Gli sviluppi della vicenda Hacking Team

Il 30 luglio 2015 Alessandro Pansa, capo della Polizia e quindi anche della Polizia Postale e delle Comunicazioni (foto sotto), è apparso davanti al Copasir per spiegare il motivo dell’interruzione di molte inchieste in corso. Le attività di monitoraggio online avrebbero subito un duro colpo a causa dell’attacco hacker contro l’azienda Hacking Team, data la pubblicazione dei codici sorgente dei suoi programmi spyware. Questi dati sono stati utilizzati dai creatori di antivirus e dai programmatori dei firewall per “patchare”  gli exploit e gli 0days che i malware utilizzavano, rendendoli pressoché inutili nel loro stato corrente.

In sostanza, dato che la Polizia Postale si avvantaggiava di questi programmi ha dovuto interrompere ogni monitoraggio per impedire che gli oggetti delle loro attenzioni si accorgessero, grazie ad un pop-up di un antivirus, di essere sotto controllo, avendo quindi la possibilità di reagire modificando i propri atteggiamenti o facendo perdere le proprie tracce.

Esempio è stato l’arresto il 22 luglio del tunisino Iassad Briki e del pachistano Muhammad Waquase, sospettati di volere colpire la base del 6° Stormo a Ghedi presso Brescia assieme ad altri bersagli in nome del ISIS.

I mezzi per monitorare le attività dei due potevano venire meno o addirittura rendergli noto che erano stati individuarti dalla Polizia Postale permettendo loro di nascondere le proprie tracce o una finestra di fuga- gli agenti hanno deciso di intervenire subito, data la potenziale pericolosità dei due, prima che la situazione precipitasse.

L’attacco alla società milanese ha quindi avuto notevoli ripercussioni sulla sicurezza italiana (limitate solo dalla prontezza della Polizia Postale che ha interrotto i propri “pedinamenti” prima di essere scoperta) come su quella internazionale.

Il “Data Dump” di 400 gigabyte del 5 luglio ha riversato in internet non solo le informazioni su come difendersi dagli exploit di Hacking Team, ma anche i metodi per utilizzarli (assieme ad un abbondante milione di email interne pubblicate su Wikileaks).

Dal momento della pubblicazione è iniziata una vera e propria corsa alla ricerca di dati utili all’interno del leak fra hacker e società di sicurezza informatica, per aggiudicarsi qualche ora, o forse qualche giorno, di supremazia sugli avversari con uno 0day o un exploit sconosciuto prima che venisse patchato.

Esempio sono stati gli 0days trovati dalla società Trend Micro per il programma Adobe Flash e per i kernel del sistema operativo Windows, che Symantec ha definito fra “i più eleganti di sempre” e che permettevano accesso completo ed istantaneo al computer infettato, permettendo di crasharlo, di estrarre dati o di infiltrare altri programmi spyware senza essere scoperti.

Non appena l’exploit è stato patchato si accorsero che già molte suit di hackeraggio si erano aggiornate per sfruttare le nuove vulnerabilità e, addirittura, tramite un’analisi del traffico, che la Corea del Sud ed il Giappone avevano subito attacchi di spear phishing  ai loro sistemi da parte di ignoti sfruttando quel sistema.

Adobe Flash è stato da sempre considerato molto vulnerabile dagli esperti, ma questa volta, nonostante gli sforzi di Adobe per riparare i danni, i maggiori gestori di browser (Internet Explorer, Chrome, Safari, Mozzilla Firefox) non hanno voluto rischiare eliminando, quindi, completamente il supporto di flash dai propri programmi. Un duro colpo di mercato ed immagine per la Adobe.

Ma oltre alle singole vulnerabilità ora pubbliche, sono stati trovati anche interi programmi spyware, malware, strumenti di sorveglianza e via dicendo, come l’oramai famigerati RCS (Remote Control System) Galileo e le sue versioni per Android e IOS.

I programmi singolarmente sono stati resi inutili dall’intervento dei programmatori che hanno chiuso le vulnerabilità che sfruttavano, ma facendone una dissezione per un hacker attento si possono trovare spunti per programmare nuovi malware.

