Hacking Team: quando gli hacker vengono hackerati
Vi ricordate del polverone sollevato dalla questione Hacking Team lo scorso anno? A luglio 2015, la società italiana che si occupava di fornire misure di sicurezza (più o meno legittime) a colossi finanziari come Deutsche Bank, Barclays e diverse banche italiane è stata a sua volta hackerata, messa a nudo rivelando al mondo intero proprio i suoi clienti e i metodi utilizzati.
Facciamo un passo indietro: Hacking Team ha cominciato il proprio business aiutando esclusivamente le grandi aziende a difendersi da cyber-attacchi di qualsiasi genere. All’incirca nel 2007 la prima svolta: l’inizio dello sviluppo di RCS (Remote Control System), conosciuto poi come DaVinci, prodotto che ha riscosso successo planetario, contribuendo consistentemente alle fortune dell’azienda. Il tool si prefigge lo scopo di tenere sotto controllo da remoto le persone indagate dalle forze dell’ordine.
Alla fine del 2012 DaVinci viene scoperto e collegato a Hacking Team, in quello che verrà conosciuto poi come il primo caso di abuso contro i diritti umani da parte dell’azienda: il governo marocchino utilizzava il programma per controllare la stampa del paese. In futuro si scoprirà che il servizio è stato venduto anche a governi di regime oppressivo come l’Etiopia e il Sudan, pratica vietata e che ha contribuito a etichettare Hacking Team come “nemici di Internet”.
Tutto questo ci riporta al periodo più recente, quello in cui la società viene hackerata da un tizio qualunque che si fa chiamare Phineas Fisher, colui che si è infiltrato nei server dell’azienda e ha sottratto ben 400 GB di dati, mandandola in rovina. In realtà, Hacking Team è ancora oggi attiva in qualche modo, pur avendo subito un contraccolpo devastante: tutti i codici sorgente, tutte le transazioni e i servizi offerti ai clienti sono stati rivelati al mondo. Il gruppo cerca di sopravvivere come può ancora adesso ma da fonti anonime si scopre che quasi tutti i clienti si sono dileguati, mentre i nuovi potenziali interessati non vogliono affidarsi a persone che si sono dimostrate incapaci di difendere i loro sistemi. Cosa ironica per un’azienda che si occupa di sicurezza informatica e che, a quanto riporta Phineas, utilizzava password estremamente banali per proteggere i suoi dati.
Fisher ha commentato l’accaduto recentemente, circa otto mesi dopo l’attacco, proclamandosi come un attivista che ha realizzato un “hacking etico”, atto a rimuovere dal sistema il team che, utilizzando le parole dello stesso, “abusava dei diritti umani con metodi fascisti”.
L’hacker ha inoltre spronato gli utenti a informarsi riguardo le tecniche di hacking e imparare a utilizzarlo, in quanto “dà la possibilità ai meno fortunati di combattere e vincere”. E in questo caso, non c’è alcun dubbio su chi abbia vinto.
Chi ha perso, invece, siamo tutti noi. Non solo abbiamo scoperto che il nostro governo per questioni tanto sensibili si è affidati a dei dilettanti allo sbaraglio: ora, i dati raccolti da Hacking Team e le le sue “armi” sono disponibili a chiunque.
