Quando i sistemi di sicurezza di Hacking Team sono stati violati l’azienda privata ha subito accusato governi e non meglio precisati poteri forti. Sui media c’è chi ha cominciato a parlare di una cyber war incrociata tra élite politiche e pirati informatici. In realtà la vicenda è molto più complessa e riguarda sporchi interessi privati, piuttosto che girare attorno a un caso di spionaggio internazionale.
Che fosse per fare carriera, per intralciare un avversario politico o per aggiudicarsi un appalto, le informazioni riservate raccolte da Hacking Team erano a disposizione di governi e organi di polizia, grazie al monitoraggio di email e conversazioni di chi naviga su Internet.
L’impresa milanese di IT, che offre modalità di intrusione e sorveglianza sia ai governi sia agli organi di polizia, è stata anche accusata da Ong e altri organismi indipendenti di essere stata al servizio di esecutivi poco raccomandabili, implicati in episodi di tortura, estorsioni e altri atti illeciti. Il gruppo si è sempre difeso, sostenendo di bloccare da regolamento pratiche che favoriscano l’esecuzione di atti illeciti o contrari all’etica.
Appena Hacking Team è finita sotto attacco informatico, per via di una falla ai propri sistemi di backdoor dei software, migliaia di dati sensibili e materiale altamente riservato sono diventati da un giorno all’altro di pubblico dominio. La security firm non è stata probabilmente colpita da governi internazionali e presunti “poteri forti”. E nemmeno da un gruppo di hacker, bensì forse da una sola persona. Il pioniere degli antivirus John Mcafee è convinto ci sia la mano di Phineas Fisher, pseudonimo creato dall’hack di FinFisher. “Anche un bambino ci sarebbe riuscito”, osserva in un’intervista a Wired. “Il loro codice sorgente non era criptato e hanno password come ‘7’ così non è difficile da credere che possa essere stato un solo uomo a farcela”.
Michele di Salvo, imprenditore nel campo della comunicazione, ha condotto un’inchiesta sul caso, da cui emerge come ogni cliente della Security Firm sia stato messo a rischio per colpa delle backdoor che Hacking Team inseriva da 12 anni in ministeri, società quotate (grandi banche, Eni), agenzie di indagine e informazione.
Tutte le forze dell’ordine e di sicurezza si servivano di questo software, che era dunque di importanza fondamentale. Ma allora perché nessuno si è preoccupato di garantire l’inviolabilità e perché nessuna commissione è stata aperta per scavare più a fondo nell’incredibile vicenda? “Per dare assistenza tecnica ai propri clienti la Security Firm poteva avere accesso ai loro dati e alle loro stesse informazioni ed intercettazioni”, scrive Di Salvo nel rapporto, sottolineando che un meccanismo del genere ha creato un conflitto di interessi e collusioni inauditi. Di seguito potete leggerne la versione integrale.
Gruppo di intercettazioni assoldato da governi spia
La vicenda dell’hackeraggio ai danni di Hacking Team è stata descritta in molti modi. Proviamo a fare una sintesi e cercare di comprendere meglio cosa c’è dietro, cosa c’è in gioco, e soprattutto di cosa stiamo parlando. Hacking Team è una società nata in Italia nel 2003 da fondata Alberto Ornaghi e Marco Valleri, che avevano programmato e pubblicato Ettercap, un software per testare la sicurezza delle reti LAN contro possibili attacchi hacker. Ettercap era distribuito gratuitamente ed è stato il biglietto da visita della nuova società in un’Italia che non si è mai preoccupata troppo di sviluppare una propria “intelligence informatica e digitale”.
Wired nel 2013 descrive così il momento dell’ascesa “La loro creazione piacque molto alla Questura di Milano che era interessata a usarlo nelle indagini. Da lì iniziò la carriera dell’azienda come venditore di trojan a forze dell’ordine e agenzie statali di vari Paesi…”. Ettercap era la ridenominazione e il riconfezionamento di software gratuiti già disponibili, usati diffusamente per testare le porte delle connessioni.
