skip to main | skip to sidebar
3 commenti

Hacking Team e la fattura al Sudan: nuovi documenti smontano la difesa dell'azienda

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “icaro200*”, “antonio.bu*”, “robyv*” e “alberto.dol*”. Se vi piace, potete incoraggiarmi a scrivere ancora.

Hacking Team ha venduto il proprio malware di sorveglianza di massa ai servizi di sicurezza del Sudan, il cui governo ha una lunga e ben nota storia di abusi dei diritti umani: schiavitù, genocidio e uso di bambini come soldati, oltre che persecuzione di chi si batte per il rispetto di questi diritti.

La vendita risulta dalla fattura per 480.000 euro pubblicata fra i dati trafugati all'azienda (immagine parziale qui accanto). È davvero difficile pensare che i responsabili di questa vendita non sapessero in che sorta di mani stessero mettendo strumenti così letali.

In un'intervista all'International Business Times, il portavoce di Hacking Team, Eric Rabe, ha difeso oggi l'operato dell'azienda facendo notare che la fattura in questione (di cui non ha smentito l'autenticità) risale al 2012, quando il Sudan non era ancora nella lista nera dell'ONU. Una difesa abbastanza fragile, dato che ben prima che entrasse formalmente in lista nera il Sudan non era un paese al quale si poteva vendere malware di sorveglianza sperando che venisse usato eticamente e a fin di bene. Ora nuovi documenti smontano questa difesa e dimostrano che i rapporti di Hacking Team con il governo sudanese sono proseguiti almeno fino a gennaio 2014. Ma partiamo dall'inizio.

–––


L'ipotesi che Hacking Team facesse affari con il Sudan, basata sulle indagini tecniche di Citizen Lab, aveva già spinto le Nazioni Unite ad incaricare un comitato di esperti di investigare sull'azienda a settembre 2014, anche perché tali affari sarebbero stati probabilmente in violazione delle sanzioni europee sul commercio di armi militari verso il Sudan.

Come racconta in dettaglio Motherboard, Hacking Team inizialmente ha risposto all'ONU che il Sudan non era uno dei suoi clienti e poi ha detto all'ONU che il software non è considerato un'arma e che quindi le Nazioni Unite non hanno l'autorità per fare domande. Ma Hacking Team non ha mai chiarito se aveva avuto affari in passato con il governo del Sudan.

Ora, grazie ai dati trafugati, sappiamo che li aveva avuti. La fattura, fra l'altro, riguarda solo metà dei pagamenti ricevuti dal Sudan, che ammontano in tutto a 960.000 euro.

David Vincenzetti, CEO di Hacking Team, era indubbiamente al corrente delle perplessità dell'ONU: a febbraio rispose al comitato di esperti delle Nazioni Unite usando toni decisamente aggressivi e dicendo che ogni ulteriore richiesta del comitato di esperti gli sembrava una violazione ingiustificata e ingiustificabile del diritto al segreto commerciale. Il 21 aprile, Vincenzetti addirittura ha accusato l'inchiesta ONU di essere un danno per la reputazione e l'immagine di Hacking Team.

L'ONU ha chiesto ancora a Hacking Team ben cinque volte (l'ultima il 15 maggio scorso) di chiarire se l'azienda avesse mai fatto affari con il Sudan. Hacking Team non ha mai risposto.

Questo muro del silenzio si è infranto con la fuga di dati di ieri, dalla quale sono emersi documenti che smentiscono le parole di Hacking Team. Tanto per cominciare, c'è l'elenco dello stato dei rapporti con vari paesi. Per il Sudan, al posto di Active (attivo) o di Expired (scaduto) usati per gli altri paesi clienti (tranne la Russia), c'è una frase compromettente: “12/31/2014 Not officially supported” (non supportato ufficialmente). Sarebbe molto interessante chiedere ad Eric Rabe di spiegare il significato di questa frase.



La paziente analisi collettiva dei documenti interni di Hacking Team ora resi pubblici ha rivelato oggi anche un altro documento di Hacking Team che parla di una fattura “116/2012” etichettata “NISS” per un importo di 76.000 (euro, si presume) all'interno di un elenco etichettato “Fatture 2013 da riaprire”.


Ma soprattutto sono state segnalate oggi due mail dello staff di Hacking Team in cui viene prestata assistenza al Sudan il 15 gennaio 2014 proprio per il malware di sorveglianza RCS. La scusa che la fattura trafugata è del 2012 e che quindi non ci sono più rapporti con il governo del Sudan ha insomma seri problemi di credibilità.


