Vai al contenuto
HackingTeam e la fattura al Sudan: nuovi documenti smontano la difesa dell'azienda

HackingTeam e la fattura al Sudan: nuovi documenti smontano la difesa dell’azienda

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “icaro200*”, “antonio.bu*”, “robyv*” e “alberto.dol*”. Se vi piace, potete incoraggiarmi a scrivere ancora.
Ultimo aggiornamento: 2015/07/11 18:50.

HackingTeam ha venduto il proprio malware di sorveglianza di massa ai servizi di sicurezza del Sudan, il cui governo ha una lunga e ben nota storia di abusi dei diritti umani: schiavitù, genocidio e uso di bambini come soldati, oltre che persecuzione di chi si batte per il rispetto di questi diritti.

La vendita risulta dalla fattura per 480.000 euro pubblicata fra i dati trafugati all’azienda (immagine parziale qui accanto). È davvero difficile pensare che i responsabili di questa vendita non sapessero in che sorta di mani stessero mettendo strumenti così letali.

In un’intervista all’International Business Times, il portavoce di HackingTeam, Eric Rabe, ha difeso oggi l’operato dell’azienda facendo notare che la fattura in questione (di cui non ha smentito l’autenticità) risale al 2012, quando il Sudan non era ancora nella lista nera dell’ONU. Una difesa abbastanza fragile, dato che ben prima che entrasse formalmente in lista nera il Sudan non era un paese al quale si poteva vendere malware di sorveglianza sperando che venisse usato eticamente e a fin di bene. Ora nuovi documenti smontano questa difesa e dimostrano che i rapporti di HackingTeam con il governo sudanese sono proseguiti almeno fino a gennaio 2014. Ma partiamo dall’inizio.

––——————

L’ipotesi che HackingTeam facesse affari con il Sudan, basata sulle indagini tecniche di Citizen Lab, aveva già spinto le Nazioni Unite ad incaricare un comitato di esperti di investigare sull’azienda a settembre 2014, anche perché tali affari sarebbero stati probabilmente in violazione delle sanzioni europee sul commercio di armi militari verso il Sudan.

Come racconta in dettaglio Motherboard, HackingTeam inizialmente ha risposto all’ONU che il Sudan non era uno dei suoi clienti e poi ha detto all’ONU che il software non è considerato un’arma e che quindi le Nazioni Unite non hanno l’autorità per fare domande. Ma HackingTeam non ha mai chiarito se aveva avuto affari in passato con il governo del Sudan.

Ora, grazie ai dati trafugati, sappiamo che li aveva avuti. La fattura, fra l’altro, riguarda solo metà dei pagamenti ricevuti dal Sudan, che ammontano in tutto a 960.000 euro.

David Vincenzetti, CEO di HackingTeam, era indubbiamente al corrente delle perplessità dell’ONU: a febbraio rispose al comitato di esperti delle Nazioni Unite usando toni decisamente aggressivi e dicendo che ogni ulteriore richiesta del comitato di esperti gli sembrava una violazione ingiustificata e ingiustificabile del diritto al segreto commerciale. Il 21 aprile, Vincenzetti addirittura ha accusato l’inchiesta ONU di essere un danno per la reputazione e l’immagine di HackingTeam.

L’ONU ha chiesto ancora a HackingTeam ben cinque volte (l’ultima il 15 maggio scorso) di chiarire se l’azienda avesse mai fatto affari con il Sudan. HackingTeam non ha mai risposto.

Questo muro del silenzio si è infranto con la fuga di dati di ieri, dalla quale sono emersi documenti che smentiscono le parole di HackingTeam. Tanto per cominciare, c’è l’elenco dello stato dei rapporti con vari paesi. Per il Sudan, al posto di Active (attivo) o di Expired (scaduto) usati per gli altri paesi clienti (tranne la Russia), c’è una frase compromettente: “12/31/2014 Not officially supported” (non supportato ufficialmente). Sarebbe molto interessante chiedere ad Eric Rabe di spiegare il significato di questa frase.

La paziente analisi collettiva dei documenti interni di HackingTeam ora resi pubblici ha rivelato oggi anche un altro documento di HackingTeam che parla di una fattura “116/2012” etichettata “NISS” per un importo di 76.000 (euro, si presume) all’interno di un elenco etichettato “Fatture 2013 da riaprire”.

Ma soprattutto sono state segnalate oggi due mail dello staff di HackingTeam in cui viene prestata assistenza al Sudan il 15 gennaio 2014 proprio per il malware di sorveglianza RCS. La scusa che la fattura trafugata è del 2012 e che quindi non ci sono più rapporti con il governo del Sudan ha insomma seri problemi di credibilità.

Trascrizione delle mail (evidenziazioni aggiunte da me):

Da: Alessandro Scarafile [a.scarafile@hackingteam.com]
15/01/14 10:02
Oggetto: Problema core iOS in RCS 9.1.14
A: ornella-dev@hackingteam.com

Vi segnalo un’anomalia urgente e bloccante rilevata in Sudan, durante l’installazione di RCS 9.1.4 + hotfix.

Durante la build di un Installation Package per iOS, si ottiene l’errore “Core for ios not found…” (screenshot allegato).
La cosa è evidentemente collegata alla mancanza dell’indicazione del core per iOS nella sezione Monitor (screenshot allegato).

