Lo scorso 4 luglio, dopo 3 anni di indagini, la Procura di Milano ha archiviato definitivamente le indagini relative al caso dell’attacco hacker ai danni di Hacking Team. Scagionando così di fatto la posizione di tutti gli indagati, a partire proprio dagli ex dipendenti che erano stati indicati come colpevoli dai vertici dell’azienda milanese.
Il pubblico ministero aveva richiesto a dicembre 2017 l’archiviazione del caso poiché non vi erano altre strade percorribili per l’indagine. Phineas Fisher, l’hacker autore dell’attacco, non è mai stato identificato. Seconda la Procura di Milano, la causa primaria dell’attacco è da ricercarsi nella scarsa attenzione alla sicurezza della rete di Hacking Team.
Videos by VICE
A 15 anni dalla nascita di Hacking Team, dopo le informazioni emerse dai dati pubblicati da Phineas Fisher sulla vendita del software RCS a governi autoritari, e le notizie riportate da diversi giornali sull’utilizzo improprio di questa tecnologia per spiare e sorvegliare attivisti e giornalisti sparsi per il mondo, abbiamo parlato con Claudio Guarnieri, ricercatore informatico presso Amnesty International e advisor al Citizen Lab dell’Università di Toronto, per capire qual è stato l’impatto storico di Hacking Team sulla discussione intorno alla sorveglianza tecnologica e qual è stato il suo contributo all’industria dell’insicurezza informatica.
La seguente intervista è stata editata per chiarezza.
MOTHERBOARD: Prima della nascita e diffusione di aziende specializzate in malware e exploit per le operazioni di hacking dei governi, qual era la situazione? Un frastagliato ecosistema di piccolo attori indipendenti che si prestavano ad aiutare le forze dell’ordine?
CLAUDIO GUARNIERI: Ci son sempre state persone a contratto presso forze dell’ordine e di intelligence per lo sviluppo di strumenti di intrusione e sorveglianza informatica, da decenni ormai. Di sicuro nel tempo, con un aumento di richiesta, si è evoluto da un mestiere di “artigianato” ad una industria professionalizzata che ha trovato in particolare in Italia un terreno molto fertile. Fino ad arrivare a oggi, dove solo in Italia troviamo forse più di una dozzina di società che offrono trojan commerciali a governi e autorità.
Nel 2003 viene messa in piedi Hacking Team ma solo nel 2012 appare la prima notizia a livello internazionale legata all’uso di RCS in Marocco per colpire dei giornalisti, prima di una lunga serie di notizie simili. Quello doveva essere già un primo segnale importante?
Fino a qualche anno fa si sapeva solamente in principio dell’esistenza di questa realtà dell’industria della sorveglianza e della commercializzazione dei trojan di stato. Il CCC tedesco fu forse il primo a scoprire il cosiddetto Bundestrojaner usato dalle autorità tedesche, ma c’è voluta una convergenza di eventi per permettere di scoperchiare quell’industria. L’avvento della cosiddetta Primavera Araba e il più o meno casuale incontro di qualche gruppetto di esperti informatici un po’ idealisti ha dato vita ad un filone di investigazioni sull’utilizzo di software, come quello di Hacking Team e della tedesca
FinFisher, da parte di regimi autoritari e casi di chiaro abuso.
Generalmente creano malware che, sebbene sia professionale, è relativamente mediocre al cospetto delle capacità dei veri pezzi grossi, defense contractor e governi Occidentali.
Il caso dell’utilizzo dei prodotti di HackingTeam contro Mamfakinch in Marocco — un gruppo di giornalisti attivisti attivo durante le proteste del 2011-2012 — è stato uno tra i primi e purtroppo anche uno dei più ignorati. In questi casi spesso si sente solo il racconto cyber distopico di come il tentativo di hacking sia stato compiuto, ma raramente si sente parlare del “dopo”. Nel caso di Mamfakinch, successivamente alla scoperta del tentativo di intrusione, il collettivo è gradualmente morto sotto la pressione e la paura di sapere di essere sotto controllo, anche digitale.
