HackingTeam: di cosa dovete davvero aver paura

"Qualcuno potrebbe aver avuto accesso alla lista dei bersagli, alla storia delle intercettazioni ed ai documenti intercettati delle persone sottoposte a controllo da parte degli organi di indagine"

Questo articolo è stato scritto da Matteo Flora, founder di The Fool  e docente Ninja Academy. È stato precedentemente pubblicato sul suo blog mgpf.it.

Sono passati alcuni giorni dalla fuoriuscita di informazioni (in modo quantomeno spettacolare) di HackingTeam, l’azienda italiana tra i leader mondiali per la vendita di soluzioni per l’intercettazione telematica usate in moltissime realtà in giro per il mondo.
La suite di prodotti di HackingTeam in qualunque incarnazione la si contempli (RCS, Galileo, DaVinci, Ornella) rappresenta(va) lo stato dell’arte rispetto alle tecnologie di intercettazione tramite “trojan”, tramite cioè software che veniva installato remotamente (o meno) all’interno dei dispositivi digitali dei soggetti sottoposti ad intercettazione e che comunicava con una “base” centrale a cui mandava dati (telefonate, audio, chat, email, messaggi, fotografie…).

L’affaire HackingTeam non inizia certo ora, ma si protrae da qualche anno, anche dopo che un nucleo estremamente compatto e particolarmente skillato di hacker (nel termine positivo del termine) si è dato pena negli ultimi anni di analizzare le installazioni del software, trovandone applicazioni anche in paesi “diversamente democratici” come il Sudan. Fornire la tipologia di servizi che HackingTeam distribuisce a queste tipologie di clienti rappresenta un pericolo per i diritti umani che non è possibile sorvolare.

Ma non è mia competenza e non sono abbastanza ferrato per disquisire sulle problematiche umanitarie e sulla politica internazionale, e men che meno sui “giochi da avvocati” che paiono essere stati utilizzati nella gestione delle relazioni con il Sudan… HackingTeam dice di non aver avere “venduto” negli ultimi anni tecnologia al Sudan (ma potrebbe averla venduta a qualcuno che la abbia poi “passata), ma sembra strano che continui a mantenere una installazione in Sudan, e a rinnovare peraltro le garanzie e l’assistenza ai server Sudanesi…

Quello però di cui vorrei parlarvi sono un paio di implicazioni che mi sembra non siano ancora state colte né dalla stampa internazionale, né soprattutto da quella nostrana e che appartengono un po’ più alla mia fascia di competenza e sono, nel brevissimo periodo, nella mia modesta opinione estremamente più importanti. Le elenco qui sotto ad un ad una:

Tutte le indagini attuali sono in pericolo

In capo a 24/48 ore gli antivirus inizieranno a rilevare RCS/Galileo come Viruse a notificarlo ai soggetti che ne hanno una copia installata. Il che significa che non solo in 24/48 ore tali soggetti saranno in grado di rimuovere le sonde e quindi non più sotto il controllo dell’organismo di intercettazione, ma anche e soprattutto che una volta individuato il trojan avranno la matematica certezzadi essere stati attenzionati dalle Forze dell’Ordine e quindi saranno perfettamente in grado di prendere contromisure e di provvedere a proteggersi in modo più efficiente. Addirittura alcuni di loro, che nemmeno sapevano di essere oggetto di indagine, potranno in questo modo scoprirlo molto prima che la notizia li raggiunga “per vie legali”.

Inutile spiegare come questa cosa non solamente comprometta in modo anche irreparabile le indagini in essere, ma anche e soprattutto renda ulteriori indagini estremamente complesse se non impossibili, alzando significativamente la barriera di attenzione dei singoli bersagli.

I bersagli delle operazioni sono potenzialmente divenuti pubblici

Per decine di ore nell’intervallo tra la messa online dei dump e l0inizio della attività di prevenzione di HackingTeam, le posizione, gli indirizzi, gli utenti e le password di molte macchine in capo ai clienti sono state pubbliche. Questo significa che potenzialmente qualcuno potrebbe aver avuto accesso ai server di RCS che venivano in quel momento utilizzati in “produzione”.

