clients_revised_copy_0

(credit https://www.eff.org/es/deeplinks/2015/07/hacking-team-leaks-reveal-spyware-industrys-growth)

 

La storia di Hacking Team è solo all’inizio. I 400 gb di file sottratti all’azienda milanese lo scorso 6 luglio avranno un riverbero ancora lungo. E fra rischi, imbarazzi, e dubbi di legalità (o eticità), questa spy story italiana presta il fianco a tante riflessioni. Ecco quattro cose da sapere su Hacking Team:

 

Chi è cosa fa Hacking Team?

Hacking Team è una società con sede a Milano che si occupa di spionaggio digitale. Una delle aziende di maggior successo in questo campo, almeno fino al 6 luglio scorso. È stata fondata nel 2003, e da allora propone soluzioni per indagini informatiche fornendo a polizie ed intellingence di tutto il mondo gli strumenti per farlo. Un esempio? I famigerati malware che entrano nei device e ne setacciano le informazioni. Operazioni del tutto legali, ma non per questo discusse e discutibili. Qualche anno fa la HT è finita nel mirino di giornali e attivisti per alcuni documenti rilasciati da Wikileaks che la riguardavano da vicino. Documenti per i quali Reporter senza frontiere classificò l’azienda milanese fra le compagnie “nemiche di Internet”

Come funzionano i software spia di Hacking Team?

Per rispondere a questa domanda ci siamo fatti aiutare da Sergey Golovanov, Principal Security Researcher, Global Research & Analysis Team di Kaspersky Lab. «Il Remote Control System (RCS) di Hacking Team  – ha detto Golovanov a Nòva – è un sistema di spionaggio multi-piattaforma che consente al criminale di ottenere l’accesso remoto ai sistemi operativi per mobile e desktop tra cui OSX, Windows, Linux, iOS, Android, Windows Mobile e BlackBerry. Ci sono diverse modalità per infettare un computer utilizzando questo software: tecniche di social engineering, sfruttando le vulnerabilità, e accedendo fisicamente al PC della vittima. In ciascuno di questi casi, il malware inizia ad agire senza alcun bisogno di avere particolari privilegi sul computer». Secondo Golovanov «nella maggior parte dei casi, al fine di infettare una vittima, il criminale utilizza una tecnica di social engineering. Una volta che il click è fatto, un primo modulo cosiddetto di esplorazione viene distribuito. In questo modo il criminale ottiene un accesso limitato sufficiente a verificare e confermare l’identità della vittima. Se il criminale è soddisfatto di ciò che ha trovato, procede con un’altra installazione remota di un modulo chiamato “elite”, ovvero un modulo di spionaggio completamente integrato. Lo scopo dell’attacco dipende dagli interessi del criminale nei confronti del suo obiettivo. Inoltre i criminali sono in grado di diffondere l’infezione da remoto intercettando il traffico di rete e immettendo dati di rete nocivi nei download legittimi che la vittima effettua. Si tratta di una tecnica avanzata utilizzata per lo più per colpire vittime di alto profilo». L’esperto di Kaspersky ha aggiunto, inoltre, che «guardando ai moduli mobile di Hacking Team, questi funzionano quando sul dispositivo ha subito il jailbreak. Tuttavia, anche iPhone su cui questa procedura non è stata effettuata possono risultare vulnerabili: un criminale può eseguire un tool di jailbreaking come ‘Evasi0n’ attraverso un computer precedentemente infettato e pilotare un jailbreak a distanza e poi procedere con l’infezione. Questi moduli mobile sono progettati meticolosamente per funzionare in maniera discreta, per esempio prestando molta attenzione alla durata della batteria del dispositivo mobile. Ciò avviene tramite funzionalità di spionaggio accuratamente personalizzate, o trigger speciali: per esempio, una registrazione audio può iniziare solo quando la vittima è collegata ad una particolare rete Wi-Fi (per esempio, la rete di una media house), quando la vittima cambia la scheda SIM o mentre il dispositivo è in carica. In tutti gli scenari possibili il criminale ha un accesso remoto al dispositivo della vittima con una funzionalità che consente di geolocalizzare la sua posizione, rubare informazioni sensibili, registrare conversazioni, video e così via».

