davidvincenzetti

Chi è David Vincenzetti, uno degli uomini più odiati e temuti al mondo

Chi è David Vincenzetti fondatore dell’Hacking Team spiegato in un articolo di Foreign Policy

Foreign Policy ha scritto su David Vincenzetti un lungo e bell’articolo.
Vincenzetti è salito, di nuovo, all’onore delle cronache dopo che il suo software Galileo potrebbe essere stato usato dai servizi egiziani per intercettare Giulio Regeni (cosa probabile).


Mentre il sole si levava sopra le sponde della Senna e le case medievali per metà di legno di Rouen il 13 di luglio 2013 Hisham Almiraat aprì la sua casella di posta per trovare “Denuncia” come oggetto di una mail. “Per favore non fare il mio nome o niente” scriveva il mittente. Imane. “Non voglio problemi”.


L’editore e co-fondatore di Mamfakinch, un sito pro-democrazia creato in Marocco durante la Primavera Araba, Almiraat è uno dei critici più sfacciati del suo stato ed è in qualche modo abituato alle mail criptiche: gli attivisti marocchini rischiano la galera, il loro lavoro o, addirittura, la loro vita se manifestano le loro opinioni anti-governative. Dalla città, capitale della Normandia, dove Almiraat si trovava per frequentare la facoltà di medicina, l’occhialuto uomo di 36 anni passavo il tempo libero tra lezioni e turni in ospedale nell’organizzare, promuovere ed editare più di 40 giornalisti. Il gruppo copriva il malcontento nella terra natia di Almiraat dove sarebbe tornato presto appena finiti i suoi studi.


Almiraat e i suoi colleghi hanno anche addestrato i collaboratori di Mamfakinch a usare software di criptazione, in particolare Tor, in modo che la loro attività online rimanesse anonima. Tor è un famoso programma che nasconde l’identità e la località geografica dei suoi utenti. “Le persone contavano su di noi per proteggere la loro reputazione, la loro carriera e probabilmente la loro libertà” dice Almiraat. “Tutto questo sarebbe potuto essere messo in difficoltà se reso pubblico”. Per questo motivo Mamfakinch aveva guadagnato il Breaking Borders Award sponsorizzato da Google edal gruppo di citizen-media Global Voices per i suoi sforzi “per difendere e promuovere il diritto alla libertà di parola su internet”.


In quella mattina di luglio, 11 giorni dopo aver ricevuto il premio Almiraat lesse il messaggio di Imane e seppe che “qualcosa non era a posto”. Un link a un sito lo portava a un documento chiamato “Scandal” che, una volta scaricato, era vuoto. I suoi colleghi ricevettero lo stesso documento.


Sospettoso, Almiraat inoltrò la mai a un attivista che conosceva che a sua volta la inoltrò a Morgan Marquis-Boire, un attivista digitale tatuato e con i dreadlock che è cresciuto facendo l’hacker in Nuova Zelanda sotto lo pseudonimo di “Mayhem”. Un importante ricercatore nel campo della sicurezza a Google, Marquis-Boire si era fatto conoscere da poco come detective volontario per Citizen Lab, un gruppo di ricerca tecnologica e per i diritti umani dell’Università di Toronto: lei e diversi altri suoi colleghi hanno scoperto che il Bahrain stava usando software di sorveglianza, un software creato per sorvegliare i criminali, contro i riformatori.


Dopo una analisi lunga un mese del file Scandal, Marquis-Boire contattò Almiraat con delle brutte notizie: tutti quelli che hanno aperto il documento sono stati infettati con uno spyware molto sofisticato che è stato inviato da un indirizzo IP di Rabat. Ulteriori anali hanno confermato che il Concilio supremo di difesa nazionale, che gestisce le agenzie di sicurezza marocchine, era dietro l’attacco. Almiraat e i suoi colleghi aveva dato alle spie del loro governo le chiavi a tutti i loro dispositivi rendendo Tor o qualsiasi altro software di criptazione inutile. Le spie marocchine potevano leggere le mail del team di Mamfakinch, rubare le loro password, attivare le loro telecamere o microfoni e le spie stavano facendo tutto questo almeno dall’intrusione di luglio.


Questo non era tutto. Marquis-Boire e altri esperti trovarono “una scia di briciole di pane che puntavano ad una compagnia di sicurezza che non avrebbe dovuto lasciare tracce.” Nascosto nel codice del documento Scandal alcune linee di codice sono state lasciate per errore. Quelle linee sono stati i primi frammenti che hanno condotto al più grande e potente fornitore di servizi di spionaggio online: l’Hacking Team.


