Alfonso Maruccia

Hacking Team, buoni e cattivi

L'azienda milanese interviene in maniera diretta sulla clamorosa breccia subita nei giorni scorsi. Un attacco opera di uno stato straniero, dice la società, che mette a rischio molte indagini. Un upgrade risolverà il problema?

Roma - Hacking Team (HT) è stata compromessa, il disastro è fatto e ora i vertici aziendali provano a usare l'arma della diplomazia e delle rassicurazioni per tenere sotto controllo i danni. David Vincenzetti, fondatore della società milanese, parla al telefono (in inglese) con La Stampa e afferma: noi siamo i buoni, quelli che ci hanno bucato sono i cattivi e per giunta con disponibilità economiche illimitate.

Galileo/RCS è un software di spionaggio utilizzato dalle autorità e dalle forze dell'ordine in ogni parte del mondo, conferma Vincenzetti, e una volta ricevuta notizia della breccia il management non ha fatto altro che mettere il network aziendale offline, avvertire i clienti di interrompere l'utilizzo del tool e cominciare il lavoro di analisi delle conseguenze dell'hacking.
Un hacking che è risultato essere complesso e che ha permesso di rubare un'enorme quantità di dati (400 Gigabyte di email, informazioni riservate, fatture e codice sorgente, tra le altre cose) con una pianificazione durata mesi, sostiene Vincenzetti, un'operazione che è presumibilmente opera di un governo straniero o comunque di un'organizzazione estremamente ricca e capace.

Il fondatore di HT rigetta le accuse di collaborazionismo con le dittature e i governi poco amanti della democrazia, anche se i rapporti con alcune tra le nazioni meno liberali del mondo continuano a fare capolino online anche grazie all'archivio di più di un milione di email messo online (e liberamente consultabile da chiunque) a opera di Wikileaks.
La compromissione del codice di RCS e degli altri tool-spia di HT ha messo a rischio indagini in tutto il mondo, un rischio che in Italia potrebbe coinvolgere persino i servizi segreti come il direttore del Dipartimento Informazioni per la Sicurezza (Dis) Giampiero Massolo ha dichiarato. Nel Belpaese RCS lo usano tutti, dice Vincenzetti, inclusi gli investigatori e i magistrati impegnati in casi da prima pagina.

Dalle email di HT continuano a emergere informazioni a dir poco imbarazzanti sul business dell'azienda milanese, un'organizzazione apparentemente con ben pochi scrupoli quando si tratta di compromettere il sistema di routing BGP alla base di Internet, di fornire software ai governi per spiare cittadini in paesi stranieri nelle indagini sul crimine organizzato e il terrorismo, di acquistare per decine di migliaia di dollari bug di Adobe Flash Player da smanettoni russi.

Parlando di falle 0-day e Flash, il numero di vulnerabilità sin qui inedite emerse dai documenti di HT è arrivato a tre - due delle quali ancora attendono la distribuzione di una patch correttiva. E per quanto riguarda i software antivirali di sicurezza, oramai capaci di identificare come malware i software spia di HT? Nessun problema, promette Vincenzetti, entro fine anno arriverà la versione 10 di RCS e le firme identificative non serviranno più a nulla. "Noi siamo i buoni", ribadisce il manager, in attesa che i cattivi vengano assicurati alla giustizia.

Alfonso Maruccia
Notizie collegate
  • AttualitàHacking Team: i pericoli del codice in fugaL'azienda milanese, in una presa di posizione pubblica, sposta l'attenzione delle cronache sui rischi che l'attacco subito comporta: ora gli strumenti di sorveglianza sono disponibili a tutti coloro che sappiano come impugnarli
  • AttualitàHacking Team, reazioni e reazioniIl devastante "day after" del cracking dei server di HT riserva sorprese e rivendicazioni di responsabilità. Ma anche tentativi di sopprimere la circolazione delle informazioni sgorgate dalla breccia
  • AttualitàHacking Team, rivelazioni a mezzo crackingL'azienda italiana specializzata in software di sorveglianza cade vittima di un'azione di cracking devastante, con la fuoriuscita di centinaia di Gigabyte di materiale. Tutte le collaborazioni esposte in Rete
28 Commenti alla Notizia Hacking Team, buoni e cattivi
Ordina
  • > "Dalle email di HT continuano a emergere informazioni a dir poco imbarazzanti sul business dell'azienda milanese, un'organizzazione apparentemente con ben pochi scrupoli quando si tratta di alla base di Internet nelle indagini sul crimine organizzato e il terrorismo, fornire software ai governi per o per decine di migliaia di dollari bug di Adobe Flash Player da smanettoni russi."

