domenica 19 giugno 2016

Hacking Team, arriva un nuovo socio straniero

La Stampa
carola frediani

Cambio di assetto societario per l’azienda milanese venditrice di spyware: il fondatore Vincenzetti sale di quota, ma compare anche una misteriosa fiduciaria cipriota



A quasi un anno dall’attacco informatico che l’ha colpita nel luglio 2015, Hacking Team - l’azienda milanese che vende spyware, software spia, a governi di molti Paesi - ha cambiato composizione societaria. Attualmente le quote azionarie sono divise tra l’amministratore delegato David Vincenzetti (all’80 per cento) e tra una sconosciuta società di Cipro, Tablem Limited (al 20 per cento).

Fino ad alcuni mesi fa le azioni dell’azienda erano spartite invece tra l’amministratore e fondatore Vincenzetti (che aveva il 32,85 per cento), il cofondatore Valeriano Bedeschi (11 per cento), Vittorio Levi, presidente di Panini spa (4,09 per cento), e da due fondi di venture capital, Innogest e Finlombarda Gestioni Sgr (entrambi al 26,03 per cento). Ricordiamo che Finlombarda Sgr era controllata da Finlombarda Spa, agenzia finanziaria pubblica della Regione Lombardia. Ora, forse anche a seguito di quanto avvenuto negli ultimi mesi - a cominciare dall’attacco informatico subito dall’azienda milanese lo scorso luglio, che ha riversato online molti documenti interni, email e il codice sorgente del suo software - i fondi (e gli altri soci) si sono ritirati.

Oggi dunque la società italiana che vende spyware ad agenzie governative per le loro investigazioni - e che fino a poco tempo fa era il maggior fornitore al riguardo dei nostri servizi segreti, delle forze dell’ordine e delle procure, tanto da aver prodotto un’ondata di panico tra i nostri apparati nei giorni successivi all’hackeraggio - è ampiamente controllata dal suo storico fondatore ma con la partecipazione importante di una nuova e misteriosa società, la Tablem Limited, una fiduciaria di Cipro, con sede a Nicosia. Interpellata dalla Stampa, Hacking Team preferisce non commentare, rimarcando solo come positivo il fatto che l’azienda sia più saldamente nelle mani del suo amministratore. Del nuovo socio - straniero - non rilascia commenti.

Hacking Team, fondata a Milano nel 2003 da Vincenzetti e Bedeschi, attorno a un pool di giovani informatici, si specializza da subito nella sicurezza offensiva e inizia a vendere sofware spia, in grado di infettare un pc o smartphone e di controllarne tutta l’attività da remoto, alle forze dell’ordine e all’intelligence italiane. L’Italia però non resta l’unico cliente, e il business da via della Moscova si espande in molti Paesi, senza andare per il sottile. Proprio la presenza, tra i suoi clienti, di governi illiberali e repressivi suscita le prime reazioni da parte di gruppi di attivisti. Intanto l’azienda cresce, nel 2007 riceve dei finanziamenti, entrano Finlombarda Sgr e Innogest.

Mentre il mercato estero si espande, iniziano ad essere pubblicati report che collegano l’uso degli spyware di Hacking Team, da parte di alcuni Paesi, alla sorveglianza di giornalisti e attivisti. Nel marzo 2014 la Ong britannica Privacy International scrive una lettera pubblica al governatore Roberto Maroni e altri politici italiani: «Nel 2007 la Hacking Team ha ricevuto 1,5 milioni di euro da due fondi di venture capital. Uno dei fondi, Finlombarda Gestioni SGR Spa (FGSGR), ha come solo azionista Finlombarda Spa». La Ong chiedeva alla Regione chiarimenti sulla «adeguatezza di investire risorse pubbliche in tecnologie che permettono ai governi di sorvegliare in modo altamente intrusivo al punto da facilitare l’abuso di diritti umani».

