Quanto accaduto ad Hacking Team è subito apparso grave e si sapeva che quando i contorni si sarebbero chiariti il quadro sarebbe diventato disastroso. Non tutti, però, hanno compreso che il problema è a doppio taglio, perché se è vero che per loro è stato un duro colpo, per gli utenti comuni è una bella seccatura.
Ricordiamo infatti che i 400GB pubblicati su Internet contengono i codici sorgente dei prodotti di spionaggio e intrusione di HT, oltre a una quantità ragguardevole di documenti fiscali, amministrativi e comunicazioni interne.
Andiamo con ordine e vediamo cosa ha comportato la perdita di tutto questo materiale, tenendo ben presente che, in realtà, non è andato perduto proprio nulla. Anzi, molto è finito nelle mani sbagliate.
Innanzitutto, il fatto che tutto il loro codice sorgente sia stato rivelato ha fornito gratis ai cybercriminali "comuni" una quantità piuttosto alta di vulnerabilità ancora non patchate (zero-day) che possono essere, e già sono, usate per attaccare gli utenti comuni.
Certo, il fatto che siano diventate pubbliche significa che verranno risolte in tempi ragionevolmente brevi dai vari produttori di software. Adobe ha annunciato una patch che chiuderà una vulnerabilità critica (valida su praticamente tutte le piattaforme) già oggi. Google si è attivata in maniera indipendente per fare la stessa cosa. Microsoft non ha ancora annunciato quando risolverà il problema che permette di usare una font per installare malware (falla che sembra diventare ricorrente) e così via, fino a giungere a vulnerabilità "parziali" che possono essere usate solo insieme ad altre per attivare download o esecuzione di codice.
Il problema è vedere quanti utenti aggiorneranno davvero i sistemi e quanti nel frattempo saranno stati infettati grazie a quanto svelato.
Sarebbe stato più saggio rilasciare le informazioni ai produttori di software prima di rilasciarle nel web? Sicuramente, ma l'attaccante, che sembra essere un hacker che si fa chiamare Phineas Fisher, non è uno a cui piaccia davvero far fatica e non ha poi così a cuore le sorti dei navigatori: meglio rilasciare sul web e che siano gli altri a cavarsela.
Dal punto di vista di Hacking Team, il fatto che tutte queste vulnerabilità siano state rivelate vuol dire che buona parte del loro lavoro è da rifare. Anzi, diciamo che devono rifare praticamente tutto perché chiudendo le porte da cui il software di sorveglianza entrava nei computer, è dura riuscire a spiare chicchessia.
Inoltre, dato che i codici sorgente sono stati resi pubblici, tutti gli antivirus potranno riconoscere Da Vinci, il software di cyberspionaggio di HT, e quindi anche quello va riscritto da capo. Va comunque detto che già molte delle suite di sicurezza, soprattutto a livello aziendale, identificavano il software italiano.
Quello che comunque ha sorpreso un po' tutti nell'attacco è quanto scarse fossero le policy di sicurezza messe in atto dai due amministratori di sistema. I file di testo in chiaro contenenti centinaia di password relative a clienti e processi interni sono davvero difficili da scusare, così come la decisione di non usare la crittografia in maniera intensiva su tutta la struttura.
Se fai questo lavoro, è ovvio che ti farai molti nemici e sebbene si possa anche partire dal presupposto che prima o poi riusciranno comunque a entrare, questo non vuol dire né che si debba rendergli la vita più facile, né che non si debba pensare alle conseguenze.
Esporre la propria azienda è sicuramente grave, ma lo è molto di più esporre clienti, fornitori e dipendenti. Nel materiale sfuggito di mano, infatti, si trova anche, praticamente, la vita di molte persone che lavorano in HT con foto di familiari, scansioni di documenti, codici di carte di credito e tutto quanto possa passarci per la mente.
Evidentemente, in HT pensavano solo a come creare situazioni di crisi, ma non si sono mai fermati a pensare a come gestirle.