La Blackwater della sorveglianza, l’Hacking Team è tre le poche dozzine di contractor private che alimentano una industria multi-miliardaria e sotterranea che arma le forze di polizia e le intelligence del mondo con spyware. Costituita da circa 40 tra ingegneri e venditori che propongono la merce a più di 40 nazioni l’Hacking Team rappresenta quello che Reporter Without Borders, il gruppo anti-censura internazionale, chiama l’”era dei mercenari digitali”.


I tool della compagnia italiana, “l’hacking suite per le intercettazioni governative” come si legge sul suo sito, sono vendute per combattere criminali e terroristi ma qui, sullo schermo di Marquis-Boire, c’era la prova che i software di Hacking Team fossero usati contro dissidenti. Era solo l’ultimo esempio di quello che Marqui-Boire vedeva come un trend preoccupante: regimi corrotti che usano software di sorveglianza per obiettivi anti-democratici.


Quando Citizen Lab ha pubblicato il suo report del 2012 “Backdoors are Forever: Hacking Team and the Targeting of Dissident?” il gruppo ha documentato tracce dello spyware in un documento mandato a Ahmed Mansoor, un attivista pro-democrazia negli Emirati Arabi Uniti. Gli attivisti pro privacy e le organizzazioni per i diritti umani erano allarmate. “Alimentando e legittimando questo commercio globale stiamo creando un Vaso di Pandora” disse Christopher Soghoian il principale esperto di tecnologia dell’American Civil Liberties Union’s Speech, Privacy and Technology Project a Bloomberg.


L’Hacking Team, tuttavia, non desistette. “Francamente le prove presentate nel report di Citizen Lab nel caso presente non suggeriscono nulla di inappropriato da parte nostra” dichiarò Erick Rabe, il portavoce della compagnia al Globe and Mail.


Mentre i media e gli attivivisti speculavano su quali stati la compagnia serviva il fondatore e CEO di Hacking Team, David Vincenzetti, dal suo semplice e bianco ufficio in un insospettabile palazzo residenziale a Milano, prendeva l’attenzione della stampa senza preoccupazione. Scherzava con i suoi colleghi, in email private, sul fatto che fosse responsabile della “più cattiva tecnologia” del mondo.


Un italiano di 48 anni, alto e con un gusto per i vestiti di moda e la carne costosa Vincenzetti ha trasformato sé stesso da un undergroung hacker che lavorava in un seminterrato senza finestre in un mogul che valeva milioni. Lui è militante riguardo quello che lui definisce giustizia: Julian Assange, il controverso fondatore di Wikileaks, è “un criminale che dovrebbe assolutamente essere arrestato, estradato negli Stati Uniti e giudicato là”. Il whistleblower Chelsea Manning è “un altro matto”; Edward Snowden “dovrebbe sicuramente andare in prigione”.


“La privacy è molto importante” ha detto Vincenzetti in una recente mattina di febbraio a Milano, fermandosi per bere il suo espresso. “Ma la sicurezza nazionale è molto più importante”.


La posizione di Vincenzetti costa molto. E’ stato protagonista di incidenti inquietanti: il suicidio di una spia, arresti di dissidenti e innumerevoli violazioni dei diritti umani. “Se avessi saputo quanto pazzo e pericolo era” dice Guido Landi, un ex impiegato “Non avrei mai fatto parte dell’Hacking Team”.


L’11 marzo 2004 4 treni di pendolari stanno attraversando Madrid nelle ore di punta mattutine quando sono colpiti da 10 grandi esplosioni. Gli attentati che hanno lasciato quasi 200 persone morte e 1800 ferite sono stati i peggiori nella storia della Spagna. L’incidente era ancora più inquietante perché i perpetratori della strage erano stati probabilmente ispirati dall’aver letto riguardo al-Qaeda online e avevano a loro disposizione un arsenale di nuove ed economiche tecnologie digitali, piattaforme social o programmi di messaggistica o software di video conferenza, che usarono per organizzare l’attentato. La polizia che era sprovvista di un reparto di sicurezza informatica al tempo, non era equipaggiata per contrattaccare. I contractor privati erano specializzati in tecnologia difensiva allora come software anti-virus non programmi che potessero attaccare e decriptare i dispositivi dei criminali.


Per Vincenzetti la tragedi fu una opportunità di business. Con solo un cliente fino ad allora, la Polizia Postale di Milano, l’imprenditore riuscì a convincere la Spagna di quanto fosse cruciale il suo spyware per combattere il terrorismo.


Il figlio di una insegnante e di un venditore di prodotti chimici per l’agricoltura, Vincenzetti era un hacker autodidatta sedotto dalla criptografia all’età di 14 anni. Il teenager spendeva ore documentandosi sui forum online. Decifrare codici gli ricordava i tornei di scacchi a cui spesso partecipava: una complessa serie di mosse offensive e difensive fino a quando il migliore vinceva. “Un hacker è qualcuno che passa nelle crepe. Un hacker non passa mai dalla porta principale” di Vincenzetti. “Ero un hacker” aggiunge. “Un buon hacker”.


