HackingTeam e la storia del figlio del calzolaio
Lunedì mattina è scoppiata la bomba. Hanno bucato Hacking Team, la società milanese famosa in tutto il mondo per aver creato una serie di software per l’intercettazione di attività telematiche da remoto, o come direbbero i pennivendoli cyber spioni.
Tralasciamo le considerazioni etiche sul fatto di fare soldi con dittature del terzo mondo che, sfruttano il controllo per la repressione delle persone con idee politiche differenti. Tralasciamo le considerazioni legali di fare soldi con un paese, come il Sudan, che è sotto embargo ONU.
Concentriamoci su un punto. Sei una società che si occupa di offensive security, scrivi software che, dal punto di vista tecnico, è all’avanguardia e ti fai sbragare rimanendo in braghe di tela? Le password del tuo sysadmin senior erano veramente Passw0rd!81? Chi gli ha fatto il colloquio era sotto acido? Non hai in campo un processo di verifica periodica delle password di dominio?
Come sono entrati non lo sapremo mai. Io credo che le password deboli del loro senior sysadmin non c’entrino e siano state trovate post intrusione. Questa a me sembra un’azione di guerriglia informatica in piena regola e studiata a tavolino.
L’attacco arriva infatti a ridosso di 3 eventi mediatici importanti:
- finale di Coppa America
- il voto Greco contro le condizioni economiche dell’UE in merito alla restituzione dei soldi prestati agli ellenici
- il viaggio del Papa in Sud America, il primo del suo pontificato
Chi è stato e come ha fatto?
Io credo che fossero già dentro da un po’. Come ci possono essere entrati? Non voglio pensare all’insider, al dipendente infedele. Voglio pensare ad un APT scritto ad hoc per loro. Magari volto a colpire una persona vittima, nel passato più prossimo, di un po’ di social engineering. Voglio pensare, visto il livello della gente lì dentro, se escludiamo il senior sysadmin, che la vittima sia una persona che non si occupa di IT.
Da dentro magari hanno intercettato qualche password di accesso alla VPN, hanno studiato la topologia della rete e, coperti da tre eventi, hanno attaccato e ci siamo trovati lunedì mattina con 400 GB di leak in giro sui torrent.
L’attaccante sapeva dove andare a parare, è andato sui fileserver e si è preso i contratti e le fatture dei software di controllo, oltre che ad una serie di report di pentest fatti per loro clienti a cavallo tra il 2007 e il 2008.
Si è preso i codici sorgenti dei software per la sorveglianza. Possiamo farci tutti il nostro Asfixya in tutta tranquillità.
La verità, come da manuale, non la sapremo mai. Quelle in questo post possono essere belle supposizioni degne di un romanzo cyber, oppure potrebbero essere una verità parziale o totale.
Ma quindi, nessuno è veramente al sicuro?
Bravi. Se fino a domenica potevate avere qualche dubbio, adesso ve lo dovreste essere tolti del tutto. Nessuno sul web è sicuro. Tutti sono potenziali obbiettivi, tutti abbiamo dati che interessano a qualcuno. Alcuni più di altri. Alcuni dovrebbero proteggere i propri dati con più paranoia di altri.
Di questa storia non dirò altro sul piano etico. Ognuno si fa la sua idea. Lì fuori sul web ci sono intere conversazioni via email, screenshot di desktop, foto rubate dalla cronologia di whatsapp (ci sono anche foto di minori, spero nessuno faccia cazzate), contratti, fatture, ordini, preventivi, esito di colloqui1.
Della notizia ne hanno parlato mirabilmente:
In Italiano come non citare:
I vari quotidiani Italiani stanno ancora cercando di capire cosa sia un leak di dati e che lavoro facessero quelli di HackingTeam.
Asphyxia
Voi tutti avete letto la Trilogia Millennium di Stieg Larsson e sapete che grazie ad Asphyxia, un software di controllo non dissimile da RCS, Lisbet Salander è riuscita a, bhé se non l’avete letto è meglio che non vi dica cosa è riuscita a fare.
Visto che ormai il codice di RCS è online ho pensato che fosse più in linea con Codice Insicuro, una serie di post che analizzano pezzo per pezzo, laddove possibile, quanto trafugato.
Quello che emerso da una prima occhiata ai repository, si può ricondurre RCS a 3 componenti principali:
- gli agent per le varie piattaforme. L’agent è la componente che fa il lavoro sporco, che si nasconde nel computer (o nel telefono) vittima e si mette a collezionare dati.
- soldier, ovvero la parte contenente gli exploit per bucare il computer vittima ed installare l’agent
- il backend di RCS
Partiremo ad analizzare il backend, per poi passare agli agent. La parte che realizza l’exploit è quella un po’ più ardua e credo che ci impiegherò un bel po’…
Off by one
Passw0rd!81 da uno che si firma senior sysadmin non si può proprio vedere.
-
mandai il CV ad HT nel 2004. Non mi facero mai neanche il primo colloquio. Ho cercato ma i dati non arrivavano a quell’epoca. ↩
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progetto