Hacking Team, i risvolti di una vicenda grave e imbarazzante

Come abbiamo già avuto modo di raccontare nei giorni scorsi in questa notizia, durante la notte tra domenica e lunedì un attacco hacker ha colpito i sistemi interni della società italiana Hacking Team, nota per lo sviluppo di DaVinci, uno tra i software di spionaggio più usati al mondo. L'attacco ha permesso di trafugare oltre 400GB di materiale che è stato diffuso tramite i canali torrent sulla rete: un volume di informazioni sterminato, che contiene qualunque cosa si possa immaginare relativa alle attività di Hacking Team, dall'archivo di e-mail, alle liste dei clienti fino al codice sorgente dei programmi sviluppati dalla compagnia. Le ripercussioni sono state immediate, risultando innanzitutto nella sospensione dei servizi della compagnia, la quale comunque assicura che verranno ripresi il prima possibile. Hacking Team ha inoltre chiesto ai suoi clienti di sospendere l'impiego dei propri software. Ma gli effetti a lungo termine potrebbero essere di tutt'altra portata.

Anzitutto ci si trova dinnanzi ad un problema di tipo tecnico: gli strumenti di sorveglianza funzionano solo quando non sono individuabili. I dati trafugati nell'attacco hacker includono però il codice sorgente dei programmi di Hacking Team, il che rende molto più semplice individuare questi software nel futuro. I ricercatori di sicurezza hanno infatti la possibilità, basandosi su questi codici, di rilasciare firme antivirus o di contrassegnare il traffico che arriva dai server della compagnia. Tutto ciò, in pratica, neutralizza l'efficacia degli strumenti di Hacking Team la quale si trova nella condizione di dover far ripartire da zero o quasi le proprie attività. La pubblica disponibilità del codice sorgente permette però di venire a conoscenza di tutta quella lista di vulnerabilità ad ora sconosciute (le cosiddette falle 0-day) che sono state sfruttate dai software di Hacking Team per penetrare i terminali di mezzo mondo. Proprio in queste ore sono state rese note, ad esempio, due gravi falle legate a Flash di Adobe e a Windows di Microsoft.

La prima di esse viene descritta, all'interno dei documenti di Hacking Team, come "il più bel bug di Flash degli ultimi quattro anni". La vulnerabilità (un ricercatore cinese ne ha analizzato i dettagli tecnici) consente ad un attaccante di eseguire codice sul sistema bersaglio tramite un sito web ed interessa i sistemi operativi Windows, OS X e Linux e può essere sfruttata da browser quali Internet Explorer, Firefox, Chrome e Safari. Hacking Team sembra aver sfruttato questa falla per installare i propri strumenti di monitoraggio e controllo remoto. Adobe è ora a conoscenza del problema e rilascerà un aggiornamento nel più breve tempo possibile.

La seconda vulnerabilità riguarda invece un problema di font Adobe in Windows ed interessa tutte le versioni a 32-bit e a 64-bit del sistema operativo, da Windows XP a Windows 8.1. Questa vulnerabilità permette ad un attaccante di accedere rapidamente ai privilegi di amministratore. Se combinata con la vulnerabilità Flash precedentemente citata, può trasformarsi in un modo molto potente per mettere un PC sotto intercettazione. Anche in questo caso Microsoft è già a conoscenza del problema e sta lavorando ad una soluzione. E' verosimile supporre che nei prossimi giorni verranno a galla numerose altre vulnerabilità ed è lecito temere che in questo lasso di tempo qualcuno si sia già messo all'opera per sfruttare qualcuna di queste falle a scopi criminali.

La seconda implicazione è di tipo politico. All'interno della documentazione, come già detto, si trova la lista clienti della compagnia nella quale accanto a realtà governative prevedibili si trovano anche quelle di stati che attualmente sono sotto pesanti sanzioni, come Bahrain, Etiopia e Sudan. Il sito web The Intercept ha avuto modo di analizzare a fondo proprio questi aspetti della vicenda, riscontrando come l'atteggiamento di Hacking Team sia stato piuttosto mutevole a seconda dell'interlocutore: talvolta minimizzando preoccupazioni sui diritti umani e la privacy, talvolta mostrando irritazione verso alcuni dei suoi clienti più controversi, fino ad arrivare all'esplicita preoccupazione di perdite di fatturato nel caso dell'allontanamento di questi clienti. La compagnia però ha mantenuto nel corso degli anni un profilo tutt'altro che basso, il che è abbastanza inusuale per un'azienda impegnata nello sviluppo di strumenti di sorveglianza. Hacking Team ha spesso negato qualsiasi implicazione in casi d'abuso dei diritti umani, sottolineando come il proprio codice di condotta preveda la vendita dei software solamente a realtà governative. La lista di clienti non è però mai stata confermata e mai è stato dato esempio di quando sia stato cessato un rapporto con un cliente per via di dubbi e preoccupazioni in tema di diritti umani.

In questi giorni Eric Rabe, portavoce della compagnia, è stato più volte pungolato su questo aspetto da parte di varie testate, da ZD Net, ad Ars Technica fino a La Repubblica. Rabe, evitando ancora una volta di dare informazioni precise, si limita ad affermare che alcune delle informazioni trafugate con l'attacco hacker potrebbero essere state fraintese: "Anni fa Hacking Team offriva servizi di analisi di sicurezza e a quel tempo alcuni di quei servizi sono stati forniti a realtà non-governative, ma gli strumenti di sorveglianza non sono mai stati venduti ad organizzazioni non-governative". Rabe ha poi affermato che la compagnia ha avuto negli anni passati un comitato con potere di veto sulle vendite che aveva lo scopo di revisionarle e di considerare gli eventuali casi di abuso di diritti umani. L'entrata in vigore dei protocolli di Wassenaar (accordo multilaterale per il controllo dell'esportazione di armi convenzionali e di beni e tecnologie sensibili a doppio uso e che la compagnia, avendo residenza in Italia, deve rispettare) ha reso superflua la presenza del comitato.

Intanto l'attacco è stato rivendicato nel corso della giornata di ieri da tale Phineas Fisher (già autore, lo scorso anno, di un attacco ad Omega Group, realtà simile a The Hacking Team) che tramite il proprio account Twitter ha già dichiarato che rilascerà i dettagli dell'operazione quando Hacking Team ammetterà di non riuscire a venirne a capo. Anche in merito all'attacco, pur a fronte di una serie di informazioni che dimostrerebbero una certa leggerezza di procedure tra gli amministratori dei sistemi informativi della compagnia nonché la violazione di alcune delle più comuni regole del buonsenso in tema di sicurezza informatica, Rabe cerca di gettare acqua sul fuoco ipotizzando tra le righe che si possa trattare di una guerra tra concorrenti: "L'attacco è stata un'operazione molto sofisticata, non si tratta di un hacker solitario che opera nella sua stanzetta. E' un attacco molto più sofisticato. Le aziende sono spesso soggette ad attacchi di questo genere, che qualche volta vanno a segno".