Appena dopo essersi iscritto alla Università di Milano-Bicocca nel 1993 la scuola lo assunse come amministratore della sicurezza e del network, un lavoro che avrebbe dovuto avere solo dopo essersi laureato. “Era molto ben conosciuto” ricorda un vecchio collega, Stefano Zanero, ora un professore associato nell’università. “Era uno dei geek che stavano iniziando a capire come funzionava internet”.


Vincenzetti pensò che il nuovo orizzonte tecnologico necessitasse una nuova strategia vincente. L’industria della sicurezza era dominata da compagnie concentrate nel difendere le compagnie o i governi contro gli hacker ma cosa sarebbe successo se gli hacker fossero usati come un tipo di sicurezza? “Cercavo di vedere il futuro” dice.


Tra il 2003 e il 2004 Vincenzetti e due amici dell’università lavoravano nel loro umido appartamento sotterraneo programmando quello che sarebbe diventato il software principe dell’Hacking Team. Chiamato Remote Control System (RCS), prende controllo dei dispositivi-obiettivo senza essere scoperto permettendo ai governi di lanciare malware contro i loro nemici. (Il prodotto fu poi chiamato Da Vinci e infine Galileo). Immaginatevelo come un dossier criminale: una tab chiamata “Targets” dove bisogna mettere una foto che la spia deve scattare, in teoria, usando la camera integrata nel dispositivo hackerato. Di fianco alla foto un menù di dispositivi (laptop, smartphone, tablet ecc…) offre all’agente la possibilità di scorrere attraverso i dati delle persone, inclusa l’emali, Facebook, Skype, identità online, contatti, siti preferiti e geolocalizzazione. Nel tempo il software permette alle spie governative di creare un enorme e sempre in espansione portfolio di intelligence.


Installare RCS non è sempre facile. Le spie devono entrare nel dispositivo velocemente e in segretezza, per esempio mentre uno smartphone passa dalla sicurezza a una frontiera. Inoltre ogni dispositivo in possesso dell’obiettivo deve essere infettato separatamente. Tuttavia ci sono una miriade di opzioni per l’installazione: una chiavetta USB, DVD, Wi-Fi pubblico o addirittura un codice QR nascosto in qualcosa di allettante (come una pubblicità per un servizio escort).


All’inizio Vincenzetti inquadrò Hacking Team come un importante difensore della sicurezza internazionale, una Justice League dei giorni d’oggi che i governi potevano usare per proteggere i propri cittadini. Alberto Pelliccione, lo sviluppatore capo di RCS per smartphone e un ex ricercatore sull’intelligenza artificiale era tra quelli che hanno sposato con gioia la causa di Vincenzetti. “Questo doveva essere usato contro terroristi e criminali” spiega Pelliccione “era molto eccitante fare parte del progetto”.


Per i potenziali clienti Vincenzetti creò uno slogan di successo che evidenziava le caratteristiche di sicurezza di RCS Per garantire anonimità, i clienti avrebbero usato dei codici al posto dei nomi quando avrebbero chiamato la linea di supporto dell’Hacking Team e la squadra della compagnia non avrebbe avuto accesso ai dati raccolti dai clienti “Sarebbe stato molto pericoloso per le persone che lavoravano qui” dice ora.


Nella start-up di Vincenzetti i giorni passavano veloci mentre i dipendenti scrivevano codice. Poi, mesi dopo l’attacco terroristico a Madrid, l’affare si concluse. La Spagna fu il secondo cliente di Vincenzetti. Con il suo secondo accordo Vincenzetti ricorda di aver pensato: “Hey David questa compagnia ha un futuro”.


Nella mente di Vincenzetti RCS non era una tecnologia sinistra, tuttavia il suo potenziale doppio uso, per applicazioni militari e di pace, non era sconosciuto all’uomo d’affari. “Capimmo molto in fretta il potenziale di un tool come il nostro” dice. Le regolazioni internazionali sulle armi non coprivano lo spyware così Vincenzetti e i suoi colleghi erano responsabili di misurare il modo in cui i loro clienti usavano i prodotti della loro compagnia. I suoi impiegati, dice lui, non hanno mai preso questa responsabilità alla leggera.


