Sull' affare Hacking Team

A pochi giorni dall'attacco hacker che ha colpito Hacking Team, società milanese produttrice di spyware (software di spionaggio) governativi, l'azienda stessa afferma in un comunicato ufficiale dell'8 luglio di aver perso il controllo dei propri prodotti informatici, affermando di “non riuscire più a controllare chi li utilizza.” Il 6 luglio l'account Twitter @hackingteam è stato infatti violato prima di divenire strumento di diffusione di oltre 400 Gigabyte di materiale riservato.

Ciò ha di fatto comportato la messa a nudo del funzionamento dei software di spionaggio, dei dati di accesso per il controllo di questi ultimi e di molti dei rapporti commerciali stipulati dall'azienda con governi e agenzie di intelligence, oltre che di svariate password, email e credenziali.

E' quindi la stessa Hacking Team a confermare il fatto che ora buona parte dei sistemi di controllo fino ad ora venduti possano essere violati, con la conseguente possibilità che gli stessi dispositivi spiati e controllati finora dai clienti di HT vengano ora controllati da altri individui; siano essi coloro i quali hanno effettuato l'attacco informatico o chissà quali altri. L'azienda ha acquisito da diversi anni un ruolo centrale nella sorveglianza globale tramite software-spia, spiccando per supporto ai clienti ed infrastrutture complesse nonché per la rassicurazione sull' “invisibilità” (agli occhi di anti-virus) dei propri prodotti.

Verso la fine del 2014 Amensty International, in cooperazione con diverse Ong ha pubblicato uno strumento open-source in grado di scovare spyware sul proprio computer: Detekt. Nonostante il progetto sia stato portato avanti da vari soggetti, il codice è firmato da Claudio Guarnieri di Citizen Lab. Disponibile solo per Windows (solo alcune versioni, visitare https://resistsurveillance.org/ per approfondimenti e download), questo strumento ha di fatto rappresentato il primo software alla portata di tutti per scovare i principali “programmi spioni” impiegati da governi identificati nelle varie ricerche. In uno scambio di email trafugate e pubblicate su WikiLeaks si nota come furono molti i clienti a dimostrarsi preoccupati per la pubblicazione di questo software che in prima battuta riusciva ad identificare gli spyware

Di quanto successo abbiamo parlato con Carola Frediani, giornalista e scrittrice interessata all'ambito delle nuove tecnologie e autrice di “Dentro Anonymous: Viaggio nelle legioni dei cyberattivisti” (Informant, 2012) nonché di “Deep Web – La rete oltre Google” (Quintadicopertina, 2014). In questi giorni ha pubblicato diversi articoli in merito all'affaire Hacking Team su La Stampa.

Questo vuole essere un primo momento di ragionamento su alcuni nodi che il caso sta sollevando e che crediamo solleverà nel medio periodo.

Sono passati ormai cinque giorni dall'attacco subito da Hacking Team. Nel comunicato ufficiale dell'azienda diffuso in data 8 luglio, questa afferma di aver perso il controllo sui software da lei commercializzati. La prima domanda che sorge spontanea è: chi potrebbe prenderne il controllo ora?

Una premessa: riferisco quello che ho ricostruito come giornalista, non sono ovviamente un tecnico e per pareri più precisi è ad un esperto di Sicurezza Informatica che bisognerebbe rivolgersi. Comunque, per provare a rispondere alla domanda, chiunque abbia accesso al codice - come ad esempio mi ha spiegato l'esperto di informatica forense Andrea Ghirardini - può analizzarlo e quindi potenzialmente usarlo. Anche se va detto, come ha aggiunto il ricercatore Morgan Marquis-Boire, che mettere in piedi un'infrastruttura come quella che usava Hacking Team non è banale. Quindi diciamo che la preoccupazione più immediata, al di là di allarmismi vari, è soprattutto che possano essere identificati alcuni dei soggetti sorvegliati. Siccome poi ogni centro di controllo monitora i propri agenti (i software di intrusione) attraverso un watermark (elemento contrassegnante), questo permetterebbe in linea teorica di tracciare dei collegamenti ulteriori.

In una situazione complessa come quella attuale, dove ancora buona parte del materiale non è stato visionato, quali potrebbero essere gli scenari immaginabili nell'immediato e nel lungo periodo?

