Tecnología

Perché nessuno sa ancora chi è l’hacker che ha messo in ginocchio Hacking Team

phin-fisher

Alle 3:15 del mattino del 5 luglio 2015, l’account Twitter dell’azienda italiana di spyware Hacking Team — in genere poco attivo — ha pubblicato un messaggio insolito: “Dato che non abbiamo niente da nascondere, pubblicheremo le nostre email, file e codici sorgenti.”

L’azienda — compreso il suo account Twitter — era stata hackerata.

Videos by VICE

Il tweet includeva un link a un file torrent da 400 gigabyte che conteneva qualsiasi tipo di file interno sensibile: email aziendali, documenti, contratti, spreadsheet e codice sorgente degli spyware. Anche solo a prima vista, si trattava di un furto devastante — e questo succedeva prima che i giornalisti iniziassero a scavare nella cache, rivelando la lista di clienti discutibili che Hacking Team aveva collezionato, o le sue tecniche di hacking e le relazioni complicate che intratteneva con le forze dell’ordine.

Un hacker che si fa chiamare Phineas Fisher — già noto per aver violato il principale rivale di Hacking Team, FinFisher, nel 2014 — ha rivendicato la responsabilità dell’attacco. Mesi dopo, Phineas Fisher ha spiegato come ha fatto, in un dettagliato post-mortem.

E anche come ha fatto a farla franca.

A luglio di quest’anno, un giudice italiano ha stabilito la chiusura delle indagini su chi avesse hackerato Hacking Team, sostenendo che non ci fossero ulteriori piste da seguire.

Per gli inquirenti, le tecniche di evasione dell’hacker erano la prova che facesse parte di “un’organizzazione che ha impiegato tecniche per evitare l’identificazione in modo scientifico e maniacale.”

Phineas Fisher è sembrato divertito, quando durante una mia conversazione online con lui gli ho riportato i fatti — Ha detto, “lol, ma che cavolo significa, che rido tipo scienziato pazzo tutte le volte che apro il browser di Tor?”

A più di tre anni dal colpo ad Hacking Team non abbiamo ancora idea di chi ci sia dietro la tastiera di Phineas Fisher. Dopo aver ispirato una generazione di hacker vigilanti, Phineas Fisher si è nascosto e sono oltre due anni che non compie azioni di hacking pubbliche. Ora sappiamo di più, però, su come l’hacker (o il gruppo di hacker) sia potuto entrare nei sistemi di Hacking Team. Il fondatore e CEO dell’azienda italiana, David Vincenzetti, non voleva aggiornare il proprio software, il che significa che Phineas Fisher ha potuto attaccare un sistema obsoleto. Mantenere un software aggiornato è considerato da molti esperti di sicurezza una delle regole basilari per evitare un hack.

1542017123683-Screen-Shot-2015-07-05-at-94305-PM
Uno screenshot del Twitter di Hacking Team quando Phineas Fisher ne aveva preso il controllo.

A dicembre dell’anno scorso, l’accusa ha chiesto che il caso fosse abbandonato, sostenendo di aver seguito qualsiasi pista possibile e di non essere comunque riusciti a risolvere il mistero dell’identità di Phineas Fisher. All’inizio di luglio, un giudice italiano ha risposto, decretando la chiusura delle indagini sulla violazione subita da Hacking Team.

“Sono lieto di sapere che hanno interrotto questa inutile indagine, che era per lo più usata come scusa da Vincenzetti per aggredire ex-impiegati che non gli piacciono,” ha detto Phineas Fisher a Motherboard, facendo riferimento ai tentativi di Hacking Team di incastrare ex impiegati nel caos successivo all’attacco, come descritto nei documenti del tribunale.

Una serie di documenti sigillati relativi al processo, che Motherboard è riuscita a ottenere, raccontano la storia inedita della caccia all’uomo digitale fornendo uno sguardo affascinante su come i cyber-criminali riescano a restare anonimi e a cavarsela senza conseguenze persino dopo aver messo in ridicolo un’azienda che forniva tecnologia di sorveglianza a oltre 20 agenzie governative nel mondo. I documenti aiutano a far luce su alcuni dettagli esclusi dal racconto dell’attacco fatto dallo stesso Phineas Fisher, e scagionano i nomi degli ex impiegati di Hacking Team che Vincenzetti aveva accusato di tradimento nei confronti dell’azienda.

Inoltre, rivelano che il punto di accesso iniziale alla rete di Hacking Team, la proverbiale finestra rotta che ha permesso ai ladri di entrare in casa, erano un firewall e un sistema di VPN obsoleti. Stando alle fonti vicine all’azienda, quel firewall era ancora in uso nonostante gli amministratori del sistema ne avessero già installato uno nuovo perché Vincenzetti si rifiutava di aggiornarlo. (Una email trapelata conferma che la VPN era ancora in uso per “un paio di eccezioni.”)