La customer policy dell’Hacking Team, postata sul sito web un anno dopo che l’Hacking Team mise allo scoperto la compagnia italiana, si impegna a vendere solo a governi, non a società o individui. (Vincenzetti dice che la compagnia declina frequenti richieste da persone che voglio spiare i propri coniugi). In nessun caso venderà i propri prodotti a stati messi nella lista nera degli stati Uniti, Unione Europea, Nazioni Unite, Nato o Associazione delle nazioni del sudest asiatico. Per aiutare Vincenzetti a controllare i clienti prima delle vendite lui dice di essersi servito di Bird & Bird, uno studio legale internazionale con base a Londra.


Nonostante l?HAcking Team non monitora come i clienti usano RCS dopo la vendita controlla i media per scoprire eventuali usi non permessi dei propri software. “In caso ci siano questioni legati al possibile abuso del software HT nei casi legati ai diritti umani” la compagnia dichiara nella sua customer policy “HT investigherà per determinare i fatti er quanto sia possibile. Se crediamo che uno dei nostri clienti possa essere coinvolto nell’abuso di un software HT contatteremo il cliente come parte dell’investigazione. Basandoci sui risultati dell’investigazione HT prenderà della azioni appropriate”. (per esempio Vincenzetti dice di aver interrotto i rapporti con la Russia nel 2014 prima dell’invasione della Crimea dopo aver letto report sulla corruzione, gli omicidi e altre notizie su quella che la “Russia stava diventando”).


Secondo Vincenzetti Cina, Nigeria, Pakistan e Iraq per nominare alcuni stati repressivi hanno richiesto i servizi di Hacking Team. Ha avuto innumerevoli occasioni di vendere a loro ma ha declinato ogni volta. Nonostante questo il controllo è stato un processo imperfetto. Nel 2011 ha chiamato il Sudan, il cui presidente è stato incriminato dalla Corte internazionale di giustizia per genocidio. L’anno seguente la National Intelligence and Security Service dello stato ha pagato 960.000 euro per RCS.


Vincenzetti dice che la sua vita è diventata incredibilmente impegnata in quel momento. Non era strano per lui pensare che fosse passato un mese quando invece era passata una settimana. Si svegliava regolarmente alle 3 di notte per fare esercizi, indipendentemente se quel giorno dovesse incontrarsi con l’FBI a Washington o contrattare un accordo da 7 cifre in Corea del Sud, aiutare i poliziotti a infiltrare i Cartelli della droga messicani o lavorare nel suo ufficio a Milano e poi passava il resto delle sue ore di veglia in un vortice di accordi e scrittura di codice.


Nel 2013 Vincenzetti contava circa 40 governi, inclusi gli Stati Uniti tra i suoi clienti, ognuno dei quali spendeva tra i 50.000 ai 2.000.000 di dollari per un software Hacking Team. Nell’agosto 2012 la DEA diede a Hacking Team 2.4 milioni di dollari per spiare 17 trafficanti di droga e riciclatori di denaro stranieri secondo il contratto che l’agenzia governativa ha rilasciato tramite Motherboard questo febbraio.


Vincenzetti volava intorno al mondo intrattenendo dignitari stranieri e condividendo la ricchezza della sua compagnia con il suo circolo ristretto. Hacking Team non ha mai pubblicato i suoi guadagni ma “quando volevo soldi” dice l’ex impiegato Landi ”ha sempre detto OK”.


Dopo la pubblicazione dell’esplosivo report di Citizen Lab dell’ottobre 2012 alcuni membri del team di Vincenzetti iniziarono a chiedersi se “ i loro clienti usavano i loro software nel modo giusto, nei confini della legge” spiega Pelliccione. Gli sviluppatori di RCS non facevano parte nel controllo dei clienti gestito da Vincenzetti ma quando Pelliccione chiese spiegazioni ai suoi superiori fu rassicura che tutti venivano controllati per assicurarsi che non ci fossero abusi.”


All’esterno i critici erano tutto tranne che postitivi. La notorietà della compagnia crebbe, in particolar modo tra gli attivisti per la privacy. Nel marzo 2013 Reporters Without Borders incluse la compagnia di Vincenzetti nella sua lista annuale di “Nemici di internet” avvertendo che la sorveglianza online era un “pericolo crescente per giornalisti, blogger, citizen-journalists e difensori dei diritti umani”. Quell’autunno circa 20 attivisti assalirono la sede dell’HackingTeam a Milano. Un dimostrante gridava da un megafono mentre altri avevano volantini con slogan tipo “United We Stand” e “Stop Watching Us”. Molti dimostranti portavano una maschera bianca con larghi sorrisi, guance rosse e larghi baffi à la Anonymous, il collettivo internazionale di attivisti e hackers.