Segnalo anche che “ogni tanto” (misurato su alcuni login/logout dalla console) non viene mostrato il numero di versione di RCS (screenshot allegato).

Spero che il problema per iOS possa essere risolta [sic] semplicemente caricando a mano il core, in quanto la connessione internet da qui non consentirebbe – al momento – il download di un intero file di installazione di RCS.

Grazie,
Alessandro

Da: Alessandro Scarafile [a.scarafile@hackingteam.com]
15/01/14 10:11
Oggetto: Supporto Anonymizers RCS 9.1.14
A: ornella-dev@hackingteam.com

Condivido direttamente su “ornella-dev” un altro problema che abbiamo in Sudan, per avere supporto rapido, in quanto siamo di fronte al cliente.

2 Anonymizers correttamente installati. La sezione System della Console continua a mostrare in rosso SOLO quello più vicino al Collector.

Le connessioni in SSH sulle macchine Linux dicono che i sistemi sono up and running; il daemon dell’anonymizer è in piedi e attivo.
“Allontanando” un Anonymizer dal Collector e posizionandolo come ultimo hop… diventa verde in Console.

Non credo questo comportamento possa essere collegato a qualche firewall (che non hanno), in quanto a quel punto il Collector non riuscirebbe nemmeno a parlare con l’Anonymizer più “lontano”.

Avete suggerimenti su cosa potrebbe essere?
Forse qualcosa in fase di installazione? (che spiegherebbe anche i problemi sul core iOS della mia e-mail precedente).

FYI di seguito i dati dei 2 VPS:

IP: 46.251.239.129
User: root
Pass: ousKvawcAH

IP: 46.251.239.130
User: root
Pass: Wb9cofhJjj

Sarà molto interessante chiedere al portavoce di HackingTeam di giustificare questi segni di attività recente con i servizi di sicurezza del Sudan.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
È finita: WikiLeaks pubblica un milione di mail di HackingTeam. Con pratica funzione di ricerca

È finita: WikiLeaks pubblica un milione di mail di HackingTeam. Con pratica funzione di ricerca

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/07/11 18:50.

Wikileaks ha messo online un archivio cercabile contenente oltre un milione di mail provenienti dalla fuga di dati che ha colpito HackingTeam.

Se in questi primi giorni le indagini giornalistiche per verificare eventuali collaborazioni dell’azienda italiana con governi repressivi sono state ostacolate dalla difficoltà tecnica di scaricare i 400 gigabyte di dati trafugati o di sfogliarne online le varie parti, ora chiunque può cercare in tutta la corrispondenza di HackingTeam con un semplice clic.

Per esempio, una ricerca di “IP address” insieme a “VPS” rivela molte comunicazioni interessanti e dettagli dell’infrastruttura di sorveglianza di HackingTeam. Una ricerca per “gov.sa” rivela comunicazioni con indirizzi governativi dell’Arabia Saudita, e così via. Altre parole chiave potenzialmente interessanti sono exploit, Eric.rabe, e.rabe, leak e leaker.

Dall’archivio di mail risultano scambi anche recentissimi con i servizi di sicurezza dell’Etiopia, come questa mail del 10 giugno 2015:

David, Giancarlo,tomorrow at midnight the temporary, read-only license we gave to INSA is going to expire. Since we issued this last license. We have not received any reply from them, on any channel.I would wait and see if anything moves on their side, or do you want to anticipate action (e.g., issue a new license)?Thanks,Daniele

E si vede anche il commercio di exploit (vulnerabilità) per Adobe Flash, negoziate da HackingTeam (grazie a @mme_bathory per la segnalazione):

Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita’ ma
stessi target) che aveva accorpato in un unica descrizione… abbiamo
preso uno… prendiamo l’altro?

#1,#2 (two 0days) Adobe Flash Player
versions: 9 and higher
platforms: 32- and 64-bit Windows, 64-bit OS X
price: $45k by three monthly payments

Gli chiederi semplicemente conferma che siano effettivamente due
distinte vulnerabilita’ in parti diverse del codice(per evitare che
patchato uno perdiamo pure l’altro).

Senno’ c’era anche l’opzione 3 (credo che 32-bit windows vada bene per
browser a 32-bit su architettura x64, da verificare nel caso):

#3 Adobe Flash Player
versions: 11.4 and higher
platforms: 32-bit Windows
payload: calc.exe is launched on Windows
price: $30k by two monthly payments

In pratica HackingTeam sta discutendo l’acquisto di vulnerabilità inedite per Adobe Flash che sono presenti in milioni di computer e invece di renderle pubbliche per consentire a tutti di essere più sicuri se le vorrebbe tenere per sé per usarle nei propri prodotti di sorveglianza. È l’equivalente di scoprire una malattia e tenere per sé la cura per farci dei soldi.

Ma non è il caso di pensare che HackingTeam sia l’unica a fare commerci loschi di questo genere. Un’altra mail di HT fa infatti quest’osservazione a proposito di ditte concorrenti:

Ribadisco l’importanza di prendere contatti: ci saranno un sacco di researchers asiatici  e non solo con exploit da vendere e *****, te l’assicuro, compra in questo modo la maggior parte degli exploits che poi, debitamente controllati e ripuliti, vengono venduti a 10 volte il prezzo originario.

