Ieri ho scambiato un po’ di idee sulla vicenda HackingTeam con Antonio Forzieri, esperto di sicurezza di Symantec. Tornerò in un prossimo articolo sull’approccio delle società che vendono antivirus e prodotti per la sicurezza informatica a casi come questo, ma intanto volevo anticipare un argomento particolare fra i tanti che abbiamo toccato: entrambi ci siamo trovati perplessi di fronte alla presenza, fra i file trafugati a uno degli amministratori di sistema di HackingTeam, di un file di testo contenente un elenco di link a video pornografici, come vedete parzialmente qui accanto e come descritto in dettaglio in questo mio articolo.

Questo file ha suscitato molta ilarità in Rete, ma le risate hanno forse messo in secondo piano una domanda: che senso ha avere un file del genere? Una ipotesi è che si tratti di un file aggiunto dagli intrusi per ridicolizzare HackingTeam, e in effetti la strategia di far sembrare l’azienda un covo di pornomani dilettanti sembra aver avuto un certo effetto mediatico.

Ma c’è un’altra ipotesi che Forzieri e io abbiamo considerato e che i dati di Wikileaks rilasciati oggi sembrano supportare: l’elenco di link sarebbe legato a uno dei metodi d’infezione usati da Hacking Team.

Una ricerca nell’archivio Wikileaks usando il nome di uno dei siti pornografici citato nell’elenco porta infatti a un fitto scambio di mail del supporto tecnico di HackingTeam. In queste mail si parla di un “Network Injector” di nome INJECT-HTML-FLASH. che avrebbe effetto su un numero notevole di siti di video, quasi tutti pornografici e tutti basati su Flash. Youtube ne sarebbe immune:

INJECT-HTML-FLASH supported sites:
1) http://www.youtube.com (NO HTTPS)
2) http://www.veoh.com
3) http://www.metacafe.com
4) http://www.dailymotion.com
5) http://www.break.com
6) http://www.youporn.com
7) http://www.pornhub.com
8) http://www.xhamster.com
9) http://www.xvideos.com
10) http://www.porn.com
11) http://www.xnxx.com

Unfortunately youtube might not work, because they started the migration to https,
for this reason sometimes it works and sometimes it doesn’t.
These are other sites which are currently supported:
http://www.veoh.com
http://www.metacafe.com
http://www.dailymotion.com
http://www.youporn.com

(fonte: fonte)

I visitatori di questi siti non si facciano prendere dal panico, comunque: da alcuni di questi messaggi sembra proprio che non si tratti di un attacco che infetta tutti quelli che guardano questi siti o quei video specifici e che non ci sia alcuna violazione dei siti stessi. In realtà si tratterebbe di una tecnica che consiste nell’intercettare la connessione a Internet del bersaglio e alterarne il contenuto, in modo che il bersaglio (e solo il bersaglio) riceva una versione alterata del video che contiene un attacco basato su una falla di Adobe Flash:

Ogni volta che va l’attacco inject flash dovrebbe esserci subito dopo anche una replace (significa che con inject flash il video e’ stato sostituito mentre con la replace dopo il target ha scaricato il flash con la backdoor).

(fonte)

1) Inject exe ovvero infezione tramite melting degli exe scaricati dai target windows

2) Inject html flash ovvero infezione tramite melting degli installer di flash player per sistemi windows file exe, os x file dmg, linux file deb. Con questo attacco viene fatto prima un injection sulla pagina di youtube per rimpiazzare il video con il download del fake flash installer, una volta che il target apre il link del download del flash installer meltato viene applicata una regola di replace e in questo modo si avvia il download del target del file

3) Inject html file questo attacco serve per injectare codice html all’interno di qualsiasi pagina html. Viene usato al momento per l’exploit su internet explorer, ovvero viene injectato un iframe nella pagina html che richiama automaticamente dell’exploit da uno dei nostri server. Se hai domande specifiche sull’exploit ti consiglio di chiedere a guido perche’ e’ lui che se ne occupa

4) Replace questo attacco serve per rimpiazzare qualsiasi risorsa sul web con una customizzata, l’importante che risorsa da sostituire e risorsa sostituita siano dello stesso formato, ovvero un apk con un apk, una pagina html con una pagina html e cosi via.

(fonte)

In altre parole, potrebbe esserci una giustificazione per nulla ridicola per la presenza di quei link a luci rosse. Meglio quindi non considerarla come prova dell’inettitudine del personale di HackingTeam.