Secondo Vincenzetti, che era a Roma all’epoca dei fatti, gli assalitori rubarono qualsiasi cosa riuscirono a prendere, fogli di carta, taccuini, oggetti personali, mentre filmarono la loro invasione che successivamente postarono online. “Fu un verro assalto” dice. (Nessuno fu ferito) Tre giorni dopo quando il CEO ritornò a Milano trovò la sua Smart con la batteria in vista e il tappo della benzina mancante. “Fu un avvertimento” lui insiste. La scalata di Vincenzetti non è avvenuta senza una crescente opposizione che spera e lavora affinché lui fallisca.


Nel giugno 2014 l’Hacking Team ha ricevuto un fax dal Consiglio di sicurezza delle Nazioni Unite che si riferiva a un altro report di Citizen Lab rilasciato nei mesi precedenti di quell’anno. Sanzioni internazionali proibivano la vendita di “armi… inclusi equipaggiamenti militari” scriveva Lipika Majumdar Roy Choudhury, coordinatore del pannello di esperti dell’ONU sul Sudan. Gli accordi della compagnia con quello stato potrebbero aver costituito una violazione di questo bando.


Il team di Vincenzetti ha respinto le accuse. Alessandra Tarissi De Jacobis, un avvocato di Cocuzza & Associati Studio Legale che consiglia Vincenzetti sulla questione lo ha informato con una mail che vendere RCS al Sudan sarebbe stato come vendere panini. “Se uno vende sandwich al Sudan non è soggetto per quanto ne sappia io alla legge” scriveva l’avvocato. “HT dovrebbe essere trattato come un venditore di panini”. L’ONU aveva una opinione differente: “L’opinione del panel è che un software come questo è idealmente creato per supportare operazioni di intelligence elettronica militare e può ricadere nella categoria di equipaggiamento militare o assistenza a oggetti proibiti” scriveva Choudhury. “Per cui il suo uso potenziale nel colpire uno qualsiasi dei belligeranti nel conflitto in Darfur è di interesse per il panel.”


Lo scorso dicembre il panel ha presentato un rapporto al Consiglio di sicurezza delle Nazioni Unite in cui accusa l’Hacking Team di non cooperare con l’inchiesta del panel, dicendo “è difficile ottenere informazioni accurate” dalla società. L’Hacking Team ha certamente ostruito costantemente e deliberatamente il lavoro del panel non dando le informazioni specifiche a sua disposizione come richiesto dal panel” secondo un report dell’ONU non pubblicato e fatto avere a uno dei giornalisti diplomatici anziani di Foreign Policy, Colum Lynch ad aprile. L’ONU non ha preso provvedimenti nei confronti dell’Hacking Team. Vincenzetti, tuttavia, dice che ha interrotto il suo contratto con Khartoum nel novembre 2014.


Guardando indietro Vincenzetti sostiene che se fosse stato più informato riguardo al Sudan ”non avrebbe mai venduto a loro” ma non dice di essersi pentito della vendita: “Non abbiamo infranto nessuna legge” va avanti per niente imbarazzato dalla vicenda. “E’ successo”. In altre parole la compagnia ha fatto un errore di valutazione, niente di più. Ma anche questo non sarà tollerato a lungo.


L’Italia ha implementato il Wassenaar Arrangement, un patto multinazionale che controlla le esportazioni di beni che posso avere un doppio uso nel gennaio del 2015. L’accordo, creato originariamente nel 1996, è stato emendato per includere software di sorveglianza il che significa che il governo italiano d’ora in poi vaglierà i clienti dell’Hacking Team. Dopo i precedenti disaccordi riguardo le informazioni “inefficienti” sui suoi clienti, Vincenzetti considera la Wassenaar un sollievo. “Ora mi dicono esattamente con chi si può e con chi non si può” spiega “e sono molto felice di questo”.


Dietro le quinte, tuttavia, Vincenzetti ha tentato di aggirare la legge prima ancora che entrasse in vigore. Nel tardo 2013, secondo mail facenti parte del leak, l’uomo d’affari stava negoziando con il governo saudita la vendita della quota di maggioranza della compagnia, la quale darebbe ai sauditi il controllo della società- Nonostante Vincenzetti non conferma o nega le trattative parte del fascino dell’accordo sembra fosse quella di aprire il negozio fuori dall’Accordo Wassenaar. “LA nuova compagnia non dovrebbe essere in paesi che aderiscono alla nuova, in dirittura d’arrivo, regolazione sulle esportazioni di tecnologie offensive che sarà conformata al recente accordo Wassenaar” questo scrive Vincenzetti al suo contatto in Arabia Saudita. “Ci piacerebbe che la nuova compagnia fosse in uno stato dove non sarà limitata la nostra capacità di esportare la nostra tecnologia”. (Vincenzetti dice che non ricorda corrispondenza sull’argomento in particolare)


Le negoziazioni sono fallite per ragioni sconosciute. Vincenzetti insiste solamente sul fatto che la sua compagnia ha preso botte eccessive riguardo altri accordi in Arabia Saudita, che erano stati portati allo scoperto dal report di Citizen Lab del 2014. “Abbiamo clienti in Arabia Saudita” dice “L’Arabia Saudita è una democrazia? No, è un regno. Potete approvarlo o meno. Non sono il giudice di questo, tuttavia c’è qualcosa di molto chiaro: C’è al-Qaeda nella penisola araba, è molto forte, molto organizzata e attiva… e colpiscono continuamente i sauditi. Quei terroristi possono essere combattuti là”. Non vuole commentare sulla situazione dei diritti umani in Arabia Saudita.


