Lo scorso luglio Wikileaks ha pubblicato 1 milione di email sottratte a Hacking Team, una società milanese specializzata in cyber-spionaggio.
I messaggi rubati svelano nei dettagli come funzionano i potenti virus-spia usati da governi e polizia…
Nessuno sa chi sia il misterioso hacker che un paio di mesi fa è riuscito a superare i sistemi di sicurezza di Hacking Team e rubare 400 GB di dati riservati. Parte di quelle informazioni, però, sono finite su Internet.
Tra queste oltre 1 milione di messaggi di posta elettronica che permettono di scoprire come lavorano i professionisti dello spionaggio. Informatici esperti che collaborano da anni con la polizia e i servizi segreti di tutto il mondo.
Materiale prezioso per chi si occupa di sicurezza, ma anche per chi vuole imparare a proteggere il suo computer dai tanti pirati del Web.
Ma vediamo come funziona questo complicato sistema.
1. Spie professioniste e il cuore del sistema
Hacking Team è una società con sede a Milano, che si occupa di fornire "strumenti informatici investigativi" per agenzie governative, polizia e servizi segreti.
In pratica, si tratta di un'azienda che vende legalmente virus, usati per infiltrare i computer dei sospetti e acquisire informazioni.
Il loro prodotto di punta si chiama Galileo. Da un punto di vista tecnico viene chiamato RCS ovvero Remote Control System o Sistema d Controllo Remoto.
Un modo elegante per definire un programma che qualsiasi esperto di sicurezza chiamerebbe semplicemente trojan. Galileo permette di controllare a distanza tutte le attività e pure le comunicazioni in ingresso e in uscita da un dispositivo.
Consente poi di accedere ai dati memorizzati nel computer, copiando quelli esistenti o anche aggiungendone di nuovi a piacimento. Ma cosa differenzia Hacking Team dai normale pirati informatici?
Aldilà del tipo di clienti, i professionisti dello spionaggio si distinguono più che altro per le modalità di lavoro.
Mentre i criminali sviluppano il loro malware per colpire indiscriminatamente qualsiasi persona, i mercenari di Hacking Team si trovano spesso a lavorare su obiettivi precisi, modificando il loro software per riuscire a colpire dispositivi specifici
Al di là di questo, le differenze sono davvero poche. L'obiettivo, in fondo, è sempre lo stesso: aggirare i programmi antivirus e compromettere la sicurezza di un sistema operativo.
Ecco perché la lettura delle email interne della società milanese risultano molto interessanti e permettono di capire meglio come funziona il lavoro di un pirata «informatico.
Il prodotto di punta di Hacking Team era disponibile in diverse versioni e permetteva di controllare qualsiasi computer (Windows. Mac o Linux) e qualsiasi tipo di smartphone.
Perché sia efficace, però, un malware come Galileo deve essere invisibile e agire senza essere rilevato dal sistema operativo e dagli antivirus.
Ci sono due modi che un antivirus può sfruttare per rilevare un trojan. Se il malware è conosciuto lo fa semplicemente attraverso la sua definizione, cioè una parte di codice che lo identifica come se fosse una sorta di “impronta digitale'.
Se invece è sconosciuto (come lo era Galileo fino allo scorso luglio) può rilevarlo individuando eventuali azioni sospette.
Gli esperti di Hacking Team, per evitare che questo accadesse, usavano un sistema molto semplice: compravano immediatamente tutte le nuove versioni degli antivirus ed eseguivano dei test con diverse configurazioni, provando il loro "prodotto" con tutti i sistemi operativi.
Se si accorgevano che un antivirus riusciva a rilevare Galileo, analizzavano quello che era successo e modificavano i software malevolo per fare in modo che non potesse più riconoscerlo come un pericolo per il sistema. Un metodo che può sembrare artigianale, ma che si è dimostrato molto efficace.
Nei 10 anni di attività dell'azienda, Galileo è stato rilevato in pochissime occasioni Mai, in ogni caso, gli esperti di sicurezza hanno potuto avere la certezza che si trattasse di un prodotto di Hacking Team.
