Hacking Team, una società on-line senza sicurezza

Ricco il «bottino», reso pubblico, di un attacco informatico alla Hacking Team, leader mondiale in sorveglianza digitale. Ne emerge un quadro di affari con governi che violano i diritti umani e vendita di software per spiare computer e telefoni di giornalisti e attivisti. Un’intervista con Claudio Agosti, fuoriuscito dall’impresa milanese e noto mediattivista a favore della privacy

20clt-foto-reuters-passante-131070

Fino a pochi giorni fa l’azienda milanese Hacking Team (HT) era considerata uno dei leader mondiali nel mercato del malware. I suoi prodotti – quei particolari software usati per mettere sotto stretta sorveglianza i computer e gli smartphone di attivisti, militanti politici e giornalisti – erano richiestissimi da polizie e servizi segreti di tutto il mondo. Poi, la sera del 5 luglio, un attacco informatico devastante ha colpito i suoi sistemi.

400 GB di dati vengono sottratti dai server della società capitanata dal CEO David Vincenzetti e resi disponibili in rete attraverso torrent. Tra il materiale pubblicato ci sono i gioielli della corona, come il codice sorgente di RCS – acronimo di Remote Control System –, prodotto di punta di HT e frutto di 10 anni di lavoro e investimenti in ricerca e sviluppo. Ma non solo. Nell’elenco dei leak figurano altri file preziosissimi, come i cosiddetti 0day: vulnerabilità presenti nel codice di alcuni programmi – in questo caso i popolarissimi Adobe Flash Player e Microsoft Internet Explorer – che nelle mani giuste diventano vettori per condurre attacchi informatici e prendere il controllo di un computer.

Come la notizia si diffonde la rete va in fermento. Il management dell’azienda afferma di aver perso il controllo del proprio software di spionaggio e attraverso un comunicato stampa paventa la possibilità che chiunque possa farvi ricorso. I più grossi network generalisti globali coprono la storia dedicandole ampio spazio e approfondimenti. E quando il 10 luglio Wikileaks rende consultabile e navigabile attraverso un motore di ricerca la corrispondenza interna dell’azienda – più di un milione di mail – vengono alla luce vicende imbarazzanti. Come l’esportazione illegale dei software di “sicurezza offensiva” verso il Sudan, Stato colpito da un embargo sulle armi a causa della sistematica violazione dei diritti umani operata dal suo esecutivo. Oppure i rapporti commerciali intrattenuti con società private, in barba alla policy aziendale di HT, secondo cui i prodotti della compagnia sarebbero a esclusiva disposizione di entità statali. Infine, i legami equivoci con la Presidenza del Consiglio e i servizi segreti nostrani, il cui aiuto sarebbe stato fondamentale per aggirare i divieti sulle esportazioni del Ministero dello Sviluppo Economico e permettere all’azienda meneghina di continuare a fare affari indisturbata.

controllo2Scoperchiato il vaso di Pandora, anche altre storie vengono a galla. Come quella di Claudio Agosti. Per molti è una sorpresa vedere il suo nome in quell’archivio e scoprire nel suo passato un rapporto lavorativo con HT. Perché vecna (questo il nick con cui tutti lo conoscono in rete) è un attivista pro-privacy, notissimo in Italia e all’estero. Hacker dall’altissimo profilo tecnico, esperto in crittografia e vice-presidente di Hermes (centro studi impegnato nello sviluppo di tecnologie volte a tutelare la privacy e l’anonimato degli utenti in rete), Claudio ha deciso di raccontare al Manifesto alcuni aspetti della sua vicenda professionale in HT, i motivi che l’hanno spinto a chiuderla e le sue impressioni in merito agli effetti che questa fuga di informazioni riservate potrebbe generare.

Quando hai cominciato a lavorare per HT ? Perché ci sei entrato? Qual era il tuo ruolo?

Sono entrato in HT nel 2005 per lavorare nella sicurezza informatica. Facevo “penetration test”. In pratica, i clienti ci chiedevano di condurre un attacco contro le loro infrastrutture, così da individuare le vulnerabilità presenti nelle loro reti. Ci sono entrato perché credevo che mi sarebbe piaciuto quel lavoro: mi dedicavo alla sicurezza di sistemi e degli utenti, e pensavo fosse un modo per veder come avveniva professionalmente quel processo.

Però già allora eri un attivista pro-privacy. Non trovavi che il profilo dell’azienda per cui lavoravi fosse in contrasto con la tua etica? Nel 2005 HT avevano cominciato da un anno a commercializzare trojan e spyware per la polizia postale italiana.

controllo3-512x341È facile ora vedere la cosa con linearità, più difficile quando c’eri dentro. Io non avevo a che fare con quel progetto, non ero a conoscenza dei clienti cui veniva venduto malware e non ho mai lavorato neppure in seguito in questo settore. Sapevo che c’era quel prototipo in ricerca e sviluppo… ma capire le implicazioni che avrebbe avuto ad anni di distanza era per me impossibile. Inoltre, al tempo ero molto più preoccupato dalla sorveglianza massiva che da quella targettizzata, indirizzata su un singolo “bersaglio”.

