Hacking Team
Hacking Team | |
---|---|
Stato | Italia |
Forma societaria | Società a responsabilità limitata |
Fondazione | 2003 |
Fondata da | David Vincenzetti |
Sede principale | Milano |
Settore | Informatica |
Prodotti | Software per intrusione e spionaggio |
Sito web | www.hackingteam.com/ |
Hacking Team è stata una società di tecnologie informatiche con sede a Milano, nota per aver venduto servizi di intrusione offensiva e di sorveglianza a moltissimi governi, organi di polizia e servizi segreti di tutto il mondo (sono stati costruiti rapporti e relazioni anche a diretto riporto del Presidente degli Stati Uniti d'America, lavorando con NSA, CIA ed FBI). I suoi sistemi di controllo remoto sono stati utilizzati soprattutto per la lotta al terrorismo, al narcotraffico internazionale e alle mafie, in quanto hanno permesso di monitorare le comunicazioni degli utenti Internet, decifrare file ed e-mail criptate, registrare conversazioni telefoniche, Skype e altre comunicazioni Voice over IP, attivare a distanza microfoni e videocamere sui computer presi di mira, tenere sotto controllo telefoni cellulari (telefonate, rubriche, SMS, spostamenti, calendari, ecc.), leggere e rilevare anomalie nel mondo dei social network[1][2].
La società è stata criticata per aver fornito tali servizi a governi scarsamente rispettosi dei diritti umani[3]. Hacking Team ha dichiarato, ma senza dimostrarlo, di essere stata in grado di disabilitare i software distribuiti in caso di uso non etico[4].
Nel giugno 2014 un rapporto dell'Università di Toronto espose dettagliatamente l'architettura e la funzionalità del software Remote Control System (RCS) di Hacking Team[3].
Nel luglio 2015 la società è rimasta a sua volta vittima di attacco hacker, per effetto del quale molto materiale altamente riservato è stato reso di pubblico dominio[5][6].
Struttura
[modifica | modifica wikitesto]Hacking Team impiegava una quarantina di dipendenti (e consulenti) tra il suo ufficio italiano e le sedi secondarie ad Annapolis e Singapore. I suoi prodotti sono stati adoperati da decine di Paesi di ogni parte del mondo.[7]
Storia dell'impresa
[modifica | modifica wikitesto]Hacking Team fu fondata nel 2003 da due imprenditori italiani, David Vincenzetti e Valeriano Bedeschi. Nel 2007 ha ricevuto fondi milionari da due venture capital italiani, il Fondo Next di Finlombarda e Innogest[8]. Successivamente il prodotto creato dalla società fu acquistato dalla questura di Milano. Era nata Hacking Team, che divenne il primo fornitore di hacking software commerciale per la polizia.
Nel settembre 2011 l'azienda milanese si relaziona ai massimi livelli con la società Booz Allen Hamilton: il vicepresidente Mike McConnell, potentissimo zar dell'intelligence di George W. Bush, è l'uomo che incarna uno dei massimi esponenti dell'intelligence mondiale, essendo stato anche direttore dell'NSA e direttore del National Intelligence (a diretto consiglio del Presidente degli Stati Uniti d'America nel contrasto al terrorismo)[9].
