Inchiesta su Hacking Team – PRIMA PARTE

La vicenda dell’hackeraggio ai danni di Hacking Team è stata descritta in molti modi.

Proviamo a fare una sintesi e cercare di comprendere meglio cosa c’è dietro, cosa c’è in gioco, e soprattutto di cosa stiamo parlando.


Hacking Team è una società nata in Italia nel 2003 da fondata Alberto Ornaghi e Marco Valleri, che avevano programmato e pubblicato Ettercap, un software per testare la sicurezza delle reti LAN contro possibili attacchi hacker. Ettercap era distribuito gratuitamente ed è stato il biglietto da visita della nuova società in un’Italia che non si è mai preoccupata troppo di sviluppare una propria “intelligence informatica e digitale”.

Wired nel 2013 descrive così il momento dell’ascesa “La loro creazione piacque molto alla Questura di Milano che era interessata a usarlo nelle indagini. Da lì iniziò la carriera dell’azienda come venditore di trojan a forze dell’ordine e agenzie statali di vari Paesi…”

Ettercap era la ridenominazione e il riconfezionamento di software gratuiti già disponibili, usati diffusamente per testare le porte delle connessioni.


Hacking Team si promuove e si vende bene – in perfetto stile italiano – e propone a soggetti governativi, con pochissime risorse a disposizione “software miracolosi”, in grado di favorire l’intercettazione, la clonazione cellulare, e introdursi “in maniera invisibile” anche nei computer per controllarli e attingere informazioni. Ma anche (come quasi ogni trojan che si rispetti) in grado di “gestirli da remoto” – ovvero copiare, eliminare, creare file e attingere ogni informazione di navigazione e non.

Fino al prodotto di punta, il Remote Control System denominato Galileouna suite di attacco di analisi che permetteva di distruggere le barriere della crittazione“.


Qualcuno potrebbe pensare ad un’eccellenza italiana di altissimo profilo in termini di ricerca e sviluppo, con il fiore dei programmatori in piena attività al servizio dello Stato. Quello che gran parte del deepweb (il web sommerso) sapeva già, oggi è alla portata di tutti. La HT non faceva altro che “andare in giro per la rete” e comprare a poco prezzo quantità di ZeroDays.

In pratica quando esce un prodotto informatico di larga diffusione, dal “giorno zero” del rilascio molti appassionati, esperti, professionisti di informatica, in tutto il mondo, “cercano” i difetti della programmazione e qualsiasi bag. Molte volte sono le stesse aziende produttrici che organizzano vere e proprie gare (origine dei cd. hackaton) mettendo in palio premi in denaro per coloro che “trovano” difetti e rischi dei prodotti rilasciati. Ma c’è un mercato parallelo, quello delle aziende di sicurezza e produttori di antivirus, che “acquistano” questi “zerodays” per sviluppare (e rivendere) “la cura al male”.


Ecco cosa sostanzialmente faceva la Hacking Team: comprava questi “bag” e li usava non per segnalare il problema o generare la soluzione, ma per (far) creare un software che sfruttasse queste vulnerabilità per “entrare” nei sistemi di comunicazione – siano i software dei cellulari quanto dei portatili. Un’attività frenetica di cui si parla in oltre 700 email.


Sono stati numerosi i tentativi dei “commerciali” della Hacking Team di entrare “nel giro dei grandi” intercettatori e appaltatori mondiali della difesa. Tutti senza successo. Tranne qualche “vendita sonda”: un modo per avere il software, “farlo a pezzi” e vedere “a che punto erano”… per poi dire no grazie.

Una ricerca spasmodica che mostra anche un certo grado di ingenuità nel frenetico scambio di mail del gruppo dirigente, che scopriva dai giornali di nuovi decreti e correva a informarsi dai referenti politici.

Nulla di minimamente paragonabile alle agenzie americane, francesi e inglesi – per non parlare di quelle russe e cinesi – che investono in maniera diretta, in professionalità e strumenti, risorse di svariate centinaia di milioni di dollari: da noi le varie polizie acquistavano “pacchetti riconfezionati” da qualche migliaia di euro.