Considera inoltre che nel 2005 la possibilità di ottenere degli exploit era nettamente superiore rispetto ad oggi: in quegli anni chiunque si dedicasse alla sicurezza offensiva era convinto che la violazione di uno specifico target sarebbe stata possibile con un po di lavoro. Il prodotto di HT, ha abbassato la barriera di ingresso degli attacchi informatici. È stata questa la sua vera portata innovativa e, a suo modo, rivoluzionaria. Si tratta di un tool che ha reso gli attacchi, prima eseguibili solo da persone tecnicamente esperte, alla portata di agenti che eseguono semplici procedure. È un’analisi che oggi, con maggiore esperienza, posso fare, ma che al tempo mi era del tutto impensabile. Anzi, allora ero convinto che l’efficacia di questa tecnologia sarebbe comunque stata sempre inferiore rispetto alla capacità di un hacker esperto in grado di condurre un attacco. Mi sbagliavo. Tecnologie simili entrano nella piramide organizzativa di quelle compagnie che sono in grado di pagare per ottenerle. E danno loro un potere nuovo.

Ma se eri a conoscenza di queste cose perché non ne hai parlato prima pubblicamente?

La risposta è semplice: perché non avevo niente da dire. Quello che avveniva in HT lo scoprivo dai report di Citizen Lab (istituto di ricerca canadese impegnato da anni nel denunicare l’industria del malware, nda) o da voci riportate nell’ambiente della security informatica.

Quando sei uscito da HT e perché?

controllo4-512x392Ci ero entrato sperando di fare attività di ricerca e sviluppo su tematiche di sicurezza. Volevo esplorare campi che mi interessavano e speravo di poterlo fare con un’azienda che mi pagasse per far quello che altrimenti avrei fatto nel tempo libero. Invece mi sono ritrovato a svolgere semplici attività operative. L’investimento sul malware stava aumentando e non era quello il tipo di ricerca che volevo intraprendere. Nella primavera del 2006 ho iniziato a cercare un altro lavoro, finché a giugno ho trovato un’opportunità interessante.

Chi lavora nel mercato degli 0day e della security quanto è compromesso? Quanto è vicino e dipendente dagli ambienti militari, dei servizi e di polizia? Quanto margine ha per poter scegliere chi avvantaggiare con il suo lavoro?

Non lo so. Ho cercato di capire quel mercato un paio di anni dopo, ma si trattava di circuiti in cui potevi entrare solo a due condizioni: o avendo tanti 0day da vendere, o avendo tanti soldi per acquistarne. Io non avevo né gli uni né gli altri…

Definisci 0day.

Si tratta di attacchi che sfruttano delle falle nei software, le quali possono essere facilmente sistemate se gli sviluppatori ne sono a conoscenza. Conoscere queste falle, e scrivere software che le possano sfruttare per avere accesso alle applicazioni, è un valore: ed è per questo motivo che esistono gruppi di persone che si dedicano a cercarle, trasformarle in attacchi stabili, replicabili e venderle. C’è chi le chiama “armi digitali”: mi pare una definizione corretta, considerato il tipo di utilizzo che ne viene fatto e il valore che hanno acquisito negli ultimi 10 anni.

Uno 0day è il cuore dell’attacco informatico, una volta compiuto il quale si ha accesso alla macchina compromessa. L’accesso viene sfruttato per finalità d’intelligence, di spionaggio, d’attacco alle reti interne. Il nome 0day deriva dal fatto che si tratta di attacchi conosciuti da 0 giorni, in grado di sfruttare falle di programmazione non ancora note. Nel caso di HT, gli 0day erano acquistati e rivenduti in quanto vettori d’infezione: venivano cioè integrati nel prodotto, così che l’agente sul campo potesse farne uso senza disporre della conoscenza tecnologica altrimenti necessaria.

controllo5-512x342Tornando alla tua domanda, credo però che chi lavori in questo mercato non abbia alcun margine di azione. Certo, a meno che non si tratti di un doppiogiochista che vende l’asset, promette di mantenerlo segreto e poi lo brucia rendendolo pubblico e, quindi, inutilizzabile. Ma è un’evenienza che tenderei a escludere, perché, se guardiamo al panorama delle aziende che operano in questo settore, ci rendiamo subito conto che si tratta di attori legati a doppio filo a organizzazioni militari e d’intelligence.

