#HackedTeam, anche l’Italia tra i padroni della cybersorveglianza

#HackedTeam, anche l’Italia tra i padroni della cybersorveglianza

Tra i “mercenari digitali” Reporter Senza Frontiere inserisce anche un’altra società italiana, la milanese Hacking Team, che si presenta come «la prima società a proporre soluzioni offensive per la cyber-investigazione». Fortemente hackerata lo scorso 5 luglio, quando un attacco informatico ha portato alla sottrazione di 400 Gigabite di e-mail, codice sorgente (tra cui una vulnerabilità zero-day per Adobe Flash, eliminata dalla società statunitense in un paio di giorni dall’uscita della notizia) e documenti riservati, HT è stata più volte sotto i riflettori dalle organizzazioni che monitorano l’attività dell’industria della cybersorveglianza globale e soprattutto del Toronto Citizen Lab, che studia l’impatto del potere politico nel cyberspazio.

La società opera nel campo dei trojan attraverso il Remote Control System (RCS), che utilizza una rete di server proxy in grado di oscurare l’identità di chi sta realizzando l’attività di investigazione, sistema simile a quanto è in grado di fare l’uso del browser Tor (uno dei più efficaci strumenti per la navigazione anonima e unico browser in grado di navigare nel deep web). L’RCS fornito dalla Hacking Team – noto anche come DaVinci – è ad esempio in grado di di copiare file presenti sull’hard-disk del computer-target, registrare chiamate Skype, password o messaggi di instant messaging. Inoltre questo strumento è in grado di trasformare webcam e microfono in una perfetta cimice ambientale, invisibile e utilizzabile senza la necessità dell’autorizzazione di un giudice, dopo aver infettato il computer-target attraverso una classica operazione di phishing o sfruttando le vulnerabilità di alcuni tra i più popolari software.

La realizzazione di questi strumenti è stata possibile anche grazie ad un finanziamento pubblico da 1,5 milioni di euro di cui Hacking Team ha beneficiato nel 2007 proveniente da Finlombarda Gestioni SGR Spa, che detiene inoltre una quota del 26,03% dell’HT ed è controllata da Finlombarda Spa, finanziaria della Regione Lombardia. Tra i documenti diffusi anche fatture riferibili ad aziende del settore finanziario e bancario, con cui la società non dovrebbe intrattenere ufficialmente rapporti in quanto, come più volte dichiarato, i suoi clienti sono governi e forze dell’ordine.

#HackedTeam, l’Italia nella lista dei cattivi
Attraverso il portavoce Eric Rabe, nelle ore successive all’attacco informatico la società si è difesa sostenendo che i suoi software servano esclusivamente per l’intercettazione legale dei criminali (in questo ambito ricadrebbero ad esempio le forniture alla Guardia di Finanza, ai Ros dei Carabinieri, alla Polizia Postale o all’Aise, l’ex Sismi), e più volte la società ha evidenziato come il suo parco-clienti veda solo governi non inseriti nelle blacklist dell’Unione Europea, della Nato o degli Stati Uniti. Un’analisi del Citizen Lab è però riuscita ad individuare ben ventuno Paesi a cui l’RCS è stato venduto, di cui nove inseriti tra i “Paesi autoritari” dal Democracy Index 2012 dell’Economist. Clienti della società milanese sono stati – o sono tutt’ora – i governi dell’Arabia Saudita, del Sudan, della Nigeria, del Marocco o dell’Eritrea. Il principale cliente della società – stando alla lista pubblicata su pastebin.com e alle conferme che arrivano dal settimanale “Zeta – Libre como el viento – sembra essere il Messico [qui il pastebin].

//platform.twitter.com/widgets.js

Noto è, ad esempio, l’uso dei programmi dell’HT contro il sito di informazione marocchino Mamfakinch.com – promosso dal “Movimento 20 febbraio” durante la Primavera Araba e divenuto da quel momento uno dei citizen-media più popolari del Paese – così come contro i giornalisti dell’Ethiopian Satellite Television (ESAT), il canale televisivo indipendente della diaspora etiope in “pessimi rapporti” con il governo dell’Etiopia, secondo paese africano per numero di giornalisti imprigionati dopo l’Eritrea di Isaias Afewerki, l’«amico degli italiani che contano», come ricordava Fabrizio Gatti in una video-inchiesta del 2013.

//platform.twitter.com/widgets.js

Sia per Mamfakinch.com che nel caso dell’attivista per i diritti umani saudita Ahmed Mansoor, è stato accertato come la sorveglianza sia stata possibile sfruttando vulnerabilità di Adobe Flash nei documenti Word attraverso l’invio di due file noti come “scandal.doc” – che avrebbe dovuto presentare notizie scandalose su alcuni politici marocchini – e “veryimportant.doc”, entrambi contenenti un programma, “SpyNet”, in grado di rubare password, monitorare ciò che viene digitato sulla tastiera (keylogging) e mutare webcam e microfono in cimice ambientale. Dal 2011 questo strumento viene fornito dalla società milanese alla Dea – l’agenzia antidroga degli Stati Uniti – attraverso la controllata statunitense Cicomb, firmataria di un contratto da 2,4 milioni di dollari.