2. Il controllo remoto e lo schema d'azione
Per poter raccogliere le informazioni è necessario avere una struttura di server che siano in grado di collegarsi al trojan.
Questi servono non solo a ricevere i dati raccolti, ma anche ad aggiornare il malware in modo da evitare che sia riconosciuto dagli antivirus o per aggiungere nuove funzioni che lo rendano ancora più efficace.
In alcune email, ad esempio, è emersa la possibilità di utilizzare Galileo per copiare file e documenti sul computer dei sospettati.
Un fatto che ha scatenato infinite polemiche e sollevato dei dubbi sull'affidabilità di questi strumenti in mano alle forze di polizia. Con una funzione del genere, infatti, chiunque potrebbe infilare false prove sul computer di un sospettato e incastrarlo.
Non è chiaro, però, se questa funzione sia mai stata resa disponibile e sia mai stata utilizzata. Considerando che tra i clienti della società c’erano anche numerosi governi ben poco "democratici". Un'ipotesi del genere sarebbe agghiacciante.
Da quanto si è potuto ricostruire attraverso le email, la società lavorava con diverse modalità. In alcuni casi si limitavano a fornire il trojan ai clienti, lasciando che fossero loro a occuparsi di infettare il computer o lo smartphone del sospetto.
In altri casi, invece, si occupavano di preparare tutta l'operazione collaborando direttamente con la polizia o i servizi segreti. Per capire i metodi che usavano, però, bisogna per prima cosa chiarire come funzionano i malware di questo tipo e quali sono le tecniche utilizzate per la loro diffusione.
Semplificando, possiamo immaginare un trojan come un virus composto da due parti. La prima è quella che si occupa di spiare il dispositivo. La seconda, chiamata in gergo exploit, è quella che permette l'installazione della prima.
L'exploit è un codice che sfrutta una falla nel sistema informatico del computer per consentire l'installazione di un programma (in questo caso Galileo), senza l'autorizzazione e a insaputa del proprietario del PC.
3. Specializzazioni diverse e il fattore tempo
Gli exploit, nel mondo della pirateria, sono considerati una merce rara. Prima di tutto perché sono fondamentali per poter infettare un computer.
In secondo luogo perché, per poter colpire qualsiasi obiettivo, è necessario possederne un vero arsenale. Gli exploit che possono colpire direttamente Windows, infatti sono estremamente rari.
Più spesso sfruttano vulnerabilità di singoli programmi che sono installati sul computer, per esempio Flash o Java, o ancora uno specifico browser come Internet Explorer o Firefox, oppure specifiche combinazioni di programmi.
Questo vuol dire che. per colpire chiunque, serve avere a disposizione decine di exploit diversi e scegliere il più adatto in ogni occasione.
Tra le email pubblicate da Wikileaks si trovano, per esempio, comunicazioni in cui i dipendenti di Hacking Team si lamentano perché uno dei loro obiettivi usa Google Chrome, per il quale non avevano a disposizione un exploit efficace.
Sempre dai messaggi si scopre anche come viene risolto di solito il problema: comprando un exploit da un'altra società specializzata in questo settore. I costi variano a seconda del tipo di falla sfruttata.
Gli exploit più preziosi sono chiamati "zero day" e rappresentano una vera miniera d'oro per qualsiasi pirata informatico o professionista dello spionaggio.
Può sembrare strano, ma normalmente gli exploit vengono creati grazie al lavoro delle società di sicurezza. Esistono infatti decine di aziende specializzate (ma anche liberi professionisti) che impiegano il loro tempo per individuare le possibili falle di sicurezza nei programmi in commercio.
Quando ne scoprono una, la comunicano all'azienda in modo che questa possa preparare un aggiornamento che sistemi le cose. Una volta diffuso l'aggiornamento la vulnerabilità viene resa pubblica. E' qui che solitamente entrano in gioco i pirati.
Appena una vulnerabilità diventa pubblica, scrivono immediatamente il codice che permette di sfruttarla per installare i trojan e diffondono i loro malware sperando di colpire le potenziali vittime prima che abbiano aggiornato il programma in questione e il proprio antivirus.