Nel 2013 la società ha avviato una trattativa con il governo dell'Arabia Saudita per essere acquisita dallo stesso[10][11]. In alcuni incontri, Hacking Team sembrerebbe aver mostrato la capacità della sua tecnologia di bloccare una centrale atomica in Iran, regime di ispirazione sciita, nemico storico dei sunniti e della famiglia reale saudita (un attacco che Stati Uniti e Israele insieme fecero proprio contro l'Iran e la centrale nucleare di Natanz, andando a disegnare la pagina più importante nella storia del cyberterrorismo), lasciando i sospetti sulle relazioni commerciali anche fra Hacking Team, il Mossad e l'Aman. Della questione Natanz si è occupato anche il regista premio Oscar Alex Gibney, con il suo documentario Zero Days, in concorso per l'Orso d'Oro al Festival internazionale del cinema di Berlino nel febbraio 2016. La trattativa con il governo saudita ha subito diversi rallentamenti, anche a causa della discordanza sulle quote di distribuzione dei dividendi. La società era stata valutata di altissimo valore militare ed economico (2 miliardi di dollari), ma la famiglia reale araba non voleva andare oltre i 140 milioni di dollari di spesa per acquisirla. Fra i mediatori dell'operazione c'è stato Wafic Said, il terzo arabo per patrimonio personale tra i miliardari in Gran Bretagna. Un ulteriore freno è stato l'allontanamento dal vertice dei servizi di intelligence del regime saudita del principe Bandar bin Sultan, storico trait d'union tra le intelligence occidentali (Hacking Team aveva intessuto relazioni con lui) e la lobby del re saudita (in qualità di ambasciatore arabo negli USA, Bandar bin Sultan era stato precedentemente anche consigliere di George W. Bush sui temi della sicurezza). Sulle cifre dell'operazione restano comunque molti dubbi, in quanto non si hanno documentazioni precise al riguardo, ma solo scarse notizie.
Il 27 novembre 2023, David Vincenzetti è stato accusato di tentato omicidio. L'incidente ha avuto luogo nel suo appartamento, situato in una delle zone centrali di Milano, a breve distanza dal Castello Sforzesco. Vincenzetti avrebbe aggredito la moglie del cugino utilizzando uno dei 195 coltelli da combattimento della sua collezione, provocandole gravi ferite al polmone. La donna si era recata da lui per cercare di calmare la sua crescente aggressività, presumibilmente causata da abuso di alcolici. Durante l'incontro, l'imprenditore è andato in escandescenze, ferendo la donna con un coltello.[12]
Fuga di dati del 2015
[modifica | modifica wikitesto]Il 5 luglio 2015 l'account Twitter della società fu violato da uno sconosciuto che pubblicò l'annuncio di una fuga di dati (data breach) partita dai sistemi informatici di Hacking Team. Il messaggio iniziale recitava «Visto che non abbiamo nulla da nascondere, stiamo pubblicando tutti i nostri messaggi di posta elettronica, file e codici sorgente…» e dava i collegamenti a oltre 400 gigabyte di dati, tra cui asseritamente e-mail ad uso interno, fatture e codice sorgente; il tutto propagato via BitTorrent e Mega.[13] L'annuncio di tale fuga (corredato di collegamento ad un bittorrent seed) fu rilanciato su Twitter da WikiLeaks e molti altri social media.[14][15]
Il materiale era ingente e a un primo esame risultava che Hacking Team avesse fatturato all'esercito libanese[16] e al Sudan e che avesse venduto strumenti di spionaggio al Bahrein e al Kazakistan[14]. In precedenza Hacking Team aveva negato ogni relazione di affari con il Sudan[17].
I dati divulgati svelarono un exploit 0-day multipiattaforma di Flash (CVE numero CVE-2015-5119)[18]. Nel repertorio si trovava anche un esempio pratico di tale exploit innescato dall'avvio di una calcolatrice da una pagina web di prova[19][20]. Adobe ha rilasciato una patch per tale falla di sicurezza nul luglio 2015.[21] Ancora, in tali indiscrezioni si leggeva di un'ulteriore vulnerabilità Adobe, attraverso un attacco buffer overflow sulla DLL Adobe Open Type Manager incorporata in Microsoft Windows. La DLL lavorava in kernel mode, quindi l'attacco poteva compiere una privilege escalation per aggirare la sandbox.[22]
La fuga di notizie mostrò inoltre che i dipendenti Hacking Team adoperavano password deboli, quali 'P4ssword', 'wolverine' e 'universo'.[23]
Dopo alcune ore senza alcuna reazione di Hacking Team, il dipendente Christian Pozzi twittò che la ditta stava lavorando in stretta collaborazione con la polizia e che «quanto affermato dagli attaccanti riguardo alla nostra società non è vero»[24][25]. Sostenne inoltre che l'archivio trafugato "contiene un virus" e che consisteva di "informazioni false"[26]. Poco dopo questi tweet, anche il profilo Twitter di Pozzi appariva evidentemente "piratato"[27].