[…]

I HAVE strong, incontrovertible EVIDENCE that the most famous 0-day vendors (e.g., *****, *****) do NOT create/find/research the vast majority of the numerous exploits they sell. 
According to my intelligence information I can tell you that only about ** 30% ** of the exploits in such famous 0-day vendors’ commercial catalogs have been internally researched. 
That is, an amazing 70%, of the exploits actually commercially proposed by such exploits vendors are BOUGHT from THIRD PARTIES, then worked out, possibly enhanced, polished and eventually sold to their own clients with hefty profit margins.
When at the conference, I urge you to start building up as many commercial relationships with new exploits researchers and minor/still unknown exploit vendors as possible. We need external resources in order to effectively compete, and win, in the 0-day game.

Così fan tutti, insomma, e allora facciamolo anche noi. Da notare che quella che per noi utenti è un’infezione potenzialmente devastante per loro è un game: un gioco. E a furia di giocare con i virus, se li sono lasciati sfuggire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il malware arriva tramite la pubblicità animata anche nei siti rispettabili. Motivo in più per bloccarla e mollare Flash

Il malware arriva tramite la pubblicità animata anche nei siti rispettabili. Motivo in più per bloccarla e mollare Flash

Credit: Malwarebytes

Chi va nei bassifondi della Rete sa di cercarsi guai; ma chi visita solo siti rispettabili non si aspetta di trovarsi infettato per il solo fatto di averli consultati. Eppure è successo pochi giorni fa ai visitatori di siti per nulla truffaldini, come per esempio l’Huffington Post: alcune sue pubblicità, infatti, trasportavano codici ostili che tentavano di scaricare sui PC dei visitatori un altro malware che cifrava i dati degli utenti e poi chiedeva un riscatto in denaro per sbloccarli (ransomware).

Era rispettabile il sito; era rispettabile anche il distributore delle pubblicità (DoubleClick di Google); ed era rispettabile anche la marca reclamizzata (Hugo Boss e Hermés Paris). Non c’era nulla che potesse far pensare a una visita pericolosa. Ma l’analisi pubblicata da MalwareBytes segnala che in questa catena di società di buona reputazione s’erano inseriti dei truffatori che avevano aperto un normale account per l’inserimento in tempo reale di pubblicità e lo avevano usato per mandare ai distributori pubblicitari una finta pubblicità il cui codice veicolava un attacco basato su una falla di Adobe Flash che inizialmente non veniva riconosciuta dagli antivirus.

I criminali informatici, insomma, si fanno sempre più furbi, usando i distributori di pubblicità per disseminare i propri attacchi anche sui siti di buona reputazione. La miglior difesa è bloccare le pubblicità e i contenuti basati su Flash, per esempio disinstallando Flash oppure impostandolo in modo restrittivo come descritto in questo articolo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
MacKeeper sfruttato dai criminali informatici per infettare i Mac

MacKeeper sfruttato dai criminali informatici per infettare i Mac

I criminali informatici ne inventano una nuova ogni giorno: c’è quasi da ammirarli per la loro abilità. Avete presente MacKeeper, la controversa app di sicurezza e pulizia per Mac che spande pubblicità un po’ dappertutto in Rete? Quest’app di sicurezza è stata sfruttata, ad insaputa dei suoi creatori, per infettare gli utenti.

È stato infatti segnalato un attacco che sfrutta un difetto di una versione non aggiornata di MacKeeper. La trappola funziona così: la vittima riceve una normale mail che contiene un link sul quale è invitata a cliccare con vari pretesti.

Se l’utente usa MacKeeper, il link sfrutta il suo difetto per far comparire sullo schermo un avviso falso, secondo il quale c’è un’infezione (che in realtà non esiste). L’avviso chiede la password di amministratore con la scusa di averne bisogno per poter rimuovere quest’infezione.

Se l’utente preso di mira digita la password, sul suo computer viene scaricato del software ostile creato dai criminali: a quel punto il Mac è davvero infettato e sotto il pieno controllo degli aggressori.

La casa produttrice di MacKeeper ha prontamente corretto il difetto che apriva le porte ai criminali, per cui se usate questo software assicuratevi di averne la versione più recente. Più in generale, anche se non usate MacKeeper, il Mac comunque non è invulnerabile, per cui è buona cosa installarvi un buon antivirus.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
HackingTeam, il giorno dopo

HackingTeam, il giorno dopo

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “mauriziosi*”, “mauro.oli*” e “italoiv*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora. Ultimo aggiornamento: 2015/07/11 18:25.

Continua la saga della colossale fuga di dati (almeno 400 gigabyte) dalla società di sicurezza informatica italiana HackingTeam, iniziata epicamente ieri mattina e descritta in questo mio articolo. Questo articolo verrà aggiornato man mano che arrivano nuovi dati.

Chi è stato?

Il presunto autore dell’incursione si fa chiamare “Phineas Fisher” e ci sono alcune conferme indipendenti della validità della sua rivendicazione. Stanotte ha tweetato (immagine qui accanto) che scriverà come ha fatto a penetrare in HackingTeam “quando avranno avuto tempo di fallire nel capire cosa è successo e avranno cessato gli affari.” Cattivello, ma anche astuto nell’atteggiarsi a novello Robin Hood.