Tuttavia la discussione con l’Arabia Saudita ha segnalato a molti impiegati dell’Hacking Team che la compagni potrebbe essere una “nave che affonda” dice Landi “stavano cercando di vendere la compagnia per cui non c’era più molta attenzione alla qualità del prodotto”. Pelliccione è d’accordo: “La compagnia divenne sempre più opaca” dice “ho deciso che non mi serviva fare questo per vivere”.


Pelliccione si licenzio nel febbraio 2014, seguito da Landi e da altri. Landi sostiene che quando portò la lettera di dimissione Vincenzetti disse che non erano informazioni nuove. In altre parole, come Landi e altri già credevano, gli impiegati di Hacking Team sono anche loro sotto sorveglianza. “Accettiamo questo” dice Pelliccione “sanno dove sei e dove vai” ma Rabe, il portavoce dell’Hacking Team, rigetta le affermazioni: “Non è successo che impiegati dell’Hacking Team fossero sotto sorveglianza”.


Arrabbiato per il malcontento nei suoi confronti e frustrato dal report di Citizen Lab ch condanna l’Hacking Team Vincenzetti ha pubblicamente diffuso la sua compagnia. In una lettera di novembre 2014 a Intercept che aveva pubblicato l’analisi di Marquis-Boire riguardo la tecnologia dell’Hacking Team, Vincenzetti riduce il suo nemico a “un uno che continua a gridare al lupo in questioni di privacy come lui le definisce apparentemente chiedendo a tutti di non fare niente per paura di essere intercettati”. (In una emal Marquis-Boire ha descritto la sua reazione alle parole di Vincenzetti come di “divertimento”). Il reporte Brian Donohue a sparato una risposte sul blog che si occupa di sicurezza Threat Post che diceva: “In modo interessante Vincenzetti non dice nella sua lettera che la sua compagnia non vende prodotti a despoti”.


Privatamente Vincenzetti ha ricomposto la sua attitudine cavalleresca. Più tardi, quel novembre, un cliente ha chiesto via mail se fosse possibile registrare un addestramento dell’Hacking Team per un uso successivo. “Certamente NO!!!” ha risposto Vincenzetti “Immaginate questo: un leak di Wikileaks che mostri TE spiegare la più mefistofelica tecnologia sulla terra! Saresti subito demonizzato dai nostri cari amici attivisti e dalla gente normale che punterebbe le proprie dita a te”. Nonostante questo non può fare a meno di assaporare la reputazione della sua compagnia. “Sicuramente siamo noti, probabilmente la compagnia più nota nel mercato della sicurezza offensica” ha scritto su una mail Daniele Milan, il suo responsabile delle operazioni nel maggio 2015. Questo, ha aggiunto Vincenzetti è ”grande!”.


Una mattina presto del luglio 2015 Vincenzetti stava facendo delle flessioni quando il suo manager delle operazioni lo ha chiamato al cellulare: “Siamo stati attaccati” Vincenzetti ricorda gli disse Milan.
Un hacktivista conosciuto come Phineas Fisher ha rubato il Twitter officiale di Hacking Team e ha postato un messaggio minaccioso: “Dato che non abbiamo niente da nascondere pubblicheremo tutte le nostre mail, files e codice sorgente”. A seguire il messaggio c’era un link a più di 400 gigabyte dei dati più sensibili della compagnia. (Un anno prima Phineas Fisher aveva attaccato il competitor di Hacking Team, Gamma Group, rilasciando 40 gigabyte di materiale di marketing e informazioni tecniche del loro software di sorveglianza, FinFisher, che era stato usato in Turchia, Oman e altrove).


Nelle ore seguenti spie di tutto il mondo si sono svegliate per vedere la propria rete di sorveglianza esposta. La tecnologia di Hacking Team è stata resa inutile: il leak ha fatto si che l’80% del codice sorgente della compagnia fosse visibile online e ciò significa che le compagnie di antivirus si sarebbero messe velocemente al lavoro per creare delle patch. “Sarebbe diventato morto” disse Vincenzetti al proprio staff. Il codice che lui aveva costruito per essere invisibile ora brillava nell’oscurità. Scrivendo sull’IBT, l’analista di sicurezza John McAfee ha descritto l’hack come “un unico evento monumentale che minaccia di distruggere un nome molto conosciuto nell’industria della sorveglianza di massa”.