    L'hacking team non vedeva gli exploit dei bug trovati ai Russi. E' il contrario: sono stati loro a comprare gli exploit dai russi per decine di migliaia di euro. La password è password, non hackers ma winari, email in chiaro ecc. Figuriamoci se un pacco di incapaci del genere potevano mai scoiprire degli 0day e la marmotta che impacchettava la cioccolata.
    L'exploit di flash in particolare, che è stato l'exploit 0day più importante venuto alla luce è stato scoperto dal programmatore (e hacker vero) russo Vitaliy Toropov che si è fatto pagare 45000 dollari americani per cederlo. Senza ombra di dubbio poteva anche chiedere di più. Il "kit" che ha fornito al Noob Team è un'opera d'arte di ingegneria informatica (e anche a prova di incapace).

    Fonte (articolo + intervista) è interessante.
    http://arstechnica.com/security/2015/07/how-a-russ.../
    non+autenticato
  • Se leggi bene c'è scritto: "... ,di acquistare per decine di migliaia di dollari bug di Adobe Flash Player da smanettoni russi."
  • La redazione ha modificato l'articolo dopo che ho postato... se vedi il mio copia/incolla preso dall'articolo e usato per quotare è diverso.
    non+autenticato
  • a parte le ipertrofiche teorie di vince (il buon "sponsored-state attack" ,che funziona sempre... anche kaspersky lo usa moltoOcchiolino e a parte i noiosi "OMG il sudan" e i "ben pochi scrupoli"[*]...
    ieri ho effettivamente letto una cosa 'interessante' (disturbante per alcuni versi, e odiosa per altri) : una richiesta di BGP pollution/hijacking (ottemperata) per recuperare il controllo di un istanza VPS hostata da santrex.net ( http://blog.bofh.it/id_456 )

    #1 Da un pdv dell'utente e' ovviamente brutto/inquietante che si possa, alla bisogna, inquinare il BGP... in subordine non e' neanche venuto benissimo (il che e' peggio ancora)...
    giustificazione: di mezzo cmq c'erano le FFOO italiane nel mezzo di un indagine evidentemente... non e' che hanno sfruttato un bug sui router)
    controcanto : "FFFO demmerda", pero' vi piace quando usano queste tecniche per sinkholare dei C&C sparamalware, no?Con la lingua fuori

    #2 mi e' piaciuto decisamente DI MENO leggere santrex... ho pensato "ma non sono quei posti di merda 'bulletproof hosting' che oscillano tra paradisi fiscali e peer in ukraina,russia e affini, dove bande di cybercrook mettono i malware e affini"? Eh.. beh direi di si.... eccheccazzo.
    e ho ripensato "Io (non fosse perche' a volte ci servono per ovviare a leggi criminogente come quelle sul copyright) li sbatterei al volo fuori da internet sti posti... e la HT e le FFOO li usano?? annamo bene, ma va in mona"


    [*] eheh visto che compare l'immarcescibile vupen, i russi, e sopratutto le ridicole lacrime di coccodrillo di "rinomati" bug hunter e "rinomate" societa' di brokering merigane che dicono "ah ma se lo avessi saputo [che erano cosi senza scrupoli], non glielo avrei venduto lo 0 day" & co... heheh ma qualcuno ci crede? lo compravano per farci la calza?
    non+autenticato
  • DOH! or ora ne ha scritto krebs... quindi avevo capito bene. MALE.Con la lingua fuori

    http://krebsonsecurity.com/2015/07/hacking-team-us.../
    non+autenticato
  • - Scritto da: bubba
    > DOH! or ora ne ha scritto krebs... quindi avevo
    > capito bene. MALE.
    >Con la lingua fuori
    >
    > http://krebsonsecurity.com/2015/07/hacking-team-us

    mi sa che hai capito male, la manovra sui router è stata voluta e promossa dai ROS e non da HT. Si capisce bene leggendo il thread. I siti stranieri (io l'ho letto su Ars Technica) hanno travisato, forse non capendo bene la lingua.