Trascrizione delle mail (evidenziazioni aggiunte da me:

Da: Alessandro Scarafile [a.scarafile@hackingteam.com]
15/01/14 10:02
Oggetto: Problema core iOS in RCS 9.1.14
A: ornella-dev@hackingteam.com

Vi segnalo un'anomalia urgente e bloccante rilevata in Sudan, durante l'installazione di RCS 9.1.4 + hotfix.

Durante la build di un Installation Package per iOS, si ottiene l'errore "Core for ios not found..." (screenshot allegato).
La cosa è evidentemente collegata alla mancanza dell'indicazione del core per iOS nella sezione Monitor (screenshot allegato).

Segnalo anche che "ogni tanto" (misurato su alcuni login/logout dalla console) non viene mostrato il numero di versione di RCS (screenshot allegato).

Spero che il problema per iOS possa essere risolta [sic] semplicemente caricando a mano il core, in quanto la connessione internet da qui non consentirebbe - al momento - il download di un intero file di installazione di RCS.

Grazie,
Alessandro


Da: Alessandro Scarafile [a.scarafile@hackingteam.com]
15/01/14 10:11
Oggetto: Supporto Anonymizers RCS 9.1.14
A: ornella-dev@hackingteam.com

Condivido direttamente su "ornella-dev" un altro problema che abbiamo in Sudan, per avere supporto rapido, in quanto siamo di fronte al cliente.

2 Anonymizers correttamente installati. La sezione System della Console continua a mostrare in rosso SOLO quello più vicino al Collector.

Le connessioni in SSH sulle macchine Linux dicono che i sistemi sono up and running; il daemon dell'anonymizer è in piedi e attivo.
"Allontanando" un Anonymizer dal Collector e posizionandolo come ultimo hop... diventa verde in Console.

Non credo questo comportamento possa essere collegato a qualche firewall (che non hanno), in quanto a quel punto il Collector non riuscirebbe nemmeno a parlare con l'Anonymizer più “lontano”.

Avete suggerimenti su cosa potrebbe essere?
Forse qualcosa in fase di installazione? (che spiegherebbe anche i problemi sul core iOS della mia e-mail precedente).

FYI di seguito i dati dei 2 VPS:

IP: 46.251.239.129
User: root
Pass: ousKvawcAH

IP: 46.251.239.130
User: root
Pass: Wb9cofhJjj


Sarà molto interessante chiedere al portavoce di Hacking Team di giustificare questi segni di attività recente con i servizi di sicurezza del Sudan.
22 commenti

Hacking Team, il giorno dopo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mauriziosi*”, “mauro.oli*” e “italoiv*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/08 00:25.

Continua la saga della colossale fuga di dati (almeno 400 gigabyte) dalla società di sicurezza informatica italiana Hacking Team, iniziata epicamente ieri mattina e descritta in questo mio articolo. Questo articolo verrà aggiornato man mano che arrivano nuovi dati.



Chi è stato?


Il presunto autore dell'incursione si fa chiamare “Phineas Fisher” e ci sono alcune conferme indipendenti della validità della sua rivendicazione. Stanotte ha tweetato (immagine qui accanto) che scriverà come ha fatto a penetrare in Hacking Team “quando avranno avuto tempo di fallire nel capire cosa è successo e avranno cessato gli affari.” Cattivello, ma anche astuto nell'atteggiarsi a novello Robin Hood.

L'ipotesi, avanzata da alcuni, che l'incursione sia stata opera di una società di sicurezza rivale non ha alcuna prova a sostegno; inoltre, a giudicare dall'approccio alla sicurezza comicamente dilettantesco usato da Hacking Team, non sembra affatto necessario invocare il talento di esperti per spiegare l'intrusione, per cui è poco credibile. Motherboard è riuscita a contattare brevemente Phineas Fisher e autenticarne parzialmente il ruolo.

L'altra ipotesi, ossia che i dati messi in circolazione siano in tutto o in parte inventati, non è credibile, non solo per la quantità immensa dei dati stessi, ma anche perché Hacking Team ha ammesso che le sono stati rubati dei dati.