L’ipotesi, avanzata da alcuni, che l’incursione sia stata opera di una società di sicurezza rivale non ha alcuna prova a sostegno; inoltre, a giudicare dall’approccio alla sicurezza comicamente dilettantesco usato da HackingTeam, non sembra affatto necessario invocare il talento di esperti per spiegare l’intrusione, per cui è poco credibile. Motherboard è riuscita a contattare brevemente Phineas Fisher e autenticarne parzialmente il ruolo.

L’altra ipotesi, ossia che i dati messi in circolazione siano in tutto o in parte inventati, non è credibile, non solo per la quantità immensa dei dati stessi, ma anche perché HackingTeam ha ammesso che le sono stati rubati dei dati.

Conseguenze per Hacking Team

Quanto sarebbero gravi, dal punto di vista legale, le azioni compiute da HackingTeam? L’europarlamentare olandese Marietje Schaake ieri ha scritto che la vendita di questo software al Sudan “non solo costituirebbe una violazione del regime di sanzioni delle Nazioni Unite stabilito dalle Risoluzioni del Consiglio di sicurezza 1556, 1591, 1945, 2091 e 2138, ma […] violerebbe anche la Decisione del Consiglio 2014/450/CFSP del 10 luglio 2014 riguardanti le misure restrittive in considerazione della situazione in Sudan”. La Schaake aveva già presentato, un paio di mesi fa, un’interrogazione parlamentare sui possibili abusi del software di HackingTeam contro giornalisti e difensori dei diritti umani in Marocco. Ora chiede alle autorità italiane di indagare su HackingTeam.

HackingTeam dichiara, nella propria Customer Policy, di fornire il proprio software soltanto a governi o agenzie governative, ma dai dati trafugati stanno emergendo rapporti e fatture di vendita a società private. Nella stessa Policy HT dichiara anche di non vendere a governi presenti nelle liste nere USA, UE, ONU, NATO o ASEAN, ma ha venduto per esempio al Sudan (nei dati c’è una fattura al governo di quel paese). E i rapporti con il Sudan sono proseguiti almeno fino a gennaio 2014, nonostante le dichiarazioni del portavoce di HackingTeam che minimizzano dicendo che la fattura risale al 2012 e quindi è pre-embargo ONU. I dettagli sono in questo mio articolo.

Come già detto ieri, inoltre, HackingTeam avrebbe mentito anche ai propri clienti governativi, installando nel proprio software una backdoor (controllo remoto) senza dirlo ai clienti stessi.

La collezione di exploit di HT veniva aggiornata anche attingendo disinvoltamente agli exploit pubblicati in Rete dai ricercatori di sicurezza.

Su un piano individuale, i dati trafugati contengono moltissimi dati di persone che lavorano per HT o di loro familiari: foto, numeri di carte di credito, conti correnti, clienti e fornitori, siti frequentati e relative password, dati anagrafici e altro ancora. Queste persone dovranno cambiare tutti questi dati, ove possibile, per evitarne abusi e saccheggi.

Conseguenze per i governi clienti

Fondamentalmente, tutti i clienti che hanno pagato centinaia di migliaia di euro a HackingTeam si trovano adesso con un prodotto inutilizzabile. Una bella fregatura. Non solo HT ha chiesto di sospenderne l’uso, ma sono stati trafugati gli exploit che lo costituivano e che gli consentivano di attaccare in modo invisibile. Questi exploit erano i gioielli della corona di HT e ora verranno eliminati con gli aggiornamenti degli antivirus e del software commerciale, per cui HT ora probabilmente non ha più un malware da vendere.

Conseguenze per noi utenti: nuove falle rivelate, sfruttate e da turare

Iniziano ad emergere le prime conseguenze tecniche della rivelazione del codice sorgente dei prodotti di HackingTeam: oggi Tor Project dice che HT ha tentato di violare la sicurezza del loro software ma finora non sono emersi exploit di HT contro Tor, ma terranno d’occhio gli sviluppi.

È presumibile che a breve i principali antivirus riconosceranno il malware di HackingTeam, se non lo fanno già, e quindi molti dei soggetti sorvegliati si accorgeranno di essere stati messi sotto sorveglianza. Potrebbero essere ben poco contenti di scoprirlo. MIkko Hypponen di F-Secure mi ha confermato che il loro software già bloccava il malware di HT, come confermato dalla documentazione interna di HT che ora è pubblica. Mi sfugge la logica con la quale forze di polizia di vari paesi spendono centinaia di migliaia di euro per un malware che viene bloccato da un antivirus da qualche decina di euro l’anno.