I 400 GB di dati sottratti dai server di HT ne hanno completamente messo a nudo l’attività e la struttura aziendale. In un post su Medium hai sostenuto che questa forma di “trasparenza radicale […] è essenziale in questa fase di crescita esponenziale del potere digitale. Fino a quando non miglioreremo le nostre leggi”. Mi pare che questa tua affermazione presenti al tempo stesso un rischio e una contraddizione. Da una parte la trasparenza radicale è il fondamento filosofico su cui si fonda anche il regime di accumulazione delle grandi Internet Companies. Da un’altra essa si basa precisamente sull’assenza – o il progressivo smantellamento – di un quadro giuridico volto a tutelare la privacy individuale e collettiva. Non credi che ricorrere a tali strategie possa aprire la strada a scenari potenzialmente più pericolosi rispetto a quelli paventati dalla vicenda di HT?

Con “trasparenza radicale” non intendo lo stesso concetto professato dalle compagnie che guadagnano dall’analisi del comportamento degli utenti. Con questa espressione faccio invece riferimento ad una pubblicazione massiccia, non revisionata e acritica dei dati. Un “leak massivo”, come è stato il cablegate di WikiLeaks. E come ho specificato nel post che hai citato non la ritengo di per sé un’idea sacra e neppure giusta.

Credo però che ci troviamo in una situazione in cui le leggi e la consapevolezza degli utenti, delle aziende e dei cittadini si trovano ad uno stadio estremamente arretrato. Ed è per questo motivo che un leak come quello che ha colpito HT – un vero e proprio trauma se consideriamo le conseguenze che ha avuto – sia, a conti fatti, un bene per tutti.

Da 5 anni sono attivo nello sviluppo di GlobaLeaks, una piattaforma che serve per favorire la comunicazione riservata tra fonti – altresì detti whistleblowers – e giornalisti che possano mediare la diffusione dell’informazione. Quello che promuoviamo è un meccanismo migliore della trasparenza radicale. Ed è per questo motivo che il mio post su Medium termina con questa frase: “se fai parte di un business ambiguo e non regolato diventa un whistleblower, prima che qualcuno ti esponga integralmente”.

controllo1-512x384Il mio è un invito a rivelare quel che succede in ambienti simili, nei quali certamente molti hanno dei dubbi che vengono però spesso anestetizzati dall’ideologia e dai soldi. Senza persone disposte a prendersi questa responsabilità la società non ha conoscenze né stimoli ad aggiornarsi e migliorarsi. E in casi di questo genere, se non sarai tu, persona a conoscenza di queste vicende, ad essere un whistleblower… beh, corri il rischio che qualcun altro lo sia al posto tuo, magari ricorrendo, appunto, alla trasparenza radicale. E quando questo accadrà, non ci sarà revisione, non ci sarà una visione d’insieme, ma solo un grande danno a coloro che sono stati esposti al pubblico ludibrio.

In conclusione, la trasparenza radicale per me rimane l’ultima spiaggia, ma quando un mercato come quello di HT viene esposto al pubblico, allora sei legittimato a pensare che tutto sommato sia meglio così. Il fatto che quella tecnologia venisse usata per limitare dei diritti fondamentali non è mai stato un problema per i vertici dell’azienda. Inoltre, nel momento in cui si è posto il problema di applicare delle restrizioni all’uso dello strumento, la soluzione adottata dalla dirigenza è stata quella di intrallazzare sotto banco con alti vertici istituzionali.

L’unica cosa che potrebbe delegittimare la trasparenza radicale è un avanzamento nella cultura del whistleblowing, una capacità giornalistica di rivedere materiale complesso (anche se non facilmente notiziabile) e una maggior tutela legale per chi si espone, diffonde informazioni segrete e prende la parola nel pubblico interesse.

Ma chi dovrebbe garantire questa tutela legale? Quello stesso Stato che, come emerge inequivocabilmente dai leaks, aiutava HT ad aggirare i divieti di esportazione emanati dal ministero dello Sviluppo economico?

Non ho una risposta. Strumenti simili saranno sempre utilizzati da militari ed intelligence, anche qualora ne venisse fortemente limitato l’utilizzo nelle indagini tradizionali. Dai leaks però emerge la strenua difesa da parte di HT della propria italianità: una caratteristica che viene più volte presentata alle istituzioni italiane come forma di garanzia.

Garanzia su cosa?

21clt1fotinapiccolaGaranzia per lo Stato ad esercitare un maggior controllo sulla gestione delle loro tecnologie e degli usi che potrebbero esserne fatti. Questo mi sembra un elemento importante su cui ragionare. Fino a che punto un’agenzia di spionaggio o controspionaggio può condurre i suoi compiti affidandosi ad una risorsa estera su cui non esercita il pieno controllo? Credo che ogni Stato si ponga il problema e che tale dinamica potrebbe portare a una nazionalizzazione di queste tecnologie. Questo ci fa capire due cose. Primo, che i conflitti digitali sono solo all’inizio. Secondo, che uno Stato che voglia veramente proteggere i propri cittadini non dovrebbe mai sfruttare tecnologie che lascino la popolazione vulnerabile ad attacchi 0day. La dichiarazione di Cameron di qualche mese fa, quella secondo cui era inammissibile che le comunicazioni su Whatsapp risultassero illeggibili ai servizi britannici, andava in questa direzione.