Quanto uscito è senza dubbio una bomba dal punto di vista della diffusione di informazioni riservate su vari livelli, informazioni che riguardano soprattutto imprese, organi statali, servizi di sicurezza, indagini, consulenti. Il solo indirizzario mail di Hacking Team è un who is who di contatti sparsi tra forze dell'ordine e servizi di molteplici Paesi. [WikiLeaks ha pubblicato oltre un milione di mail sottratte ad HT con tanto di motore di ricerca per parole chiavi]

Esistono delle restrizioni imposte da UE, Nato ed Onu per quanto riguarda il commercio d'armi con determinati Paesi ritenuti anti-democratici. Possiamo, visto il loro peso e la loro potenza, iniziare a pensare che questi spyware debbano essere considerati veri e propri armamenti?

Questo è un argomento complesso. Ci sono politici e attivisti - per esempio la parlamentare olandese Marietje Schaake - che le considerano vere e proprie armi digitali. L'anno scorso era stata lanciata una campagna internazionale per regolamentarle, cui hanno aderito Ong come Privacy International e Human Rights Watch. Semplificando: sì, esistono restrizioni di vario tipo ma ancora non stringenti o ben definite: una è il Wassenaar arrangement, un accordo che raccoglie 41 Paesi esportatori di armi e che è stato modificato tempo fa per includere tecnologie di questo tipo (https://cyberlaw.stanford.edu/publications/changes-export-control-arrangement-apply-computer-exploits-and-more). L'Unione Europea ha aggiornato un regolamento per includere questi programmi di sorveglianza nei controlli sulle esportazioni. Oltre a ciò è evidente che l'Onu consideri questi software o almeno il loro utilizzo in certe circostanze come equiparabile a materiali di ausilio militare. Per questo voleva informarsi sul Sudan dove vige un embargo. Ma non ci sono ad esempioo sanzioni o controlli a livello europeo, qualcosa che vorrebbe invece Marietje Schaake. Va anche detto che il mondo dell'Information Security non è né così entusiasta né così convinto sul tema regolamentazioni: la paura è che ne possa soffrire la libera ricerca. Anche fra Ong europee e statunitensi ci sono posizioni diverse al riguardo.

Tra il materiale trafugato all'azienda vi è una lista dettagliata di clienti con tanto di documenti finanziari, alcuni dei quali -parrebbe- in diretta violazione delle restrizioni di cui sopra. Negli anni non di rado sono state avanzate critiche e accuse di illegittimità se non di violazione dei diritti umani ad HT da vari soggetti ed organizzazioni che si occupano espressamente di diritti digitali (fra i quali Citizen Lab, Electronic Frontier Foundation e Privacy International), ma l'azienda ha sempre respinto queste accuse. Alla luce dei documenti pubblicati, cosa emerge?

Il dato principale che emerge è il commercio con Paesi poco democratici se non autoritari e repressivi. In alcuni di questi è stata trovata prova dell'uso di tali software contro attivisti, giornalisti, avvocati. Tuttavia per molti di questi Stati non c'erano restrizioni chiare al riguardo. C'è sicuramente una questione etica. Secondo la già citata Marietje Schaake, HT avrebbe violato le sanzioni europee contro il Sudan e quelle sulla Russia.

Questo non è il primo caso di hack subito da un'azienda appartenente a questo specifico settore. Vi può essere una correlazione fra i vari casi? Nonostante possano essere solo ipotesi in un contesto articolato e palesemente complesso, chi potrebbe aver dato origine all'attacco?

Sì, c'è correlazione. L'account che aveva diffuso i documenti hackerati di Gamma/FinFisher un anno fa ha "rivendicato" l'attacco ad Hacking Team mentre si stava svolgendo, risvegliandosi dopo un anno di silenzio (ed essendo a sua volta ritwittato da chi in quel momento stava diffondendo i documenti di Hacking Team attraverso il suo profilo twitter hackerato). Quindi sembra proprio lo stesso soggetto, chi sia ovviamente nessuno credo possa dirlo. Però chi può essere interessato a colpire a un anno di distanza due diverse società di questo tipo, entrambe accusate di violazioni dei diritti umani da vari attivisti e ricercatori? Un anno fa si pensava che l'hacker di FinFisher appartenesse al mondo hacktivista. Le modalità di azione sono riconducibili a quell'ambiente. Detto ciò, tutto è possibile allo stato attuale.

Al di là di restrizioni UE, Nato e Onu, si pone il problema della legittimità di un impiego massificato di strumenti atti al controllo sociale tramite mobile device e personal computer. Sono diversi i rapporti redatti da soggetti già citati che affermano di aver trovato tracce di virus progettati da Hacking Team su dispositivi appartenenti a giornalisti dissidenti ed attivisti politici.

di Infoaut, reperibile facile facile