Qualora la cosa non vi sia ancora chiara, significa che qualcuno potrebbe aver avuto accesso alla lista dei bersagli, alla storia delle intercettazioni ed ai documenti intercettati (telefonate, audio, chat, email, messaggi, fotografie…) delle persone sottoposte a controllo da parte degli organi di indagine. Significherebbe, ad esempio:

– Avere accesso a tutti i nomi delle persone oggetto di indagine e poterle “avvisare”: questo significa che le grosse organizzazioni criminali o terroristiche potrebbero avere informazioni non solamente su quali loro “cellule” sono intercettate ma anche potenzialmente quali sono cellule rivali, contenuti delle comunicazioni e informazioni private;

– Se non vogliono avvisarle è possibile utilizzare le stesse informazioni per ricattarle: tutto sommato se qualcuno ha avuto accesso allora ha anche in mano documentazione estremamente sensibile e fortemente privata con cui potere andare a potenzialmente distruggere la vita dei “bersagli”.

– Molte delle realtà sono “pubblica sicurezza”, ad esempio il cliente “Presidenza del Consiglio dei Ministri” è il nome tecnico con cui vengono designati i “Servizi Segreti” italiani. Avere in mano l’elenco dei “bersagli” dei Servizi italiani non solo è pericoloso, ma lo sarebbe ancora di più se alcuni di questi “bersagli” non fossero strettamente “kosher”.

Ogni software è “firmato” e riconoscibile

Non solamente gli antivirus saranno a brevissimo in grado di rilevare la presenza di RCS/Galileo all’interno dei dispositivi elettronici, ma sarà anche possibile direttamente conoscere quale realtà internazionale o nazionale è responsabile di aver caricato il singolo trojan: tra i dati emersi, infatti, non solamente è stato dimostrato che ciascuna installazione aveva una “firma caratteristica” (cosa ottima per capire eventuali abusi), ma tali firme caratteristiche fanno parte integrante del “leak” che è emerso e, quindi, sono rilevabili.

Significa che se trovo RCS su un mio dispositivo posso sapere non solamente che sono sotto controllo, ma anche se lo sono da parte della Polizia Postale, da parte della DEA Americana o da parte dei Servizi Segreti italiani.

Dubbi di meccanismi di Evidence Planting sono venuti alla luce

Una delle rivelazioni che attende ancora conferma ma che fa più inorridire è la possibilità che all’interno di una serie di file presenti nell’archivio siano stati scoperti meccanismi in grado di creare contenuti sul computer della vittima. Questa pratica, comunemente definita “evidence planting” o “inseminazione di evidenze” è la la più terrificante: se dimostrato significa che il software era in grado di impiantare contenuti all’interno dei computer degli ignari “bersagli”. Pensate, ad esempio, alla possibilità di inserire contenuti pedopornografici all’interno del computer di un “bersaglio” per poi incriminarlo per detenzione di materiale pedopornografico. E pensate questa eventualità in paese “sportivamente democratici”. E poi cambiate il pannolone.

Per ora, però, c’è da dire che l’unico campanello di allarme in questa direzione è un file in Ruby che pare semplicemente creare dei contenuti di test, che si potrebbero benissimo spiegare con la necessità di avere dei file di “demo” per poter testare il prodotto. Solo una analisi più approfondita del codice potrà svelare se vi siano o meno reali minacce. C’è da dire che come contenuti di test un semplice “antani.avi” sarebbe stato molto meno sospetto…

Black Galileo: ora i criminali ascoltano i magistrati

Ed alla fine arriva anche la vera criticità, espressa anche se con giri di parole direttamente sul sito di HackingTeam direttamente per voce del Responsabile Ufficio Stampa:

HackingTeam’s investigation has determined that sufficient code was released to permit anyone to deploy the software against any target of their choice.

Nel caso non vi fosse ancora chiaro, dal 6 di Luglio uno dei più sofisticati e perfezionati sistemi di intercettazione a livello globale è libero e disponibile a chi ha anche limitate capacità di comprendere ed installare il codice che si trova all’interno dei Torrent. Significa che in capo a pochi giorni assisteremo alla messa online di installazioni di “Black RCS” o “Black Galileo”: installazioni “pirata” del software con bersagli decisi dai criminali. E questi bersagli possono benissimo essere politici, magistrati, competitor o anche – nel caso di paesi diversamente democratici – attivisti e oppositori di regime.
“Liberando” il codice si da l’opportunità a chiunque di replicare, migliorare ed installare una delle più sofisticate armi digitali in circolazione.