Ci sono dei benefici per tutti noi: l’esame dei file di HT ha rivelato che l’azienda usava anche falle di Adobe Flash per infettare i propri bersagli. Una di queste falle (CVE-2015-0349) era già nota ed è stata corretta di recente, mentre un’altra sfrutta un exploit che ha effetto anche sulla versione più recente di Flash Player per Windows, Mac e Linux, che è la 18.0.0.194. Questo secondo exploit, finora sconosciuto, è stato subito sfruttato dai criminali informatici non appena è stato reso noto, secondo Trend Micro; ora potrà essere corretto, consentendo di eliminare una vulnerabilità (CVE-2015-5119) alla quale sono stati esposti tutti gli utenti Flash del mondo e di cui HackingTeam era a conoscenza (tenendosela però ben stretta). Adobe ha annunciato per domani (8 luglio) il rilascio di un aggiornamento d’emergenza di Flash che chiude questa seconda falla. Google sta già inviando l’aggiornamento agli utenti di Chrome, secondo quanto riporta Brian Krebs.

L’analisi dei file di HackingTeam ha inoltre permesso di scoprire che l’azienda sfruttava una falla di Windows presente in tutte le versioni, da XP a 8.1, e basata sull’uso di un file di font appositamente confezionato. Non è noto quando Microsoft rilascerà una correzione.

Ci sarebbe anche una falla in SELinux sfruttata da HT, forse sfruttabile per attaccare i telefonini Android.

Mettiamoci una pezza

Lexsi.com, uno dei clienti di HT, ha inviato una richiesta di rimozione a Musalbas.com, uno dei siti che ospita una copia d’archivio dei dati trafugati, dicendo che si tratta di materiale sensibile e riservato. Su questo non c’è dubbio, ma è totalmente inutile chiudere un pezzetto del recinto quando i buoi sono scappati da un pezzo e si stanno moltiplicando allegramente ovunque.

Analisi dei file

Premessa importante: il materiale pubblicato in Rete contiene moltissime immagini della sfera privata di persone legate a HackingTeam, di persone esterne a HT e anche di bambini. Nelle foto e nei video non c’è nulla di imbarazzante, provocante o pertinente per eventuali indagini giornalistiche, per cui credo che sia doveroso rispettare la privacy di queste persone estranee ai fatti e di questi minori che non hanno alcuna colpa. Lascio quindi in pace chi non c’entra.

Gli screenshot pubblicati dall’intrusione includono immagini anche recentissime (primi di luglio) dei desktop dei PC Windows dei due amministratori di sistema e contengono di tutto: dati di richiesta del passaporto per un familiare, sessioni di Solitario e altri giochi (Command and Conquer, mi pare), conversazioni WhatsApp e Facebook, sessioni di scaricamento film su eMule, taglie di reggiseno usate come risposte alle domande d’emergenza per recupero password. Al di là del contenuto relativamente frivolo, l’esistenza di questi screenshot dimostra che i due amministratori di sistema (gente che in teoria dovrebbe essere competentissima in sicurezza) non sapevano di avere dentro i propri computer di lavoro del malware capace di vedere e registrare quello che avevano sui loro schermi. Questo indica che la sottrazione dei dati non è stata commessa semplicemente copiando i file dai computer e dai server, ma anche infettando direttamente i computer degli admin. Che figuraccia.

Almeno una delle password elencate nei file trafugati è obsoleta (ne ho avuto conferma dall’azienda interessata); potrebbero anche esserlo le altre e comunque sarebbe saggio, da parte dei membri di HT, cambiare tutte le proprie password su qualunque servizio (e magari attivare l’autenticazione a due fattori, che non sembra ci fosse), oltre che cambiare tutti i dettagli delle proprie carte di credito, i cui numeri e altri dati sono recuperabili dai file in circolazione.

I file audio finora esaminati sono semplici test e non contengono nulla di significativo dal punto di vista tecnico.

Il presunto software per iniettare materiale pedopornografico sembra sempre più un falso allarme: probabilmente “semplicemente una demo di cattivo gusto”.

Le mail catturate (interi file PST da vari gigabyte ciascuno) appartengono a molte persone legate a HackingTeam e includono, fra le altre cose, un messaggio nel quale si dice che il sistema RCS di HackingTeam in Colombia è dentro l’ambasciata degli Stati Uniti, dove c’è anche “un altro strumento di intercettazione… che riceverà tutto il traffico degli ISP colombiani”, a conferma del fatto che l’intercettazione di massa preventiva è una prassi del governo degli Stati Uniti.

I nomi degli utenti sono stati mascherati da me; la pecetta non è nell’originale.

Non mancano perle come questa: il CEO di HackingTeam, David Vincenzetti, che dice che non serve ricorrere alla crittografia perché tanto non hanno nulla da nascondere.

Al tempo stesso, notate con quanta circospezione HT parla, in una mail interna, del “cliente E.” che è stato mollato (va detto) da HT dopo che Citizen Lab e Human Rights Watch hanno segnalato gli abusi commessi dal cliente. Notare che la cartella di mail è denominata “EH_Etiopia”, per cui non è difficile per chi analizza questi dati capire quale paese sia il “cliente E.” in questione. I “rapporti di CitizenLab” di cui parla sono probabilmente questi, che denunciano l’uso del malware di Hacking Team contro giornalisti etiopi a Washington.

Niente da nascondere. No, assolutamente.

Ma cosa si aspettavano quelli di HackingTeam quando hanno venduto il proprio software di sorveglianza a un governo come quello dell’Etiopia? Che, con tutti i problemi drammatici che ha quel paese, l’avrebbero usato per sorvegliare pedofili e spacciatori? Siamo seri. Vendere malware a governi di questo genere è esattamente come fare i trafficanti d’armi.