Collaboratori e fonti anonime hanno smesso di produrre informazione per il pubblico, le proteste si sono gradualmente dissipate, e poco più tardi figure chiave di Mamfakinch hanno dovuto affrontare accuse fittizie ed ingiuste nel tentativo di imprigionarli. Una delle vittime degli attacchi del 2012 con il software di Hacking Team e divenuto, negli anni, mio caro amico, Hisham Almiraat, è dovuto fuggire dal paese e richiedere asilo in Europa. Un altro esempio più drammatico è quello dell’attivista pro-democrazia per i diritti umani Ahmed Mansoor, anch’egli vittima di attacchi tramite l’utilizzo sia di prodotti di Hacking Team che di FinFisher e altri, e che ora è imprigionato negli Emirati Arabi e deve scontare una pena di 10 anni per avere mandato un tweet.
In che modo le rivelazioni dell’hackeraggio di Hacking Team nel 2015 hanno influito sul mondo della sicurezza informatica? Hanno permesso alla cybersecurity di rimettersi alla pari? C’era effettivamente un distacco?
Hacking Team, come molte simili società di sorveglianza, è stata celebrata troppo come una sorta di potenza informatica, e questo francamente non gli si addice. Tanto per cominciare basti pensare che diverse di queste aziende sono state “hackerate” in maniera sorprendentemente banale. La realtà non è che queste società hanno accesso a tecnologie offensive particolarmente potenti o innovative. Generalmente creano malware che, sebbene sia professionale, è relativamente mediocre al cospetto delle capacità dei veri pezzi grossi, defense contractor e governi Occidentali.
Il vero problema è che si tratta di un conflitto sbilanciato. Le società come Hacking Team che producono strumenti offensivi hanno tutti i modi e il tempo a disposizione per ricercare (o molto spesso acquisire da esterni) tecniche di intrusione ed evasione da tecnologie difensive. In questo senso la sicurezza informatica difensiva è sempre qualche passo indietro ma, ogni volta che si introduce un miglioramento nel software e nell’hardware che utilizziamo, si alza un po’ il costo di ricerca e sviluppo per i produttori di sorveglianza.
L’obiettivo non è quello di sconfiggere in toto i loro strumenti offensivi, non sarebbe possibile, ma è quello di incrementare costantemente il loro costo al punto che il loro utilizzo venga centellinato, ed il loro abuso venga scoraggiato.
Può sembrare strano, ma c’è una forte componente economica intrinseca nella sicurezza informatica.
L’attacco a HT — e quello dell’anno prima a FinFisher — segnano uno spartiacque nella scena della sicurezza informatica? Se sì, in che modo?
Di sicuro hanno portato sotto l’attenzione di tutti, specialmente al grande pubblico, tematiche su cui molti di noi insistevano da anni con più scarsi risultati. L’eco mediatico di quegli attacchi è stato sicuramente molto più grande di qualsiasi investigazione avessimo pubblicato in precedenza.
Non so se hanno segnato uno spartiacque nella scena. Quella Italiana in particolare è sempre stata molto, mettiamola così, “variegata”. Tutti conoscono più o meno tutti. Negli anni alcuni hanno preso una strada e alcuni di noi una opposta. La maggior parte naviga nel mezzo. Di sicuro però quegli eventi hanno dato molto materiale di discussione nelle chat online ed ai campeggi hacker nostrani.
Hacking Team mostra un approccio capitalistico alla vendita di software per la sorveglianza e intercettazione, fornendo custom features, aggiornamenti regolari, e supporto tecnico — modello adottato da tanti altri venditori. In che modo i ricercatori informatici possono contrastare questo modello?
La prima scelta è a cosa dedicare il proprio talento e le proprie energie. Come ricercatori informatici, spesso abbiamo il privilegio di avere delle abilità molto ricercate ed egregiamente pagate. L’industria della sorveglianza può apparire come una scelta professionale accattivante e remunerativa, ma è importante essere consci di a che cosa si contribuisce.