La paternità dell'attacco fu rivendicata su Twitter da un hacker di nome Phineas Fisher[28]. In precedenza, Phineas aveva attaccato l'impresa produttrice di spyware Gamma International, che produceva anch'essa malware come FinFisher per governi e società commerciali[29].
Elenco dei clienti e ricavi
[modifica | modifica wikitesto]Nell'episodio del 2015 è trapelato anche un elenco dei clienti di Hacking Team. I documenti svelati mostrarono che la società aveva numerosi clienti, per lo più forze armate, polizie, governi centrali e locali, servizi di sicurezza e intelligence militare. Trapelarono però alcune tracce ufficiali di affari e servizi per diverse multinazionali, in Italia e nel mondo. Ad esempio una partnership tra Hacking Team e la Boeing (la più grande e importante azienda al mondo nel settore aerospaziale e militare): sembra che stessero lavorando al progetto di sviluppo di un importante drone in grado di installare da remoto - intrufolandosi nelle reti Wi-Fi - il sistema RCS negli obiettivi e controllarli a distanza (piccoli esempi di droni, chiamati ScanEagle, sono stati sviluppati per l'esercito americano e le forze armate di numerose nazioni, tra cui l'Italia).[30]
Il totale dei ricavi (presunti) rivelati supera i 40 milioni di Euro. Dai processi nati per accuse di violazione della privacy e di compromissione della democrazia in alcune nazioni, sembra però che siano transitati su conti offshore contratti per centinaia di milioni di dollari[31][32][33][34].
Critiche
[modifica | modifica wikitesto]Hacking Team è stata criticata per la vendita di prodotti a governi come quelli del Sudan, Bahrein e Arabia Saudita[35].
Nel giugno 2014, una commissione delle Nazioni Unite che analizzava l'applicazione delle sanzioni al Sudan richiese a Hacking Team informazioni circa l'asserita fornitura di software al Paese, malgrado il bando alla vendita di armi che le Nazioni Unite avevano imposto al Sudan. Alcuni documenti interni di Hacking Team, divulgati a seguito dell'attacco informatico del 2015, avrebbero successivamente indicato una vendita per 960.000 Euro del software di spionaggio denominato "Remote Control System" direttamente al NISS (National Intelligence and Security Services) di Khartoum[35][36], come ripreso anche dalla stampa[37] attraverso il leak di numerose email, tra cui alcune importanti comunicazioni interne scambiate tra Alessandro Scarafile, ex capo delle operazioni di Hacking Team, ed altri colleghi.
Interpellata dalla commissione ONU, la società nel gennaio 2015 rispose che in quel momento non stava vendendo al Sudan. In uno scambio di approfondimento, Hacking Team affermò che la sua produzione non era soggetta a controllo come le armi, pertanto la richiesta eccedeva la competenza della commissione. Non aveva necessità di rivelare cosa avesse venduto in precedenza, informazione che considerava protetta dal segreto industriale[35][38].
Le Nazioni Unite non concordarono: "È opinione della commissione che, poiché un software come questo è perfettamente adatto ad appoggiare operazioni militari di intelligence elettronica (ELINT), deve potenzialmente ricadere nella categoria di 'equipaggiamento … militare' o 'assistenza' connessi a materiale vietato," scrisse il segretario in marzo. "Quindi il suo uso potenziale contro un belligerante qualsiasi nel conflitto del Darfur è di interesse per la Commissione"[35][39].