“Solo un utente la utilizzava ancora, ecco perché non era ancora stata disattivata. […] la responsabilità ultima è di Vincenzetti,” ha dichiarato un ex impiegato di Hacking Team, che lavorava ancora per l’azienda il giorno dell’hack e che ha parlato con Motherboard a condizione di restare anonimo.

Un altro ex impiegato ha detto che la VPN e il firewall erano ancora in funzione “perché [Vincenzetti] non aveva voglia di installare un aggiornamento del software.”

Il primo di questi impiegati ha inoltre detto che uno degli amministratori di sistema di Hacking Team è stato beccato da Phineas Fisher a giocare a videogiochi tipo World of Warcraft e che ci sono volute settimane prima che notasse l’hack.

“Gli amministratori di sistema si meritano il grosso della colpa,” mi ha detto il primo dei due ex impiegati.

L’ATTACCO

Il primo colpo di Phineas Fisher risale al 22 maggio 2015, circa sei settimane prima del dump online dei file trafugati. Da lì, l’hacker si è mosso furtivamente attraverso la rete di Hacking Team, violando i computer dei due amministratori di sistema il 6 giugno e rubando, lo stesso giorno, 290 gigabyte di informazioni, che corrispondono alla maggior parte dei file dell’azienda.

Il 21 giugno, Phineas Fisher è riuscito a ottenere il codice sorgente, che si trovava all’interno della rete di sviluppo — l’area più sensibile dell’azienda — grazie a un sistema a “ponte” installato tra la rete di sviluppo e la rete del reparto commerciale e di vendita, stando ai documenti del tribunale.

Quel ponte, stando alle persone che lavoravano ad Hacking Team al tempo, è stato installato perché gli amministratori non volevano dover andare fisicamente da un ufficio all’altro per dover sistemare le impostazioni del sistema. Con il ponte, affermano le fonti e i documenti, potevano gestire la rete di sviluppo via remoto.

“Se non fosse stato per quel sistema, [Phineas Fisher] non sarebbe mai arrivato alla rete di sviluppo interna,” mi ha detto uno degli ex dipendenti.

Per evitare di farsi beccare, Phineas Fisher ha usato tutti i trucchi noti agli hacker esperti: ha creato le connessioni in modo anonimo usando Tor o altri proxy, poi ha eseguito l’hack usando software di penetration test, e ha affittato l’infrastruttura usata per sferrare gli attacchi pagando in Bitcoin.

E, considerando che Bitcoin è, per suo stesso design, una criptovaluta relativamente semplice da tracciare, ha usato fondi rubati da altre persone per pagare i server. Questo è stato il passaggio fondamentale che ha permesso a Phineas Fisher di restare intoccabile, stando ai documenti del tribunale analizzati da Motherboard.

“Sono pronto ad andare in galera se devo, ma preferirei restare libero e attivo. Non è una sorpresa che non mi abbiano preso,” mi ha detto Phineas Fisher. “Con qualche precauzione basilare è possibile restare anonimi in internet.”


“Dopo l’attacco, ho capito che la sicurezza aziendale interna era stata trascurata a favore dei bisogni di mercato dell’azienda.”

Alcuni dei bitcoin che Phineas Fisher ha usato, si legge nei documenti, arrivavano da gratta e vinci comprati su Buybitcoins.com, un sito che permette alle persone di comprare gratta e vinci fisici con un codice impresso che può poi essere riscattato sul sito. La criptovaluta era di proprietà di un cittadino americano di nome Jon Davachi, che si è dichiarato innocente quando i giornalisti lo hanno contattato dopo che il suo nome era stato rivelato dalla stampa italiana a dicembre. Phineas Fisher mi ha detto di aver rubato i bitcoin di Davachi hackerando il sito Buybitcoins. La versione dei fatti dell’hacker sembra coerente, a fronte anche di altri dettagli non-pubblici che ha fornito a Motherboard e che erano contenuti nei documenti del tribunale. Il proprietario di Buybitcoin non ha potuto confermare se il sito fosse stato hackerato o meno, ma ha detto che la cosa spiegherebbe come ha fatto Phineas Fisher a ottenere quei codici.

“Probabilmente è entrato nel mio database, ha trovato un paio di carte, poi ha usato un proxy per ritirare i bitcoin,” mi ha detto Joey Rich, fondatore di Buybitcoins.com.

Al sicuro dietro la propria maschera digitale, Phineas Fisher ha dunque rubato il codice sorgente di Hacking Team il 4 luglio, stando alle indagini.

A quel punto, non era rimasto più niente da rubare. Ecco perché ha rilasciato tutto con un dump online poco dopo, mi ha detto Phineas Fisher.

