La violazione dei diritti umani e una reputazione ormai compromessa hanno messo in ginocchio Hacking Team. I nuovi proprietari vogliono ripartire da zero.
di Patrick Howell O’Neill
Nel 2014, a distanza di una decina d’anni dalla sua fondazione, l’azienda italiana Hacking Team era conosciuta in tutto il mondo. La sua tecnologia di sorveglianza avanzata, chiamata Remote Control System (RCS), era stata venduta a diversi governi, tra cui alcune delle dittature più famose al mondo.
Il suo software è stato utilizzato per rubare furtivamente i dati a chiunque fosse stato preso di mira. Quando i ricercatori hanno finalmente iniziato a scoprire le attività dell’Hacking Team, l’elenco degli obiettivi colpiti includeva attivisti e giornalisti per i diritti umani.
Ma, nel 2015, sono stati gli hacker a colpire Hacking Team. I dati per un totale di oltre 400 gigabyte, inclusi e-mail, fatture e codice sorgente, sono stati resi pubblici.
L’account Twitter dell’azienda, a sua volta hackerato, ha reso di pubblico dominio la violazione.
Agli occhi dell’opinione pubblica, l’azienda aveva appoggiato i regimi repressivi. Per i colleghi del settore, era stata hackerata una società di hacking. E’ iniziato il declino. Quasi cinque anni dopo, Paolo Lezzi spera di far rivivere i fasti passati, trasformando il disastro in un’attività redditizia.
Il nuovo regime
La settimana scorsa ho incontrato Lezzi a Milipol, una fiera dedicata alla difesa e alla sicurezza. È passato poco meno di un anno da quando ha acquistato Hacking Team, ne ha cambiato il nome e ha iniziato a ripartire. La mia prima domanda era ovvia per il capo di un’azienda di spyware legata a regimi repressivi.
“Come farà a evitare nuovi abusi?”, ho chiesto.
Lezzi ha inspirato lentamente mentre analizzava la domanda. Ha indicato alcune mitragliatrici a pochi metri da dove parlavamo e ha detto: “Perché tutti ci fanno questa domanda, ma nessuno la fa a chi produce queste armi?”.
Lezzi è il proprietario di Memento Labs e della sua azienda madre, InTheCyber. Memento Labs è stata inaugurata a marzo quando Lezzi ha acquisito Hacking Team. L’azienda ha fatto quest’anno il suo debutto pubblico alle principali conferenze del settore della sorveglianza ISS World a Praga e Milipol a Parigi.
Memento Labs vende una varietà impressionante di strumenti per lo spionaggio. Il suo prodotto KRAIT consente a qualcuno di “attaccare qualsiasi dispositivo Android e non lasciare tracce”, rilevando il dispositivo per sorvegliarlo.
L’azienda offre quello che chiama un “impianto affidabile” per inserire KRAIT sul dispositivo del bersaglio, il che significa che il malware verrà consegnato da quello che sembra alla vittima come una fonte nota.
È un servizio “che rende semplice la campagna di ingegneria sociale”. KRAIT è un piccolo agente e si nasconde all’interno di applicazioni legittime ed è in grado di rubare le password dal bersaglio. Può anche lanciare innumerevoli exploit, gli strumenti altamente apprezzati e in costante evoluzione che sfruttano le vulnerabilità della sicurezza digitale per scivolare all’interno del software e assumerne il controllo. Le comunicazioni tra KRAIT e i server di comando e controllo dell’attaccante sono mimetizzate spostandosi attraverso servizi e app online affidabili.
“I payload non vengono mai archiviati sui dispositivi di destinazione”, afferma l’azienda, “rendendo quasi impossibile scoprire l’esistenza dell’agente e la sua sfera d’azione”. Quando KRAIT prende il controllo del telefono della vittima, i dati sulla posizione del dispositivo, il microfono, la fotocamera, le chiamate, la rubrica, il file system, i messaggi di testo e altro appartengono all’hacker.
“L’aspetto particolarmente preoccupante è che prodotti come KRAIT sono progettati per infettare silenziosamente e sorvegliare invisibilmente anche obiettivi che potrebbero avere un alto livello di consapevolezza della sicurezza digitale”, afferma Bill Marczak, ricercatore presso il Citizen Lab dell’Università di Toronto che ha guidato in una prima fase il gruppo di ricerca di Hacking Team.
Il punto di forza
Il prodotto di punta di Memento, RCS X, è l’ultima versione di RCS, lo spyware che nel 2012 è stato utilizzato per controllare giornalisti e attivisti per i diritti umani in tutto il mondo arabo e a Washington, DC. Citizen Lab ha identificato altri utenti governativi di RCS, inclusi i regimi autoritari dall’Egitto e dall’Etiopia all’Arabia Saudita e al Sudan. Ne sono state scoperte ancora tracce l’anno scorso.