Altri sviluppi

Finalmente i media italofoni cominciano a parlare della vicenda: dopo gli articoli preliminari di ieri di Repubblica, Messaggero, Punto Informatico, per citarne alcuni, oggi ANSA descrive gli eventi; Motherboard in italiano traccia il profilo di HackingTeam; su Webnews si propone un’inchiesta parlamentare; Il Secolo XIX osserva quanto siamo vulnerabili; e ci sono le riflessioni di Stefano Quintarelli. Io, nel mio piccolo, sono stato intervistato dalla Rai per i radiogiornali. La Procura di Milano, intanto, dichiara che aprirà un’inchiesta sull’intrusione.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
HackingTeam e quei link a YouPorn: una possibile spiegazione non comica

HackingTeam e quei link a YouPorn: una possibile spiegazione non comica

Ieri ho scambiato un po’ di idee sulla vicenda HackingTeam con Antonio Forzieri, esperto di sicurezza di Symantec. Tornerò in un prossimo articolo sull’approccio delle società che vendono antivirus e prodotti per la sicurezza informatica a casi come questo, ma intanto volevo anticipare un argomento particolare fra i tanti che abbiamo toccato: entrambi ci siamo trovati perplessi di fronte alla presenza, fra i file trafugati a uno degli amministratori di sistema di HackingTeam, di un file di testo contenente un elenco di link a video pornografici, come vedete parzialmente qui accanto e come descritto in dettaglio in questo mio articolo.

Questo file ha suscitato molta ilarità in Rete, ma le risate hanno forse messo in secondo piano una domanda: che senso ha avere un file del genere? Una ipotesi è che si tratti di un file aggiunto dagli intrusi per ridicolizzare HackingTeam, e in effetti la strategia di far sembrare l’azienda un covo di pornomani dilettanti sembra aver avuto un certo effetto mediatico.

Ma c’è un’altra ipotesi che Forzieri e io abbiamo considerato e che i dati di Wikileaks rilasciati oggi sembrano supportare: l’elenco di link sarebbe legato a uno dei metodi d’infezione usati da Hacking Team.

Una ricerca nell’archivio Wikileaks usando il nome di uno dei siti pornografici citato nell’elenco porta infatti a un fitto scambio di mail del supporto tecnico di HackingTeam. In queste mail si parla di un “Network Injector” di nome INJECT-HTML-FLASH. che avrebbe effetto su un numero notevole di siti di video, quasi tutti pornografici e tutti basati su Flash. Youtube ne sarebbe immune:

INJECT-HTML-FLASH supported sites:
1) http://www.youtube.com (NO HTTPS)
2) http://www.veoh.com
3) http://www.metacafe.com
4) http://www.dailymotion.com
5) http://www.break.com
6) http://www.youporn.com
7) http://www.pornhub.com
8) http://www.xhamster.com
9) http://www.xvideos.com
10) http://www.porn.com
11) http://www.xnxx.com

Unfortunately youtube might not work, because they started the migration to https,
for this reason sometimes it works and sometimes it doesn’t.
These are other sites which are currently supported:
http://www.veoh.com
http://www.metacafe.com
http://www.dailymotion.com
http://www.youporn.com

(fonte: fonte)

I visitatori di questi siti non si facciano prendere dal panico, comunque: da alcuni di questi messaggi sembra proprio che non si tratti di un attacco che infetta tutti quelli che guardano questi siti o quei video specifici e che non ci sia alcuna violazione dei siti stessi. In realtà si tratterebbe di una tecnica che consiste nell’intercettare la connessione a Internet del bersaglio e alterarne il contenuto, in modo che il bersaglio (e solo il bersaglio) riceva una versione alterata del video che contiene un attacco basato su una falla di Adobe Flash:

Ogni volta che va l’attacco inject flash dovrebbe esserci subito dopo anche una replace (significa che con inject flash il video e’ stato sostituito mentre con la replace dopo il target ha scaricato il flash con la backdoor).

(fonte)

1) Inject exe ovvero infezione tramite melting degli exe scaricati dai target windows

2) Inject html flash ovvero infezione tramite melting degli installer di flash player per sistemi windows file exe, os x file dmg, linux file deb. Con questo attacco viene fatto prima un injection sulla pagina di youtube per rimpiazzare il video con il download del fake flash installer, una volta che il target apre il link del download del flash installer meltato viene applicata una regola di replace e in questo modo si avvia il download del target del file

3) Inject html file questo attacco serve per injectare codice html all’interno di qualsiasi pagina html. Viene usato al momento per l’exploit su internet explorer, ovvero viene injectato un iframe nella pagina html che richiama automaticamente dell’exploit da uno dei nostri server. Se hai domande specifiche sull’exploit ti consiglio di chiedere a guido perche’ e’ lui che se ne occupa

4) Replace questo attacco serve per rimpiazzare qualsiasi risorsa sul web con una customizzata, l’importante che risorsa da sostituire e risorsa sostituita siano dello stesso formato, ovvero un apk con un apk, una pagina html con una pagina html e cosi via.

(fonte)

In altre parole, potrebbe esserci una giustificazione per nulla ridicola per la presenza di quei link a luci rosse. Meglio quindi non considerarla come prova dell’inettitudine del personale di HackingTeam.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Perché HackingTeam discuteva di malware dentro l’App Store di Apple?

