Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

L'attacco ad hacking team e la scena forcaiola italiana

L'attacco ad hacking team e la scena forcaiola italiana Photo by on Unsplash
1054 parole - Lo leggerai in 5 minuti

Settimana scorsa, a quest’ora, stavo preparando i bimbi per il mare. Giusto il tempo di una sbirciata sui social e la notizia del leak del secolo si stava già diffondendo.

In questa settimana, come accade sempre quando in Italia accade qualcosa, si sono scoperti esperti conoscitore dell’ICT Security. Tutti esperti nel sapere come ci si difende da un attacco, tutti esperti nel sapere se sia lecito o meno la tipologia di software sviluppata da HT, tutti conoscitori improvvisamente di Schneier.

Al netto delle considerazioni etiche sul vendere un’arma, perché dobbiamo chiamare le cose con il loro vero nome, ad una dittatura, il web forcaiolo italiano si è prodotto nel suo solito crucifige ignorante.

Una retroazione negativa di merda spalata per correre dietro all’influencer di turno e raccogliere qualche pacca sulla schiena, visto che nella vita forse così tanta considerazione non si riesce ad averla.

HackingTeam è cattiva e come il software che scrive

La Beretta che fabbrica armi invece deve vincere il premio per la filantropia? Chi fabbrica armi rifornisce sia stati dove la polizia ha un suo onore e serve il proprio paese, astenersi fascinosi dell’anarchia per favore, ma rifornisce armi anche a stati che sono, libertini nell’uso delle armi.

In questo caso, chi è il cattivo? Chi ha in mano l’arma e sceglie come usarla oppure chi l’ha costruita? Comodo lavarsi le coscienze dicendo che la colpa è del produttore. La colpa è dell’utilizzatore finale dello strumento, altrimenti potremmo incolpare una casa automobilistica di favoreggiamento nel caso una delle sue macchine fosse usata in un attentato.

Esistono in Rete, un sacco di software di offensive security. Alcuni di essi sono opensource e li uso pure io per il mio lavoro quotidiano. Quindi? Ci sono un sacco di criminali là fuori? E se dawnscanner fosse utilizzato da un criminale per studiare un codice ruby per poi bucarlo, io che ho scritto dawnscanner sono un criminale?

HackingTeam installa immagini pedo pornografiche per incolpare innocenti

Falso. Ho analizzato quella porzione di codice e preparato un post un po’ di più tecnico di questo. I nomi dei file pedo pornografici sono utilizzati all’interno di una classe che server per testare il motore di analisi delle prove rinvenute sul PC controllato.

Liberi di credermi o no, ma questa è stata la trovata del pennivendolo di turno. Però quanto è stato bello indignarsi, senza neanche guardare il codice, vero?

HackingTeam scrive software illegale perché nessuna democrazia lo può usare

Questa me l’ha contestata un ragazzo che fa forensic security di mestiere, un addetto ai lavori. Io gli ho detto che, secondo me, un magistrato può autorizzare l’uso di un software di intercettazione come quello di HT per raccogliere evidenze di particolari reati, né più, né meno come si mette sotto controllo telefono o si installano microfoni ambientali.

Apriti o cielo. Non capisco niente, chiaro. L’intercettazione ambientale è ben diversa da questo perché questo software, cito, “intercetta il traffico generato dal programma.”

What?

Gli ho fatto notare che, se fosse vero che un PM non può autorizzare l’intercettazione telematica di un sospettato, allora visto che tutti sapevano quello che faceva HT e che anche la Polizia si serviva di loro, sarebbe dovuto scoppiare un casino epico. E anche se non l’avesse saputo nessuno, ma il mondo ne è venuto a conoscienza ora, il fatto avrebbe ripercussioni politiche anche in uno stato telematicamente ignorante come il nostro. Vuoi mettere che bello attaccare i PM per un uso al di sopra della legge della tecnologia?

HackingTeam spia i cittadini. Devono fallire

Bhé sicuramente i risultati dell’anno fiscale non sareanno forse rosei, ma questa è stata una della forcaiolate più ricorrenti e disarmanti. Disarmante perché, nella maggioranza dei casi, è stata mossa da persone con un profilo Facebook completamente aperto.

Io capisco, caro Signor XYZ, che citare Snowden ed inneggiare alla libertà contro il tiranno che ci spia, ti fa sentire fico come quando avevi 18 anni ed eri giovane e ribelle, però le foto dei tuoi piccoli al mare non metterle a disposizione di tutti, imposta bene la privacy del tuo profilo. Si perché sapere il tuo indirizzo è un attimo, basta vedere un po’ la tua gallery, bella la tua macchina anche se tutti quei post razzisti contro gli immigrati fanno un po’ ignorantotto secondo me.

Non serve HT con RCS per spiare il comune cittadino, la maggior parte mette direttamente a disposizione tutti i dati che servono.

Questa è una mia opinione personale. Trovo difficile pensare che HT abbia comprato 0 day per fare un attacco di massa contro i cittadini italiani o mondiali ed abbia messo in piedi un datacentre sotto il Cervino per memorizzare tutti i dati raccolti. Tutto per sapere che tizio va a letto con caio, mentre si professa sacerdote o per sapere che sempronio ha fatto le foto sporcaccione con la segretaria.

Va bene i complotti, ma ora esageriamo.

HackingTeam è composta da ignoranti che non si sono accordi di un leak di 400G

L’italiano medio, quando fa un’affermazione, ama non tenere in considerazione dati e prove. Per poter dire che si sarebbero dovuti accorgere di qualcosa, bisogna considerare due variabili:

  • quando è iniziato l’attacco
  • per quanto tempo l’attaccante ha trafugato dati

Abbiamo i grafici dell’uso di banda per sapere il delta aggiunto dalla fuga di dati? No. Abbiamo quindi evidenza che hanno fatto un unico download di 400G? No. E se avessero fatto un leak costante, poco alla volta, fino a lunedì quando HT si è accorta della cosa per altre vie?

Anche in questo caso, più domande che risposte.

Off by one

Molti commentatori si sono poi scandalizzati che il vil denaro, sopisse l’etica della compagnia. Il Sudan viene, ti stacca un assegno da un milione e tu ti tappi il naso e gli vendi un software. Quello che ne farà il Sudan poco ti importa in quel momento. Deprecabile? Bhé sì perché il Sudan è sotto embargo, quindi forse anche fuori dalla legge.

Come è fuori dalla legge la consuetudine dell’italiano medio di frodare il fisco quando può risparmiare un 20% dal dentista. Sono certo che tutti i commentatori dell’ultim’ora non ricorrono mai a questi mezzucci, altrimenti dovrebbero aprire il dizionario sotto la voce ipocrisia.

Prima di stracciarsi le vesti, molta gente dovrebbe assicurarsi di averne una.

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list