 

Quali sono i clienti di Hacking Team

Almeno in teoria, Hacking Team presterebbe (o avrebbe prestato) il suo servizio solo a enti governativi, e non a privati. Dai file diffusi da Wikileaks, invece, emerge tutt’altro. Come ad esempio la trattativa del dicembre 2013 con la quale la società milanese avrebbe venduto il suo software Rcs a una società petrolifera messicana, la Premex. Una lista abbastanza corposa dei clienti di HT, comunque, ce la fornisce Mikko Hypponen, di F-Secure uno dei massi esperti mondiali di sicurezza informatica (la cui intervista integrale sarà pubblicata domani sul sito del Sole 24 Ore): «Quelli di HT – racconta Hypponen – stavano vendendo strumenti di hacking al Sudan, il cui Presidente è ricercato per crimini di guerra e crimini contro l’umanità dalla Corte Penale Internazionale (l’International Criminal Court). Altri clienti discutibili di Hacking Team includono i governi di Etiopia, Egitto, Marocco, Kazakistan, Azerbaigian, Nigeria e Arabia Saudita. Nessuno di questi Paesi è conosciuto per un grande rispetto dei diritti umani. Questa la lista completa: Australia – Australian Federal Police; Azerbaijan – Ministry of National Defence; Bahrain – Bahrain; Chile – Policia de Investigation; Colombia – Policia Nacional Intelligencia; Cyprus – Cyprus Intelligence Service; Czech Republic – UZC Cezch Police; Ecuador – Seg. National de intelligencia; Egypt – Min. Of Defence; Ethiopia – Information Network Security Agency Honduras – Hera Project – NICE;  Hungary – Special Service National Security; Kazakstan – National Security Office; Luxembourg – Luxemburg Tax authority; Malaysia – Malaysia Intelligence; Mexico – Police; Mongolia – Ind. Authoirty Anti Corruption; Morocco – Intelligence Agency; Nigeria – Bayelsa Government; Oman – Excellence Tech group Oman; Panama – President Security Office; Poland – Central Anticorruption Bureau; Russia – Intelligence Kvant Research; Saudi Arabia – General Intelligence Presidency; Singapore – Infocomm Development Agency; South Korea – The Army South Korea; Spain – Centro Nacional de Intelligencia; Sudan – National Intelligence Security Service; Thailand – Thai Police – Dep. Of Correction; Tunisia – Tunisia; Turkey – Turkish Police; USA – FBI – USA; Uzbekistan – National Security Service».

Come ci si difende dai programmi spia?

Anche in questo caso ci aiuta Sergey Golovanov di Kaspersky: «Per prima cosa – dice –  gli utenti dovrebbero utilizzare un software anti-malware che abbia un sistema di rilevamento euristico basato sul comportamento del software e che sia alimentato da dati cloud. Se il risultato della scansione di computer Windows e OS X è positiva, è necessario controllare anche il telefono cellulare perché i dispositivi mobile vengono infettati attraverso il collegamento al computer infetto». Il mobile è il vero problema è il mobile. Secondo Golovanov, infatti, «purtroppo non c’è modo di garantire al 100% il rilevamento del malware in iOS, Blackberry o nei telefoni Windows Mobile. Solo una scarsa durata della batteria e grandi differenze nell’utilizzo della rete possono indicare la presenza di un Trojan a lavoro. Qualsiasi attività di rete anomala riscontrata può essere un segnale di allarme che qualcosa non va. Questo perché i criminali, una volta infettato il dispositivo dovranno estrarre le informazioni e utilizzare la connessione Internet. Quindi, è opportuno controllare il traffico di rete in uscita che di solito risulta più basso di quello in entrata. Inoltre, i dispositivi mobile non andrebbero ricaricati utilizzando il collegamento USB del computer e non andrebbero lasciati mai incustoditi. Per ricarciare il dispositivo è sempre meglio utilizzare un cavo AC/DC, che oltre a ricaricarlo più velocemente lo fa in maniera più sicura».

Altri consigli standard di sicurezza da utilizzare per dispositivi mobile sono:

Non effettuare il jailbreak del dispositivo e verificare che non ci siano tentativi di jailbreaking

Impostare passphrase invece di pin a quattro cifre

– Tenere il dispositivo sempre aggiornato all’ultima versione del sistema operativo.