Bando italiano all'esportazione
[modifica | modifica wikitesto]Nell'autunno 2014, il governo italiano congelò improvvisamente tutte le esportazioni di Hacking Team, dichiaratamente paventando che fossero collegabili a violazioni dei diritti umani. Con un'efficace azione di lobbying sulle autorità italiane, l'impresa riottenne il diritto di vendere i suoi prodotti all'estero[35].
Potenzialità
[modifica | modifica wikitesto]Hacking Team ha potenzialmente messo in grado i suoi clienti di utilizzare funzioni di monitoraggio contro i cittadini, attraverso i suoi Remote Control Systems (RCS) che comprendono lo spyware Da Vinci[40].
- Raccolta segreta di email, SMS, cronologia telefonica e relative liste di contatti
- Intercettazione di tastiere
- Spiare la cronologia delle ricerche web e catturare schermate
- Registrare telefonate
- Usare i telefoni per intercettazioni ambientali
- Mettere in funzione la foto-videocamera di telefoni o computer
- Sfruttare i sistemi GPS per geolocalizzare i soggetti sorvegliati
Hacking Team utilizzava tecniche avanzate per evitare un consumo anomalo nelle batterie dei telefoni spiati (che poteva eventualmente suscitare sospetti) e altri metodi che rendevano più difficile scoprire la sorveglianza[41][42].
Note
[modifica | modifica wikitesto]- ^ Enemies of the Internet: Hacking Team, su Reporters Without Borders. URL consultato il 24 aprile 2014 (archiviato dall'url originale il 29 aprile 2014).
- ^ Joshua Kopstein, Hackers Without Borders, in The New Yorker, 10 marzo 2014. URL consultato il 24 aprile 2014.
- ^ a b Morgan Marquis-Boire, Claudio Guarnieri, John Scott-Railton e Katie Kleemola, Police Story: Hacking Team’s Government Surveillance Malware, su Citizen Lab, University of Toronto, 24 giugno 2014. URL consultato il 3 agosto 2014.
- ^ Joshua Kopstein, Hackers Without Borders, in The New Yorker, 10 marzo 2014. URL consultato il 24 aprile 2014.
- ^ Hacking Team, il giorno dopo | Il Disinformatico blog di Paolo Attivissimo
- ^ Lo spione spiato: Hacking Team si fa fregare 400 giga di dati zeusnews.it
- ^ Adrianne Jeffries, Meet Hacking Team, the company that helps the police hack you, su The Verge, 13 settembre 2013. URL consultato il 21 aprile 2014.
- ^ Noi, i padri del cyber-007, su espresso.repubblica.it, 2 dicembre 2011.
- ^ L'Espresso
- ^ La Stampa, su lastampa.it. URL consultato il 21 agosto 2015 (archiviato dall'url originale il 23 agosto 2015).
- ^ Il Fatto Quotidiano, su ilfattoquotidiano.it.
- ^ David Vincenzetti in carcere con l'accusa di tentato omicidio: il fondatore di Hacking Team ha accoltellato la moglie del cugino, su milano.corriere.it.
- ^ Hacked Team (@hackingteam) at the Wayback Machine (archived July 6, 2015)
- ^ a b Hacking Team hacked: Spy tools sold to oppressive regimes Sudan, Bahrain and Kazakhstan, su ibtimes.co.uk. URL consultato il 6 luglio 2015.
- ^ Inside malware makers "Hacking Team": hundreds of gigabytes of e-mails, files, and source code WikiLeaks on Twitter. 6 luglio 2015. accesso July 6, 2015.
- ^ Twitter, su twitter.com (archiviato dall'url originale il 4 aprile 2016).
- ^ Steve Ragan, Hacking Team hacked, attackers claim 400GB in dumped data, su csoonline.com. URL consultato il 6 luglio 2015 (archiviato dall'url originale il 6 luglio 2015).
- ^ https://helpx.adobe.com/security/products/flash-player/apsa15-03.html, su helpx.adobe.com.