    Avevo scritto una risposta più articolata ma il refresh ha cancellato tutto.
    non+autenticato
  • - Scritto da: mi sa di no
    > - Scritto da: bubba
    > > DOH! or ora ne ha scritto krebs... quindi avevo
    > > capito bene. MALE.
    > >Con la lingua fuori
    > >
    > >
    > http://krebsonsecurity.com/2015/07/hacking-team-us
    >
    > mi sa che hai capito male, la manovra sui router
    > è stata voluta e promossa dai ROS e non da HT. Si
    > capisce bene leggendo il thread. I siti stranieri
    > (io l'ho letto su Ars Technica) hanno travisato,
    > forse non capendo bene la
    > lingua.
    io arstecnica neanche lo leggoSorride certo che e' voluta (anche) dai ros... stavano "lavorando" e han perso l'appoggio... ovviamente di concerto con HT (e gli isp) hanno hijackato .io ho capito benissimo.Sorride
    krebs l'ho citato xche ha confermato quello che avevo pensato io sul LUOGO del vps usato e perso
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: mi sa di no
    > > - Scritto da: bubba
    > > > DOH! or ora ne ha scritto krebs... quindi
    > avevo
    > > > capito bene. MALE.
    > > >Con la lingua fuori
    > > >
    > > >
    > >
    > http://krebsonsecurity.com/2015/07/hacking-team-us
    > >
    > > mi sa che hai capito male, la manovra sui router
    > > è stata voluta e promossa dai ROS e non da HT.
    > Si
    > > capisce bene leggendo il thread. I siti
    > stranieri
    > > (io l'ho letto su Ars Technica) hanno travisato,
    > > forse non capendo bene la
    > > lingua.
    > io arstecnica neanche lo leggoSorride certo che e'

    io invece si

    > voluta (anche) dai ros... stavano "lavorando" e

    togli pure "anche". In fondo al thread c'è un commento fra i personaggi dell'hacking team in cui si chiedono tra loro cos'hanno fatto i ros con BGP.

    > han perso l'appoggio... ovviamente di concerto
    > con HT (e gli isp) hanno hijackato .io ho capito
    > benissimo.
    >Sorride

    ah bene, ma non è stato l'HT che l'ha chiesto ad Aruba, sono stati i ROS. Quindi se vogliamo trovare una responsabilità nella manovra sui router quella è da attribuire ai ROS (senza voler togliere nulla all'HT).

    > krebs l'ho citato xche ha confermato quello che
    > avevo pensato io sul LUOGO del vps usato e
    > perso
    non+autenticato
  • - Scritto da: mi sa di no
    > - Scritto da: bubba
    > > - Scritto da: mi sa di no
    > > > - Scritto da: bubba
    > > > > DOH! or ora ne ha scritto krebs... quindi
    > > avevo
    > > > > capito bene. MALE.
    > > > >Con la lingua fuori
    > > > >
    > > > >
    > > >
    > >
    > http://krebsonsecurity.com/2015/07/hacking-team-us
    > > >
    > > > mi sa che hai capito male, la manovra sui
    > router
    > > > è stata voluta e promossa dai ROS e non da HT.

    ma chi sei, Leguleio?Sorride nella mia modesta opinione le cose INTERESSANTI erano l'uso dell'"hosting degli spammer" e in subordine il BGP mangling, e ci ritroviamo a dissertare su un dettaglio irrilevante... Posto questo, io ho detto rapidamente un <di mezzo cmq c'erano le FFOO italiane nel mezzo di un indagine evidentemente... non e' che hanno sfruttato un bug sui router) > per non alimentare subito il rogo contro HT... e poi un altrettando sintetico < certo che e' voluta (anche) dai ros... stavano "lavorando" e han perso l'appoggio... ovviamente di concerto con HT (e gli isp) hanno hijackato> e non vedo come possa essere diversamente...

    (cut)
    > > io arstecnica neanche lo leggoSorride certo che e'
    >
    > io invece si
    e fai male[*]Sorride


    > > voluta (anche) dai ros... stavano "lavorando" e
    >
    > togli pure "anche". In fondo al thread c'è un
    > commento fra i personaggi dell'hacking team in
    > cui si chiedono tra loro cos'hanno fatto i ros
    > con
    > BGP.
    si ma non devi leggere solo la mail riassuntiva... se vai a frugare ci sono le FFOO che bestemmiano da luglio contro quel cesso... poi a meta' agosto c'e' un fittissimo giro di ticketing e (citazione di) telefonate ecc...si mettono d'accordo sul da farsi...
    al 12 agosto abbiamo https://www.wikileaks.org/hackingteam/emails/email...
    e al 16 alfine combinano (in parte) e al 20 sono soddisfatti...
    del resto se non fossero coordinati, come potremmo vedere tutti quei ticket? PUO' PURE darsi che l'idea (spregiudicata?) l'abbiano avuta prima le FFOO ... ma dubito...