Nel frattempo, internamente, i fondi di gestione iniziano a spingere per una exit, la vendita della società a terzi. Si puntava a una valutazione intorno ai 37 milioni di euro. Come avevamo scritto su La Stampa, già a partire dal 2013 si susseguiranno una serie di trattative tra l’azienda milanese e varie entità più o meno interessate ad acquistarla: i nostri servizi segreti esteri cioè l’Aise, due diverse società israeliane (Nice e Verint, che erano anche partner commerciali), i sauditi attraverso Wafic Said, noto imprenditore vicino alla famiglia reale di Ryad. Tutte trattative che alla fine non vanno in porto.

Il 2014 è anche un anno deludente in termini di bilancio rispetto alle aspettative. Alcuni dipendenti se ne vanno. In più le preoccupazioni per l’uso improprio di questi software da parte di Paesi autoritari aumentano la pressione sull’azienda, come avevamo raccontato qua. La botta arriva però nel luglio 2015, con un attacco informatico che trafuga e pubblica 400 GB di materiali riservati - e qualche settimana fa un hacker di nome Phineas Fisher è tornato a rivendicare quell’assalto, pubblicando anche un documento su come avrebbe fatto. Mentre il 31 marzo 2016 il Ministero dello Sviluppo Economico (Mise) revoca all’azienda l’autorizzazione globale per l’esportazione fuori dall’Europa che gli aveva concesso un anno prima.

Da quel momento la società deve ottenere autorizzazioni specifiche individuali per Paesi extraeuropei, invece del precedente via libera incondizionato. Hacking Team ha sempre assicurato, malgrado la concatenazione di eventi, di essersi rimessa in piedi, anche se - risulta alla Stampa - il numero di dipendenti è diminuito e da parte delle autorità italiane c’è stata molta cautela nel riutilizzo dei suoi software. Ora, nelle ultime settimane, il cambio degli assetti proprietari e l’entrata di un importante socio straniero, “protetto” da una fiduciaria. Secondo alcune voci raccolte dalla Stampa ma non confermate, il nuovo socio potrebbe essere collegato ad uno dei Paesi già in precedenza interessati ad Hacking Team.


Spyware d’Arabia: così Hacking Team entrò nel mirino degli attivisti
La Stampa
carola frediani  17/09/2015

Parlano i dissidenti degli Emirati Arabi Uniti e del Bahrain dove iniziò la caccia agli spyware occidentali.



«Spero che Hacking Team ora sappia come ci si sente di fronte all’invasione della privacy delle persone. Una volta, sono stato vittima del loro software».

È il luglio 2015. Hacking Team, la società milanese che vende software spia ad agenzie governative in tutto il mondo, ha appena subito un attacco informatico che ha portato alla pubblicazione online dei suoi documenti, comunicazioni e codici sorgente. Mentre l’Italia si allarma, anche per le connessioni della società con le forze dell’ordine e i servizi tricolori, da Dubai parte un tweet molto duro: sono le parole riportate all’inizio.

MANSOOR, DUE SPYWARE PER UN ATTIVISTA
A scriverlo è Ahmed Mansoor, 45 anni, ingegnere, blogger, attivista per i diritti umani e la democrazia degli Emirati Arabi Uniti. Esattamente tre anni prima, nel luglio 2012, l’uomo ricevette via posta elettronica uno spyware, un software spia. Secondo alcuni ricercatori di sicurezza che pubblicarono un rapporto, quel software sarebbe stato Rcs, il prodotto di Hacking Team, come riportò allora Bloomberg.

Attraverso quel software – racconta oggi alla Stampa Mansoor – qualcuno scaricò tutta la sua posta di Gmail. Il blogger si accorse però quasi subito che qualcosa non andava, non solo perché il pc non rispondeva più a dovere, ma anche perché qualche tempo prima era stato allertato da alcuni attivisti del vicino Bahrain. Lì il governo aveva iniziato a colpire i dissidenti con software di quel tipo, in grado di spiare tutta l’attività di un pc o di uno smartphone. «Così, quando sono entrato nella mia email da un computer diverso, ho notato l’attività da un indirizzo IP che non mi apparteneva», commenta Mansoor.