- ^ Swati Khandelwal, Zero-Day Flash Player Exploit Disclosed In 'Hacking Team' Data Dump, su thehackernews.com. URL consultato il 6 luglio 2015.
- ^ Peter Pi, Unpatched Flash Player Flaw, More POCs Found in Hacking Team Leak, su blog.trendmicro.com. URL consultato l'8 luglio 2015.
- ^ Adobe (corporate author), Adobe Security Bulletin, su helpx.adobe.com. URL consultato l'8 luglio 2015.
- ^ Jack Tang, A Look at the Open Type Font Manager Vulnerability from the Hacking Team Leak, su blog.trendmicro.com. URL consultato l'8 luglio 2015.
- ^ Zack Whittaker, Hacking Team used shockingly bad passwords, su zdnet.com. URL consultato il 6 luglio 2015.
- ^ Christian Pozzi on Twitter, su twitter.com. URL consultato il 6 luglio 2015.
- ^ Christian Pozzi on Twitter, su twitter.com. URL consultato il 6 luglio 2015.
- ^ Christian Pozzi on Twitter, su twitter.com. URL consultato il 6 luglio 2015.
- ^ Christian Pozzi on Twitter: "Uh Oh - my twitter account was also hacked.", su twitter.com, 6 luglio 2015. URL consultato il 6 luglio 2015 (archiviato dall'url originale il 6 luglio 2015).
- ^ Phineas Fisher [gammagrouppr] (6 July 2015). "gamma and HT down, a few more to go :)" (Tweet).
- ^ Charlie Osbourne, Hacking Team: We won't 'shrivel up and go away' after cyberattack, su zdnet.com. URL consultato il 6 luglio 2015.
- ^ Corriere, su corriere.it.
- ^ Copia archiviata (XLSX), su ht.transparencytoolkit.org. URL consultato il 15 luglio 2015 (archiviato dall'url originale il 17 luglio 2015).
- ^ Kopstein, Justin, Here Are All the Sketchy Government Agencies Buying Hacking Team's Spy Tech, su motherboard.vice.com, Vice Magazine, 6 luglio 2015.
- ^ Weissman, Cale Guthrie, Hacked security company's documents show a laundry list of questionable clients, su businessinsider.com, 6 luglio 2015.
- ^ Ragan, Steve, In Pictures: Hacking Team's hack curated, su cso.com.au, CSO Online (Australia).
- ^ a b c d e Cora Currier e Morgan Marquis-Boire, A Detailed Look at Hacking Team’s Emails About Its Repressive Clients, su firstlook.org. URL consultato il 7 luglio 2015.
- ^ Lily Hay Newman, A Company That Sells Surveillance Software to Authoritarian Regimes Got Hacked Itself, su slate.com. URL consultato il 6 luglio 2015.
- ^ Gli affari di Hacking Team in Sudan: vendeva tecnologia ai servizi segreti, su l'Espresso, 29 luglio 2015. URL consultato il 1º gennaio 2021.
- ^ Sarah Myers West, Hacking Team Leaks Reveal Spyware Industry's Growth, Negligence of Human Rights, su eff.org. URL consultato l'8 luglio 2015.
- ^ Kate Knibbs, Hacking Team's Lame Excuse for Selling Digital Weapons to Sudan, su gizmodo.com. URL consultato l'8 luglio 2015.
- ^ Da Vinci spyware - Topic - Digital Journal digitaljournal.com
- ^ Bruce Schneier, More on Hacking Team's Government Spying Software.
- ^ Hacking Team Tools Allow Governments To Take Full Control of Your Smartphone, su ibtimes.co.uk. URL consultato il 6 luglio 2015.
Collegamenti esterni
[modifica | modifica wikitesto]- (EN) Sito ufficiale, su hackingteam.com.
- (EN) Hacking Team, su GitHub.
- (EN) WikiLeaks - The Hackingteam Archives, su wikileaks.org.
- Caso Hacking Team, la Procura: "Ipotesi vendita spyware agli jihadisti" (repubblica.it)