Con questo meccanismo, è evidente che, più il tempo passa, meno probabilità hanno di infettare un computer con quell'exploit.
Gli "zero day", però, sono quegli exploit che sfruttano una vulnerabilità che non è ancora stata individuata per cui di conseguenza non c'è alcun rimedio conosciuto.
Inutile dire che, nelle mani di società come Hacking Team, un exploit "zero day" rappresenta un'arma davvero formidabile.
4. Colpire l'obiettivo e misure estreme
Una volta individuato l'exploit più adatto, non rimane che passare all'azione.
Di solito lo strumento utilizzato è un'e- mail con un allegato o un collegamento Internet che punta al malware.
Dovendo colpire un obiettivo specifico il compito è molto più semplice di quanto si possa pensare, visto che si può usare un'email molto personale e sfruttare le informazioni sul bersaglio per indurlo ad aprire il file o il link.
In gergo si chiama spear phishing e richiede solo un po' di astuzia. Basta sfruttare le passioni della vittima designata (per esempio l'interesse per la fotografia o per le automobili) e usare un'esca a cui non possa resistere.
In questo caso potrebbe essere una reflex a prezzo stracciato o il test gratuito su pista di un'auto sportiva. Le statistiche dimostrano che, prima o poi cederà alla tentazione e cadrà in trappola.
Altri metodi possono comprendere l'invio di file apparentemente innocui e legati all'attività della vittima, o l'uso di programmi di chat e messaggistica per recapitare il link fatale.
Non sempre, però, gli esperti di Hacking Team riescono a mettere a punto gli strumenti che gli permettono di colpire a distanza il loro obiettivo.
Leggendo le email pubblicate sul Web, si scopre che in molti casi l'installazione viene affidata ad agenti di polizia (ma più spesso dei servizi segreti) che devono mettere fisicamente le mani su dispositivo che vogliono sorvegliare.
Succede più spesso quando l'obiettivo è quello di infettare uno smartphone, per cui è più complicato trovare exploit e trappole adatte.
Interessante anche il fatto che i tecnici dell'azienda si preoccupino di eseguire dei test utilizzando lo stesso dispositivo e la stessa configurazione in modo da verificare in anticipo che le cose funzionino a dovere.
5. Effetti collaterali e conclusioni amare
La fuga di notizie che ha portato alla pubblicazione delle email di Hacking Team ha aperto uno spiraglio su un mondo che, fino a poco tempo fa, potevamo solo intuire.
Ora ne sappiamo molto di più, ma il prezzo per avere questa conoscenza potrebbe essere molto elevato, forse troppo.
Tra i 420 GB di dati sottratti dai server di Hacking Team e resi pubblici attraverso la pubblicazione su Internet, infatti, ci sono anche i codici dei software usati dalla società italiana.
Le conseguenze di tutto ciò sono almeno tre:
- la prima è che qualsiasi pirata informatico, oggi, ha a disposizione il codice di Galileo e gli exploit usati da Hacking Team. Normali cyber criminali, quindi, hanno accesso a strumenti di spionaggio estremamente sofisticati ed efficaci;
- la seconda, che potrebbe mitigare gli effetti di quella precedente, è che anche le società che producono antivirus hanno i codici. Di conseguenza, sanno come individuare Galileo ed eventuali varianti del software spia di Hacking Team;
- la terza conseguenza, purtroppo, è che tutti i sospetti che erano sottoposti a controllo hanno potuto individuare e neutralizzare Galileo. Questo significa, in pratica, che decine di indagini della Polizia di Stato, dell'FBl e di chissà quante altre agenzie governative nel mondo sono saltate.
Senza contare il fatto che l'hacker che si è impossessato dei dati potrebbe aver avuto accesso anche a tutte le informazioni raccolte attraverso Galileo nel mondo.
Alla fine, le considerazioni che possiamo trarre da tutta questa vicenda riguardano l'incredibile mancanza di una qualsiasi legge, sia a livello nazionale che internazionale, che regoli l'uso di simili strumenti.
Se una legge simile fosse esistita, forse oggi ci sentiremmo tutti più al sicuro.