Phineas Fisher, il misterioso hacker che ha sottratto e pubblicato oltre 400 GB di dati all'italiana Hacking Team, ha pubblicato su Pastebin un lungo articolo che descrive come ha fatto a violare la società di cybersicurezza.
Il caso tenne banco lo scorso luglio, e fu così che il pubblico italiano e mondiale venne a sapere di questa società (che era ben nota negli ambienti specializzati) dedita allo sviluppo di software di sorveglianza, che alcuni chiamano senza mezzi termini "armi digitali".
L'azienda era già stata accusata in precedenza di vendere i propri prodotti a governi totalitari e liberticidi, che li usavano per individuare i dissidenti per poi incarcerarli, torturarli e giustiziarli. HT aveva sempre risposto affermando di fare un'attenta selezione tra i propri clienti, ma l'attacco fece emergere una realtà diversa. Le conseguenze, per l'azienda stessa, per i suoi clienti e per il pubblico, sono ancora difficili da valutare.
Dopo qualche tempo emerse il nome di Phineas Fisher, hacker che è riuscito finora a mantenere l'anonimato e che ha di recente deciso di far sapere a tutti come ha fatto. L'articolo, oltre a una spiegazione tecnica, è anche una specie di guida fai da te per chi volesse cimentarsi in un'operazione simile. È piuttosto lungo, e per questo ci torneremo nei prossimi giorni per vederne i dettagli.
Per ora possiamo rilevare che Fisher afferma di aver usato all'inizio una vulnerabilità non nota in un dispositivo embedded, sulla quale ha lavorato per sviluppare un attacco remoto. La falla non sarebbe ancora stata chiusa, spiega Fisher, e per questo non ne ha diffuso i dettagli.
Una volta penetrato nei sistemi di HT, Fisher li ha esaminati a lungo trovando diversi backup non sicuri, compreso quello del server Exchange con i messaggi di posta elettronica, da cui ha potuto estrarre una password di amministrazione. Con quest'ultima è riuscito poi a scalare i privilegi all'interno della rete di Hacking Team. Successivamente Fisher è riuscito a trovare la password della libreria software, e da lì a mettere le mani su quanto di più prezioso aveva l'azienda: il codice sorgente del loro prodotto principale, RCS.
"Basta questo ad abbattere una società e a fermare il loro abuso dei diritti umani", scrive Fisher. "È la bellezza e l'asimmetria dell'hacking: con 100 ore di lavoro, una persona può smontare anni di lavoro di un'azienda multimilionaria. L'hacking dà all'ultima ruota del carro un'occasione di combattere e vincere".
Hacking Team in ogni caso non è stata abbattuta. L'azienda ha superato la tormenta, sostituito parte del personale ed è tornata operativa. Forse dovrà lavorare per recuperare la credibilità persa agli occhi di alcuni clienti, ma le azioni di Fisher non l'hanno affatto distrutta.
La risposta di Hacking Team
Anzi David Vincenzetti, AD dell'azienda, ha pubblicato un breve post sul blog aziendale per rispondere a Fisher - definendolo "qualcuno che si prende la responsabilità per l'attacco della scorsa estate alla nostra azienda". Secondo Vincenzetti la pubblicazione di Fisher è piena di imprecisioni è non fa che "mostrare che non è sveglio come crede di essere".
Vincenzetti, che ha sempre rifiutato apertamente l'equivalenza tra software e armi, ha poi un commento anche per i mezzi d'informazione, che ignorano "due semplici fatti". Che "criminali e terroristi si affidano alle segretezza e alla crittografia end-to-end ogni giorno per rubare, uccidere e terrorizzare". E il secondo, che "Hacking Team offre uno strumento prezioso che le forze dell'ordine e le agenzie di sicurezza del mondo usano per tenere al sicuro i cittadini".
Oh, and by the way, on Saudi Arabia….The USA sells F-15 fighter jets to the Saudis, and these fighters are now the backbone of the Royal Saudi Air Force.The Saudis also have a number of the Panavia Tornedo fighters, a high-performance plane made by Italy, the UK and Germany. This in addition to many other weapons, missiles and bombs sold by US, UK and other western governments to the Saudis.
Excuse me for saying so, but software by compari
son seems rather insignificant!!I have not used this information with the press because I don't want to be misunderstood as suggesting our software should be considered a ‘weapon.'
But it is interesting. https://en.wikipedia.org/wiki/Royal_Saudi_Air_ForceE.
David Vincenzetti, AD Hacking Team, giugno 2014 (Wikileaks).
"Invece di riportare questa scomoda verità, siti web e giornali celebrano come una sorta di vittoria il lavoro di questo vigilante che è penetrato nell'azienda e rubato documenti e software. Le loro ragioni sono le stesse di quegli scrittori sensazionalisti di 150 anni fa - trovare lettori e al diavolo la verità".
Vincenzetti ricorda poi che sono in corso diverse indagini, nel mondo, per scovare il colpevole dell'attacco - che sia Fisher o qualcun altro. "Nel frattempo, nonostante le ipotesi di alcuni esperti di sicurezza secondo cui Hacking Team non si sarebbe mai ripresa dall'attacco, e nonostante le speranza di altri, Hacking Team ha ripristinato il nostro strumento per la sorveglianza legale e sviluppato nuovi strumenti di alto livello. […] Hacking Team continuerà a produrre e fornire software esemplari per aiutare le forze dell'ordine a mantenerci tutti al sicuro".