Sistemi di sorveglianza saltati, nuove minacce per chi naviga su Internet e la conferma che la “zona grigia” in cui si muovono servizi segreti e forze dell’ordine rischia di causare danni catastrofici nel mondo della sicurezza informatica. È questo il primo bilancio della vicenda legata all’attacco a Hacking Team, che ha portato alla pubblicazione di materiale riservato a opera di un gruppo di pirati informatici che ha violato i server dell’azienda di sicurezza. Uno scenario che è stato descritto nel dettaglio a ilfattoquotidiano.it da Vicente Diaz, analista ed esperto di sicurezza di Kaspersky Lab.

Che differenze ci sono tra un software di spionaggio come quello realizzato da Hacking Team e i normali trojan che circolano sul Web? Stando a come viene descritto dall’azienda sarebbe praticamente invisibile.
Bisogna distinguere la realtà dei fatti dall’esagerazione del marketing aziendale. È vero che si tratta di software sofisticati, ma da un punto di vista strettamente tecnico non sono molto diversi da quelli in circolazione. La loro capacità di evitare il rilevamento da parte degli antivirus dipende dalla versione del software di sicurezza e dalla versione del malware. Le cose cambiano in continuazione e non è detto che un trojan “imprendibile” non possa essere rilevato dopo qualche aggiornamento. Già l’estate scorsa ci è capitato di imbatterci in un software di spionaggio di Hacking Team. In quel caso si trattava di un malware per dispositivi mobili, ma siamo riusciti a individuarlo.

Ci sono rischi concreti per i normali utilizzatori dopo questa fuga di informazioni?
Ovviamente il fatto che il codice di un programma come questo sia accessibile a tutti potrà creare qualche problema, visto che i pirati hanno a disposizione un kit di sviluppo già pronto che mette a disposizione un Remote Control System, una piattaforma completa per spiare l’attività dei dispositivi, moduli aggiuntivi e metodi di infezione piuttosto efficaci. Ora che il codice di Galileo (conosciuto anche come Da Vinci ndr) è pubblico, però, tutti i software antivirus dovrebbero essere in grado di rilevarlo senza problemi.

È possibile che la collaborazione con agenzie governative abbia permesso a Hacking Team di utilizzare debolezze di sistema o falle di sicurezza create ad hoc per installare il software spia?
Lo ritengo improbabile. Da quanto è emerso finora, l’unica falla di sicurezza utilizzata da Hacking Team era una vulnerabilità nei software Flash delle varie piattaforme. D’altra parte il modello di business adottato da una società come questa è quello di mettere a disposizione una piattaforma per lo spionaggio online, senza preoccuparsi della sua distribuzione. Le forze di polizia e i servizi segreti tendono a condividere il minimo delle informazioni necessarie ed è quindi probabile che abbiano utilizzato il software di Hacking Team come base delle loro attività di sorveglianza, usando però i loro strumenti per installarlo sui computer delle ‘vittime’.

Tra i moduli del software Da Vinci è stato trovato anche uno strumento che permetterebbe di caricare sul computer della vittima materiale compromettente per screditarlo o incastrarlo in un’eventuale indagine…
Non ho ancora avuto la possibilità di analizzare questo aspetto nel dettaglio, ma le prime indiscrezioni circolate in rete confermano la presenza di uno strumento del genere. Se confermata, si tratterebbe di una palese violazione degli scopi per cui questo tipo di software dovrebbero essere creati e venduti. Una cosa è permettere la sorveglianza di un potenziale terrorista, un’altra dare alle forze dell’ordine uno strumento che gli permette di incastrare un innocente fabbricando false prove. Credo che in qualsiasi paese un’azione come questa verrebbe vista come un abuso di potere.

È possibile che chi ha rubato il codice dai server di Hacking Team sia ora in grado di controllare a distanza i computer infettati e accedere alle informazioni raccolte?
Senza dubbio. Dalle informazioni che sono circolate, è ragionevole pensare che chiunque abbia violato i sistemi di Hacking Team sia in grado di accedere alla piattaforma, ai server usati dai clienti e ai file di log che contengono le registrazioni dei dati sottratti. Potrebbero anche sfruttare queste informazioni per cercare di hackerare le stesse strutture delle forze dell’ordine utilizzando una backdoor. Senza contare che ora le persone che erano sottoposte a sorveglianza attraverso questo software sanno di essere spiate.

Le aziende che si occupano di sicurezza sentono il bisogno di una regolamentazione più efficace nella realizzazione e vendita di questi strumenti di spionaggio?
Assolutamente. Il fatto che le legislazioni siano così differenti da paese a paese rende le cose decisamente troppo complicate. Credo si debba aprire una discussione che permetta ad arrivare a una regolamentazione comune che permetta di risolvere questi problemi. Spesso siamo in difficoltà anche per il semplice fatto che l’attacco informatico parte da un paese e ne colpisce un altro. Una legislazione comune permetterebbe anche di fissare confini legali precisi all’interno dei quali le forze dell’ordine si possano muovere nell’uso di questi software. Fino a quando non ci sarà un quadro normativo chiaro, vicende come queste continueranno ad accadere. Anche perché aziende come Hacking Team, in queste condizioni, agiscono in una sorta di zona grigia.

Avete ricevuto informazioni da parte di Hacking Team per rendere più agevole il rilevamento del loro malware?
Che io sappia no. Ma non credo che ci sia stata alcuna comunicazione in questo senso. Il fatto che il codice sia disponibile su Internet, però, dovrebbe permettere a tutti gli esperti di sicurezza di riconoscere e bloccare questo tipo di malware senza troppi problemi.