Per approfondire: The Italian job: Hacking Team e le collaborazioni tricolori, Carola Frediani, La Stampa, 7 agosto 2015

Le vulnerabilità usate in questo tipo di attacchi sono individuate da società come la francese Vupen Securities, che nel 2012 si è vista offrire 60.000 dollari da Google per il suo software spia che sfrutta due vulnerabilità zero-day – cioè non note fino a quel momento – nel browser Chrome, sviluppato dalla società di Mountain View.
Questo exploit è stato messo in vendita dalla Vupen al miglior offerente. Interessante la logica usata dalla società, utile cartina di tornasole sul modo di pensare dell’industria della cybersorveglianza globale. Attraverso Chaouki Bekar – cofondatore e responsabile ricerca – la società ha dichiarato a Russia Today di non voler dare alcuna informazione a Google che potesse aiutarla a «fissare questo exploit o altri exploit simili», mettendoli però a disposizione dei propri clienti.

Sottovalutazione del rischio
Secondo Carola Frediani, la tempistica dei leaks sull’Hacking Team farebbe pensare che chi ha portato avanti l’attacco fosse in possesso dei documenti già da tempo, ed aspettasse solo il momento adatto per renderli di dominio pubblico. A “rivendicare” l’attacco tal “Phineas Fisher, che sarebbe anche l’artefice di un attacco simile ai danni della Gamma International, società produttrice di FinFly, lo stesso software per cui l’Italia – secondo top client dell’HT (qui un grafico realizzato da The Intercept) – avrebbe acquistato quattro licenze per 1.802.00 euro tra il 2013 e il 2014, quando a Palazzo Chigi lavorava il governo di Enrico Letta.

I rapporti con le istituzioni italiane sono ampi e molto forti, anche se è caduta nel vuoto una richiesta di acquisizione di una parte dell’Hacking Team fatta a metà del 2014 dal Ceo della società, David Vincenzetti al Governo italiano mediante il Fondo strategico italiano. Solo pochi mesi prima la società era stata sul punto di essere venduta all’Arabia Saudita, finché con la salita al trono di Salmān bin ʿAbd al-ʿAzīz Āl Saʿūd in sostituzione del defunto re Abdullah morto il 23 gennaio 2015 i referenti sauditi nell’affare vengono deposti dai loro incarichi.

Per approfondire: Hacking Team, così Regione Lombardia tentò di vendere la società ai sauditi. I segreti dei governi valevano 35 milioni, Marco Lilo, il Fatto Quotidiano, 6 agosto 2015l

La società milanese imputa invece l’hackeraggio a un gruppo criminale o a un governo. Chiunque sia l’artefice dell’attacco informatico, comunque, ha avuto un grosso aiuto dalla scarsa sicurezza usata dalla società, penetrando tramite i computer di due amministratori di sistema dell’Hacking Team: Christian Pozzi e Mauro Romeo. È difficile comprendere come profili di tale importanza possano arrivare ad usare come password la parola “Passw0rd”, nonostante qualunque corso di informatica ponga l’accento sulla necessità di usare password complesse. Una superficialità che appare confermata dal fatto che molti dati sensibili – portafoglio-clienti e dati dei passaporti dei dipendenti – fossero conservati in chiaro, senza alcuna cifratura di sicurezza.

È grazie a questa sottovalutazione del rischio che, ad esempio, è stato possibile scoprire che una rappresentanza dell’Hacking Team è volata lo scorso maggio a Dhaka, in Bangladesh, per una dimostrazione presso il quartier generale del Rapid Action Battalion, uno “squadrone della morte” che Human Right Watch indica come artefice di abusi e torture per oltre un decennio. (qui e qui i file .pdf).

Hacking Team alla sbarra?
Marietje Schaake, eurodeputata dell’Alleanza dei Democratici e dei Liberali per l’Europa, membro di vari Comitati come quelli per il Commercio Internazionale, gli Affari Esteri ed i Diritti Umani che già negli scorsi mesi aveva presentato una interrogazione parlamentare contro la società milanese, ha evidenziato come la vendita del software dell’HT al Sudan – l’affare da 480.000 euro su cui i media hanno posto maggiormente l’attenzione – «non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945 e 2138» oltre che la «Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014» che sancisce l’embargo commerciale verso Khartoum. La Shaake ha inoltre chiesto alle autorità italiane di aprire un processo contro l’Hacking Team, anche se ad oggi gli unici ad aver “attenzionato” la società milanese sono i funzionari del Ministero dello Sviluppo Economico, a cui è dato il potere di concedere i certificati “end user”, che attestano l’identità dell’utilizzatore finale della tecnologia “dual use a cui sono collegati, bloccando la vendita in caso di Paesi sotto embargo o noti per violazione dei diritti umani. Lo scorso luglio, come riporta un articolo di Andrea Palladino su Il Fatto Quotidiano, anche i software dell’HT vengono messi sotto osservazione, con il forte rischio che ciò possa far saltare vari e multimilionari contratti di vendita. Un rischio che viene scongiurato grazie all’intervento lobbistico della Presidenza del Consiglio attraverso l’intervento di Riccardo Russi e Antonello Vitale rispettivamente colonnello e generale dei servizi segreti italiani, che negli ultimi tre anni sono stati fruitori – dietro pagamento da parte di Palazzo Chigi – dei software della società milanese.

[3 – Continua]
[2 – Dangerous Liaisons: i rapporti pericolosi tra profitto e cybersorveglianza ]
[1 – I Padroni della Cybersorveglianza]

Questo articolo fa parte dell’inchiesta I Padroni della Cybersorveglianza, pubblicata (in versione ridotta) sul numero di settembre 2015 del mensile Altreconomia

  1. Pingback: Datagate, il ruolo poco noto dell’Italia | Il Dettaglio - Il blog di Andrea Intonti

  2. Pingback: Chi controlla i padroni della cybersorveglianza? | Il Dettaglio - Il blog di Andrea Intonti

  3. Pingback: I padroni della cybersorveglianza e quel modello di business chiamato repressione | Il Dettaglio - Il blog di Andrea Intonti

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: