Se i dati vengono confermati come autentici, è una carneficina digitale e la reputazione di HackingTeam ne esce a pezzi. Alcuni governi si cominceranno a chiedere in che mani hanno messo i loro affari più sensibili.
13:30. La vicenda sta scivolando rapidamente nel surreale. In tarda mattinata Christian Pozzi di HackingTeam si è affacciato su Twitter per dire che l'azienda ha inviato “una mail di massa a tutti i nostri clienti colpiti non appena abbiamo saputo dell'attacco informatico”. Una dichiarazione che suona decisamente come una conferma dell'autenticità dei dati in circolazione.
Non vorrei essere nei panni della persona di HT che deve spiegare ai servizi di sicurezza russi o di altri paesi che i loro dati riservati ora sono a spasso su Internet.
Non è finita: poco dopo che Pozzi ha tweetato la dichiarazione, anche il suo account Twitter è stato violato, probabilmente a causa di una password un tantinello ovvia come quelle mostrate qui sopra. Ora l'account Twitter risulta disattivato, ma non prima che ne siano stati catturati screenshot assolutamente epici.
Questa vicenda sta diventando un perfetto manuale di tutto quello che non va fatto quando c'è una violazione della sicurezza informatica. E anche di quello che non va fatto per evitare che si verifichi. Regola numero uno: quando succede un casino, stai zitto e lascia che parlino gli avvocati.
Intanto emergono dati aggiuntivi: secondo le ricerche degli esperti, nei file trafugati ci sono dati e password dei clienti di HackingTeam, contratti, parametri di configurazione e un file particolarmente compromettente, che elenca lo stato dei vari clienti, con Russia e Sudan etichettati come “non supportati ufficialmente”:
14:10. La vicenda dovrebbe far riflettere, a mio avviso, su tutta la questione dei trojan di stato. Se, come sembra, il codice sorgente del malware creato da HackingTeam è stato pubblicato nel pacchetto di dati trafugati, questo dimostra concretamente quello che gli esperti dicono da anni: non c'è modo per un governo di creare un malware che potrà essere usato soltanto dai “buoni”. Il malware è malware. È tossico per tutti, esattamente come le armi chimiche o batteriologiche. E prima o poi sfugge di mano.
16:30. Un utente, “Phineas Fisher”, si è attribuito con un tweet (parzialmente confermato) il merito di quest'incursione e di quella ai danni di un'altra società dello stesso settore, Gamma, qualche tempo addietro. Intanto dal Torrent sono stati estratti e segnalati online dei file Excel (Client Overview*) nei quali ci sono i clienti e i loro indirizzi di mail e su Github sono stati pubblicati quelli che sembrano essere i codici sorgente trafugati. Ci sono persino degli screenshot dei desktop dei computer del personale della società. La situazione per HackingTeam, insomma, diventa sempre più disastrosa.
17:00. Apple avrebbe dato a HackingTeam un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo in teoria avrebbe permesso a HackingTeam di inviare alla vittima via mail o postare su un sito (non nell'App Store) un'app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.
18:00.C'è anche la Svizzera, e specificamente la Polizia Cantonale di Zurigo, fra i clienti di HackingTeam. Per la cifra non trascurabile di 486.500 euro la Kantonspolizei ha acquistato a fine 2014 da HT il Remote Control System Galileo (fattura numero 072/2014). Di questo acquisto ho conferma da fonte indipendente. Galileo è uno dei nomi usati da HT per indicare il proprio malware usato per intercettare i contenuti di smartphone (iOS, Android, Windows Phone, BlackBerry, Symbian) e computer (Windows, Linux, OS X) scavalcandone la crittografia. Galileo viene offerto vantandone l'uso per gestire “fino a centinaia di migliaia di bersagli”.
HackingTeam e i suoi clienti difendono spesso l'uso di malware di stato dicendo che è necessario per lottare contro terrorismo, narcotraffico e pedopornografia. Ma quando si parla di “centinaia di migliaia di bersagli” siamo nel campo della sorveglianza di massa della popolazione e quei reati non c'entrano nulla. A meno che qualche governo se la senta di dire che ha in casa centinaia di migliaia di terroristi, spacciatori e pedofili.
21:30. Si stanno accumulando molte domande, anche autorevoli (The Register, Kevin Mitnick), intorno ad alcuni pezzi di codice sorgente (come questo e questo) che a prima vista sembrano istruzioni per piazzare file di contenuto pedopornografico nei dispositivi dei sorvegliati. Prima di fare un'accusa così grave aspetterei un'analisi esperta di quel codice: non vorrei che si trattasse, per esempio, di semplici funzioni usate per creare un file dimostrativo per i test di funzionalità del malware. Quei nomi pippo e pluto, così tipici della programmazione fatta da italofoni, hanno l'aria di utenti demo.