Il leak ha reso pubbliche una grande quantità di fatture di clienti che confermarono i legami con regimi repressivi, inclusa l’Etiopia, Bahrain, Egitto, Kazakistan, Arabia Saudita, Russia e Azerbaijan. Dopo anni passati a sostenere che valutavano i propri clienti era diventato chiaro che all’Hacking Team non interessavano gli abusi sui diritti umani o era stato negligente nel valutarli. Come scrisse sul suo blog Bruce Schneier, un importante analista di sicurezza, appena dopo il leak “La sordida compagnia stava mentendo”.


Per Marquis-Boire la breccia era la conferma di quello che stava sostenendo da anni: “La leadership era poco interessata ai diritti umani o alla privaci, che Vincenzetti vedeva come negativi ai loro interessi commerciali”. Marquis-Boire era, inoltre, sorpreso di vedere foto di lui stesso nei files dell’Hacking Team prese mentre teneva una lezione in Italia.


Vincenzetti vedeva le cose in modo differente. Il leak aveva potenzialmente distrutto innumerevoli ore e milioni di dollari che i suoi clienti avevano speso per raccogliere intelligence. Pericolosi obietti, terroristi, assassini e boss criminali potevano capire di essere sotto sorveglianza e nascondersi o, peggio, vendicarsi.


Vincenzetti dice che alcuni clienti gli hanno detto che le loro investigazioni si sono fermate, altri che si sono dovuti muovere suoi soggetti in fretta usando le limitate prove che erano riuscita a procurarsi. Lo scorso agosto il capo della polizia italiana Alessandro Pansa ha testimoniato davanti alla commissione per l’intelligence del parlamento riguardo il leak: “Le forze dell’ordine italiane sono state costrette a fermare la loro attività” ha detto “causando grandi danni a molte importanti investigazioni, specialmente riguardanti il terrorismo”.


Molto di questo panico governativo è accaduto a porte chiuse ma lo scandalo in Corea del Sud ha dato un raro sguardo sulle conseguenze del leak. La principale agenzia di intelligence della Corea del Sud, NIS, è stata bombardata dal settembre 2014 quando una corte di Seoul ha trovato un ex capo dell’intelligence Won Sei-hoon colpevole di usare agenti per postare 1.2 milioni di messaggi negativi online per cercare di distruggere il candidato alle presidenziali del 2012 di un partito avversario. La falla dell’Hacking Team ha buttato benzina sul fuoco confermando che la Corea del Sud ha comprato spyware che gli attivisti pensavano fosse usato per controllare gli oppositori del governo.


Meno di due settimane dopo l’hack una spia della NIS che la polizia ha identificato con il cognome Lim è stata trovata morta per avvelenamento da monossido di carbonio nella sua auto che era parcheggiata su di una strada di montagna fuori Seoul. Sul sedile del lato passeggeri aveva lasciato una nota scritta su carta gialla in cui si prendeva la responsabilità di aver comprato la tecnologia di Hacking Team ma diceva che era stata usata solamente per spiare la Corea del Nord. “E’ stato uno sbaglio da parte mia” scriveva ”ma non c’è niente di cui preoccuparsi riguardo le mie azioni”.


Rapporti successivi hanno rivelato che, in incontri a porte chiuse, il NIS ha ammesso che ha usato lo spyware più di 200 volte per tracciare il traffico d’armi illegale nordcoreano così come le spie nordcoreane in Corea del Sud. Il NIS ha dichiarato di aver arrestato trafficanti di droga cinesi grazie alla intelligence ricavata dalla tecnologia. In risposta il board editoriale del giornale in lingua inglese JoongAng Daily ha scritto a favore dell’accordo tra il governo e Hacking Team “La raccolta di intelligence, la sorveglianza e le cyber attività attraverso tecniche hacker sono necessarie per una agenzia di intelligence di uno stato nel mondo di oggi”. “Cyberskill e tecnologie sono cruciali nella lotta alla Corea del Nord e ai gruppi criminali che stanno diventando sempre più sofisticati.


L’identità di Phineas Fischer è sconosciuta ma Vincenzetti dice che è stato un inside job. (le autorità non hanno incriminato nessuno) Qualunque sia il caso l’attacco ha fatto male alla compagnia. Vincenzetti dice che l’Hacking Team ha perso circa il 20% dei suoi clienti nel mese dopo il leak, inclusi gli Stati Uniti; nel 2015 la compagnia ha dichiarato 14 milioni di dollari di guadagni. “Rispetto i clienti che hanno deciso di smettere di lavorare con noi” dice.