Io invito sempre a considerare altre strade, che possano essere al servizio o a beneficio della società pubblica e civile. Creare e contribuire a tecnologie più resilienti e rispettose dei diritti dell’uomo può essere molto più appagante che contribuire alla creazione di strumenti di controllo venduti per spiccioli al dittatore di turno.
Non c’è una vera necessità di utilizzare 0day in maniera sistematica: tecniche di social engineering sono spesso e volentieri ugualmente — se non più — efficaci per un attaccante.
Per entrare nello specifico della domanda, come ho accennato in precedenza, contrastare questa esponenziale crescita dell’industria della sorveglianza e i suoi abusi significa principalmente impattare le dinamiche economiche su cui capitalizzano. Questo può essere fatto in diversi modi: dal lavorare a stretto contatto con organizzazioni ed elementi nella società civile (come attivisti o giornalisti) ed aiutarli a migliorare la propria postura in sicurezza informatica, al creare software libero e piattaforme nuove e rispettose della privacy, al lavorare per migliorare la sicurezza dei prodotti tecnologici di consumo e le piattaforme online esistenti.
Proprio perché la tecnologia è diventata una colonna portante della società moderna, scegliere la propria carriera in questo ambiente significa fare una scelta sociale, politica e personale. L’importante è esserne consapevoli.
Guardando al futuro, secondo quanto riportato in una relazione del COPASIR , il nuovo prodotto di Hacking Team punta a mettere in piedi l’acquisto e lo stoccaggio di 0days — vulnerabilità ancora sconosciute al pubblico e al produttore. Quali sono le conseguenze per i ricercatori di sicurezza informatica e per i cittadini e attivisti che possono subire attacchi?
Lo stoccaggio di 0day è un problema complesso.
In principio penso sia una pratica che non dovrebbe essere incoraggiata perché rappresenta un incentivo per un mercato dell’insicurezza all’apparenza altamente lucrativo, mentre talenti e investimenti dovrebbero essere diretti verso il miglioramento e la costruzione della tecnologia, non il suo sabotaggio. In aggiunta non c’è una vera necessità di utilizzare 0day in maniera sistematica. Tecniche di social engineering sono spesso e volentieri ugualmente — se non più — efficaci per un attaccante.
All’atto pratico, se si accetta la legittimità dell’utilizzo di trojan (o captatori informatici, come si dice all’italiana) da parte dello Stato e delle autorità, è inevitabile che in un certo senso si legittimi anche la necessità di ricercare o acquisire ed utilizzare 0day come veicoli di inoculazione più affidabili.
Come in ogni cosa, a questo punto, la domanda è: quanto e come questi vengono utilizzati? E generalmente non ci è dato sapere la risposta.
Alla luce di questo percorso delineato nelle domande precedenti, qual è stato l’impatto storico di HT sul mondo della sicurezza informatica?
Hacking Team, come pure FinFisher, ancora esistono quindi il loro “impatto storico” ancora non si è esaurito, ed è forse questa la vera lezione che abbiamo imparato. Nonostante gli abusi, gli attacchi contro gli attivisti e i giornalisti, le relazioni commerciali con regimi autoritari, e pur nonostante il loro hackeraggio, queste società non vanno da nessuna parte. Sono qui per restare, perché c’è una domanda sempre crescente da parte di governi e forze di polizia di tutto il mondo per avere accesso a strumenti di investigazione e di sorveglianza sempre più invasivi.
Sfortunatamente, a parer mio, il mondo della sicurezza informatica tratta queste tematiche con una certa indifferenza, sistemando in silenzio le falle che occasionalmente vengono scoperte, senza commentare o giudicare. Questo perché l’industria della sicurezza pretende di essere apolitica, ma la realtà è che si trova nel mezzo di tensioni sociali e politiche derivate dall’ubiquità delle nuove tecnologie e prima o poi dovrà necessariamente confrontarsi con se stessa.