Hacking Team si promuove e si vende bene – in perfetto stile italiano – e propone a soggetti governativi, con pochissime risorse a disposizione “software miracolosi”, in grado di favorire l’intercettazione, la clonazione cellulare, e introdursi “in maniera invisibile” anche nei computer per controllarli e attingere informazioni. Ma anche (come quasi ogni trojan che si rispetti) in grado di “gestirli da remoto” – ovvero copiare, eliminare, creare file e attingere ogni informazione di navigazione e non. Fino al prodotto di punta, il Remote Control System denominato Galileo “una suite di attacco di analisi che permetteva di distruggere le barriere della crittazione”.
Qualcuno potrebbe pensare a un’eccellenza italiana di altissimo profilo in termini di ricerca e sviluppo, con il fiore dei programmatori in piena attività al servizio dello Stato. Quello che gran parte del deepweb (il web sommerso) sapeva già, oggi è alla portata di tutti. La HT non faceva altro che “andare in giro per la rete” e comprare a poco prezzo quantità di ZeroDays.
In pratica quando esce un prodotto informatico di larga diffusione, dal “giorno zero” del rilascio molti appassionati, esperti, professionisti di informatica, in tutto il mondo, “cercano” i difetti della programmazione e qualsiasi bag. Molte volte sono le stesse aziende produttrici che organizzano vere e proprie gare (origine dei cd. hackaton) mettendo in palio premi in denaro per coloro che “trovano” difetti e rischi dei prodotti rilasciati. Ma c’è un mercato parallelo, quello delle aziende di sicurezza e produttori di antivirus, che “acquistano” questi “zerodays” per sviluppare (e rivendere) “la cura al male“.
Ecco cosa sostanzialmente faceva la Hacking Team: comprava questi “bag” e li usava non per segnalare il problema o generare la soluzione, ma per (far) creare un software che sfruttasse queste vulnerabilità per “entrare” nei sistemi di comunicazione – siano i software dei cellulari quanto dei portatili. Un’attività frenetica di cui si parla in oltre 700 email.
Sono stati numerosi i tentativi dei “commerciali” della Hacking Team di entrare “nel giro dei grandi” intercettatori e appaltatori mondiali della difesa. Tutti senza successo. Tranne qualche “vendita sonda“: un modo per avere il software, “farlo a pezzi” e vedere “a che punto erano”… per poi dire no grazie.
Una ricerca spasmodica che mostra anche un certo grado di ingenuità nel frenetico scambio di mail del gruppo dirigente, che scopriva dai giornali di nuovi decreti e correva a informarsi dai referenti politici.
Nulla di minimamente paragonabile alle agenzie americane, francesi e inglesi – per non parlare di quelle russe e cinesi – che investono in maniera diretta, in professionalità e strumenti, risorse di svariate centinaia di milioni di dollari: da noi le varie polizie acquistavano “pacchetti riconfezionati” da qualche migliaia di euro.
I motivi dell’attacco e chi c’è dietro
Le ragioni di questo attacco vanno ricercate in due direzioni che spesso stimolano gli hacktivist. La prima è l’arrogante presunzione di chi si pone come “creatore” di qualcosa, che invece la rete sa non essere suo. La seconda, spingersi troppo oltre, senza darsi alcun limite, al punto da rischiare di minare le basi stesse della “libertà della rete”.
L’autore dell’intrusione e del “prelevamento” dei dati è “Phineas Fisher“, nome di battaglia del “Gamma Group” autore di numerose intrusioni ai danni di società di security che negli anni hanno rivenuto software a governi dittatoriali. Ma anche il gruppo che ha rilasciato molte risorse utili agli attivisti turchi, iraniani, egiziani, per rendere accessibili in forma anonima siti WordPress, social network e YouTube. Il nome del gruppo deriva dalla prima grossa azione compiuta ai danni della società tedesca FinFisher (la cui azienda madre era la Gamma) che svolgeva sostanzialmente la stessa attività della Hacking Team.