Conseguenze per Hacking Team


Quanto sarebbero gravi, dal punto di vista legale, le azioni compiute da Hacking Team? L'europarlamentare olandese Marietje Schaake ieri ha scritto che la vendita di questo software al Sudan “non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945, 2091 e 2138, ma [...] violerebbe anche la Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014 riguardanti le misure restrittive in considerazione della situazione in Sudan”. La Schaake aveva già presentato, un paio di mesi fa, un'interrogazione parlamentare sui possibili abusi del software di Hacking Team contro giornalisti e difensori dei diritti umani in Marocco. Ora chiede alle autorità italiane di indagare su Hacking Team.

Hacking Team dichiara, nella propria Customer Policy, di fornire il proprio software soltanto a governi o agenzie governative, ma dai dati trafugati stanno emergendo rapporti e fatture di vendita a società private. Nella stessa Policy HT dichiara anche di non vendere a governi presenti nelle liste nere USA, UE, ONU, NATO o ASEAN, ma ha venduto per esempio al Sudan (nei dati c'è una fattura al governo di quel paese). E i rapporti con il Sudan sono proseguiti almeno fino a gennaio 2014, nonostante le dichiarazioni del portavoce di Hacking Team che minimizzano dicendo che la fattura risale al 2012 e quindi è pre-embargo ONU. I dettagli sono in questo mio articolo.

Come già detto ieri, inoltre, Hacking Team avrebbe mentito anche ai propri clienti governativi, installando nel proprio software una backdoor (controllo remoto) senza dirlo ai clienti stessi.

La collezione di exploit di HT veniva aggiornata anche attingendo disinvoltamente agli exploit pubblicati in Rete dai ricercatori di sicurezza.


Su un piano individuale, i dati trafugati contengono moltissimi dati di persone che lavorano per HT o di loro familiari: foto, numeri di carte di credito, conti correnti, clienti e fornitori, siti frequentati e relative password, dati anagrafici e altro ancora. Queste persone dovranno cambiare tutti questi dati, ove possibile, per evitarne abusi e saccheggi.


Conseguenze per i governi clienti


Fondamentalmente, tutti i clienti che hanno pagato centinaia di migliaia di euro a Hacking Team si trovano adesso con un prodotto inutilizzabile. Una bella fregatura. Non solo HT ha chiesto di sospenderne l'uso, ma sono stati trafugati gli exploit che lo costituivano e che gli consentivano di attaccare in modo invisibile. Questi exploit erano i gioielli della corona di HT e ora verranno eliminati con gli aggiornamenti, per cui HT ora probabilmente non ha più un malware da vendere.


Conseguenze per noi utenti: nuove falle rivelate, sfruttate e da turare


Iniziano ad emergere le prime conseguenze tecniche della rivelazione del codice sorgente dei prodotti di Hacking Team: oggi Tor Project dice che HT ha tentato di violare la sicurezza del loro software ma finora non sono emersi exploit di HT contro Tor, ma terranno d'occhio gli sviluppi.

È presumibile che a breve i principali antivirus riconosceranno il malware di Hacking Team, se non lo fanno già, e quindi molti dei soggetti sorvegliati si accorgeranno di essere stati messi sotto sorveglianza. Potrebbero essere ben poco contenti di scoprirlo. MIkko Hypponen di F-Secure mi ha confermato che il loro software già bloccava il malware di HT, come confermato dalla documentazione interna di HT che ora è pubblica. Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l'anno.

Ci sono dei benefici per tutti noi: l'esame dei file di HT ha rivelato che l'azienda usava anche falle di Adobe Flash per infettare i propri bersagli. Una di queste falle (CVE-2015-0349) era già nota ed è stata corretta di recente, mentre un'altra sfrutta un exploit che ha effetto anche sulla versione più recente di Flash Player per Windows, Mac e Linux, che è la 18.0.0.194. Questo secondo exploit, finora sconosciuto, è stato subito sfruttato dai criminali informatici non appena è stato reso noto, secondo Trend Micro; ora potrà essere corretto, consentendo di eliminare una vulnerabilità (CVE-2015-5119) alla quale sono stati esposti tutti gli utenti Flash del mondo e di cui Hacking Team era a conoscenza (tenendosela però ben stretta). Adobe ha annunciato per domani (8 luglio) il rilascio di un aggiornamento d'emergenza di Flash che chiude questa seconda falla. Google sta già inviando l'aggiornamento agli utenti di Chrome, secondo quanto riporta Brian Krebs.

L'analisi dei file di Hacking Team ha inoltre permesso di scoprire che l'azienda sfruttava una falla di Windows presente in tutte le versioni, da XP a 8.1, e basata sull'uso di un file di font appositamente confezionato. Non è noto quando Microsoft rilascerà una correzione.