Frutto di 15 anni di sviluppo, RCS X rappresenta un’infezione “invisibile al 99 per cento delle piattaforme più utilizzate al mondo”, inclusi macOS, Linux, Android, iOS e BlackBerry. Lo strumento infetta qualsiasi target attraverso lo sfruttamento di vulnerabilità di sicurezza. Una console può gestire tutte le infezioni e raccogliere dati crittografati da applicazioni, calendari, messaggi, password e altro ancora.
Con RCS X, un hacker può controllare il microfono e la videocamera, acquisire schermate e infine ottenere il controllo completo dell’obiettivo prefissato.
La tecnologia è più veloce della legge
Memento venderà solo alle forze dell’ordine ufficiali, alle agenzie di intelligence e ai militari. L’azienda richiederà l’autorizzazione delle autorità di esportazione italiane, le stesse autorità che nel 2016 hanno revocato la licenza globale di Hacking Team dopo che sono emerse prove che il prodotto era stato utilizzato in paesi come il Sudan, l’Arabia Saudita e l’Egitto e collegato a violazioni dei diritti umani.
Ma le leggi che regolano l’industria non sono all’altezza della situazione, afferma Marietje Schaake, un ex membro del Parlamento europeo che ha ripetutamente lanciato allarmi sulla tecnologia di sorveglianza che viene costruita e venduta in Europa.
L’ex deputata si è imbattuta per la prima volta in questi strumenti durante la primavera araba, un movimento pro-democrazia nato in Medio Oriente, quando Hacking Team è stata coinvolta nella vendita di spyware come RCS alla dittatura egiziana.
“Non sono rimasta sorpresa dal fatto che i dittatori facessero qualsiasi cosa per mantenere il potere”, afferma Schaake, “ma mi ha colpito il fatto che questi strumenti fossero venduti loro da paesi democratici”.
La carriera decennale di Schaake nel parlamento UE è stata punteggiata da tentativi di aumentare la responsabilità legale e la trasparenza nel settore della sorveglianza per prevenire i tipi di abusi che hanno reso famosa l’azienda.
“La tecnologia si è mossa più velocemente delle leggi”, ella afferma. “Tutte le leggi che regolavano le esportazioni sono legate al settore della sicurezza. Non si è parlato dei diritti umani fino a eventi come la primavera araba e l’omicidio di Jamal Khashoggi. L’Italia in particolare si pronuncia sempre contro restrizioni e sanzioni. A loro piace essere ‘pragmatici’”.
Lezzi afferma che Memento Labs ora sta compiendo dei passi per evitare possibili abusi: l’azienda limita il numero di “agenti” software venduti ai governi, vale a dire quegli agenti in grado di spiare e controllare una macchina.
“Se vendi migliaia di agenti, potrebbe non essere per le forze dell’ordine”, spiega Lezzi, sottolineando che alcuni concorrenti del settore vendono capacità di spionaggio in modo indiscriminato. Noi ci limitiamo a venderne da 25 a 50. “È impossibile violare i diritti umani con solo 50 agenti”, afferma Lezzi.
Tuttavia, Memento non è in grado di rilevare direttamente eventuali abusi da parte dei governi che utilizzano i suoi strumenti di sorveglianza, quindi l’utilizzo finale dello spyware è al di fuori del controllo di Lezzi.
Bill Marczak è scettico sul fatto che le garanzie di Memento Labs funzioneranno, indicando un caso del 2014 in cui il governo etiope ha usato lo spyware di Hacking Team per colpire i giornalisti. “Il governo dell’Etiopia non ha avuto problemi a perseguitare giornalisti e gruppi di opposizione con i 50 agenti venduti dal predecessore di Memento, Hacking Team”, spiega Marczak.
In effetti, il nuovo materiale pubblicitario per RCS X promette che “gli agenti RCS possono essere utilizzati un numero illimitato di volte, consentendo la massima versatilità nelle indagini”.
La fase di ricostruzione
Memento deve affrontare una dura battaglia, non solo per riguadagnare la sua reputazione, ma anche per trovare un nuovo punto d’appoggio sul mercato. L’industria della sorveglianza ha molti concorrenti altamente capaci. Le aziende israeliane in particolare sono all’avanguardia. Non è facile competere con un gigante del settore della sorveglianza delle dimensioni del gruppo israeliano NSO.
L’industria del settore è in piena espansione: non ci sono mai stati così tanti prodotti di sorveglianza e spyware in vendita come alla conferenza di Milipol di quest’anno. Se c’è più concorrenza nel settore, c’è anche più denaro e una maggiore domanda da parte dei paesi di tutto il mondo.
Poche nazioni hanno il budget e le capacità delle agenzie di intelligence americane. Memento Labs spera di costruire un business redditizio privilegiando le nazioni di medie dimensioni che vogliono realizzare ambizioni nel cyberspazio a basso costo. Se l’azienda saprà evitare gli errori del passato è un’altra questione del tutto.