Lo scandalo Hacking Team, il datagate italiano che mette a rischio la sicurezza di tutti
I super hacker ridicolizzati insieme ai loro clienti, segreti e trucchi degli spioni sono finiti online insieme ad accuse gravissime. Nei guai le istituzioni che si sono servite dall'azienda
Una figuraccia che echeggia nel mondo ormai da giorni, inviti al governo a fare chiarezza, messi in piazza i segreti di regimi repressivi, aziende e istituzioni legittime. I database di Hacking Team sono stati copiati e messi online e quel che è emerso è uno scandalo tutto italiano
LO SCANDALO HACKING TEAM –
Hacking Team è un’azienda nota per la produzione di malware e sistemi di spionaggio informatico. L’azienda milanese, che ha goduto di robusti finanziamenti della Regione Lombardia attraverso Finlombarda Gestioni SGR, vende questi prodotti solo a governi legittimi e e a istituzioni pubbliche. Questo almeno hanno ribadito i suoi rappresentanti quando l’anno scorso l’azienda è stata accusata dall’ONU e da diverse associazioni per la protezione dei diritti umani di aver collaborato con regimi repressivi come quelli di Sudan, Etiopia ed Egitto, paesi con quali l’azienda ha negato ogni contatto. Nel database di oltre 400 gygabite finito online emergono invece corrispondenze, fatture e dettagli di affari conclusi con questi paesi e con altri non meno impresentabili. A poche ore dalla pubblicazione di quest’ultimo massiccio «leak» l’azienda è già stata accusata di aver permesso con i suoi strumenti la persecuzione e l’incarceramento di giornalisti in Marocco, Sudan ed Etiopia, di aver fornito al Marocco il software usato per spiare l’ONU e ad altri paesi quelli per spiare e reprimere cittadini ed oppositori. Bahrein, Arabia Saudita, Uzbekistan, Kazakistan, Azerbaijan, Mongolia, Etiopia, Russia e Sudan sono solo alcuni dei più famigerati clienti di Hacking Team, ma anche per molti governi di paesi «democratici» è un problema apparire in quella lista, perché in molti paesi la disciplina delle intercettazioni è severa e non comprende o autorizza le vere e proprie azioni di pirateria informatica rese possibili dai software dell’azienda milanese, capaci di violare qualsiasi dispositivo elettronico e tutti i maggiori sistemi operativi e quindi di spalancare a chi li impiega l’intimità e tutti i segreti dei bersagli, permettendone il furto e la conservazione di quei dati a volontà.
LA POSIZIONE DI HACKING TEAM –
Il portavoce dell’azienda Eric Rabe ha dichiarato a ZDNet che l’azienda non ha commesso atti illegali e neppure eticamente censurabili, ma i documenti lo smentiscono, come smentiscono simili affermazioni da lui fatte in precedenza.Non meglio è andato nel rispondere alle domande di Fabio Chiusi, al quale ha consegnato le consuete risposte che non dicono niente, definito «oltraggioso» l’attacco subito, salvo poi scadere nel ridicolo con un’affermazione quale: «Credo che siamo l’unica azienda che rispetta del tutto l’accordo di Wassenaar nel nostro campo». Parole inutili, come la policy aziendale che alla luce delle rivelazioni pare una tragica barzelletta, perché sono ben altre le domande alle quali dovrà rispondere i suoi responsabili. Da più parti, dall’Italia come dall’Estero, si chiede al governo italiano ed europeo di fare chiarezza su quello che sembra uno scandalo di dimensioni epiche, al quale le autorità, i media e i politici italiani stanno cercando in tutta evidenza di mettere la sordina. Dalla corrispondenza riversata in rete si viene a sapere invece che tra tutti l’azienda ha «scaricato» solo l’Etiopia, che vorrebbe tornare a essere un buon cliente dell’azienda, ma che all’Hacking Team rifiutano sì per le pressioni e le denunce ricevute dalle ONG, ma soprattutto perché usano il software dell’azienda in maniera avventata e sbagliata, danneggiando l’azienda più delle proteste.
I PROBLEMI PER HACKING TEAM –
Le questioni in campo sono diverse, quelle che riguardano il rapporto tra l’operato dell’azienda come traspare dai dati riversati in rete e la legge italiana, sono state elencate in una serie di questioni poste dalla Coalizione per le Libertà e i Diritti Civili al governo italiano;
- Può confermarci che l’Italia ha implementato il Regolamento Delegato 1382/2014 della Commissione e che quindi richiede agli esportatori che ricadono nella categoria 4A005 “Sistemi, apparecchiature, e loro componenti, appositamente progettati o modificati per la generazione, il funzionamento, la consegna di, o la comunicazione con il “software di intrusione” di richiedere una licenza per l’esportazione?