Ci sarebbe anche una falla in SELinux sfruttata da HT, forse sfruttabile per attaccare i telefonini Android.


Mettiamoci una pezza


Lexsi.com, uno dei clienti di HT, ha inviato una richiesta di rimozione a Musalbas.com, uno dei siti che ospita una copia d'archivio dei dati trafugati, dicendo che si tratta di materiale sensibile e riservato. Su questo non c'è dubbio, ma è totalmente inutile chiudere un pezzetto del recinto quando i buoi sono scappati da un pezzo e si stanno moltiplicando allegramente ovunque.


Analisi dei file


Premessa importante: il materiale pubblicato in Rete contiene moltissime immagini della sfera privata di persone legate a Hacking Team, di persone esterne a HT e anche di bambini. Nelle foto e nei video non c'è nulla di imbarazzante, provocante o pertinente per eventuali indagini giornalistiche, per cui credo che sia doveroso rispettare la privacy di queste persone estranee ai fatti e di questi minori che non hanno alcuna colpa. Lascio quindi in pace chi non c'entra.

Gli screenshot pubblicati dall'intrusione includono immagini anche recentissime (primi di luglio) dei desktop dei PC Windows dei due amministratori di sistema e contengono di tutto: dati di richiesta del passaporto per un familiare, sessioni di Solitario e altri giochi (Command and Conquer, mi pare), conversazioni WhatsApp e Facebook, sessioni di scaricamento film su eMule, taglie di reggiseno usate come risposte alle domande d'emergenza per recupero password. Al di là del contenuto relativamente frivolo, l'esistenza di questi screenshot dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi. Questo indica che la sottrazione dei dati non è stata commessa semplicemente copiando i file dai computer e dai server, ma anche infettando direttamente i computer degli admin. Che figuraccia.




Almeno una delle password elencate nei file trafugati è obsoleta (ne ho avuto conferma dall'azienda interessata); potrebbero anche esserlo le altre e comunque sarebbe saggio, da parte dei membri di HT, cambiare tutte le proprie password su qualunque servizio (e magari attivare l'autenticazione a due fattori, che non sembra ci fosse), oltre che cambiare tutti i dettagli delle proprie carte di credito, i cui numeri e altri dati sono recuperabili dai file in circolazione.

I file audio finora esaminati sono semplici test e non contengono nulla di significativo dal punto di vista tecnico.

Il presunto software per iniettare materiale pedopornografico sembra sempre più un falso allarme: probabilmente “semplicemente una demo di cattivo gusto”.

Le mail catturate (interi file PST da vari gigabyte ciascuno) appartengono a molte persone legate a Hacking Team e includono, fra le altre cose, un messaggio nel quale si dice che il sistema RCS di Hacking Team in Colombia è dentro l'ambasciata degli Stati Uniti, dove c'è anche “un altro strumento di intercettazione... che riceverà tutto il traffico degli ISP colombiani”, a conferma del fatto che l'intercettazione di massa preventiva è una prassi del governo degli Stati Uniti.

I nomi degli utenti sono stati mascherati da me; la pecetta non è nell'originale.

Non mancano perle come questa: il CEO di Hacking Team, David Vincenzetti, che dice che non serve ricorrere alla crittografia perché tanto non hanno nulla da nascondere.


Al tempo stesso, notate con quanta circospezione HT parla, in una mail interna, del “cliente E.” che è stato mollato (va detto) da HT dopo che Citizen Lab e Human Rights Watch hanno segnalato gli abusi commessi dal cliente. Notare che la cartella di mail è denominata “EH_Etiopia”, per cui non è difficile per chi analizza questi dati capire quale paese sia il “cliente E.” in questione. I “rapporti di CitizenLab” di cui parla sono probabilmente questi, che denunciano l'uso del malware di Hacking Team contro giornalisti etiopi a Washington.


Niente da nascondere. No, assolutamente.

Ma cosa si aspettavano quelli di Hacking Team quando hanno venduto il proprio software di sorveglianza a un governo come quello dell'Etiopia? Che, con tutti i problemi drammatici che ha quel paese, l'avrebbero usato per sorvegliare pedofili e spacciatori? Siamo seri. Vendere malware a governi di questo genere è esattamente come fare i trafficanti d'armi.


