| Passe per i pirati | Fai da te | Così fa l’hacker
ILL CASO HT ANALIZZATO DA RAOUL CHIESA
Sull caso di Hacking Team abbia- suoi clienti. Ora, non c’è incubo peggiore per un’azienda che il vedere i report mo o chiesto un autorevole pare- di questi test a disposizione di tutti: elenchi di vulnerabilità, password, tutti re al più famoso hacker italiano, i “segreti” (spesso anche non belli), esposti al mondo intero. In questo caso, esperto di sicurezza informati- l’elenco dei clienti i cui report sono ora liberamente scaricabili è lunghissimo: caa. Ecco cosa ci ha raccontato. partiamo dall’ABI (l’Associazione Bancaria Italiana) e proseguiamo con UbiBanca, RG \ µ& K LH VD 5DRXO´1RE Il leak di HackingTeam, oramai eti- Generali, Unipol, Cattolica, CnpCapitalia, Fondiaria SAI, Itas Assicurazioni, oltre c chettata in tutto il mondo come Ha- a ING Direct, Deutsche Bank, Barclays, RSA e Axa. E poiTIM e Alenia Aermacchi. c ckedTeam, credo vada considerato Da quanto accaduto si possono quindi trarre una serie di lezioni: comee uno degli incidenti più gravi nel settore delle cosiddette Lawful interceptions (le intercettazioni legali), una sorta di pietra miliare: tutto cambierà, tutto sarà diverso, da ora in poi. Ho de- inito la violazione, sottrazione e pubblicazione dei dati (il“leak”) un incidente 1 Come ripeto da anni i conini, una volta netti e distinti, tra il mondo dell’ha- cking e del digital underground, il cybercrime, il cyber Espionage, l’in- formation warfare e il cosiddetto “controllo dell’informazione” sono oramai tremendo, per diverse ragioni. vacui, grigi, quasi senza distinzioni. Tutto ciò, come ha dimostrato per primo lo scandalo della NSA e le rivelazioni di Edward Snowden (il quale, come mio • In primo luogo, il codice sorgente dei trojan di HackingTeam è ora dispo- parere personale, andrebbe insignito del premio Nobel per la Pace, come ho nibile a chiunque, in primis proprio a quei soggetti i quali erano oggetto di detto pubblicamente più volte), è pericoloso, molto pericoloso. interesse ed intercettazione da parte dei clienti dell’azienda (tipicamente, governi, forze dell’ordine e forze speciali, agenzie di intelligence). • In seconda istanza, tutte le comunicazioni interne (e-mail) dell’azienda, sia tra 2 È inammissibile che un’azienda operante in speciici settori (qui mi riferisco nello speciico alle veriiche di sicurezza, i penetration test insomma) non abbia i propri archivi su server cifrati e scollegati (of-line), quindi non accessibili colleghi che da e verso i clienti, sono ormai pubbliche. Un danno immenso, remotamente. Inoltre, non vi è alcun bisogno di“tenere”i report di clienti per specialmente leggendo con attenzione alcune discussioni decisamente par- così tanti anni (alcuni dei leak erano risalenti addirittura al 2006/2008; teniamo ticolari, così come il tono e le parole utilizzate verso alcuni soggetti e clienti. inoltre presente come HackingTeam abbia smesso di erogare questo servizio • Come terzo punto, l’elenco stesso dei clienti. Quello del Lawful Interception circa 2-3 anni fa, in quanto il team che li eseguiva si è distaccato dall’azienda è un mercato nel quale la riservatezza è tutto, un aspetto peraltro comune a madre e ha aperto una propria società). tutto il mondo dell’Information Security. E qui abbiamo un secondo preoc- cupante risvolto di tutta la faccenda, certamente quello che si è rivelato il più catastroico per HackingTeam: l’apparente dimostrazione, apparenti prove ed 3 In un settore, un mercato“grigio”, ci sono comunque delle regole che vanno rispettate. Questo, a quanto sembra alla data in cui scrivo, non è successo. Si è arrivati ad una situazione di onnipotenza eccessiva, pazzesca, non accettabile, evidenze di aver venduto (o, quantomeno, intrapreso tentativi di prevendita) che ha portato - direttamente o indirettamente - a tutto questo. ai cosiddetti “Paesi canaglia”, a regimi oppressivi e certamente discutibili, le loro soluzioni. Bisogna fare attenzione e non dimenticare mai che si parla di persone, non solo di tecnologia. Viviamo in un mondo totalmente on-line, e dipendiamo Proprio gli aspetti legati al mondo dell’Information Security rappresentano un sempre più dall’Information Technology: tutto questo non è un gioco. Come ulteriore punto di discussione. HackingTeam, infatti, aveva deciso sin dall’inizio disse una grande mente della storia: “da una grande conoscenza derivano di ofrire anche servizi di penetration testing e veriica delle vulnerabilità ai grandi responsabilità”.
I TOOL DI SPIONAGGIO IN CHIARO SU GOOGLE
I dati riservati di HackingTeam e le e-mail scam- amministratori di sistema di HackingTeam ha informatici, infatti, leggendo le e-mail pubblicate biate dai dirigenti dell’azienda milanese con i su WikiLeaks ed i vari ile ad esse allegati, sono però caricato tutto il materiale rubato nella rete loro clienti sono state pubblicate inizialmente torrent (http://infotomb.com/eyyxo.torrent) e suriusciti a ricostruire parte della suite RCS. Al mo- su WikiLeaks, ma è piuttosto scomodo scaricarle un server HTTP (https://ht.transparencytoolkit. mento, naturalmente, il software è incompleto, e da tale sito, perché è necessario selezionarle una di fatto inutilizzabile. Tuttavia, si può immaginare org). Attenzione, però: ricordiamo che i download alla volta. Il pirata che ha cracckato i proili degli torrent non sono anonimi, quindi se scarichiamo che nel giro di qualche mese l’intero RCS verrà questo ile potremo essere facilmente identiica- ricostruito e sarà perfettamente operativo. In quel momento, chiunque sarà in grado di utilizzarlo bili. Naturalmente, molti curiosi stanno scaricando questi messaggi senza curarsi troppo delle con- per attaccare un qualsiasi sistema informatico. seguenze legali. Tuttavia è importante ricordareL’unica soluzione consiste nella speranza che i che esiste anche un ulteriore problema: quello produttori di software, come Adobe, Microsoft ed Apple correggano i bug nei loro programmi della gestione della gran mole di dati. Infatti, per prima che i pirati riescano ad utilizzare gli exploit riuscire a trovare qualcosa in oltre 400 GB di dati è di HackingTeam. Naturalmente, è fondamentale necessario utilizzare strumenti statistici per isolare che tutti gli utenti mantengano aggiornati i propri le informazioni importanti da quelle irrilevanti e per collegarle tra di loro. computer, in modo da prevenire questo tipo di minacce. Un po’come per un vaccino: se le azien- Tutti i sorgenti delle vulnerabilità sfruttate IL CODICE SORGENTE DI RCS de rilasceranno degli aggiornamenti risolutivi in da HackingTeam sono state pubblicate on-line, Il programma RCS, inoltre, sta inendo su GitHub breve tempo, sarà possibile eradicare il problema, a disposizione di qualunque pirata informatico volesse approfittarne per attaccare i nostri PC! (www.winmagazine.it/link/3216). Diversi pirati rendendo RCS di fatto inutile.