Gli impiegati di Hacking Team dell’epoca, quando hanno parlato con i procuratori, hanno ammesso la crucialità di quell’errore. Tutto è cominciato perché l’azienda era più preoccupata di vendere spyware che di tenere lontani gli hacker, benché solo un anno prima Phineas Fisher avesse messo in ridicolo la concorrenza, FinFisher.

“Dopo l’attacco, ho capito che la sicurezza aziendale interna era stata trascurata a favore dei bisogni di mercato dell’azienda,” ha detto ai procuratori Marco Valleri, ex capo del reparto tecnologia, stando ai documenti.

Daniele Milan, allora manager delle operazioni e braccio destro di Vincenzetti, ha detto ai procuratori che l’azienda era contraria a troppa sicurezza, perché avrebbe rallentato lo sviluppo del software.

“A nessuno è stato affidato il compito di aggiornare il software,” ha detto Milan ai procuratori.

Né Hacking Team come azienda, né Vincenzetti personalmente hanno risposto alle molteplici richieste di commento che abbiamo inviato.

Nonostante tutti questi errori interni, dopo l’hack Vincenzetti ha puntato il dito altrove. In una dichiarazione rilasciata qualche giorno dopo il leak, un portavoce di Hacking Team ha detto che dietro l’hacker si nascondeva probabilmente in realtà un sofisticato gruppo di criminali o, magari, di hacker governativi. Vincenzetti, ad ogni modo, ha querelato un gruppo di ex impiegati, che sono stati apostrofati come “infedeli” e “traditori,” tanto da Vincenzetti che dalla stampa italiana. Stando a Vincenzetti, i cinque hanno lasciato l’azienda per poi architettare un piano per distruggerla. La violazione sarebbe stata parte del loro piano.

Ma dopo tre anni di indagini, l’accusa italiana e il giudice hanno fatto cadere tutte le accuse contro i cinque ex impiegati.

“È chiaro che questa teoria non ha alcun fondamento,” ha scritto il giudice nella sua decisione, riferendosi alle accuse di Vincenzetti, “e non ha trovato riscontro in alcuna delle prove ottenute durante le indagini.”

Per Alberto Pelliccione, uno dei cinque ex impiegati che è stato indagato, si trattava di “accuse completamente infondate e irrazionali.”

“Da una parte sono felice perché l’incubo è finito,” mi ha detto per telefono Pelliccione, che è ora CEO dell’azienda di sicurezza Reaqta, dopo la decisione del giudice. “Ma sono risentito per i tre anni in cui ho vissuto un incubo senza ragione.”

1542017157387-IMG_0015
L’ex sviluppator di Hacking Team Alberto Pelliccione nel suo vecchio ufficio a Malta. Immagine: Lorenzo Franceschi-Bicchierai/Motherboard

Stando ai documenti, Pelliccione non solo non ha avuto niente a che fare con l’hack, ma Hacking Team avrebbe cercato di incastrarlo deliberatamente — per poi farsi scoprire. Vincenzetti ha detto agli inquirenti che l’azienda aveva identificato due tentativi di attacco all’azienda, provenienti da indirizzi IP di Malta, dove Reaqta era allora stanziata. Per la precisione, ha concluso il giudice, la situazione era esattamente all’opposto: qualcuno dentro ad Hacking Team si è connesso alla rete di Reaqta il giorno dopo l’attacco, nel tentativo — maldestro — di seminare briciole che incastrassero Pelliccione. (Il secondo presunto attacco è avvenuto mesi prima di quello che ha colpito l’azienda, il 13 maggio 2015, quando Hacking Team aveva già ingaggiato investigatori privati per capire se Pelliccione e un altro ex dipendente avessero rubato segreti aziendali.)

Il giudice ha confermato l’innocenza di Pelliccione e degli ex colleghi Guido Landi, Mostapha Maanna, Serge Woon e Alex Velasco. Ma ha anche sentenziato che il movente di Phineas Fisher sarebbe “di certo politico e ideologico.”

Quando ho chiesto all’hacker cosa ne pensasse della decisione, ha detto che avrebbe sempre voluto esprimere chiaramente la propria opinione sugli affari sporchi dell’azienda.

“Forse ora i procuratori avranno il tempo per indagare i vari crimini commessi da Hacking Team,” mi ha detto di recente Phineas Fisher, facendo riferimento alla vendita di spyware al governo del Sudan, ai discutibili metodi di hacking e alla vendita dei propri software di sorveglianza alle autorità messicane, che li hanno poi usati per prendere di mira gruppi di dissidenti. “Ma non mi illudo che succederà davvero.”

L’hacker non ha dato segno di rimorso, nonostante parte del codice sorgente di Hacking Team sia poi stato usato da hacker governativi e criminali.

“La vera minaccia sono tutti gli strumenti di hacking del governo che sono ancora segreti,” ha detto, “non quelli che ho reso pubblici.”