Altri sviluppi


Finalmente i media italofoni cominciano a parlare della vicenda: dopo gli articoli preliminari di ieri di Repubblica, Messaggero, Punto Informatico, per citarne alcuni, oggi ANSA descrive gli eventi; Motherboard in italiano traccia il profilo di Hacking Team; su Webnews si propone un'inchiesta parlamentare; Il Secolo XIX osserva quanto siamo vulnerabili; e ci sono le riflessioni di Stefano Quintarelli. Io, nel mio piccolo, sono stato intervistato dalla Rai per i radiogiornali. La Procura di Milano, intanto, dichiara che aprirà un'inchiesta sull'intrusione.
54 commenti

Lo spione spiato: Hacking Team si fa fregare 400 giga di dati. Compresi gli affari con governi impresentabili

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ste.simon*”, “davidedani*” e “matteo.cam*” ed è stato aggiornato estesamente dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora.

Ultimo aggiornamento: 2015/07/07 18:15.

Stanotte Hacking Team, la controversa società italiana che vende software di sorveglianza a governi d'ogni sorta e per questo è etichettata come “nemica di Internet” da Reporter Senza Frontiere, è stata violata massicciamente: questo è, perlomeno, quanto risulta a giudicare dai 400 gigabyte di suoi dati riservati che sono ora a spasso su Bittorrent, a disposizione di chiunque abbia banda sufficiente a scaricarli e tempo e competenza per analizzarli.

Anche l'account Twitter di Hacking Team (@HackingTeam) è stato violato ed è stato usato per pubblicare schermate del materiale pubblicato e tweet di sfottimento come quello mostrato qui sopra.

Dentro la collezione di dati trafugata, stando ai primi esami, c'è di tutto: registrazioni audio, mail, codice sorgente, credenziali di login per i siti di supporto di Hacking Team in Egitto, Messico e Turchia. Secondo l'analisi dell'elenco di file del pacchetto Bittorrent, i clienti di Hacking Team includono la Corea del Sud, il Kazakistan, l'Arabia Saudita, l'Oman, il Libano e la Mongolia; c'è una fattura da 480.000 euro al NISS (National Intelligence and Security Services) del Sudan, che secondo Human Rights Watch ha soffocato le proteste contro il governo facendo 170 morti nel 2013, e c'è una fattura da un milione di euro tondi alla Information Network Security Agency dell'Etiopia, eppure Hacking Team ha dichiarato di non fare affari con governi oppressivi.

Stando ai dati pubblicati a seguito dell'intrusione, ci sono clienti di Hacking Team nei seguenti paesi: Arabia Saudita, Australia, Azerbaigian, Bahrein, Cile, Cipro, Colombia, Corea del Sud, Ecuador, Egitto, Emirati Arabi, Etiopia, Germania, Honduras, Italia, Kazakistan, Lussemburgo, Malesia, Marocco, Messico, Mongolia, Nigeria, Oman, Panama, Polonia, Repubblica Ceca, Russia, Singapore, Spagna, Stati Uniti, Sudan, Svizzera, Tailandia, Ungheria, Uzbekistan, Vietnam.

Fra questi paesi quello più scottante è il Sudan, perché c'è un embargo ONU contro questo paese e un'eventuale violazione di quest'embargo da parte di HT sarebbe decisamente imbarazzante, viste anche le dichiarazioni passate di Hacking Team, secondo le quali ci sarebbe un “comitato legale” che “tiene conto delle risoluzioni ONU, dei trattati internazionali e delle raccomandazioni di Human Rights Watch e di Amnesty International”. Attenzione: “tenere conto” non è sinonimo di “rispettare”. E in un'intervista a Wired di febbraio 2014 HT dichiarava che “Siccome il nostro software è potente, lavoriamo per evitare che finisca in mano di chi potrebbe abusarne.” I risultati di questo lavoro si sono visti stamattina.

C'è anche, secondo Christopher Soghoian, un file Excel con tutti i clienti governativi, le date di primo acquisto da Hacking Team e i ricavi accumulati (maggiori dettagli negli aggiornamenti qui sotto).

Non è finita: alcuni screenshot rivelano pratiche di sicurezza davvero imbarazzanti per una società che si occupa di sicurezza informatica a livelli governativi. Ci sono le password di una persona dotata di account di posta su Hackingteam.com, conservate in chiaro in un file (forse custodito dentro un volume cifrato Truecrypt, comunque scavalcato) e costituite principalmente dalla parola Passw0rd usata ripetutamente per più siti.



