Sono qui con le mani sulla tastiera da quasi un minuto, dita ferme e pensieri che vanno e vengono alla velocità nella luce, circostanza inconsueta per un tipo loquace come me, ma devo spiegare, a chi è a digiuno di cyber security, cosa è accaduto nel caso Hacking Team e quali possono essere le conseguenze sulla sicurezza nazionale e sulle aziende del Paese Italia.
Il trailer di un film sull’hacking recita: “Il nostro mondo è interconnesso, I nostri sistemi Interconnessi, le nostre identità vulnerabili, la nostra difesa è vulnerabili, le nostre case sono vulnerabili, i nostri segreti sono vulnerabili” … Maledettamente vero!
Hacking Team è un’azienda italiana di esperti di sicurezza che ha sviluppato un insieme di software per l’hackeraggio dei sistemi informatici. I suoi esperti, commissionati da governi e aziende, ritengono di poter colpire chiunque, qualsiasi cosa, in qualunque momento e in qualunque luogo … ovviamente per scopi leciti. I software sviluppati dall’azienda ufficialmente servono come strumento di investigazione alle forze dell’ordine e alle agenzie di intelligence intente alla lotta al terrorismo. Da tempo, tuttavia, molti gruppi di attivisti in rete sostengono che i software sviluppati dall’azienda milanese siano stati venduti dalla Hacking Team a regimi governativi oppressivi che li hanno utilizzati per perseguire dissidenti e oppositori ai loro governi. Lo scorso maggio, ad esempio, il personale di Hacking Team ha proposto le proprie soluzioni al “Battaglione d’intervento rapido” del Bangladesh, un’agenzia per la sicurezza nota soprattutto per i suoi metodi cruenti ed il continuo ricorso a torture e uccisioni. So che potrebbe sembrare strano ai più ma ogni giorno decine, centinaia di persone, sono identificate, torturate e uccise anche grazie a operazioni di intelligence condotte con strumenti come quelli sviluppati dalla Hacking Team.
Partiamo dall’inizio, un misterioso hacker ha violato i sistemi di una delle aziende più “forti” al mondo sotto il profilo sicurezza, Hacking Team appunto. Ovvero, qualcuno è entrato nei sistemi ritenuti inviolabili ai più, e ha portato via 400 GB di dati comprensivi di mail, contratti, documenti e persino i sorgenti dei temuti software. Alcuni dei documenti rubati dimostrerebbero, peraltro, le collaborazioni e le offerte fatte a governi come il Sudan ed il Bangladesh, paesi in cui i sistemi sarebbero stati usati per individuare e punire i dissidenti.
Ma come è possibile tutto ciò?
“Esfiltrare” 400 GB è un lavoro non banale, è un “lavoro” può richiedere mesi ed è davvero difficile non accorgersi del traffico che esce dai sistemi colpiti se si opera un normale monitoraggio della rete. Evito di scendere in dettaglio, ma le lacune emerse a seguito dell’attacco sono sconcertanti, soprattutto se pensiamo che clienti di queste aziende sono le principali aziende di intelligence di tutto il mondo, ovviamente anche i nostri servizi segreti.
Come vi anticipavo, all’interno della informazioni trafugate sono presenti anche i codici sorgenti dei software di spionaggio la cui divulgazione potrebbe avere un impatto significativo su aziende, governi e utenti Internet. Agenzie di intelligence straniere, gruppi di criminali informatici e persino cyber terroristi potrebbero elaborare i sorgenti per utilizzarli contro obiettivi di vario genere. Volendo usare una inquietante metafora, è come aver lasciato incustodita una cassa di Kalashnikov in pieno centro all’ora di punta con intorno uno stuolo di terroristi.
La brutta notizia è che gruppi criminali hanno già cominciato ad utilizzare i codici di hacking team per confezionare nuovi software (exploit KIT) in grado di compromettere i sistemi delle vittime in rete.
Ma chi potrebbe essere responsabile di tutto ciò?
Considerata la modalità con la quale sono stati resi pubblici i dati, i sospetti si addensano su un potenziale competitor oppure un gruppo di attivisti. Personalmente propenso per la seconda ipotesi, si è trattata di un’operazione lunga, durata svariate settimane, se non mesi, e coloro che hanno operano sono professionisti con un’elevata conoscenza dell’azienda. Personalmente escluderei ogni ipotesi sul coinvolgimento di insider, così come di agenzie di intelligence straniere che non avrebbero avuto alcun interesse nel diffondere la notizia in quanto di fatto avrebbero avuto accesso ad una delle principali reti di sorveglianza al mondo.
Mi preme condividere con voi una preoccupazione in merito a quanto accaduto insieme a una ipotesi di cui non si è parlato molto fino ad ora. Non è da escludere a mio giudizio che un gruppo di spie operanti per conto di un governo straniero siano riuscite da tempo ad accedere alla rete dell’azienda e a rubare preziosi informazioni. Questo scenario sarebbe catastrofico perché un’agenzia di intelligence straniera, attraverso i sistemi dell’Hacking Team, avrebbe potuto accedere, per mesi o addirittura anni, ai dati dell’azienda, dei suoi clienti e soprattutto alle informazioni carpite dai loro obiettivi.
Russi, Cinesi, Iraniani e Nord Coreani avrebbero pagato oro per avere accesso ad informazioni tanto preziose, e constatati i sistemi di difesa usati dalla azienda, tale ipotesi non andrebbe, a mio giudizio, scartata.
Quali ripercussioni sull’intelligence Italiana?
Fare una valutazione effettiva della portata del furto a Hacking Team, è ancora difficili: sono molte le variabili in gioco e forse il “potenziale” dirompente di questa azione svelerà poco a poco i suoi effetti nefasti. Ma alcune evidenze già possiamo analizzarle.
Non è un mistero: tra i clienti dell’Hacking Team vi sono i Servizi Segreti Italiani, in particolare AISE (Agenzia Informazioni e Sicurezza Esterna) che avrebbe acquistato dall’azienda uno dei software spia per le sue operazioni. Il direttore del DIS, Giampiero Massolo, ha riferito sull’accaduto al Copasir, sebbene l’intelligence Italiana abbia utilizzato il sistema per attività istituzionali ed “in modo perfettamente lecito”, i rischi per i sistemi dell’intelligence nazionale sono elevati e per questo motivo a seguito della notizia sono state sospese tutte le attività con i software dall’azienda sotto attacco. Mentre l’Hacking Team conferma di aver perso il controllo della sua struttura di spionaggio, l’intelligence italiana ha asserito di aver preso e contromisure necessarie a mettere in sicurezza i suoi sistemi.
Risulta tuttavia evidente che gli intrusi abbiano avuto accesso a dati relativi alla collaborazione con l’azienda e quindi a contratti, fatture, nominativi del personale assegnato alle attività, ma queste informazioni potrebbero essere utilizzate da chiunque per attacchi mirati di spear phishing e ingegneria sociale. Per questo motivo è stato innalzato il livello di allerta del personale con l’intento di prevenire ulteriori attacchi.
Vi lascio con una nota di cronaca: Wikileaks ha pubblica un milione di email aziendali trafugate all’azienda milanese. Un tesoro per gli esperti di sicurezza che intendono comprendere meglio l’attività dell’Hacking Team, ma anche per hacker e spie in cerca di informazioni da usare in operazioni di spionaggio e cyber attacchi: https://wikileaks.
Io ho trovato persino qualche riferimento ai miei post su Security Affairs!
Facebook Comments