RSS

Hacking Team: considerazioni

21 Luglio 2015

Varie

antivirus-64

Hacking Team

Più leggo cosa viene scoperto dai 400GB di dati trafugati dall’azienda Italiana Hacking Team specializzata nel creare software di spionaggio di dispositivi elettronici da vendere ad organizzazioni di alto livello e più c’è da rabbrividire!

Inizio

Non entro nel merito del fatto che una azienda che ha il suo business nella segretezza utilizzi la password Passw0rd per gestire i propri accessi. Tanto valeva usare la password “pippo123”, “12345678” o qualunque semplice password. Tra l’altro essendo l’azienda Italiana dovrebbe applicare la normativa della privacy e, con dati sensibili, cambiare la password ogni 3 mesi e utilizzare password non banali, ma tant’è.

Quello invece che trovo sbagliato è che sia legalizzato permettere di sviluppare e vendere software che è a tutti gli effetti un virus mirato da installare sulla vittima per essere spiata.

Su questo blog c’è la fastidiosa finestrella di accettazione cookie imposta per legge per proteggere la privacy dell’utente. Se l’utente non l’accetta non vengono mostrati i contenuti pubblicitari e le interazioni su social network. Praticamente sarà la morte del sito nel corso del tempo perchè ad un certo punto le spese di gestione dei server non saranno più coperte dalla pubblicità come avveniva prima d’ora, perché il 99% degli utenti di passaggio non clicca per accettare i cookie e se anche piace il sito non lo renderà noto sui social network.

Se non si mette in linea questo a crocchio sui cookie si viene bastonati con 120.000 euro di multa, il tutto per proteggere la privacy dell’utente.

L’Hacking Team può però sviluppare e vendere software che distruggono la privacy dell’utente in modo legalizzato e già che c’è ci infila una backdoor per spiare anche il cliente, non si sa mai che ci trovi informazioni utili, tanto il software è closed source quindi chi vuoi che se ne accorga (ma in realtà dal software trafugato sembrerebbe proprio che questo fosse stato implementato…vabbè diamo il dubbio su questo punto perché io di scaricarmi i sorgenti ottenuti illegalmente per verificare non sto certo a farlo: viva l’open source).

Del resto se chi compra il software per spiare non dimostra di avere dell’etica, perché anche Hacking Team dovrebbe averne? A già ma i clienti sono pezzi grossi (enti e organizzazioni) a loro tutto è concesso!

E’ concesso che l’Hacking Team avesse scoperto delle grosse falle sui software di uso comune (come Windows, Flash Player, ecc) e invece di segnalare il problema al produttore perché lo correggesse lo ha utilizzato per poter permettere al proprio software di essere installato all’insaputa della vittima.

Guarda ciò, lo stesso comportamento di un hacker che se viene beccato dall’FBI a fare ciò si prende l’ergastolo o la sedia elettrica, mentre Hanking Team è pagato per farlo in modo legalizzato.

Da anni sviluppo un plugin per WordPress (NewStatPress) per avere un contatore visite che fosse gratuito ma non soffrisse dei problemi di quelli attuali (ovvero funzionano per tot tempo, poi il sito chiude e perdi tutte le visite). Il software nasce come fork di StatPress che non veniva più sviluppato da anni e pertanto aveva delle lacune.

Lo uso su 10 siti, compreso questo e attualmente è installato da più di 60.000 siti.

Quando ho fatto partire il fork non avevo esperienza di scrittura codice sicuro per il web, pertanto ho cercato di documentarmi nel tempo in modo che le modifiche introdotte fossero sempre sicure in base alle conoscenze che man mano acquisivo, cercando di riscrivere il codice precedente quando capivo cosa faceva e lo trovavo poco amichevole.

Alcune parti del codice originale mi sono rimaste oscure anche di recente, ma per fortuna alcuni ricercatori di sicurezza hanno trovato delle vulnerabilita XSS e SQL injection presenti nel software che risalivano ancora a Statpress e presenti in altri fork di quel software.

Questi ricercatori hanno tutta la mia stima, perchè mi hanno permesso nel giro di poche ore di rilasciare fix che chiudessero le falle e di imparare altre tecniche per aumentare la sicurezza del software per il futuro.

Ma se invece era Hacking Team (o aziende simili)? Beh, loro avrebbero probabilmente scandagliato il web, cercato i 60.000 siti che utilizzano il software e iniettato il loro software spia invece di segnalarmelo per una pronta chiusura dei bug!

Ecco quello che non torna! Sapere di bug e sfruttarli invece di segnalarli è un comportamento che definisco da criminali anche se la ditta è pagata da governi per farlo in modo legalizzato.

Sarebbe stato altresì riprovevole una volta appreso dei bug nei mio software far finta di niente e non correggere i bachi. Purtroppo questo a volte capita con le grosse software house che lasciano aperte le falle per mesi anche una volta segnalate (ed infatti ho ricevuto i complimenti da parte degli esperti di sicurezza per aver chiuso i bachi in così poco tempo).

Conclusioni

Ah, sapete la cosa peggiore in questa vicenda? Se provate ad utilizzare cgminer.exe per minare dei Bitcoin sul vostro pc, al 99% il vostro antivirus vi bloccherà il programma riconoscendolo come software dannoso.

Se invece avete il software spia di Hacking Team installato sul vostro pc l’antivirus non vi dirà nulla perché i vari produttori di antivirus, pur conoscendo come trovare il programma (si parla prima che questa vicenda venisse a galla) non l’hanno fatto essendo il programma venduto legalmente…

Il consiglio? Utilizzate il più possibile software Open Source perchè almeno ci sono N occhi che possono scovare bachi guardando il codice e dubito che tutti questi N siano come un hacker o ditte alla pari di Hanking Team che non segnalino il problema per poi sfruttarlo.

E installate sempre gli aggiornamenti quando escono. Se c’è un aggiornamento di sicurezza sotto c’è sempre un buon motivo per installarlo!

p.s.

Hei, se sei quel 70% di utenti che usa Newstatpress e ti ostini ad usarlo senza aggiornarlo all’ultima versione ti invito ancora una volta di più a tenerlo sempre aggiornato, oppure non usarlo. Grazie!

p.s.2

non c’è l’ho specificatamente con Hacking Team ma con tutte quelle ditte che si comportano allo stesso modo e a chi permette che ciò sia legale.

 

p.s.3

attenti a quando usate la lavatrice o la tv…dentro potrebbe esserci software per spiarvi!

No comments yet.

Leave a Reply