E la stessa persona conserva sul computer di lavoro i link a Youporn.


Ho contattato il CEO di Hacking Team per avere una dichiarazione sulla vicenda e sono in attesa di risposta.

Se i dati vengono confermati come autentici, è una carneficina digitale e la reputazione di Hacking Team ne esce a pezzi. Alcuni governi si cominceranno a chiedere in che mani hanno messo i loro affari più sensibili.


13:30. La vicenda sta scivolando rapidamente nel surreale. In tarda mattinata Christian Pozzi di Hacking Team si è affacciato su Twitter per dire che l'azienda ha inviato “una mail di massa a tutti i nostri clienti colpiti non appena abbiamo saputo dell'attacco informatico”. Una dichiarazione che suona decisamente come una conferma dell'autenticità dei dati in circolazione.

Non vorrei essere nei panni della persona di HT che deve spiegare ai servizi di sicurezza russi o di altri paesi che i loro dati riservati ora sono a spasso su Internet.

Non è finita: poco dopo che Pozzi ha tweetato la dichiarazione, anche il suo account Twitter è stato violato, probabilmente a causa di una password un tantinello ovvia come quelle mostrate qui sopra. Ora l'account Twitter risulta disattivato, ma non prima che ne siano stati catturati screenshot assolutamente epici.

Questa vicenda sta diventando un perfetto manuale di tutto quello che non va fatto quando c'è una violazione della sicurezza informatica. E anche di quello che non va fatto per evitare che si verifichi. Regola numero uno: quando succede un casino, stai zitto e lascia che parlino gli avvocati.

Intanto emergono dati aggiuntivi: secondo le ricerche degli esperti, nei file trafugati ci sono dati e password dei clienti di Hacking Team, contratti, parametri di configurazione e un file particolarmente compromettente, che elenca lo stato dei vari clienti, con Russia e Sudan etichettati come “non supportati ufficialmente”:




14:10. La vicenda dovrebbe far riflettere, a mio avviso, su tutta la questione dei trojan di stato. Se, come sembra, il codice sorgente del malware creato da Hacking Team è stato pubblicato nel pacchetto di dati trafugati, questo dimostra concretamente quello che gli esperti dicono da anni: non c'è modo per un governo di creare un malware che potrà essere usato soltanto dai “buoni”. Il malware è malware. È tossico per tutti, esattamente come le armi chimiche o batteriologiche. E prima o poi sfugge di mano.


16:30. Un utente, “Phineas Fisher”, si è attribuito con un tweet (parzialmente confermato) il merito di quest'incursione e di quella ai danni di un'altra società dello stesso settore, Gamma, qualche tempo addietro. Intanto dal Torrent sono stati estratti e segnalati online dei file Excel (Client Overview*) nei quali ci sono i clienti e i loro indirizzi di mail e su Github sono stati pubblicati quelli che sembrano essere i codici sorgente trafugati. Ci sono persino degli screenshot dei desktop dei computer del personale della società. La situazione per Hacking Team, insomma, diventa sempre più disastrosa.



17:00. Apple avrebbe dato a Hacking Team un certificato digitale come iOS enterprise developer per firmare le app e quindi farle sembrare sicure e approvate: Subject: UID=DE9J4B8GTF, CN=iPhone Distribution: HT srl, OU=DE9J4B8GTF, O=HT srl, C=IT. Da quel che ho capito (grazie a Manuel W e Maurizio C), questo in teoria avrebbe permesso a Hacking Team di inviare alla vittima via mail o postare su un sito (non nell'App Store) un'app ostile per iPhone/iPad che il dispositivo e la vittima avrebbero ritenuto sicura perché firmata col certificato, bypassando così i controlli che rendono difficile installare malware nei dispositivi iOS. Sarà interessante vedere la reazione di Apple.


18:00. C'è anche la Svizzera, e specificamente la Polizia Cantonale di Zurigo, fra i clienti di Hacking Team. Per la cifra non trascurabile di 486.500 euro la Kantonspolizei ha acquistato a fine 2014 da HT il Remote Control System Galileo (fattura numero 072/2014). Di questo acquisto ho conferma da fonte indipendente. Galileo è uno dei nomi usati da HT per indicare il proprio malware usato per intercettare i contenuti di smartphone (iOS, Android, Windows Phone, BlackBerry, Symbian) e computer (Windows, Linux, OS X) scavalcandone la crittografia. Galileo viene offerto vantandone l'uso per gestire “fino a centinaia di migliaia di bersagli”.


