Lo scandalo Hacking Team, il datagate italiano che mette a rischio la sicurezza di tutti

E TUTTI RISERO –

Essere violati nell’intimità dei propri server è sicuramente uno smacco per un’azienda che si occupa di «sicurezza informatica», ma quello che si è verificato è molto più imbarazzante, perché il misterioso autore del furto di dati, tale e sedicente Phineas Fisher, già autore d’imprese simili, ha agito senza che nessuno in azienda se ne accorgesse, grazie all’evidente assenza delle più elementari misure di sicurezza. Se Fisher sia un semplice attivista animato da impulsi etici o un concorrente di Hacking Team che così prova a liberarsi della concorrenza poco importa, questa storia evidenzia perfettamente come il  preteso diritto di spiare tutto da parte di certi governi e organizzazioni, non possa che nuocere a internet e tradursi in una corsa infinita al «riarmo» informatico, con costi e controindicazioni enormi per ottenere solo risultati temporanei e mai sicuri. Così in rete sono finiti i dati conservati in chiaro di clienti, fornitori, amici e parenti, indirizzari conservati ugualmente in chiaro, tutta la posta dell’azienda e quindi tutti i rapporti con i clienti, anche quelli inconfessabili, non solo per l’azienda (qui una rassegna visiva di parte del materiale). Problemi ad esempio hanno le autorità in Messico, che è risultato il primo cliente dell’azienda dopo l’Italia, ma anche a Panama, dove il software di Hacking Team è stato «perso» dalla presidenza dopo l’ultimo cambio di presidente, questo almeno il risultato delle prime indagini nel paese. Paese nel quel un tempo era presidente Ricardo Martinelli, grande amico di Berlusconi e in ottimi rapporti d’affari con l’Italia, al punto di finire coinvolto nell’inchiesta Lavitola. Inutile ricordare che se strumenti del genere finiscono nelle mani di criminali tout court, i possibili abusi diventano infiniti.

LEGGI ANCHE: Hacking Team hackerato, in piazza i rapporti con i regimi

I DATI DI HACKING TEAM SONO PERICOLOSI –

Ancora più imbarazzante è che in rete sia finito tutto il know how aziendale e una fotografia delle pratiche aziendali non proprio edificanti: mail nelle quali si trattano con leggerezza i problemi di sicurezza interna, il rapporto su un’indagine della Kroll conclusa con la scoperta di ex dipendenti e collaboratori che vendevano prodotti concorrenti e anche prodotti per neutralizzare quelli di Hacking Team. Ma è soprattutto lo stock di vulnerabilità, malware e spyware che è finito in pubblico a destare preoccupazione, perché è tutto materiale a disposizione del primo malintenzionato che passa, non più solo di quelli che possono permettersi le fatture dell’Hacking Team. Quella roba faceva danni grossi prima e ora ne potrebbe fare persino di peggiori ed essere usata da chiunque, anche se paradossalmente la parte delle «rivelazioni» relative alle vulnerabilità di software molto di diffusi, sfruttate per le intrusioni, sono ora all’esame di quanti hanno il compito di turare questo genere di falle nei propri prodotti.

UNA GESTIONE POCO PROFESSIONALE DELLA SICUREZZA –

Un disastro figlio in tutta evidenza di pigrizia e sciatteria, perché non si può credere che degli amministratori di sistema non sappiano che usare password super banali come «passw0rd»,«Pas$word» etc.  è una pessima idea. O che tenerle in chiaro su un file di testo sul desktop insieme ad altri dati sensibili, sia agli antipodi delle buone pratiche di chi si dovrebbe occupare di sicurezza. Eppure dalla corrispondenza interna si evince che l’ipotesi di un attacco era tenuta in conto, ma meglio sarebbe dire esorcizzata con qualche battuta, così come non sfuggiva la natura proibita di certi rapporti con alcuni paesi, che l’azienda ha negato stentorea e che continua a negare, anche di fronte all’evidenza. Neppure sfuggiva l’utilità della crittografia, un ostacolo maledetto per l’Hacking Team, almeno al pari di TOR, ma l’Hacking Team non ha crittografato il suo database o la sua corrispondenza e così chi l’ha prelevato ha solo dovuto mettere in rete così come l’ha trovato. Appena qualche giorno fa il CEO David Vincenzetti scriveva di essere scettico sull’uso della crittografia, tanto «non abbiamo niente da nascondere». Mal gliene incolse, perché l’account Twitter di HackingTeam, violato anche quello, è stato usato per diffondere la notizia proprio usando a mo’ di sberleffo la frase «non abbiamo niente da nascondere». Abbastanza deludente è stata  la reazione dell’azienda a un tale disastro, incapace di fare altro che mandare avanti Rabe a ripetere una canzone già cantata un anno fa, quando l’azienda fu accusata da diverse organizzazioni di complicità con i regimi di Sudan ed Etiopia. Non che la situazione sia facile, il lavoro di una vita è finito in piazza, il know-aziendale reso pubblico, la fiducia dei clienti è andata delusa su tutta la linea e molti pensano che Hacking Team sia ormai un’azienda finita e che dopo un tale fallimento nessuna istituzione si fiderà mai più ad affidare incarichi tanto delicati o a utilizzare sistemi che oggi stanno letteralmente esplodendo in mano ai clienti dell’azienda milanese, creando problemi enormi sia sul fronte della sicurezza che su quello politico. Lo slogan dell’azienda era «Rely on us», fidatevi di noi, ma ora quella fiducia sembra a molti malriposta.

IL FUTURO DI HACKING TEAM E DEI SUOI È A RISCHIO –

Problemi che non potranno essere risolti cercando di limitare la diffusione del materiale trafugato e nemmeno inventando storie, l’azione della magistratura appare quanto mai inevitabile viste le rumorose e numerose notizie che fanno riferimento alla consumazione di gravi reati, e ai giudici bisogna offrire qualcosa di completamente diverso. E qualcosa di completamente diverso occorrerà fornire ai clienti che hanno visto la loro sicurezza e riservatezza incenerita grazie all’incapacità di Hacking Team di proteggere i propri dati, nella speranza che si accontentino di stracciare i contratti senza sposare iniziative più drastiche che potrebbero mettere a rischio qualcosa di più della stessa sopravvivenza dell’azienda. Nella storia dello spionaggio ci sono operatori che hanno incontrato la morte o gravi disgrazie per molto meno. Spetterebbe ora al governo occuparsi della faccenda e chiarirne i contorni e i rapporti con le amministrazioni dello stato, mentre spetterebbe alla magistratura far chiarezza sulle gravi accuse che piovono da ogni dove contro l’azienda e disporre una protezione per i suoi dirigenti e dipendenti. Ma per ora il governo si è segnalato solo per la sua indifferenza a uno scandalo di caratura internazionale.