Che le sue mail private siano state pubblicate non sembra interessargli. “Se volete leggerle, leggetele” dice Vincenzetti “Non mi importa, io sono me stesso”. Di maggior interesse è stato aggiustare i beni dell’azienda. Per tre mesi dopo la falla l’Hacking Team ha riscritto il suo spyware da zero in quello che Vincenzetti dichiara essere un prodotto molto migliore.


In aggiunta il nuovo RCS ha 3 nuovi tool. Non li vuole discutere in dettaglio, tuttavia dopo qualche insistenza fa intuire cosa fa uno dei nuovi tool “Se ti avvicini a un dispositivo Wi-Fi a prescindere dalla protezione del network possiamo estrarre molte informazioni da esso”. Poi, in quella che è la dichiarazione più coraggio di Vincenzetti e la più controversa dice che la sua compagnia può decriptare Tor. I suoi clienti non dovranno più abboccare a un’esca per circuire il software, come fece il Marocco con il file Scandal mandato a Mamfakinch. Ora, dichiara Vincenzetti, il suo software può penetrare Tor. “Posso mettere una scatola in questa stanza che decripterà tutto il tuo traffico criptato al volo” mi dice. “Logins, passworda, luoghi, user name reali, indirizzi reali… E’ magia nera”.


Questo tipo di decriptazione non solo trasformerà la polizia ma minaccia di distruggere la protezione che i privati cittadini, ad esempio i dissidenti politici, si aspettano online. Jeff Moss, un analista per la sicurezza e fondatore della conferenza hacker Def Con, dubita delle dichiarazioni di Vincenzetti ma se fosse vero sarebbe un bug ‘severity 10’ che la comunità di Tor dovrebbe correre ad aggiustare.


Questo dispositivo, Vincenzetti insiste, è già in uso. Non può dire chi, esattamente, lo sta usando: una volta venduti i suoi tool alle agenzie non sa che spia lo stia usando, dove o perché. “Non ho i loro numeri di telefono la maggior parte delle volte” dice “loro hanno il mio”.


Mentre il team di vincenzetti tenta di vendere la nuova versione di RCS, Almiraat sta ancora sentendo gli effetti di quella vecchia. L’attivista sta aspettando il processo per “aver minacciato la sicurezza interna dello stato” usando le parole del codice penale marocchino, un crimine che porta a una condanna di 5 anni. Quattro altri contributori di Mamfakinch hanno accuse simili.


Questa è solamente l’ultima conseguenza dell’uso del software di Hacking Team nei confronti di Mamfakinch. Nei mesi che hanno seguito quel giorno di giugno quando Almiraat si è accorto che qualcosa era andato terribilmente storto i volontari, che sono la linfa vitale del suo gruppo, sono passati da 30 a 5. “Mostrandoci che possono violare la privacy del nostro lavoro” dice dell’Hacking Team “mandano un messaggio raggelante a tutto il business deli dissidenti online”.


Il Marocco rimane uno dei clienti di Hacking Team. Vincenzetti dice di essere legalmente legato a un governo che, nota in una mail “è un alleato degli Stati Uniti e un partner nella lotta al terrorismo. Il MArocco è anche un alleato della maggior parte delle nazioni europee e l’intelligence marocchina ha recentemente dato a quella francese delle informazioni essenziale per localizzare i terroristi di Parigi e Bruxelles.


Che lezione, se ce n’è una, prende da quelle situazioni in cui i suoi clienti hanno commesso abusi non è chiaro. Probabilmente non si preoccupa di impararne alcuna “Avere gli strumenti per combattere il terrorismo in stati dove il terrorismo può operare” scrive nella sua mail su Rabat “protegge persone innocenti qui e altrove”.


In questi giorni Vincenzetti è occupato a girare il mondo per trovare nuovi clienti seguendo uno schema che assomiglia ai suoi, frenetici, primi periodi all’Hacking Team. Come dopo la sua prima illuminazione dopo gli attentati di Madrid lui vede una continua crescita nella necessità di hackerare e tracciare criminali da San Bernardino a Parigi a Bruxelles a Istanbul.


Può aver perso del lavoro a causa della falla ma tanto quanto l’incidente ha colpito la sua compagnia potrebbe averla resa famosa. Nello scorso hanno ha guadagnato 4 nuovi contratti. Quindi è in debito con Phineas Fisher per aver forzato l’Hacking Team a migliorare i propri tool?


Vincenzetti sorride con imbarazzo, per lui la risposta è semplice.

TODAY

19 Nov

Sunday

Le Rubriche

Photo Gallery