È importante non saltare a conclusioni affrettate, ma questa mail di HackingTeam del 20 marzo scorso sembra parlare dell’esistenza recente di malware dentro l’App Store, capace di catturare “audio e screenshot a distanza”, senza richiedere jailbreak. Il malware sarebbe realizzato da un’azienda italiana. Se quest’apparenza venisse confermata, sarebbe uno smacco notevole per il modello di sicurezza di Apple.

L’app citata nella mail, YouEat, è tuttora presente nell’App Store (link intenzionalmente alterato da me), ma non è chiaro neanche ai membri di HackingTeam se sia quella l’app infettante spiona.

Ho contattato Apple segnalando la questione e sono in attesa di risposta.

Questi sono i punti salienti della mail di HackingTeam: ho sostituito con asterischi alcuni nomi e riferimenti.

2015-03-20 10:27:55 UTC
From ******@hackingteam.com
To *****@hackingteam.com, *****@hackingteam.com

Check this out (DON’T INSTALL): https://itunes.apple.com/tr/app/youeat-2.0/id877619161?mt=8
YouEat 2.0 ****** More by This Developer

YouEat is a companion application for the web site http://youeat.org. It’s free and opensource.
http://www.youeat.org
Magari non c’entra nulla, ma puzza …

[…]

Food for thoughts:

Ragazzi abbiamo ricevuto un messaggio da ********** riguardo la soluzione per iOS proposta al momento da RCS.
In pratica si tratta di una soluzione che su ogni iphone NO-JB riescono a prendere audio e screenshot. La società si chiama ****** e pare funzioni da 7.1.2 ma sulla 8 non hanno screenshot.

Guardando il loro sito e la loro expertise su gestione sicurezza mobile mi sembra plausibile che abbiano creato una app con specifiche funzionalità come siamo partiti noi. Il tutto just for your info,

[…]

aggiornamenti: per quanto riguarda ios l’azienda che ha fatto il software x iphone (solo audio e screenshot a distanza) si chiama ******* lui ha un socio che lavora all estero, san francisco. in azienda cè solo una persona che occupa di ios. è stato testato su iphone 4s con ios 7.1.2. dalla 8 in poi non funzionano più gli screenshot e comunque non è stato testato. io ho visto il prodotto circa 20 gg fà, ma da qualche giorno hanno fatto un accordo con *******. già **** publicizza il tutto dando il prodotto come funzionale e senza jailbreak. cercherò di aver altre info.( se ti fa piacere)

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Malware ricatta i videogiocatori

Malware ricatta i videogiocatori

Il ransomware è una delle invenzioni più redditizie del crimine informatico: è un programma ostile che induce la vittima a pagare del denaro ai criminali. Uno dei metodi di persuasione usati dal ransomware è bloccare l’accesso ai dati della vittima cifrandoli con una password complicatissima e poi chiedere soldi per dare alla vittima la password di sblocco.

Cryptolocker, uno dei primi esempi di questo attacco informatico, è in circolazione dal 2013 e ha fatto danni principalmente tra le aziende, bloccando documenti, fogli di calcolo e fotografie; una nuova variante, invece, prende di mira anche chi gioca ai videogame.

La variante si chiama TeslaCrypt e secondo l’analisi di Bromium Labs va specificamente a caccia di oltre 40 fra giochi per PC, piattaforme di gioco e strumenti di sviluppo di giochi, come per esempio StarCraft II, WarCraft III e World of Warcraft, Bioshock 2, Call of Duty, Fallout 3, Minecraft, Dragon Age: Origins, Resident Evil 4 e l’intera piattaforma Steam. Fra gli strumenti di sviluppo, TeslaCrypt attacca per esempio RPG Maker, Unity3D e Unreal Engine.

La tecnica d’attacco è particolarmente letale: basta che la vittima visiti con Internet Explorer (versioni fino alla 11 inclusa) oppure Opera un sito infettato che contiene un componente Flash ostile che scarica e installa il malware sul computer della vittima. Ancora una volta si conferma la validità del consiglio di disattivare o disinstallare Flash, che è diventato uno dei vettori d’infezione più diffusi.

Chi si fa infettare da TeslaCrypt non ha scelta: se rivuole i propri dati, deve attingere a una copia di backup intatta oppure pagare la cifra chiesta dai criminali, perché al momento non c’è nessun metodo per scavalcare la cifratura usata da questo malware. Prudenza, quindi: anzi, prudenza e backup.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lenovo ha preinstallato malware sui suoi PC: devastata la sicurezza degli utenti

Lenovo ha preinstallato malware sui suoi PC: devastata la sicurezza degli utenti

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Incredibile. Lenovo ha distribuito intenzionalmente dei PC Windows sui quali aveva preinstallato un software pubblicitario che iniettava pubblicità nei siti Web visitati dagli utenti e devastava la sicurezza della loro navigazione.

Il software, denominato Superfish, installa infatti falsi certificati digitali di sicurezza che gli permettono di intercettare i dati degli utenti anche quando viaggiano su connessioni protette cifrate, per esempio per effettuare transazioni bancarie o immettere password.