- Può confermarci che il “Remote Control System” venduto da “Hacking Team’ diVia della Moscova n. 13 20121, Milan, ora richiede un’autorizzazione per l’esportazione, come da comunicato pubblicato sul sito web di Hacking Team?
- In tal caso, può confermarci che l’esportazione del “Remote Control System” richiede una licenza individuale per ogni nuovo utente / cliente?
- In caso affermativo, questo requisito si applica esclusivamente per le esportazioni a partire dal 1/01/2015?
- Quali criteri sono utilizzati per valutare le esportazioni che ricadono nella categoria 4A005 e il ‘Remote Control System’?
- In che modo viene interpretato dall’Italia l’Articolo 6 del Council Common Position 2008/944/CFSP sull’esportazione di armi che afferma che un criterio comune si applica agli Stati Membri “in respect of dual-use goods and technology as specified in Annex I to Regulation (EC) No 1334/2000 where there are serious grounds for believing that the end-user of such goods and technology will be the armed forces or internal security forces or similar entities in the recipient country”?
IL CONFINE TRA LEGALE E ILLEGALE –
Considerazioni e domande simili sono finite nell’interrogazione della deputata liberaldemocratica Marietje Schaake alla Commissione Europea e in decine d’interpellanze rivolte ai numerosi governi che si trovano nella lista dei clienti di Hacking Team e, anche negli appelli che diverse istituzioni e organizzazioni internazionali hanno fatto al governo italiano e all’Unione perché indaghino a fondo. Appelli che per ora il governo ha ignorato. Fragoroso è infatti il silenzio del governo, nonostante la Presidenza del Consiglio risulti tra i clienti dei sistemi «offensivi» dell’azienda, con una spesa di circa 400.000 euro nel 2011, ma soprattutto nonostante che tra i clienti figurino i carabinieri, la polizia e la guardia di finanza, che ora sono dotati di software grazie ai quali i delinquenti possono scoprire chi e come li spia e che prima erano dotati di software che permette di condurre operazioni molto diverse dalle semplici intercettazioni, operazioni difficilmente autorizzabili dall’autorità giudiziaria, che anche dove sono autorizzate sollevano polemiche. Ora, dall’FBI alla DEA, fino ai nostri dello SCICO, sono tutti dotati di software come il Remote Control System (denominato anche Galileo) che Hacking Team prega di non usare, perché grazie ai dati pubblicati si sa come tracciarne l’azione a ritroso e perché è dotato di backdoor all’insaputa dei clienti, «porte» ora aperte a chiunque abbia le competenze per approfittarne.
LO SCANDALO NELLO SCANDALO –
A fare sensazione non è stata però solo la rivelazione o in qualche caso alla conferma dei rapporti di Hacking Team con regimi criminali, ma anche la qualità del lavoro svolto dall’azienda così come traspare dai materiali pubblicati, che è bene ricordare potrebbero non essere tutti quelli sottratti all’azienda e che per ora sono stati esplorati solo in parte. Anche se decine di persone ci stanno lavorando sopra, 400 GB sono una quantità di materiale enorme.
E TUTTI RISERO –
Essere violati nell’intimità dei propri server è sicuramente uno smacco per un’azienda che si occupa di «sicurezza informatica», ma quello che si è verificato è molto più imbarazzante, perché il misterioso autore del furto di dati, tale e sedicente Phineas Fisher, già autore d’imprese simili, ha agito senza che nessuno in azienda se ne accorgesse, grazie all’evidente assenza delle più elementari misure di sicurezza. Se Fisher sia un semplice attivista animato da impulsi etici o un concorrente di Hacking Team che così prova a liberarsi della concorrenza poco importa, questa storia evidenzia perfettamente come il preteso diritto di spiare tutto da parte di certi governi e organizzazioni, non possa che nuocere a internet e tradursi in una corsa infinita al «riarmo» informatico, con costi e controindicazioni enormi per ottenere solo risultati temporanei e mai sicuri. Così in rete sono finiti i dati conservati in chiaro di clienti, fornitori, amici e parenti, indirizzari conservati ugualmente in chiaro, tutta la posta dell’azienda e quindi tutti i rapporti con i clienti, anche quelli inconfessabili, non solo per l’azienda (qui una rassegna visiva di parte del materiale). Problemi ad esempio hanno le autorità in Messico, che è risultato il primo cliente dell’azienda dopo l’Italia, ma anche a Panama, dove il software di Hacking Team è stato «perso» dalla presidenza dopo l’ultimo cambio di presidente, questo almeno il risultato delle prime indagini nel paese. Paese nel quel un tempo era presidente Ricardo Martinelli, grande amico di Berlusconi e in ottimi rapporti d’affari con l’Italia, al punto di finire coinvolto nell’inchiesta Lavitola. Inutile ricordare che se strumenti del genere finiscono nelle mani di criminali tout court, i possibili abusi diventano infiniti.