    > > han perso l'appoggio... ovviamente di concerto
    > > con HT (e gli isp) hanno hijackato .io ho capito
    > > benissimo.
    > >Sorride
    >
    > ah bene, ma non è stato l'HT che l'ha chiesto ad
    > Aruba, sono stati i ROS. Quindi se vogliamo
    > trovare una responsabilità nella manovra sui
    > router quella è da attribuire ai ROS (senza voler
    > togliere nulla
    > all'HT).
    sisi... cioe' spero bene che l'HT non abbia il potere di dire agli ISP di manipolare le rotte a piacimentoCon la lingua fuori e si spera anche che non sappia cosa ci facessero le FFOO con quei proxy e quindi backdoorCon la lingua fuori (un assistenza teamview era pronta ad arrivare..... )...
    in fondo intendevo solo dire che le FFOO sono un cliente di HT... non si muovono in autonomia se il giocattolo si inceppa...

    (tra l'altro non ho mai fatto un post sulla 'validita' probatoria' di una 'sonda' di questo tipo... lasciamo perdereCon la lingua fuori.... da un lato ne capisco l'utilita'... dall'altro penso alla forensics che si sbatte per tenere la catena di custodia coi blocker hw anche solo per copiare, mountato readonly, un hdd... e qui c'e' codice "attivo" che injecta, viaggia, copia sposta.. )

    >
    > > krebs l'ho citato xche ha confermato quello che
    > > avevo pensato io sul LUOGO del vps usato e
    > > perso
    e su questo.. commenti?


    [*] arstechnica non di rado su articoli tecnici e' ...mediocre... quindi normalmente non la guardo... cmq speravo che con l'input di bofh.it qualcuno goolasse e trovasse questo http://www.bgpmon.net/how-hacking-team-helped-ital.../Sorride ... che e' da dove arstech ha rippato l'immagineCon la lingua fuori
    non+autenticato
  • invece di dare ad altri del Leguleio hai mai pensato a rileggere quanto scrivi?
    il tuo modo di fare presenta la classica supponente immodestia e tuttologia - informatica - di un mediocre utilizzatore di spazi pubblici.
    sarebbe utile una infusione in bagno di modestia.
    a proposito, visto che non mostri dubbi nel chiedere ad altri se lavorano per sio, rcs etc., sapresti indicarci allora tu, così skillato e per tua diretta ammissione di origini storiche tecnologiche milanesi, per chi lavoreresti?
    non+autenticato
  • - Scritto da: bubba
    > >
    > > > krebs l'ho citato xche ha confermato quello
    > che
    > > > avevo pensato io sul LUOGO del vps usato e
    > > > perso
    > e su questo.. commenti?

    senza sapere chi ha preso in origine il vps su santrex non ho commenti, dal thread non si capisce

    >
    >
    > [*] arstechnica non di rado su articoli tecnici
    > e' ...mediocre... quindi normalmente non la
    > guardo... cmq speravo che con l'input di bofh.it
    > qualcuno goolasse e trovasse questo
    > http://www.bgpmon.net/how-hacking-team-helped-ital

    beh io leggo e non leggo, se trovo qualcosa di interessante risalgo alla fonte e di solito i link su arstechnica non mancano.
    non+autenticato
  • - Scritto da: bubba
    > a parte le ipertrofiche teorie di vince (il buon
    > "sponsored-state attack" ,che funziona sempre...

    A proposito di cose interessanti, questo:
    http://blog.trendmicro.com/trendlabs-security-inte.../
    l'ha visto?
    non+autenticato
  • - Scritto da: Hop

    >
    > A proposito di cose interessanti, questo:
    > http://blog.trendmicro.com/trendlabs-security-inte
    > l'ha visto?

    UEFI è il più grande cavallo di troia di tutti i tempi? nulla di nuovo

    no seriamente, un firmware di una complessità pari a quella di un sistema operativo, che accetta driver ed estensioni di ogni tipo ( memorizzate in flash o su hd )

    praticamente è da masochisti, considerando come i vari AMI, H2O, Phoenix e compagnia scrivono il loro codice

    con UEFI è iniziata una nuova era di APT selvaggi e difficili da individuare

    e ancora non hanno tirato fuori exploit che sfruttano la virtualizzazione e i bug del microcodice delle cpu
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: Hop

    > > A proposito di cose interessanti, questo:

    > http://blog.trendmicro.com/trendlabs-security-inte
    > > l'ha visto?

