| Passe per i pirati | Fai da te | Così fa l’hacker

ILL CASO HT ANALIZZATO DA RAOUL CHIESA

Sull caso di Hacking Team abbia- suoi clienti. Ora, non c’è incubo peggiore per un’azienda che il vedere i report
mo o chiesto un autorevole pare- di questi test a disposizione di tutti: elenchi di vulnerabilità, password, tutti
re al più famoso hacker italiano, i “segreti” (spesso anche non belli), esposti al mondo intero. In questo caso,
esperto di sicurezza informati- l’elenco dei clienti i cui report sono ora liberamente scaricabili è lunghissimo:
caa. Ecco cosa ci ha raccontato. partiamo dall’ABI (l’Associazione Bancaria Italiana) e proseguiamo con UbiBanca,
RG \ µ& K LH VD
5DRXO´1RE
Il leak di HackingTeam, oramai eti- Generali, Unipol, Cattolica, CnpCapitalia, Fondiaria SAI, Itas Assicurazioni, oltre
c
chettata in tutto il mondo come Ha- a ING Direct, Deutsche Bank, Barclays, RSA e Axa. E poiTIM e Alenia Aermacchi.
c
ckedTeam, credo vada considerato Da quanto accaduto si possono quindi trarre una serie di lezioni:
comee uno degli incidenti più gravi nel
settore delle cosiddette Lawful interceptions (le intercettazioni legali), una
sorta di pietra miliare: tutto cambierà, tutto sarà diverso, da ora in poi. Ho de-
inito la violazione, sottrazione e pubblicazione dei dati (il“leak”) un incidente
1 Come ripeto da anni i conini, una volta netti e distinti, tra il mondo dell’ha-
cking e del digital underground, il cybercrime, il cyber Espionage, l’in-
formation warfare e il cosiddetto “controllo dell’informazione” sono oramai
tremendo, per diverse ragioni. vacui, grigi, quasi senza distinzioni. Tutto ciò, come ha dimostrato per primo
lo scandalo della NSA e le rivelazioni di Edward Snowden (il quale, come mio
• In primo luogo, il codice sorgente dei trojan di HackingTeam è ora dispo- parere personale, andrebbe insignito del premio Nobel per la Pace, come ho
nibile a chiunque, in primis proprio a quei soggetti i quali erano oggetto di detto pubblicamente più volte), è pericoloso, molto pericoloso.
interesse ed intercettazione da parte dei clienti dell’azienda (tipicamente,
governi, forze dell’ordine e forze speciali, agenzie di intelligence).
• In seconda istanza, tutte le comunicazioni interne (e-mail) dell’azienda, sia tra
2 È inammissibile che un’azienda operante in speciici settori (qui mi riferisco
nello speciico alle veriiche di sicurezza, i penetration test insomma) non
abbia i propri archivi su server cifrati e scollegati (of-line), quindi non accessibili
colleghi che da e verso i clienti, sono ormai pubbliche. Un danno immenso, remotamente. Inoltre, non vi è alcun bisogno di“tenere”i report di clienti per
specialmente leggendo con attenzione alcune discussioni decisamente par- così tanti anni (alcuni dei leak erano risalenti addirittura al 2006/2008; teniamo
ticolari, così come il tono e le parole utilizzate verso alcuni soggetti e clienti.
inoltre presente come HackingTeam abbia smesso di erogare questo servizio
• Come terzo punto, l’elenco stesso dei clienti. Quello del Lawful Interception circa 2-3 anni fa, in quanto il team che li eseguiva si è distaccato dall’azienda
è un mercato nel quale la riservatezza è tutto, un aspetto peraltro comune a madre e ha aperto una propria società).
tutto il mondo dell’Information Security. E qui abbiamo un secondo preoc-
cupante risvolto di tutta la faccenda, certamente quello che si è rivelato il più
catastroico per HackingTeam: l’apparente dimostrazione, apparenti prove ed
3 In un settore, un mercato“grigio”, ci sono comunque delle regole che vanno
rispettate. Questo, a quanto sembra alla data in cui scrivo, non è successo. Si
è arrivati ad una situazione di onnipotenza eccessiva, pazzesca, non accettabile,
evidenze di aver venduto (o, quantomeno, intrapreso tentativi di prevendita) che ha portato - direttamente o indirettamente - a tutto questo.
ai cosiddetti “Paesi canaglia”, a regimi oppressivi e certamente discutibili, le
loro soluzioni. Bisogna fare attenzione e non dimenticare mai che si parla di persone, non
solo di tecnologia. Viviamo in un mondo totalmente on-line, e dipendiamo
Proprio gli aspetti legati al mondo dell’Information Security rappresentano un sempre più dall’Information Technology: tutto questo non è un gioco. Come
ulteriore punto di discussione. HackingTeam, infatti, aveva deciso sin dall’inizio disse una grande mente della storia: “da una grande conoscenza derivano
di ofrire anche servizi di penetration testing e veriica delle vulnerabilità ai grandi responsabilità”.

I TOOL DI SPIONAGGIO IN CHIARO SU GOOGLE

I dati riservati di HackingTeam e le e-mail scam-
biate dai dirigenti dell’azienda milanese con i
loro clienti sono state pubblicate inizialmente
su WikiLeaks, ma è piuttosto scomodo scaricarle
da tale sito, perché è necessario selezionarle una
alla volta. Il pirata che ha cracckato i proili degli
Tutti i sorgenti delle vulnerabilità sfruttate
da HackingTeam sono state pubblicate on-line,
a disposizione di qualunque pirata informatico
volesse approfittarne per attaccare i nostri PC!
amministratori di sistema di HackingTeam ha informatici, infatti, leggendo le e-mail pubblicate
su WikiLeaks ed i vari ile ad esse allegati, sono
però caricato tutto il materiale rubato nella rete
torrent (http://infotomb.com/eyyxo.torrent) e suriusciti a ricostruire parte della suite RCS. Al mo-
un server HTTP (https://ht.transparencytoolkit. mento, naturalmente, il software è incompleto, e
di fatto inutilizzabile. Tuttavia, si può immaginare
org). Attenzione, però: ricordiamo che i download
torrent non sono anonimi, quindi se scarichiamo che nel giro di qualche mese l’intero RCS verrà
questo ile potremo essere facilmente identiica- ricostruito e sarà perfettamente operativo. In quel
momento, chiunque sarà in grado di utilizzarlo
bili. Naturalmente, molti curiosi stanno scaricando
questi messaggi senza curarsi troppo delle con- per attaccare un qualsiasi sistema informatico.
seguenze legali. Tuttavia è importante ricordareL’unica soluzione consiste nella speranza che i
che esiste anche un ulteriore problema: quello produttori di software, come Adobe, Microsoft
ed Apple correggano i bug nei loro programmi
della gestione della gran mole di dati. Infatti, per
prima che i pirati riescano ad utilizzare gli exploit
riuscire a trovare qualcosa in oltre 400 GB di dati è
di HackingTeam. Naturalmente, è fondamentale
necessario utilizzare strumenti statistici per isolare
che tutti gli utenti mantengano aggiornati i propri
le informazioni importanti da quelle irrilevanti e
per collegarle tra di loro. computer, in modo da prevenire questo tipo di
minacce. Un po’come per un vaccino: se le azien-
IL CODICE SORGENTE DI RCS de rilasceranno degli aggiornamenti risolutivi in
Il programma RCS, inoltre, sta inendo su GitHub breve tempo, sarà possibile eradicare il problema,
(www.winmagazine.it/link/3216). Diversi pirati rendendo RCS di fatto inutile.

Speciali Win Magazine 51