Notizie
Gli sviluppi della vicenda Hacking Team
L’attacco alla società milanese ha quindi avuto notevoli ripercussioni sulla sicurezza italiana come su quella internazionale.
Il 30 luglio 2015 Alessandro Pansa, capo della Polizia e quiondi anche della Polizia Postale e delle Comunicazioni, è apparso davanti al Copasir per spiegare il motivo dell’interruzione di molte inchieste in corso. Le attività di monitoraggio online avrebbero subito un duro colpo a causa dell’attacco hacker contro l’azienda Hacking Team, data la pubblicazione dei codici sorgente dei suoi programmi spyware. Questi dati sono stati utilizzati dai creatori di antivirus e dai programmatori dei firewall per “patchare” gli exploit e gli 0days che i malware utilizzavano, rendendoli pressoché inutili nel loro stato corrente.
In sostanza, dato che la Polizia Postale si avvantaggiava di questi programmi ha dovuto interrompere ogni monitoraggio per impedire che gli oggetti delle loro attenzioni si accorgessero, grazie ad un pop-up di un antivirus, di essere sotto controllo, avendo quindi la possibilità di reagire modificando i propri atteggiamenti o facendo perdere le proprie tracce.
Esempio è stato l’arresto il 22 luglio del tunisino Iassad Briki e del pachistano Muhammad Waquase, sospettati di volere colpire la base del 6° Stormo a Ghedi presso Brescia assieme ad altri bersagli in nome del ISIS.
I mezzi per monitorare le attività dei due potevano venire meno o addirittura rendergli noto che erano stati individuarti dalla Polizia Postale permettendo loro di nascondere le proprie tracce o una finestra di fuga- gli agenti hanno deciso di intervenire subito, data la potenziale pericolosità dei due, prima che la situazione precipitasse.
L’attacco alla società milanese ha quindi avuto notevoli ripercussioni sulla sicurezza italiana (limitate solo dalla prontezza della Polizia Postale che ha interrotto i propri “pedinamenti” prima di essere scoperta) come su quella internazionale.
Il “Data Dump” di 400 gigabyte del 5 luglio ha riversato in internet non solo le informazioni su come difendersi dagli exploit di Hacking Team, ma anche i metodi per utilizzarli (assieme ad un abbondante milione di email interne pubblicate su Wikileaks).
Dal momento della pubblicazione è iniziata una vera e propria corsa alla ricerca di dati utili all’interno del leak fra hacker e società di sicurezza informatica, per aggiudicarsi qualche ora, o forse qualche giorno, di supremazia sugli avversari con uno 0day o un exploit sconosciuto prima che venisse patchato.
Esempio sono stati gli 0days trovati dalla società Trend Micro per il programma Adobe Flash e per i kernel del sistema operativo Windows, che Symantec ha definito fra “i più eleganti di sempre” e che permettevano accesso completo ed istantaneo al computer infettato, permettendo di crasharlo, di estrarre dati o di infiltrare altri programmi spyware senza essere scoperti.
Non appena l’exploit è stato patchato si accorsero che già molte suit di hackeraggio si erano aggiornate per sfruttare le nuove vulnerabilità e, addirittura, tramite un’analisi del traffico, che la Corea del Sud ed il Giappone avevano subito attacchi di spear phishing ai loro sistemi da parte di ignoti sfruttando quel sistema.
Adobe Flash è stato da sempre considerato molto vulnerabile dagli esperti, ma questa volta, nonostante gli sforzi di Adobe per riparare i danni, i maggiori gestori di browser (Internet Explorer, Chrome, Safari, Mozzilla Firefox) non hanno voluto rischiare eliminando, quindi, completamente il supporto di flash dai propri programmi. Un duro colpo di mercato ed immagine per la Adobe.
Ma oltre alle singole vulnerabilità ora pubbliche, sono stati trovati anche interi programmi spyware, malware, strumenti di sorveglianza e via dicendo, come l’oramai famigerati RCS (Remote Control System) Galileo e le sue versioni per Android e IOS.
I programmi singolarmente sono stati resi inutili dall’intervento dei programmatori che hanno chiuso le vulnerabilità che sfruttavano, ma facendone una dissezione per un hacker attento si possono trovare spunti per programmare nuovi malware.
Un esempio è il Rootkit per il BIOS UEFI (Unified Extensible Firmware Interface) trovato all’interno di Galileo dai ricercatori di Trend Micro, che, in parole povere, permette al programma di rimanere installato nei sistemi bersaglio anche se vi viene reinstallato il sistema operativo, se la memoria ROM viene formattata, o se il disco rigido viene sostituito.
