Alfonso Maruccia

Breccia Hacking Team, come lo feci

L'hacker responsabile della compromissione dei server della societÓ italiana si confessa, pubblicando online un vademecum con i passi seguiti per hackare Hacking Team

Roma - A un anno di distanza dalla scoperta della breccia che ha trasformato Hacking Team (HT) nello zimbello del chiacchiericcio informatico globale, l'autore dell'intrusione ha rivelato tutti i segreti dell'operazione in un documento a uso e consumo del pubblico. E di chi magari vorrebbe partecipare al gioco in futuro.

L'ignoto hacker si identifica come "Phineas Fisher" (PF), non a caso uno dei principali concorrenti di HT nell'ambito degli spyware legali venduti a governi democratici e non, ed è evidentemente mosso da motivazioni "politiche" oltre che dallo spirito della caccia alla falla.

La prima porta di accesso nei sistemi di HT è stata una vulnerabilità 0-day in un dispositivo embedded integrato nel network aziendale interno, dice PF, e da lì l'hacker ha potuto analizzare tranquillamente il traffico alla caccia di falle ancora più pericolose da sfruttare per continuare l'attacco.
Un paio di database MongoDB privi di password e il backup del server delle mail aziendali (Exchange) hanno poi permesso all'hacker di scoprire l'esistenza di una rete nascosta all'interno dell'infrastruttura di HT, mentre il monitoraggio delle comunicazioni di Christian Pozzi - uno dei programmatori chiave della società milanese - ha permesso di identificare la password di accesso ai server del codice sorgente di RCS/Galileo.

Con 100 ore di lavoro, spiega PF, una persona determinata può mandare gambe all'aria gli anni di lavoro di un'azienda multi-milionaria e fermare gli abusi dei diritti umani perpetrati attraverso i suoi strumenti di tecnocontrollo commerciale.

Alfonso Maruccia
Notizie collegate
6 Commenti alla Notizia Breccia Hacking Team, come lo feci
Ordina