Le attività delle due società erano già state segnalate come “pericolose per i diritti umani” l’anno scorso da FirstLook, che descriveva minuziosamente non solo il funzionamento del software della società milanese, ma anche concreti casi in cui, tramite il suo utilizzo, giornalisti e blogger erano stati arrestati e come fossero state inserite prove false nei loro computer. E sempre all’inizio 2014 CitizenLab scriveva: “Ci sono prove che la società non è particolarmente selettiva sui suoi clienti. Di 21 sospetti utenti Hacking team rintracciati da Citizen Lab, nove avevano il ranking più basso possibile nel The Economist s ‘2012 Democracy Index, e quattro di questi sono colpevoli di abusi particolarmente eclatanti – torture, percosse e stupri in carcere, violenza letale contro i manifestanti – da Human Rights Watch.”
Questi motivi si sommano al “grande salto” tentato dalla Hacking Team, i cui capi per mesi sono andati “in giro per la rete” a fare offerte a chiunque per ottenere “bug” di Tor. In altre parole la HT voleva essere la prima società in grado di “intercettare” la navigazione anonima. A poche ore dall’hackeraggio i responsabili di TOR Project hanno pubblicato un tweet con un’immagine-messaggio per Hacking Team “Non piacciamo molto ad Hacking Team, ma lo sapevamo. Hanno progettato un piano per bucare il nostro software, ma sapevamo anche questo, da tempo. Ma finora non abbiamo trovato nessun exploit in Tor. Non siamo sorpresi del fatto che Hacking Team stesse cercando di violare. Abbiamo a cuore sia la sicurezza degli utenti che i diritti umani. Vi terremo aggiornati a riguardo di nuovi sviluppi in questa vicenda”.
Come in molte storie di triste mediocrità dello pseudo piccolo mondo degli pseudo guru della rete, anche in questo caso i capi della HT hanno accusato dell’attacco “governi stranieri” e non meglio qualificati “poteri forti”. L’AD Vincenzetti, dopo aver dichiarato qualche anno fa “Mi sento di appoggiare il principio di Wikileaks, quello della trasparenza. Ma va detto che a volte le modalità utilizzate da Assange possono risultare sopra le righe, un po’ strumentali e sensazionalistiche.” oggi, quando oltre un milione di sue e-mail sono finite sul sito, ha affermato «Andrebbe arrestato, è lui il cattivo. Dice di non fare niente di male, ma ha pubblicato segreti nazionali causando un danno inestimabile a molti Paesi». Insomma, a ruoli invertiti si inverte anche la propria opinione.
Capi mafia arrestati, assassini improvvisamente trovati
Quelle mail, comodamente ricercabili e consultabili su WikiLeaks per mittente destinatario, oggetto, parola citata, mostrano il vero volto di questa creatura, i suoi rapporti, quanto poco rispettasse le leggi, e come si muovesse nelle maglie della politica e tra le forze dell’ordine.Mostrano anche una società a caccia di tutto pur di salvarsi dal fallimento. Un amministratore paranoico che perdeva pezzi, con dirigenti e programmatori che lasciavano per fondare aziende proprie in direzioni opposta – come la difesa da attacchi informatici – e che li faceva pedinare, seguire, controllare. Senza lesinare il contattare amicizie nelle forze dell’ordine per “creare problemi” ai suoi ex dipendenti.
Al punto che dopo aver parlato di “governi ostili” e “poteri forti” come autori e committenti dell’attacco, ha presentato ieri una denuncia contro i suoi ex dipendenti per lo stesso motivo. Almeno si decidesse, verrebbe da dire. Una società che stava per chiudere, e che forse l’amministratore voleva rivendere allo Stato, millantando un interesse “estero” (nella fattispecie israeliano) paventando l’idea di una perdita di un asset strategico per il Paese.