Un esempio è il Rootkit per il BIOS UEFI (Unified Extensible Firmware Interface) trovato all’interno di Galileo dai ricercatori di Trend Micro, che, in parole povere, permette al programma di rimanere installato nei sistemi bersaglio anche se vi viene reinstallato il sistema operativo, se la memoria ROM viene formattata, o se il disco rigido viene sostituito.

In pratica l’idea è di annidare il malware al di fuori del sistema operativo, quindi fuori dalla portata di molti antivirus, rendendolo molto più difficile da individuare o cancellare.

Un altro esempio è il piano per la creazione di uno spyware per monitorare gli utenti della rete criptata TOR, forse già operativo in una forma embrionale leggendo uno scambio di email fra un agente del FBI americano e Hacking Team riguardo l’argomento  per aggirare le protezioni del browser TOR.

I programmatori di TOR sostengono che la rete in sé rimane inviolabile, ma il sistema escogitato da Hacking Team metterebbe potenzialmente a rischio dei singoli utenti che potrebbero venire infettati mentre non stanno usando TOR, permettendo allo spyware di interfacciarsi con il browser dall’interno del sistema operativo.

Inoltre nella versione RCS 9.2 è stato aggiunto un “Modulo Denaro” capace di tracciare le transazioni di criptovalute come i Bitcoin. I Bitcoin vengono usati spesso per effettuare transazioni segrete, se non fossero più sicuri renderebbero vulnerabili i loro utenti a spionaggio, furti o frodi, perdendo molta della loro attrattiva per nuovi eventuali utenti.

Un altro progetto in fase embrionale scoperto dalle mail interne pubblicate su Wikileaks sarebbe una collaborazione fra Boeing e Hacking Team per la creazione di un UAV dotato di un mini-TNI, cioè di un drone aereo capace di infettare le reti wifi e i computer connessi ad esse con Galileo.

Sebbene questo non sembri un progetto replicabile da un hacker senza i fondi della Boeing a prima vista, dovremmo invece cominciare a prendere precauzioni dato che esistono già sistemi simili sviluppati su droni giocattolo facilmente acquistabili su Amazon, come Snoopy il drone in grado di hackerare gli smartphone.

La creazione di macchine a basso prezzo per effettuare attacchi informatici sta pian piano assumendo sfumature sempre più sinistre, dato che questi droni andrebbero ad aggiungersi a sistemi Bluetooth per hackerare e prendere il controllo di un’automobile moderna, sistemi per interfacciarsi con i peacemakers che utilizzano connessioni remote per trasformarli in tazers, o sistemi per costringere tramite le onde radio a far rilasciare tutto il liquido contenuto in una pompa per insulina indossabile nel portatore, uccidendolo. Tutti questi sistemi sono costruibili in casa con progetti disponibili nel darkweb per poche centinaia di dollari.

A questo punto viene da chiedersi chi e come abbia hackerato Hacking Team. Il CEO e fondatore Vincezzetti (foto a lato) sostiene che l’autore sarebbe “un governo o chi ha un forte potere economico”.

Ma visto il modus operandi, la chiara volontà di mettere in ridicolo l’azienda tramite il contemporaneo hack degli account Twitter ufficiali e la pubblicazione dei dati trafugati questo sembrerebbe essere lontano dalla realtà.

In più, ci sarebbe un account twitter, di tale Phineas Phisher che non solo sosterrebbe di essere l’autore dell’attacco ma  rivelerebbe anche di essersi divertito abbastanza guardando Hacking Team fallire nel capire come ha fatto.
Phineas Phisher sarebbe lo stesso hacker che ha colpito Gamma Group (un’altra società di sicurezza e monitoraggio remoto simile ad Hacking Team) e il suo pseudonimo deriverebbe dal loro software di sorveglianza chiamato FinFisher. Avrebbe attaccato Hacking Team per motivi morali, parrebbe, essendo in disaccordo con le politiche della società (la collaborazione con governi autoritari, per esempio) e in generale contrario allo spionaggio da parte di società o governi di individui su internet.