Le ragioni di questo attacco vanno ricercate in due direzioni che spesso stimolano gli hacktivist.

La prima è l’arrogante presunzione di chi si pone come “creatore” di qualcosa, che invece la rete sa non essere suo. La seconda, spingersi troppo oltre, senza darsi alcun limite, al punto da rischiare di minare le basi stesse della “libertà della rete”.

L’autore dell’intrusione e del “prelevamento” dei dati è “Phineas Fisher“, nome di battaglia del “Gamma Group” autore di numerose intrusioni ai danni di società di security che negli anni hanno rivenuto software a governi dittatoriali. Ma anche il gruppo che ha rilasciato molte risorse utili agli attivisti turchi, iraniani, egiziani, per rendere accessibili in forma anonima siti wordpress, socialnetwork e youtube.

Il nome del gruppo deriva dalla prima grossa azione compiuta ai danni della società tedesca FinFisher (la cui azienda madre era la Gamma) che svolgeva sostanzialmente la stessa attività della Hacking Team.


Le attività delle due società erano già state segnalate come “pericolose per i diritti umani” l’anno scorso da FirstLook che descriveva minuziosamente non solo il funzionamento del software della società milanese, ma anche concreti casi in cui, tramite il suo utilizzo, giornalisti e blogger erano stati arrestati e come fossero state inserite prove false nei loro computer.

E sempre all’inizio 2014 CitizenLab scriveva “Ci sono prove che la società non è particolarmente selettiva sui suoi clienti. Di 21 sospetti utenti Hacking team rintracciati da Citizen Lab, nove avevano il ranking più basso possibile nel The Economist s ‘2012 Democracy Index, e quattro di questi sono colpevoli di abusi particolarmente eclatanti – torture, percosse e stupri in carcere, violenza letale contro i manifestanti – da Human Rights Watch.”


Questi motivi si sommano al “grande salto” tentato dalla Hacking Team, i cui capi per mesi sono andati “in giro per la rete” a fare offerte a chiunque per ottenere “bug” di Tor. In altre parole la HT voleva essere la prima società in grado di “intercettare” la navigazione anonima.

A poche ore dall’hackeraggio i responsabili di TOR Project hanno pubblicato un tweet con un’immagine-messaggio per Hacking Team “Non piacciamo molto ad Hacking Team, ma lo sapevamo. Hanno progettato un piano per bucare il nostro software, ma sapevamo anche questo, da tempo. Ma finora non abbiamo trovato nessun exploit in Tor. Non siamo sorpresi del fatto che Hacking Team stesse cercando di violare. Abbiamo a cuore sia la sicurezza degli utenti che i diritti umani. Vi terremo aggiornati a riguardo di nuovi sviluppi in questa vicenda.


Come in molte storie di triste mediocrità dello pseudo piccolo mondo degli pseudo guru della rete, anche in questo caso i capi della HT hanno accusato dell’attacco “governi stranieri” e non meglio qualificati “poteri forti”.

L’ad Vincenzetti, dopo aver dichiarato qualche anno fa “Mi sento di appoggiare il principio di Wikileaks, quello della trasparenza. Ma va detto che a volte le modalità utilizzate da Assange possono risultare sopra le righe, un po’ strumentali e sensazionalistiche.” oggi, quando oltre un milione di sue e-mail sono finite sul sito, ha affermato «Andrebbe arrestato, è lui il cattivo. Dice di non fare niente di male, ma ha pubblicato segreti nazionali causando un danno inestimabile a molti Paesi». Insomma, a ruoli invertiti si inverte anche la propria opinione.


Quelle mail, comodamente ricercabili e consultabili per mittente destinatario, oggetto, parola citata, mostrano il vero volto di questa creatura, i suoi rapporti, quanto poco rispettasse le leggi, e come si muovesse nelle maglie della politica e tra le forze dell’ordine.

Mostrano anche una società a caccia di tutto pur di salvarsi dal fallimento.