Racconta Vincenzetti “Cose da prima pagina (…) Capi Mafia identificati e arrestati –– assassini che non si trovavano da anni immediatamente localizzati (te la ricordi la storia di quella ragazzina di Bergamo di qualche anno fa?), la P4 disintegrata. Il nostro strumento è usato anche dalla Gdf che indaga casi di corruzione, corruzione politica”.
In piena paranoia, l’azienda si salva qualche mese fa dall’ultima “minaccia ingiusta” e la riassume ottimamente Pietro Salvatori sull’HuffingtonPost. “La vicenda risale al novembre scorso, quando il Mise decise di avvalersi della cosiddetta “clausola catch all” nei confronti dei prodotti dell’azienda con sede a Milano. Una sorta di autorizzazione preventiva alla vendita dei servizi e delle licenze di Hacking team, incompatibile, secondo il board, con i tempi di consegna di alcune delle principali commesse dell’azienda. L’annullamento delle quali avrebbe portato al sostanziale fallimento della stessa. Il Mise in sostanza vuole capire a chi vengono offerti i programmi di hacking, e dare un via libera preventivo alla loro diffusione, nella preoccupazione che finiscano (come pare sia successo) nelle mani sbagliate. Così David Vincenzetti, Ceo di Ht, inizia una frenetica attività di lobbying con alcuni dei principali clienti.
L’11 novembre scrive ai suoi principali collaboratori: “Stiamo facendo la massima pressione possibile. Nell’ambito di questa attività ho interloquito tra ieri e oggi, e si stanno interessando alla cosa, AISI, CC/ROS, Polizia e AISE. Attendo un riscontro concreto dalla Guardia di Finanza”. Quattro giorni dopo li informa di aver inviato una missiva e di aver poi parlato con “diversi miei contatti Governativi”, alcuni dei quali “vicini ai vertici assoluti del Governo”. Quattro giorni dopo la questione è risolta. Il Mise invia una mail a Vincenzetti con il seguente, ed eloquente, oggetto: “Hacking team srl – C.F. 03924730967. Applicazione art. 4 del Reg. (CE) n. 428/2009 (clausola catch-all). Sospensione dell’efficacia”. Via libera ai prodotti degli hacker di stato senza più controllo preventivo. Da dove è arrivato l’intervento decisivo? Il Ceo ne è sicuro. Lo stesso giorno scrive al board esultando: “Abbiamo coinvolto e sensibilizzato talmente tante parti, assolutamente eterogenee tra loro, che non sappiamo con esattezza da dove sono arrivate le pressioni maggiori al MiSE. Ma su una posso giurarci: la Presidenza del Consiglio”.
Due giorni dopo l’hackeraggio. Le mail rese pubbliche su Wikileaks. Qualche violazione personale per mostrare allo spiante cosa si prova ad essere spiato, come ad esempio la cache di navigazione dell’amministratore di sistema strapiena di visualizzazioni di YouPorn. Le password sin troppo facili da individuare e che mostrano una certa incompetenza da parte di presunti esperti di sicurezza e crittazione. Infine – tramite file su Tor – i codici e le back-door dei software svelati.
Sin qui la vicenda di questi giorni. Da qui (a da cui) si dipanano numerosi scenari.
Parte 2: anni di investigazioni e processi da rifare
Alcuni li ha ben messi in evidenza sul suo blog Matto Flora, in un articolo del 9 luglio: “In capo a 24/48 ore gli antivirus inizieranno a rilevare RCS/Galileo come Virus e a notificarlo ai soggetti che ne hanno una copia installata…. una volta individuato il trojan avranno la matematica certezza di essere stati attenzionati dalle Forze dell’Ordine e quindi saranno perfettamente in grado di prendere contromisure e di provvedere a proteggersi in modo più efficiente. … qualcuno potrebbe aver avuto accesso alla lista dei bersagli, alla storia delle intercettazioni ed ai documenti intercettati (telefonate, audio, chat, email, messaggi, fotografie…) delle persone sottoposte a controllo da parte degli organi di indagine. … il software era in grado di impiantare contenuti all’interno dei computer degli ignari “bersagli”. Pensate, ad esempio, alla possibilità di inserire contenuti pedopornografici all’interno del computer di un “bersaglio” per poi incriminarlo per detenzione di materiale pedopornografico.”