Hacking Team e i suoi clienti difendono spesso l'uso di malware di stato dicendo che è necessario per lottare contro terrorismo, narcotraffico e pedopornografia. Ma quando si parla di “centinaia di migliaia di bersagli” siamo nel campo della sorveglianza di massa della popolazione e quei reati non c'entrano nulla. A meno che qualche governo se la senta di dire che ha in casa centinaia di migliaia di terroristi, spacciatori e pedofili.


21:30. Si stanno accumulando molte domande, anche autorevoli (The Register, Kevin Mitnick), intorno ad alcuni pezzi di codice sorgente (come questo e questo) che a prima vista sembrano istruzioni per piazzare file di contenuto pedopornografico nei dispositivi dei sorvegliati. Prima di fare un'accusa così grave aspetterei un'analisi esperta di quel codice: non vorrei che si trattasse, per esempio, di semplici funzioni usate per creare un file dimostrativo per i test di funzionalità del malware. Quei nomi pippo e pluto, così tipici della programmazione fatta da italofoni, hanno l'aria di utenti demo.



 
22:45. Motherboard (Vice.com) scrive che Hacking Team “ha detto a tutti i propri clienti di interrompere tutte le attività e di sospendere ogni uso dello spyware dell'azienda”, riferendosi specificamente al software Galileo/RCS. Scrive inoltre che HT non ha più accesso alla propria mail e che probabilmente i 400 GB di dati sono solo una parte del materiale trafugato. L'intrusione sarebbe avvenuta entrando nei computer dei due amministratori di sistema di HT, Christian Pozzi e Mauro Romeo (sì, colui che usa come password Passw0rd e lo fa ripetutamente è un sysadmin; non ridete). Nessuno dei dati sensibili era cifrato: passaporti dei dipendenti, elenchi di clienti, tutto in chiaro. Il profilo LinkedIn di Pozzi lo descrive come Senior System and Security Engineer, Hacking Team, April 2014 – Present (1 year 4 months).

Correzione: in una versione precedente di questo articolo avevo scritto che il profilo era stato cancellato; invece era online e c'era un errore mio nell'URL che stavo usando.


C'è anche di peggio. Sempre secondo le fonti di Motherboard, il software di HT ha una backdoor (probabilmente questa) che permette a HT di disattivare o sospendere il suo funzionamento, e questo non lo sanno neppure i clienti.

E ancora: ogni copia del software ha un watermark, per cui “Hacking Team, e adesso chiunque abbia accesso a questo dump di dati, può scoprire chi lo usa e chi viene preso di mira. [...] è possibile collegare una specifica backdoor a uno specifico cliente. E sembra esserci un una backdoor nel modo in cui i proxy di anonimizzazione vengono gestiti, che consente a Hacking Team di spegnerli indipendentemente dal cliente e di recuperare l'indirizzo IP finale che devono contattare”.

Saranno contentissimi i clienti di HT, che volevano un prodotto che desse loro una backdoor per spiare i loro bersagli e invece si sono trovati con un prodotto che ha anche una backdoor che agisce contro di loro e rivela chi volevano spiare. Sembra un brutto remake di Inception.

Come se non bastasse tutta questa devastazione, su Twitter gira un umiliante abbinamento di carte: da una parte c'è un documento datato 2015 in cui il rappresentante all'ONU dell'Italia, Sebastiano Cardi, dichiara che Hacking Team al momento non opera nel Sudan e chiede che Hacking Team chiarisca se ci sono stati affari precedenti con il Sudan; dall'altra c'è una fattura di Hacking Team al Sudan datata 2012. Sarebbe interessante sapere come si sente ora Sebastiano Cardi.

Correzione: il paragrafo precedente è stato aggiornato per presentare più correttamente il ruolo di Cardi.
 



23:00. È una disfatta totale: sono finiti online anche gli estratti conto delle carte di credito dei membri di Hacking Team, i file audio, gli screenshot di Pozzi che ha in archivio il file pirata di Cinquanta sfumature di grigio, si collega dal lavoro a un desktop remoto e lo usa per scaricare film pirata su Emule e altre chicche. Vediamo quali altre sorprese ci porterà la notte.


23:55. Vorrei concludere la giornata con un grandissimo grazie pubblico a tutti i lettori che mi hanno aiutato a raccogliere al volo i pezzi di questa vicenda; senza di voi non sarebbe stato possibile, ma siete troppi per potervi ringraziare uno per uno. A domani!