C’è di peggio: la chiave di cifratura di questi falsi certificati è la stessa per tutti gli esemplari di computer della Lenovo ed è nota (è basata sul nome dell’azienda che ha creato il software), per cui grazie a Superfish qualunque criminale informatico può creare falsi siti che si autenticano con HTTPS (il lucchetto chiuso, solitamente considerato garanzia di autenticità di un sito). I computer della Lenovo dotati di Superfish accetteranno questi siti come autentici invece di avvisare gli utenti che si tratta di trappole. Rubare le password di questi utenti diventa una passeggiata.

Non è finita: altre marche di computer potrebbero essere vulnerabili allo stesso modo perché altri software, per esempio alcuni sistemi di controllo parentale, usano lo stesso sistema di falsi certificati digitali.

Questo genere di comportamento si chiama in gergo man in the middle (“uomo in mezzo” o “intromissione”, per usare una traduzione libera) ed è tipico del peggior malware. Il fatto che lo installi un’azienda molto nota come Lenovo non cambia i fatti: se inietta pubblicità come fa il malware, se falsifica certificati digitali come fa il malware, se intercetta i contenuti delle navigazioni personali come fa il malware, se rende vulnerabili gli utenti come fa il malware, allora è malware, tant’è vero che alcuni antivirus lo segnalano, sia pure chiamandolo “adware” per evitare di accusare Lenovo di crimini informatici e quindi esporsi a liti legali.

Lenovo si è scusata, ha dichiarato di aver smesso di preinstallare Superfish a gennaio 2015 e di aver disabilitato Superfish sui suoi computer in vendita; ha inoltre pubblicato l’elenco dei modelli coinvolti (esclusivamente laptop), ribadendo che l’utente può rifiutare Superfish durante l’attivazione iniziale del computer e offrendo istruzioni per rimuovere Superfish e il suo falso certificato di sicurezza. Il problema, ovviamente, è che molti acquirenti di computer di questa marca non verranno a sapere che esiste questa vulnerabilità e comunque non saranno in grado di seguire le complesse istruzioni di rimozione (descritte in dettaglio da Ars Technica) o di reinstallare da capo una copia pulita di Windows.

Alcuni esperti di sicurezza informatica hanno già predisposto siti di test (per esempio https://filippo.io/Badfish o https://canibesuperphished.com) che permettono agli acquirenti di computer Lenovo (e anche di altre marche) di sapere se sono vulnerabili o no a questo problema. Il test vale solo per Internet Explorer o Chrome (non per Firefox) e va effettuato con ciascuno dei browser installati. I primi risultati di questi siti di test indicano che circa il 10% degli utenti che effettuano il test risulta essere affetto da Superfish.

Molti si chiederanno cosa possa spingere una grande marca come Lenovo a installare software che mina alla base la sicurezza dei suoi clienti e rovina la reputazione dell’azienda. La spiegazione più probabile è puramente economica: i margini di profitto su prodotti generici come i personal computer Windows per uso privato sono bassissimi e la concorrenza è spietata, per cui molti produttori (non solo Lenovo) si fanno pagare da società di marketing per preinstallare software pubblicitario. Lenovo ha dichiarato che il suo intento era di “aiutare i clienti a scoprire potenzialmente dei prodotti interessanti durante lo shopping” e che “il rapporto con Superfish non è finanziariamente significativo”, ma i dati tecnici rendono poco credibili queste giustificazioni.

Fonti: BBC, Ars Technica, TheNextWeb, Engadget, Lenovo, Punto Informatico.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cellulari cinesi preinfettati in fabbrica, occhio agli acquisti

Cellulari cinesi preinfettati in fabbrica, occhio agli acquisti

Coolpad, sesto fra i più grandi fabbricanti di smartphone del mondo e terzo fra quelli cinesi, avrebbe distribuito milioni di smartphone Android preinfettati: più precisamente, dotati di una backdoor che ne permette il controllo a distanza. L’accusa, pesantissima, è contenuta in un rapporto pubblicato da Palo Alto Networks, una società di sicurezza informatica statunitense. Per ora mancano conferme indipendenti, ma non sarebbe il primo caso di fabbricante di smartphone colto a compiere operazioni di questo genere, come segnala The Hacker News.

La backdoor, secondo il rapporto, è in grado di tracciare gli utenti, inviare allo schermo pubblicità indesiderate, mandare SMS o MMS e scaricare e installare app e falsi aggiornamenti software senza il consenso dell’utente e senza che l’utente se ne accorga. Inoltre sfugge ai controlli degli antivirus.

L’accusa si basa sul reperimento di questa backdoor su un campione di una trentina di telefonini Android della Coolpad veduti esclusivamente in Cina e a Taiwan ed è scaturita dalle lamentele di alcuni utenti in merito ad attività sospette dei propri telefonini. Secondo Palo Alto Networks, sarebbe la prima volta che un malware viene scritto e gestito da un fabbricante di prodotti Android.

Il sospetto è che queste e altre preinstallazioni di malware da parte di fabbricanti cinesi servano a consentire al governo del paese una sorveglianza più capillare dei propri cittadini. Acquistare smartphone a prezzi stracciati direttamente dalla Cina potrebbe quindi rivelarsi un affare poco vantaggioso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.