LEGGI ANCHE: Hacking Team hackerato, in piazza i rapporti con i regimi
I DATI DI HACKING TEAM SONO PERICOLOSI –
Ancora più imbarazzante è che in rete sia finito tutto il know how aziendale e una fotografia delle pratiche aziendali non proprio edificanti: mail nelle quali si trattano con leggerezza i problemi di sicurezza interna, il rapporto su un’indagine della Kroll conclusa con la scoperta di ex dipendenti e collaboratori che vendevano prodotti concorrenti e anche prodotti per neutralizzare quelli di Hacking Team. Ma è soprattutto lo stock di vulnerabilità, malware e spyware che è finito in pubblico a destare preoccupazione, perché è tutto materiale a disposizione del primo malintenzionato che passa, non più solo di quelli che possono permettersi le fatture dell’Hacking Team. Quella roba faceva danni grossi prima e ora ne potrebbe fare persino di peggiori ed essere usata da chiunque, anche se paradossalmente la parte delle «rivelazioni» relative alle vulnerabilità di software molto di diffusi, sfruttate per le intrusioni, sono ora all’esame di quanti hanno il compito di turare questo genere di falle nei propri prodotti.
Un disastro figlio in tutta evidenza di pigrizia e sciatteria, perché non si può credere che degli amministratori di sistema non sappiano che usare password super banali come «passw0rd»,«Pas$word» etc. è una pessima idea. O che tenerle in chiaro su un file di testo sul desktop insieme ad altri dati sensibili, sia agli antipodi delle buone pratiche di chi si dovrebbe occupare di sicurezza. Eppure dalla corrispondenza interna si evince che l’ipotesi di un attacco era tenuta in conto, ma meglio sarebbe dire esorcizzata con qualche battuta, così come non sfuggiva la natura proibita di certi rapporti con alcuni paesi, che l’azienda ha negato stentorea e che continua a negare, anche di fronte all’evidenza. Neppure sfuggiva l’utilità della crittografia, un ostacolo maledetto per l’Hacking Team, almeno al pari di TOR, ma l’Hacking Team non ha crittografato il suo database o la sua corrispondenza e così chi l’ha prelevato ha solo dovuto mettere in rete così come l’ha trovato. Appena qualche giorno fa il CEO David Vincenzetti scriveva di essere scettico sull’uso della crittografia, tanto «non abbiamo niente da nascondere». Mal gliene incolse, perché l’account Twitter di HackingTeam, violato anche quello, è stato usato per diffondere la notizia proprio usando a mo’ di sberleffo la frase «non abbiamo niente da nascondere». Abbastanza deludente è stata la reazione dell’azienda a un tale disastro, incapace di fare altro che mandare avanti Rabe a ripetere una canzone già cantata un anno fa, quando l’azienda fu accusata da diverse organizzazioni di complicità con i regimi di Sudan ed Etiopia. Non che la situazione sia facile, il lavoro di una vita è finito in piazza, il know-aziendale reso pubblico, la fiducia dei clienti è andata delusa su tutta la linea e molti pensano che Hacking Team sia ormai un’azienda finita e che dopo un tale fallimento nessuna istituzione si fiderà mai più ad affidare incarichi tanto delicati o a utilizzare sistemi che oggi stanno letteralmente esplodendo in mano ai clienti dell’azienda milanese, creando problemi enormi sia sul fronte della sicurezza che su quello politico. Lo slogan dell’azienda era «Rely on us», fidatevi di noi, ma ora quella fiducia sembra a molti malriposta.
IL FUTURO DI HACKING TEAM E DEI SUOI È A RISCHIO –
Problemi che non potranno essere risolti cercando di limitare la diffusione del materiale trafugato e nemmeno inventando storie, l’azione della magistratura appare quanto mai inevitabile viste le rumorose e numerose notizie che fanno riferimento alla consumazione di gravi reati, e ai giudici bisogna offrire qualcosa di completamente diverso. E qualcosa di completamente diverso occorrerà fornire ai clienti che hanno visto la loro sicurezza e riservatezza incenerita grazie all’incapacità di Hacking Team di proteggere i propri dati, nella speranza che si accontentino di stracciare i contratti senza sposare iniziative più drastiche che potrebbero mettere a rischio qualcosa di più della stessa sopravvivenza dell’azienda. Nella storia dello spionaggio ci sono operatori che hanno incontrato la morte o gravi disgrazie per molto meno. Spetterebbe ora al governo occuparsi della faccenda e chiarirne i contorni e i rapporti con le amministrazioni dello stato, mentre spetterebbe alla magistratura far chiarezza sulle gravi accuse che piovono da ogni dove contro l’azienda e disporre una protezione per i suoi dirigenti e dipendenti. Ma per ora il governo si è segnalato solo per la sua indifferenza a uno scandalo di caratura internazionale.