Sul suo account twitter ha postato i contenuti e le guide per navigare fra essi del precedente datadump di Gamma insieme ad una guida per insegnare ad hackerare ai neofiti. Niente che lasci intendere sulla sua vera identità, quindi.

Una fonte di un giornalista dell’International Buisness Times ritiene che il modus operandi sia simile a quello dell’hacker Yama Tough, supposto membro di un gruppo di hacker noto come Lords of Dharmaraja.

Purtroppo, come capita spesso in questi casi, attribuire un atto su internet ad una persona e dargli pure un volto è spesso impossibile. Phineas è quindi solo un probabile autore la cui identità potrebbe rimanere nascosta per ancora molto tempo.

Della stessa opinione è John McAfee (nell’ultima foto),  fondatore dell’omonima società, che ha rilasciato una intervista a Wired Italia sullo stesso argomento, commentando inoltre quello che, secondo lui, era il pietoso stato della sicurezza interna di Hacking Team.

Foto: Corriere della Sera, Hacking Team, La Stampa, Fastweb, The Hacker News

Definizioni:

Spear phishingIl phishing è un attacco indirizzato verso uno specifico bersaglio al fine di ottenere accesso a informazioni sensibili come passwords o dati bancari. È un neologismo che deriva della parola inglese “fishing” pescare, la particella “ph” in inglese si legge come “f” quindi foneticamente è identica all’etimo, e si riferisce appunto al “pescare” le informazioni tramite un esca. Nello “spear phishing”, il “phishing con l’arpione”, l’esca è una mail che sembra provenire da una fonte attendibile che richiede l’invio delle informazioni, o una pagina web fittizia che si sostituisce, tramite varie modalità, a quella originale. Un esempio semplice di uno spear phishing sarebbe ricevere una email da facebook.xx che richiede di effettuare il login in un dato link. Questo facebook.xx in realtà non è in nessun modo collegato a facebook.com, ma un occhio poco attento potrebbe non accorgersene e effettuare l’immissione dei dati. Il sito è stato creato simile in tutto e per tutto a quello vero da un hacker per pescare informazioni dal proprio bersaglio, per poi prendere il controllo dell account del bersaglio sul sito originale.

Uno 0day, o zero-day – E’ una vulnerabilità di un programma non corretta e sconosciuta al programmatore o sviluppatore di un software. Uno 0day è chiamato così perché dal momento in cui viene scoperto il programmatore ha zero giorni per correggere la vulnerabilità, dato che il (o i) malware che lo sfruttava era già in attività da tempo e probabilmente già diffuso. Uno 0day è pericoloso appunto per la sua segretezza, se nessuno ne è a conoscenza nessuno può contenere i danni. Per questo gli 0days possono essere anche molto costosi, quando un individuo scopre una vulnerabilità sconosciuta può renderla pubblica, venderla ad una società per correggerla, o metterla all’asta sul darkweb al migliore offerente rendendola, potenzialmente, uno 0day. Alcuni 0days sembrerebbe siano stati venduti per 200.000 dollari. In generale però, per 0day si intendono anche le vulnerabilità fra la loro scoperta e la correzione, una finestra di azione che può durare da pochi minuti a diversi giorni, a seconda dei casi.

PatchareIl metodo migliore per fermare un malware è correggere le vulnerabilità che usa come exploit per portare a termine i propri scopi. Questo correggere le vulnerabilità di un programma, le sue “imperfezioni” assomiglia molto a mettere una pezza su un buco in un vestito. Da qui il termine inglese “patch” pezza, appunto, che nel linguaggio informatico indica l’aggiornamento per correggere le imperfezioni di un programma. “Patchare” è l’italianizzazione dell’inglese “to patch”, mettere una pezza. Il termine è utilizzato per ogni eseguibile che corregge le imperfezioni di un programma, non solo le vulnerabilità, generalmente chiamate “bugs”, insetti.

Federico BianchiniVedi tutti gli articoli

Nato a Brescia, è laureato in scienze internazionali e diplomatiche presso l'Università di Trieste. Appassionato di storia militare, si occupa di sicurezza e sicurezza informatica.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: