Hacking team a nudo su Wikileaks: mail, clienti e rapporto con il Copasir

Dopo che Wikileaks ha messo online un comodissimo motore di ricerca per ficcanasare tra le email della società italiana violata domenica scorsa, son saltati fuori i riferimenti precisi a tutti i clienti a cui prestavano assistenza e molto di più.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Scartabellare in una quantità enorme di dati come quella trafugata a Hacking Team non è certo semplice, ma gente organizzata come quelli di Wikileaks non si lasciano certo spaventare e a pochi giorni dall'intrusione, ecco comparire un fantastico motore di ricerca in grado di rendere molto più semplice scavare in quella miniera di informazioni.

E quando parliamo di miniera, stiamo usando un termine che potrebbe addirittura sembrare riduttivo. Con un po' di inventiva, infatti, si possono andare a controllare tutti i trascorsi della società, tante sono le comunicazioni raggruppate nel materiale sfuggito al controllo.

Screenshot 2015 07 10 16 15 42

Un motore di ricerca molto ben fatto. Se metti due termini, restituisce i risultati che li includono entrambi, ma se piazzi un punto esclamativo prima di una parola mostra solo i risultati che NON contengono quel termine, ma solo gli altri specificati.

Vogliamo verificare se hanno avuto a che fare con i Carabinieri? Basta fare una ricerca con "@carabinieri.it" ed ecco che salta fuori uno scambio di mail con le forze dell'ordine.

Vogliamo verificare se ci sono intrallazzi politici? Mettiamo il nome di Renzi o Berlusconi ed ecco cosa ne pensavano in  Hacking Team.

Volete sapere se tifano per la Juventus? Inserite la chiave di ricerca e scoprirete che Moggi usava probabilmente un cellulare in grado di criptare le telefonate (dimostrandosi più saggio della stessa Hacking Team).

Se prima servivano un po' di conoscenze per ficcanasare nello sporco affare, adesso è una cosa veramente alla portata di tutti. Basterà quindi attendere un altro po' per sapere davvero tutto su quanto contenuto in quei file.

Ne abbiamo anche approfittato per cercare "Tom's Hardware" ed è saltato fuori che non gli eravamo troppo simpatici perché non abbiamo riportato, in passato, alcune loro dichiarazioni rilasciate a proposito della cessione del loro software a entità illiberali.

Spero che voi lettori ci scuserete per non esserci fidati di quanto diceva Hacking Team e aver cercato invece altre prove.

bruttiecattivi

La risposta del loro responsabile della comunicazione diceva di mandarci la risposta standard alle domande sui rapporti con Stati illiberali e che se avessimo usato quella, non avremmo avuto altro da loro. Di interviste, ovviamente, neanche a parlarne.

Nel  frattempo, si è scoperto che i rapporti con le nostre forze dell'ordine ci sono stati e che la soluzione di Hacking Team è stata usata in diverse indagini, il Copasir (Comitato Parlamentare di Controllo sui Servizi) dice che anche i servizi segreti erano tra i clienti e addirittura teme che possano esser stati hackerati a causa della fuga di dati, che tra i clienti c'era anche il servizio segreto libanese e così via.

A proposito della collaborazione con le forze dell'ordine, proprio analizzando uno scambio di email interno è saltata fuori un'ipotesi che darebbe un senso a uno strano ritrovamento compiuto nel materiale trafugato.

Tra i file, infatti, ce n'era uno che conteneva una serie di indirizzi di Youporn. Sebbene sia stato subito usato come motivo di scherno nei confronti dell'azienda e dell'operato dei suoi sistemisti, Paolo Attivissimo ha fatto notare che invece è probabile che fosse un file relativo a una operazione in cui si è fatto uso dei tool di HT per infettare dei computer tramite il lettore di video di Adobe Flash.

In una delle mail reperibili tramite il famoso motore di ricerca di cui sopra, si parla di un "Network Injector" chiamato INJECT-HTML-FLASH, in grado di trasformare un normale video riprodotto da un Flash Player in un veicolo per malware.

Molti dei siti su cui si può usare quell'exploit sono siti porno, ma non mancano quelli che usiamo anche tutti i giorni per semplice intrattenimento:

  1. http://www.youtube.com (NO HTTPS)
  2. http://www.veoh.com
  3. http://www.metacafe.com
  4. http://www.dailymotion.com
  5. http://www.break.com
  6. http://www.youporn.com
  7. http://www.pornhub.com
  8. http://www.xhamster.com
  9. http://www.xvideos.com
  10. http://www.porn.com
  11. http://www.xnxx.com

Non c'è comunque da preoccuparsi di poter incappare in una infezione semplicemente guardando un video su uno dei siti indicati (dove la lista è comunque parziale). L'attacco che sfrutta INJECT-HTML-FLASH, infatti, è sempre mirato e necessità di un operatore che prepari adeguatamente la rete per piazzare il malware.

In definitiva, vedrete che man mano che si analizzano le mail, tutti i pezzetti andranno a incastrarsi e anche se è vero che qualche leggerezza sarà stata commessa da quelli di Hacking Team, l'operazione che ha portato all'estrazione dei dati non è stata certo banale.