A quel punto l’ingegnere ricontatta il centro per i diritti umani del Bahrain, Bahrain Watch, che lo mette in comunicazione con i ricercatori di Citizen Lab, laboratorio dell’Università di Toronto. Questi avevano appena pubblicato un rapporto su come il Bahrain usasse uno spyware, prodotto dalla compagnia anglotedesca Gamma/FinFisher, per colpire attivisti scomodi. A quel punto invece si buttano sulla traccia proveniente dagli Emirati Arabi Uniti e dopo qualche tempo, a ottobre, escono con il rapporto che chiama in causa Hacking Team.

In questo modo, nell’estate 2012, con la vicenda di Ahmed Mansoor – e quella, contemporanea, di alcuni giornalisti marocchini raccolti nel gruppo Mamfakinch, colpiti da uno spyware analogo – Hacking Team entra nel mirino delle organizzazioni dei diritti umani – dopo un primo, più defilato, momento di attenzione per essere stata citata nella lista di aziende della sorveglianza pubblicata da WikiLeaks nel 2011.

Dal Marocco e dagli Emirati Arabi Uniti, e con un ruolo centrale degli attivisti del Bahrain, inizia allora il progressivo disvelamento delle attività dell’azienda milanese, precipitato con l’attacco informatico dello scorso luglio e il rinnovato interesse della stampa mondiale. Quello attribuito ad Hacking Team non era per altro il primo spyware ricevuto da Mansoor. «Me ne arrivò uno già nel marzo 2011, quella volta era un file eseguibile. Secondo i ricercatori di Citizen Lab, quello probabilmente era di FinFisher».

Nell’aprile 2011 Mansoor fu arrestato con altri blogger a causa di alcuni messaggi pubblicati su un forum online in cui criticava il governo degli Emirati; condannato a tre anni, nel novembre 2011 è stato poi “perdonato” dopo otto mesi di carcere anche grazie a una campagna internazionale. Ma ancora nel 2012, tempo dopo aver rinvenuto il secondo spyware, è stato aggredito fisicamente per strada per due volte. Oggi, racconta alla Stampa, vive ancora a Dubai ma ha perso il lavoro e non può lasciare il Paese. Tanto che ancora nei giorni scorsi delle associazioni internazionali hanno chiesto che gli sia tolto il divieto di viaggiare. Non solo: il prossimo 6 ottobre Mansoor riceverà un premio per la sua attività di difensore dei diritti umani.



Lo spyware attribuito ad Hacking Team gli arrivò attraverso un documento Word inviato via mail, che per infettare il pc sfruttava una vulnerabilità di Office. I ricercatori di Citizen Lab nel 2012 ricondussero quel tipo di attacco all’azienda francese Vupen, specializzata nella vendita di exploit, codici di attacco che fanno leva sui bachi di un software. All’epoca Vupen negò non solo di avere a che fare con quell’exploit, ma specificò anche di non avere alcuna relazione con Hacking Team. Oggi, proprio dalla documentazione uscita dopo l’attacco dello scorso luglio, emerge che almeno questo non era vero: le relazioni fra le due aziende europee c’erano eccome, e Hacking Team comprava exploit da Vupen. Più in generale, Hacking Team aveva rapporti commerciali negli Emirati Arabi Uniti, Oman, Arabia Saudita e pure in Bahrain.

DUBAI E DINTORNI: UN MERCATO CALDO



Ma facciamo un passo indietro, per capire lo scenario.

Estate 2010, Emirati Arabi Uniti. La federazione retta da sceicchi annuncia di voler sospendere i servizi di email e messaggistica di BlackBerry perché non riesce a monitorarli. La notizia rimbalza ovunque e fa risuonare un campanello anche in Hacking Team, l’azienda milanese dove hanno investito vari fondi di venture capital, tra cui Finlombarda Gestioni SGR, della Regione Lombardia. «Che aspettiamo a fare business in UAE (Emirati Arabi Uniti, ndr)?”» commenta scherzosamente il suo Ceo, David Vincenzetti, nelle comunicazioni interne, che insieme alla documentazione delle attività aziendali sono finite online dopo l’ attacco informatico subito lo scorso luglio.