2015/07/07 10:40. Ho sistemato alcune imprecisioni nel testo di questo articolo e ne sto preparando uno supplementare con gli aggiornamenti della notte e del mattino. Eccolo.


Fonti aggiuntive (con link al Torrent, a screenshot e a documenti): The Register (anche qui), The Next Web, CSO Online (anche qui), Wired, Bruce Schneier, The Intercept, Ars Technica, The Guardian.
2 commenti

Incidente SpaceX, risposte entro fine settimana; la capsula Dragon s’è davvero sganciata

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “ricocrit*” e “robbien*”. Se vi piace, potete incoraggiarmi a scrivere ancora.



Credit: NASA Spaceflight forum
Elon Musk ha pubblicato poche ore fa il tweet citato qui sopra, in cui annuncia che si aspetta che le conclusioni preliminari riguardanti lo sfortunato lancio CRS-7, esploso il 28 giugno scorso durante l'arrampicata verso lo spazio per rifornire la Stazione Spaziale Internazionale, verranno raggiunte entro la fine di questa settimana.

Musk ha aggiunto che verranno dapprima notificati i clienti primari e la FAA e poi ci sarà un annuncio pubblico sul sito di SpaceX.

Intanto il sito NASA Spaceflight (non legato alla NASA) ha pubblicato un articolo dettagliato nel quale riassume gli incidenti precedenti di SpaceX (tre Falcon 1 persi uno dopo l'altro) e ricorda che l'industria aerospaziale non è per i deboli di cuore o per i pavidi che scappano davanti al primo insuccesso.

L'articolo segnala inoltre che “le telecamere d'inseguimento a lunga portata presso la base dell'aviazione militare di Cape Canaveral e al Kennedy Space Center hanno catturato l'incidente con dettaglio sufficiente a identificare la capsula Dragon che abbandona la ‘scena del delitto’, anche se la sua sorte era anch'essa segnata perché era destinata a un impatto ad alta velocità, non sopravvivibile, con la superficie dell'oceano.”

Sono stati recuperati “alcuni grandi frammenti” del veicolo. L'ipotesi prevalente, tutta da confermare, è che ci sia stato un problema nel sistema di pressurizzazione del secondo stadio e/o delle linee d'alimentazione del sistema stesso che ha portato a uno sbalzo importante di pressione, portando al cedimento strutturale dello stadio e quindi alla separazione della capsula Dragon.
27 commenti

È scientificamente provato: la causa dell’autismo è Jim Carrey


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “s.poppi*” e “davide.web*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora.

Avrete sentito parlare del recente epic fail di Jim Carrey, l'attore comico, che si è lanciato su Twitter in una serie di accuse deliranti contro i vaccini che, a suo dire, conterrebbero mercurio, alluminio e altri veleni, e contro il governatore della California, Jerry Brown, che Carrey ha definito “fascista manovrato dalle aziende” per la sua legge sull'obbligo di vaccinazione per varie malattie infettive, compresi morbillo e pertosse.

Salvo di Grazia (MedBunker) ha scritto un ottimo articolo sul Fatto Quotidiano che spiega l'assurdità medica di quello che afferma Carrey. Io mi limito a ricordare che il fatto di essere celebre non lo rende un tuttologo: nulla da eccepire sulla sua competenza professionale come attore, per carità, ma la sua competenza in campo medico è nulla, e Carrey non è nemmeno in grado di portare esperti medici che confermino le sue affermazioni. Se la mia auto non funziona, vado da un meccanico, non da un salumiere o da un premio Nobel.

L'articolo di Salvo di Grazia cita anche il grafico che vedete qui sopra, che rende “scientificamente evidente” il nesso fra autismo e film di Jim Carrey. C'è poco da scherzare sull'autismo, e infatti il grafico non è uno scherzo: contiene lo stesso errore che viene commesso, senza rendersene conto, da chi lega i vaccini all'autismo, ossia pensare che un evento che accade dopo un altro deve per forza essere causato dal primo, e che un evento che si evolve di pari passo a un altro significa per forza che i due sono legati fra loro. Il fatto che i sintomi dell'autismo compaiano dopo l'età alla quale si fanno alcune vaccinazioni non significa che le vaccinazioni causano l'autismo, esattamente come vedersi tagliare la strada da un gatto nero e poi farsi male non significa che i gatti neri portano iella. Correlazione non implica causa: non dimentichiamolo mai.