Un dubbio – quello relativo agli aspetti processuali – che solleva anche Andrea Tornago sul FattoQuotidiano.it: “La capacità di Rcs di modificare il contenuto dei computer monitorati potrebbe ora riaprire quei casi. E gettare un’ombra pesante su anni di investigazioni e inchieste giudiziarie. Oltre che sollevare interrogativi sulla necessità da parte di Carabinieri, Polizia e Guardia di finanza di possedere – in modo autonomo rispetto alle Procure – il potente software di intercettazione”.
Esistono problemi seri non ancora sviscerati
Quelli della HT avevano delle backdoor che consentivano l’accesso remoto ai telefoni ed ai computer che erano oggetto di spionaggio. Quindi non solo gli investigatori potevano accedere a quelle informazioni e comunicazioni, ma anche quelli della HT. Non solo. Gli stessi tecnici HT avevano accesso anche ai computer degli investigatori. Il che sarebbe tutto normale in una condizione in cui ad esempio l’NSA fornisse software all’FBI e il tutto resta “in mano pubblica”, sotto il controllo di corti speciali federali e di due commissioni parlamentari.
Qui invece parliamo di un’azienda privata e di privati cittadini che “per dare assistenza tecnica” ai loro clienti – soggetti pubblici e inquirenti – accede ai loro dati ed alle loro stesse informazioni ed intercettazioni. Come siano state usate queste informazioni dal 2004 ad oggi non è dato sapere. Il dato certo è che nessuno ha controllato. Peggio ancora, non esiste alcun organo “a monte” previsto e predisposto ad un controllo “a prescindere” su chi e come abbia accesso alle backdoor dei software forniti alle nostre forze dell’ordine e di informazione e sicurezza.
Questa assoluta mancanza di controllo, avallata da tutte le complicità dirette o latenti di alti funzionari delle agenzie di polizia è ancora più grave leggendo la lista dei clienti privati che hanno acquistato software e servizi. Praticamente tutte le società italiane quotate in borsa, nonché banche, società di una certa “sensibilità strategica” come l’Eni – i cui responsabili della tlc security appaiono a dir poco sprovveduti a leggere il traffico di mail…
Leggere spiato e spiante, e avere accesso alle relative informazioni può determinare qualsiasi cosa e il non sapere come queste informazioni siano state usate lascia quantomeno ombre non meno rilevanti di quando si seppe dello spionaggio interno da parte della security Telecom qualche anno fa. Che uso è stato fatto delle informazioni contenute nelle mail aziendali con notizie finanziarie riservate? Ad esempio bozze di accordi di appalti, gare, offerte…
Un potere straordinario, sia da detenere che da “mettere a disposizione” del politico o amico di turno. Un potere che letteralmente vale oro. Per spiare e controllare i propri avversari, rivali, colleghi, anche di governo. Che il settore della sicurezza nazionale sia ad altissima specializzazione lo dimostra tra l’altro il fatto che nonostante si siano alternati in circa dodici anni ben sei governi, sono solo due le persone che si sono alternate nel delicato ruolo di delega e coordinamento dei rapporti tra Presidenza del Consiglio dei Ministri e Servizi Segreti.