Il business non tarda ad arrivare. Gli Emirati Arabi Uniti appaiono infatti nella lista clienti di Hacking Team – fino ad oggi non confermata né smentita dall’azienda – a partire dal 2011. Un contratto sarebbe stato veicolato attraverso un partner americano, Cyberpoint, azienda ben introdotta negli ambienti politici statunitensi, tanto da aver ottenuto dal Dipartimento di Stato una speciale licenza per l’esportazione negli Emirati, come spiegato da The Intercept. Il cliente finale in questo caso era il Ministero degli Interni.

Ma almeno dal 2012 c’è anche un secondo cliente, le forze armate degli Emirati, che invece passano per un altro intermediario, Mauqah, società basata ad Abu Dhabi. Anche qui, come fatto in altri articoli su Hacking Team, vale la pena vedere la trafila di contatti che conducono al contratto con le forze armate. Perché il primo passaggio è attraverso una società di Vienna, Sail Labs Technology, specializzata in open source intelligence, che contatta la società milanese dicendo di avere un potenziale cliente, interessato all’intrusione in pc e smartphone.

Il Ceo di Sail Labs introduce quindi gli italiani al Ceo di una seconda società di Abu Dhabi, il gruppo Palgroup.com. Per poi arrivare, tramite lo stesso, a fatturare a Mauqah. Nel maggio 2012 ci sono già mail di assistenza tecnica, con Mauqah che non riesce a infettare dei target perché i provider di webmail (Gmail, Yahoo ecc) individuano l’exploit come un virus sconosciuto. «In questo particolare momento gli exploits da tutte le sorgenti a noi conosciute e utilizzate (Vupen compreso) scarseggiano. Sono i vendor che sono diventati più reattivi? Probabilmente. Faremo di tutto per ricercarne altri nel più breve tempo possibile», commenta all’epoca il Ceo Vincenzetti.
Dunque, contratti con ministero degli Interni, forze armate. E poi dal 2013 si registrano almeno delle demo, offerte e incontri con la polizia di Dubai e di Abu Dhabi.

Gli Emirati, Abu Dhabi, Dubai – che qualcuno ha definito, di notte, uno scenario alla Blade Runner benedetto da un clima migliore – sono infatti un luogo accogliente per le aziende tech occidentali, specie quelle del mondo della sicurezza/sorveglianza. Qui si tiene ogni anno l’edizione regionale dell’ISS, la più importante fiera dell’industria delle intercettazioni delle comunicazioni e dell’intelligence. Nell’hotel JW Marriot di Dubai, nel marzo 2015, si sono incontrate, tra stand e conferenze ad uso e consumo delle forze dell’ordine e dei servizi segreti della regione mediorientale, il fior fiore delle aziende occidentali della sorveglianza. Le italiane Hacking Team, IPS, Area, Rcs Lab (sulle cui relazioni abbiamo scritto qua) sono presenti, se non principali sponsor dell’evento, insieme all’americana Cyberpoint (partner di Hacking Team), alle rivali Gamma/FinFisher, e alle tedesche Trovicor e AGT, per citarne solo alcune.

Qui si prendono spesso i primi contatti, che in genere proseguono con la firma di un accordo di riservatezza, con una visita dei potenziali clienti a Milano per assistere a una demo del prodotto italiano - il software di intrusione e sorveglianza di dispositivi pc e mobili chiamato Rcs – con la firma di una lettera sui termini e le condizioni di vendita da parte di eventuali intermediari, nonché di una licenza di utilizzo del software da parte dell’utente finale governativo. Quindi installazione del sistema, training dei clienti, supporto tecnico da remoto.



FACCIATA TECH, CUORE AUTORITARIO
Ma torniamo agli Emirati. Se lo scenario è quello di uno Stato – e una regione – dove il mercato della cybersicurezza è in rapida crescita, con particolare specializzazione nel ramo dell’intercettazione delle comunicazioni, ben più arretrato è lo scenario politico.

Al di là della facciata moderna, fatta di grattacieli, hotel, centri commerciali, la realtà è che lì «il dissenso viene regolarmente colpito con persecuzioni, arresti, condanne, sparizioni forzate e in alcuni casi torture» scrive nel 2014 Amnesty International, specificando che il clima di paura dura dal 2011. E ancora: «Dietro una facciata sfarzosa e scintillante, gli Emirati Arabi Uniti nascondono la natura repressiva delle proprie istituzioni nei confronti di attivisti che è sufficiente postino un tweet critico per finire nei guai» .