In pratica l’idea è di annidare il malware al di fuori del sistema operativo, quindi fuori dalla portata di molti antivirus, rendendolo molto più difficile da individuare o cancellare.
Un altro esempio è il piano per la creazione di uno spyware per monitorare gli utenti della rete criptata TOR, forse già operativo in una forma embrionale leggendo uno scambio di email fra un agente del FBI americano e Hacking Team riguardo l’argomento per aggirare le protezioni del browser TOR.
I programmatori di TOR sostengono che la rete in sé rimane inviolabile, ma il sistema escogitato da Hacking Team metterebbe potenzialmente a rischio dei singoli utenti che potrebbero venire infettati mentre non stanno usando TOR, permettendo allo spyware di interfacciarsi con il browser dall’interno del sistema operativo.
Inoltre nella versione RCS 9.2 è stato aggiunto un “Modulo Denaro” capace di tracciare le transazioni di criptovalute come i Bitcoin. I Bitcoin vengono usati spesso per effettuare transazioni segrete, se non fossero più sicuri renderebbero vulnerabili i loro utenti a spionaggio, furti o frodi, perdendo molta della loro attrattiva per nuovi eventuali utenti.
Un altro progetto in fase embrionale scoperto dalle mail interne pubblicate su Wikileaks sarebbe una collaborazione fra Boeing e Hacking Team per la creazione di un UAV dotato di un mini-TNI, cioè di un drone aereo capace di infettare le reti wifi e i computer connessi ad esse con Galileo.
Sebbene questo non sembri un progetto replicabile da un hacker senza i fondi della Boeing a prima vista, dovremmo invece cominciare a prendere precauzioni dato che esistono già sistemi simili sviluppati su droni giocattolo facilmente acquistabili su Amazon, come Snoopy il drone in grado di hackerare gli smartphone.
La creazione di macchine a basso prezzo per effettuare attacchi informatici sta pian piano assumendo sfumature sempre più sinistre, dato che questi droni andrebbero ad aggiungersi a sistemi Bluetooth per hackerare e prendere il controllo di un’automobile moderna, sistemi per interfacciarsi con i peacemakers che utilizzano connessioni remote per trasformarli in tazers, o sistemi per costringere tramite le onde radio a far rilasciare tutto il liquido contenuto in una pompa per insulina indossabile nel portatore, uccidendolo. Tutti questi sistemi sono costruibili in casa con progetti disponibili nel darkweb per poche centinaia di dollari.
A questo punto viene da chiedersi chi e come abbia hackerato Hacking Team. Il CEO e fondatore Vincezzetti (foto a lato) sostiene che l’autore sarebbe “un governo o chi ha un forte potere economico”.
Ma visto il modus operandi, la chiara volontà di mettere in ridicolo l’azienda tramite il contemporaneo hack degli account Twitter ufficiali e la pubblicazione dei dati trafugati questo sembrerebbe essere lontano dalla realtà.
In più, ci sarebbe un account twitter, di tale Phineas Phisher che non solo sosterrebbe di essere l’autore dell’attacco ma rivelerebbe anche di essersi divertito abbastanza guardando Hacking Team fallire nel capire come ha fatto.
Phineas Phisher sarebbe lo stesso hacker che ha colpito Gamma Group (un’altra società di sicurezza e monitoraggio remoto simile ad Hacking Team) e il suo pseudonimo deriverebbe dal loro software di sorveglianza chiamato FinFisher. Avrebbe attaccato Hacking Team per motivi morali, parrebbe, essendo in disaccordo con le politiche della società (la collaborazione con governi autoritari, per esempio) e in generale contrario allo spionaggio da parte di società o governi di individui su internet.
Sul suo account twitter ha postato i contenuti e le guide per navigare fra essi del precedente datadump di Gamma insieme ad una guida per insegnare ad hackerare ai neofiti. Niente che lasci intendere sulla sua vera identità, quindi.
Una fonte di un giornalista dell’International Buisness Times ritiene che il modus operandi sia simile a quello dell’hacker Yama Tough, supposto membro di un gruppo di hacker noto come Lords of Dharmaraja.
Purtroppo, come capita spesso in questi casi, attribuire un atto su internet ad una persona e dargli pure un volto è spesso impossibile. Phineas è quindi solo un probabile autore la cui identità potrebbe rimanere nascosta per ancora molto tempo.
Della stessa opinione è John McAfee (nell’ultima foto), fondatore dell’omonima società, che ha rilasciato una intervista a Wired Italia sullo stesso argomento, commentando inoltre quello che, secondo lui, era il pietoso stato della sicurezza interna di Hacking Team.