Nei due governi Berlusconi si trattava di Gianni Letta. Nei governi Prodi, Monti, Letta e Renzi, si tratta di Domenico Marco Minniti. Ed è proprio questo alto grado di specializzazione e questa permanenza prolungata non senza passaggi di consegne tra predecessore e successore (nel caso specifico una sorta di staffetta) che fa nascere un’ulteriore ombra su tutta questa vicenda. Tutte le forze dell’ordine e i servizi di sicurezza usavano questo software e i due sottosegretari delegati, in dodici anni, non sapevano? E dato che non potevano non sapere, possibile che nessuno abbia mai avuto l’idea di “limitare” la gestione e la gestibilità di questi sistemi di intercettazione?
Passino anche le forze dell’ordine, ma la Presidenza del Consiglio dei Ministri, sino al mese scorso, chi doveva intercettare con “software di intrusione offensiva” (e con quale autorità e sotto quale controllo)? O meglio, chi a spese di Palazzo Chigi spiava chi, e perché?
In sintesi…
Abbiamo dei software di intrusione capaci di introdurre documenti e presunte prove su computer e cellulari di soggetti “attenzionati” nell’ambito di indagini. Ma anche di altri soggetti privati. Questo software è nella disponibilità delle forze dell’ordine, di intelligence ma anche di grandi aziende private. E viene usato non si sa da chi e a quale titolo e scopo in quasi tutti i ministeri e nella Presidenza del Consiglio dei Ministri.
In quasi dodici anni si consente che un’azienda privata disponga di backdoor nei computer di ogni agenzia di indagine e informazione di questo paese, nonché di ministri e ministeri. Nessuno – ma proprio nessuno – si preoccupa di controllare, verificare, limitare, vietare, impedire questo tipo di accesso a quelle che dovrebbero essere le informazioni più delicate e riservate.
Esiste una precisa connivenza di interesse del tutto privato – a quanto emerge da molta parte della corrispondenza resa pubblica – tra alti ufficiali di ogni agenzia e forza armata e questa azienda fornitrice. Un interesse che esula da questioni istituzionali o di indagine e che mette di fatto in condizione pochi ufficiali di controllare chiunque e di avere accesso a qualsiasi informazione cellulare e disponibile su pc.
Abbiamo “legislatori” che si preoccupano di entrare in contatto con questa azienda e di favorire “nella scrittura delle leggi e dei decreti… l’inserimento di precise caratteristiche…” che favoriscano ulteriore vendita e diffusione di questo software.
Pur di averlo e poterlo usare, chiunque aveva un compito esattamente opposto, ha chiuso tutti e due gli occhi quando questi strumenti venivano venduti a governi dittatoriali e “ostili” al nostri paese.
Infine ci viene detto che questo software sarebbe “essenziale alla lotta al terrorismo jihadista”, mentre sappiamo – perché esistono studi e documenti in proposito – che la comunicazione (ad esempio dell’ISIS e al-qaidista) utilizza sistemi e strumenti volutamente meno evoluti, proprio per evitare l’intercettazione tramite geolocalizzazione o backdoor presenti sui software più recenti. Anche questo sarà un muro di gomma che difficilmente verrà squarciato.
Sono troppi gli utenti di questi software che hanno interesse a che non si scavi troppo in questa vicenda. Così come sono troppe le persone di alto livello implicate in questa storia. Che non è fatta di alto spionaggio nazionale, ma di piccoli interessi privati a conoscere fatti privati di qualcun altro. Per tutelarsi, per fare carriera, per battere un avversario politico.
Le grandi aziende che ne sono state vittima spesso lo utilizzavano a loro volta, e nessuno ha interesse a che si conosca sia la vulnerabilità propria sia il proprio utilizzo. Lo spiato non ha interesse a divulgare la notizia, esattamente come chi lo ha spiato illegalmente. Nessuno nelle forze dell’ordine e della magistratura ha interesse a che emergano le enormi falle nella sicurezza e la fragilità delle indagini sin qui condotte con questi strumenti.
Per contattare gli autori, tweet @micheledisalvo ; @neroarcobaleno