Ma di farseschi processi di massa contro i dissidenti che chiedono alcune riforme scriveva già la BBC nel 2013. Della persecuzione di attivisti scriveva anche Human Rights Watch nel 2012. E dell’arresto di Mansoor, scriveva già nel 2011, Reporters senza frontiere.

«Di quanto emerso dopo l’attacco ad Hacking Team mi ha colpito il volume di interazioni e di relazioni dell’azienda coi governi. E la quantità di soldi spesi da alcuni Stati per comprare spyware», commenta Mansoor. «Immaginavo che gli Emirati sarebbero stati nella loro lista clienti, anche perché i leader politici qui sono ossessionati dalla sicurezza, e pensano che lo Stato abbia il diritto di arrivare anche a spiare le vite delle persone. Per loro è l’unica soluzione alle richieste di cambiamento sociale e politico».

Ma chi ha attaccato Mansoor con lo spyware attribuito dai ricercatori di Citizen Lab ad Hacking Team? «Sappiamo che lo spyware che ha infettato Mansoor nel 2012 arriva da un’agenzia indicata come “UAEAF” (forze armate degli Emirati, ndr)/ “UAE Air Force” (aeronautica)/ “UAE Intelligence. Dubito però che sia l’aeronautica (Air Force)”, ha commentato alla Stampa Bill Marczak, ricercatore di Barhain Watch e autore di alcuni rapporti di Citizen Lab sugli spyware. D’altra parte non sembra essere nemmeno il ministero degli Interni, nota Marczak.

Resterebbero le forze armate o intelligence. Ricordiamo che all’epoca i ricercatori tracciarono un indirizzo IP dello spyware trovato sul pc di Mansoor fino all’ufficio dello sceicco Tahnoon Bin Zayed Al Nahyan, al quartier generale di Royal Group, un conglomerato di compagnie di Abu Dhabi di cui lo sceicco è presidente. Il Royal Group, commenta alla Stampa Mansoor, è molto legato all’esercito degli Emirati. Insomma, torna il sospetto che quel software possa essere stato usato dal regime semplicemente per sorvegliare oppositori politici.

«Le forze armate degli Emirati (UAEAF) hanno comprato licenze per 1100 infezioni concomitanti», prosegue Marzack. “Si tratta del terzo Paese nella lista clienti Hacking Team per numero di target. Il Marocco (Ministero dell’Interno) era al numero due con duemila target. Mentre alcuni clienti italiani, ovvero il PCIT (Presidenza del Consiglio italiana, una formula che sta per i nostri servizi, ndr) aveva una licenza per infettare un numero infinito di persone».

IL FANTASMA DI MANSOOR
Nel settembre 2012 il giornalista di Bloomberg provò a chiedere spiegazioni alle autorità degli Emirati e la mail con le domande venne girata dai partner anche ad Hacking Team, che però non sembrò turbata o preoccupata. «Rimangono valide le considerazioni che abbiamo fatto numerose volte al riguardo. Niente di nuovo e niente di preoccupante», commentò nelle comunicazioni interne Vincenzetti.

Lo spettro di Mansoor tuttavia tornerà ancora costringendo Hacking Team a elaborare delle risposte. Quando nel 2013 il sito Bahrain Watch fa circolare di nuovo la storia del blogger degli Emirati, il responsabile delle relazioni esterne di via della Moscova butta giù una possibile risposta. Ovvero, che è solo una speculazione che qualsiasi spyware sia stato usato impropriamente, ricordando che “il target è stato in prigione”; e che ci sarebbero solo prove circostanziali che il software di Hacking Team sia coinvolto.

E ancora, nel marzo 2014, la società italiana viene sollecitata direttamente da Amnesty International, che chiede di commentare un suo rapporto dove cita il caso di Mansoor e quello dei giornalisti marocchini di Mamfakinch. La risposta di Hacking Team è che la propria policy è di sospendere il servizio di supporto al suo software in caso di abuso. Interpellata da La Stampa sulla vicenda e sulle eventuali misure prese dopo le segnalazioni che riguardavano Mansoor, Hacking Team ha risposto di non poter commentare sui propri clienti.