22:45.Motherboard (Vice.com) scrive che HackingTeam “ha detto a tutti i propri clienti di interrompere tutte le attività e di sospendere ogni uso dello spyware dell'azienda”, riferendosi specificamente al software Galileo/RCS. Scrive inoltre che HT non ha più accesso alla propria mail e che probabilmente i 400 GB di dati sono solo una parte del materiale trafugato. L'intrusione sarebbe avvenuta entrando nei computer dei due amministratori di sistema di HT, Christian Pozzi e Mauro Romeo (sì, la persona che usa come password Passw0rd e lo fa ripetutamente è un sysadmin; non ridete). Nessuno dei dati sensibili era cifrato: passaporti dei dipendenti, elenchi di clienti, tutto in chiaro. Il profilo LinkedIn di Pozzi lo descrive come Senior System and Security Engineer, Hacking Team, April 2014 – Present (1 year 4 months).
Correzione: in una versione precedente di questo articolo avevo scritto che il profilo era stato cancellato; invece era online e c'era un errore mio nell'URL che stavo usando.
C'è anche di peggio. Sempre secondo le fonti di Motherboard, il software di HT ha una backdoor (probabilmente questa) che permette a HT di disattivare o sospendere il suo funzionamento, e questo non lo sanno neppure i clienti.
E ancora: ogni copia del software ha un watermark, per cui “HackingTeam, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. [...] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a HackingTeam di spegnerli indipendentemente dal cliente e di recuperare l'indirizzo IP finale che devono contattare”.
Saranno contentissimi i clienti di HT, che volevano un prodotto che desse loro una backdoor per spiare i loro bersagli e invece si sono trovati con un prodotto che ha anche una backdoor che agisce contro di loro e rivela chi volevano spiare. Sembra un brutto remake di Inception.
Come se non bastasse tutta questa devastazione, su Twitter gira un umiliante abbinamento di carte: da una parte c'è un documento datato 2015 in cui il rappresentante all'ONU dell'Italia, Sebastiano Cardi, dichiara che HackingTeam al momento non opera nel Sudan e chiede che HackingTeam chiarisca se ci sono stati affari precedenti con il Sudan; dall'altra c'è una fattura di HackingTeam al Sudan datata 2012. Sarebbe interessante sapere come si sente ora Sebastiano Cardi.
Correzione: il paragrafo precedente è stato aggiornato per presentare più correttamente il ruolo di Cardi.
23:00. È una disfatta totale: sono finiti online anche gli estratti conto delle carte di credito dei membri di HackingTeam, i file audio, gli screenshot di Pozzi che ha in archivio il file pirata di Cinquanta sfumature di grigio, si collega dal lavoro a un desktop remoto e lo usa per scaricare film pirata su Emule e altre chicche. Vediamo quali altre sorprese ci porterà la notte.
23:55. Vorrei concludere la giornata con un grandissimo grazie pubblico a tutti i lettori che mi hanno aiutato a raccogliere al volo i pezzi di questa vicenda; senza di voi non sarebbe stato possibile, ma siete troppi per potervi ringraziare uno per uno. A domani!
2015/07/07 10:40. Ho sistemato alcune imprecisioni nel testo di questo articolo e ne sto preparando uno supplementare con gli aggiornamenti della notte e del mattino. Eccolo.
Oggi Wikileaks ha messo online copie di FinFisher, il software d'intercettazione venduto dall'omonima azienda tedesca ai governi, che spesso lo usano per spiare giornalisti e dissidenti. Il software è in grado di intercettare le comunicazioni e i dati di sistemi OS X, Windows, Linux, Android, iOS, BlackBerry, Symbian e Windows Mobile. Finfisher, normalmente accessibile a caro prezzo soltanto alle agenzie governative, è ora scaricabile qui allo scopo di consentire a tutti (in particolare ai creatori onesti di antivirus) di analizzarlo e realizzare difese.
Finfisher ha fruttato ai suoi creatori circa 50 milioni di euro. Questi sono alcuni dei suoi clienti: in Europa spicca l'Italia insieme al Belgio e ai Paesi Bassi. Insieme al software sono disponibili anche i log dell'assistenza clienti di FinFisher, che contengono dati molto interessanti, compresi gli indirizzi IP dei “bersagli” e degli “agenti”.
Un aspetto particolarmente interessante per l'utente comune è che la società di sicurezza francese VUPEN Security ha collaborato con FinFisher fornendo vulnerabilità (exploit) che non rende pubbliche. Non è la prima volta che VUPEN è stata denunciata giornalisticamente per questo comportamento: anzi, VUPEN se ne vanta pure (Forbes, 2012; grazie a @flameeyes per la segnalazione).
Giusto per capirci: una società di sicurezza scopre una falla in un sistema operativo e invece di pubblicarla responsabilmente per consentirne la correzione, la tiene per sé e la rivela soltanto a chi realizza prodotti di sorveglianza. Questo significa che la falla nota non viene corretta neppure nei sistemi degli utenti onesti e innocenti.
Qui non si tratta più di argomentare se sia giusto o meno che un governo che voglia definirsi democratico abbia strumenti di sorveglianza così potenti e pervasivi, perché c'è sempre chi invoca la scusa (discutibile) che questi strumenti sono necessari per la lotta al terrorismo e al crimine organizzato. Qui siamo di fronte all'equivalente di avere un meccanico che scopre un difetto letale in una marca di automobili e lo rivende alla polizia, invece di segnalarlo al fabbricante, lasciando che continui a esserci (e sia scopribile da malintenzionati) in tutte le auto di quella marca. Compresa la vostra.
L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/09/02 21:00.