A questo proposito, è molto interessante questo tweet di TheCthulhu, gestore di un nodo in uscita del TOR network:
Davvero qualcuno in HT pensava che un attacco DDOS potesse fermare o limitare il diffondersi dei dati? Certo, se consideriamo quanto si sia rivelato debole l'impianto di sicurezza interna di HT, non c'è da sorprendersi che qualche altro genio possa aver dato il via a quella operazione, ma resto incredulo.
Soprattutto se consideriamo che ZDNet ha chiesto spiegazioni a Eric Rabe, marketing manager e portavoce di Hacking Team, il quale non ha confermato né negato il tentativo, ma ha solo commentato che "I dati rubati non dovrebbero esser distribuiti in Rete".
Rabe, inoltre, non è tanto sicuro che l'esecutore sia Phineas Fisher, in quanto ritiene che il mandante sia in realtà una entità ben più organizzata e potente che voleva metterli fuorigioco. Questa teoria non è stata avanzata solo da Rabe, che potrebbe star semplicemente cercando di far sembrare meno grave la violazione accusata, ma anche da altri specialisti che hanno notato come questo tipo di intrusioni stia diventando più comune.
Un anno fa era toccato a Gamma Group, un'azienda per molti versi simile a Hacking Team, aveva subito lo stesso trattamento (ma per soli 40GB), e sempre Phineas Fisher aveva rivendicato la paternità dell'azione.
L'idea è che qualche azienda piuttosto giovane, attiva nello stesso campo del cyberspionaggio a livello governativo, stia cercando di crearsi degli spazi minando la credibilità delle aziende già consolidate. Magari comportandosi in maniera più furba ed evitando di vantarsi sul web di quanto siano belle le loro soluzioni di intrusione pro governativa.
Ma Rabe non ci sta e dichiara che Hacking Team non ha alcuna intenzione di mollare il colpo, ma riconosce che c'è parecchio lavoro da fare. "Il problema principale non è la compromissione dei nostri sistemi, ma il rilascio dei codici sorgente che hanno reso facilmente identificabile il nostro software" - ha dichiarato Rabe. "Questo mina pesantemente la capacità delle forze di polizia di usare il nostro strumento per perseguire i criminali".
Certo, ma come la mettiamo, invece, con il fatto che tra i loro clienti ci fossero stati canaglia e messi sotto embargo dall'ONU?
Rabe ribadisce che in quei file "non c'è nessuna prova che noi stessimo facendo alcunché di illegale o poco etico." Una dichiarazione che sembra piuttosto stridente con la fattura di 480.000 dollari rilasciata al governo del Sudan e con un paio di mail del 2014, meno pubblicizzate ma ancora più importanti perché nel 2012 il Sudan non era ancora nella lista nera dell'ONU mentre nel 2014 sì, in cui si parla di un problema rilavato nel Paese africano durante l'installazione della suite.
Cosa succederà adesso? È difficile dirlo. Di sicuro i clienti di Hacking Team non saranno felici, soprattutto per come è stato gestito il pasticcio e per la pessima figura che ha fatto la struttura di difesa interna, ma se è sopravvissuta Omega Group alla violazione dello scorso anno, è probabile che ci riesca anche HTY.
Sempre ammesso che non facciano altre sciocchezze. Il loro sito è offline da lunedì, mentre una voce non verificata che circola da un po' dice che l'azienda non può accedere al suo servizio di posta da due giorni. Phineas Fisher ha promesso di rivelare come è riuscito a entrare nei sistemi dell'azienda, ma solo tra qualche giorno, quando sarà chiaro al mondo che Hacking Team non sarà riuscita a capirlo.
Intanto la procura di Milano ha aperto un'inchiesta per la violazione subita dall'azienda italiana, e lo stesso è successo in altri paesi; un atto dovuto per la gravità del fatto, mentre siamo ancora in attesa di sapere come si muoverà ufficialmente l'ONU in quanto alcuni rappresentanti hanno chiesto di procedere nei suoi confronti.