    > UEFI è il più grande cavallo di troia di tutti i
    > tempi? nulla di nuovo
    >
    > no seriamente, un firmware di una complessità
    > pari a quella di un sistema operativo, che
    > accetta driver ed estensioni di ogni tipo (
    > memorizzate in flash o su hd )
    >
    > praticamente è da masochisti, considerando come i
    > vari AMI, H2O, Phoenix e compagnia scrivono il
    > loro codice
    >
    > con UEFI è iniziata una nuova era di APT selvaggi
    > e difficili da
    > individuare
    >
    > e ancora non hanno tirato fuori exploit che
    > sfruttano la virtualizzazione e i bug del
    > microcodice delle cpu

    Ma si trovano piastre madri con il bios non UEFI ?
    non+autenticato
  • sistema i link Alfonso
    non+autenticato
  • Il software-spazzatura di Adobe colpisce ancora. Se un solo team e nemmeno tanto grosso riesce a trovare TRE vulnerabilità zero-day immaginate quante ce ne sono in giro e immaginate quante ne avrà trovate l'NSA...
    non+autenticato
  • il team è grosso e non è nemmeno detto che le vuln di adobe le abbiano trovate loro
    non+autenticato
  • - Scritto da: anumalia
    > il team è grosso e non è nemmeno detto che
    > le vuln di adobe le abbiano trovate loro

    Le compravano...
    non+autenticato
  • - Scritto da: 120938
    > - Scritto da: anumalia
    > > il team è grosso e non è nemmeno detto che
    > > le vuln di adobe le abbiano trovate loro
    >
    > Le compravano...

    Fonte?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: 120938
    > > - Scritto da: anumalia
    > > > il team è grosso e non è nemmeno detto che
    > > > le vuln di adobe le abbiano trovate loro
    > >
    > > Le compravano...
    >
    > Fonte?
    mio cuGGino
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: ...
    > > - Scritto da: 120938
    > > > - Scritto da: anumalia
    > > > > il team è grosso e non è nemmeno detto
    > che
    > > > > le vuln di adobe le abbiano trovate loro
    > > >
    > > > Le compravano...
    > >
    > > Fonte?
    > mio cuGGino

    Mio cugino Tom
    http://punto-informatico.it/b.aspx?i=4257981&m=425...

    Cicca cicca cicca ...
    non+autenticato
  • - Scritto da: 120938
    > - Scritto da: anumalia
    > > il team è grosso e non è nemmeno detto che
    > > le vuln di adobe le abbiano trovate loro
    >
    > Le compravano...

    dagli ucraini. poi le mettevano in bella e le vendevano ai sudanesi a 20 volta tanto. e' inutile, l'intermediario e' parassita, meglio se i sudanesi comravano direttamnte dagli ucraini.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: 120938
    > > - Scritto da: anumalia
    > > > il team è grosso e non è nemmeno detto che
    > > > le vuln di adobe le abbiano trovate loro
    > >
    > > Le compravano...
    >
    > dagli ucraini.
    "l'ucraino" sarebbe poi il russo ex-idefense.com nonche' rinomato bug hunter ?Sorride
    cmq si... gli 0day attuali (mica lavorano solo da 3 mesi..) di flash son comprati... non ricordo pero' se solo da li', anche da vupen, netragard o qualche altra rinomata societa'..

    poi le mettevano in bella e le
    > vendevano ai sudanesi a 20 volta tanto. e'
    > inutile, l'intermediario e' parassita, meglio se
    > i sudanesi comravano direttamnte dagli
    > ucraini.
    eh no... perche' di un poc che lancia calc.exe non se ne facevano molto... serve tutto l'ambaradan.... magari potevano studiare/rippare/adattare metasploit..SorrideSorride
    non+autenticato
  • - Scritto da: anumalia
    > il team è grosso

    LOL. Sì certo, ENORME. Specie rispetto all'NSA... Rotola dal ridere
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: anumalia
    > > il team è grosso
    >
    > LOL. Sì certo, ENORME. Specie rispetto all'NSA...
    > Rotola dal ridere
    ...e poi 2/3 del team e' dedicato alle vendite e al customer care..SorrideCon la lingua fuori)
    non+autenticato