Un amministratore paranoico che perdeva pezzi, con dirigenti e programmatori che lasciavano per fondare aziende proprie in direzioni opposta – come la difesa da attacchi informatici – e che li faceva pedinare, seguire, controllare. Senza lesinare il contattare amicizie nelle forze dell’ordine per “creare problemi” ai suoi ex dipendenti.

Al punto che dopo aver parlato di “governi ostili” e “poteri forti” come autori e committenti dell’attacco, ha presentato ieri una denuncia contro i suoi ex dipendenti per lo stesso motivo. Almeno si decidesse, verrebbe da dire.

Una società che stava per chiudere, e che forse l’amministratore voleva rivendere allo Stato, millantando un interesse “estero” (nella fattispecie israeliano) paventando l’idea di una perdita di un asset strategico per il Paese.

Racconta Vincenzetti “Cose da prima pagina (…) Capi Mafia identificati e arrestati –– assassini che non si trovavano da anni immediatamente localizzati (te la ricordi la storia di quella ragazzina di Bergamo di qualche anno fa?), la P4 disintegrata. Il nostro strumento è usato anche dalla Gdf che indaga casi di corruzione, corruzione politica”.


In piena paranoia, l’azienda si salva qualche mese fa dall’ultima “minaccia ingiusta” e la riassume ottimamente Pietro Salvatori sull’HuffingtonPost.

“La vicenda risale al novembre scorso, quando il Mise decise di avvalersi della cosiddetta “clausola catch all” nei confronti dei prodotti dell’azienda con sede a Milano. Una sorta di autorizzazione preventiva alla vendita dei servizi e delle licenze di Hacking team, incompatibile, secondo il board, con i tempi di consegna di alcune delle principali commesse dell’azienda. L’annullamento delle quali avrebbe portato al sostanziale fallimento della stessa. Il Mise in sostanza vuole capire a chi vengono offerti i programmi di hacking, e dare un via libera preventivo alla loro diffusione, nella preoccupazione che finiscano (come pare sia successo) nelle mani sbagliate. Così David Vincenzetti, Ceo di Ht, inizia una frenetica attività di lobbying con alcuni dei principali clienti. L’11 novembre scrive ai suoi principali collaboratori: “Stiamo facendo la massima pressione possibile. Nell’ambito di questa attività ho interloquito tra ieri e oggi, e si stanno interessando alla cosa, AISI, CC/ROS, Polizia e AISE. Attendo un riscontro concreto dalla Guardia di Finanza”. Quattro giorni dopo li informa di aver inviato una missiva e di aver poi parlato con “diversi miei contatti Governativi”, alcuni dei quali “vicini ai vertici assoluti del Governo”. Quattro giorni dopo la questione è risolta. Il Mise invia una mail a Vincenzetti con il seguente, ed eloquente, oggetto: “Hacking team srl – C.F. 03924730967. Applicazione art. 4 del Reg. (CE) n. 428/2009 (clausola catch-all). Sospensione dell’efficacia”. Via libera ai prodotti degli hacker di stato senza più controllo preventivo. Da dove è arrivato l’intervento decisivo? Il Ceo ne è sicuro. Lo stesso giorno scrive al board esultando: “Abbiamo coinvolto e sensibilizzato talmente tante parti, assolutamente eterogenee tra loro, che non sappiamo con esattezza da dove sono arrivate le pressioni maggiori al MiSE. Ma su una posso giurarci: la Presidenza del Consiglio“.


Due giorni dopo l’hackeraggio. Le mail rese pubbliche su wikileaks.

Qualche violazione personale per mostrare allo spiante cosa si prova ad essere spiato, come ad esempio la cache di navigazione dell’amministratore di sistema strapiena di visualizzazioni di youporn.

Le password sin troppo facili da individuare e che mostrano una certa incompetenza da parte di presunti esperti di sicurezza e crittazione.

Infine – tramite file su Tor – i codici e le back-door dei software svelati.

Sin qui la vicenda di questi giorni. Da qui (a da cui) si dipanano numerosi scenari.