BAHRAIN, IL REGNO DEGLI SPYWARE?



Gli Emirati non sono certo l’unico Paese ad aver utilizzato sia gli spyware di Hacking Team che di Gamma/FinFisher. Come abbiamo detto c’è il caso del Bahrain: qui nell’estate 2012 si trovano i primi software spia sui pc di alcuni attivisti, come l’economista Ala’a Shehab, di origine inglese, e residente a Manama. Per Citizen Lab sarebbero prodotti da Gamma/FinFisher.

La denuncia non passa inosservata: nel febbraio 2013 Barhain Watch, Privacy International e altri gruppi presentano un reclamo all’OCSE (l’Organizzazione per la Cooperazione e lo Sviluppo Economico) contro Gamma per violazione delle linee guida sui diritti umani a seguito dell’esportazione del software in Bahrain. Sia Gamma che il piccolo regno mediorientale negarono all’epoca di fare affari insieme. Ma nel febbraio 2015. dopo un’indagine, l’OCSE condannò Gamma Int chiedendo di cambiare le sue pratiche di business. 

Ma i sospetti avevano avuto una prima conferma già nell’agosto 2014, un anno prima dell’attacco ad Hacking Team. Quella volta ad essere violati da un hacker sono i server di Gamma/FinFisher. Tra i documenti diffusi su Twitter dall’attaccante, di cui si conosce solo il profilo, Phineas Fisher – profilo che, ricordiamolo, ha rivendicato anche l’attacco più recente contro Hacking Team, salvo poi sparire nel nulla - gli attivisti trovano le mail di assistenza tecnica tra Gamma e un cliente in Bahrain, oltre a una lista di computer infetti.

Tra questi spiccano quelli di avvocati, politici e attivisti considerati prigionieri di coscienza da Amnesty International. Come Mihamed Altajer, un avvocato difensore dei diritti umani che già nel 2011 era stato anche ricattato con un video, ripreso di nascosto in casa sua, che lo aveva ritratto in una situazione intima con la moglie. E poi era stato successivamente hackerato.

Oggi, a giudicare dalla documentazione uscita, sembra che anche Hacking Team vendesse in Bahrain, al punto che nelle scorse settimane il centro per i diritti umani del Paese (Bahrain Center for Human Rights) ha chiesto ai governi europei di applicare misure più stringenti per prevenire l’esportazione di queste tecnologie in Stati che non rispettino gli standard internazionali.

Il Bahrain avrebbe infatti acquistato Rcs per 210mila euro in una sorta di progetto pilota. Il cliente sembra essere il ministero della Difesa. Anche qui, la transazione sarebbe avvenuta tramite un’azienda che ha fatto da intermediario, la Midword Pro, e che addirittura si sarebbe accollata i costi del pilota. L’azienda appare collegata a un noto imprenditore belga, Sacha Vekeman, attivo in diversi incubatori tecnologici e progetti green tech, e ricollocatosi a Dubai.

«Non avevamo (e non abbiamo) mai trovato tracce del software di Hacking Team sui pc, come invece accaduto con FinFisher», commenta a La Stampa Reda Al-Fardan, attivista di Bahrain Watch. «Abbiamo saputo che era commerciato nel Paese solo dalle mail». Il modo in cui sarebbe stato utilizzato lo spyware di FinFisher, fin dal 2011, è però stato documentato. «E, specie dopo l’attacco a FinFisher dell’estate 2014, abbiamo individuato una settantina di target: la maggioranza erano avvocati, giornalisti e attivisti vicini ai movimenti pro-democrazia».


(Alcuni degli attivisti del Bahrain presi di mira da FinFisher - foto via Bahrain Watch)

Al-Fardan prosegue tratteggiando un Paese che utilizza diverse tecnologie, fornite da aziende europee e americane, per controllare le comunicazioni. «Il ministero degli interni e l’intelligence hanno pieno accesso a telco ed internet exchange points, e sono impiegati diversi sistemi di ispezione del traffico internet per censurare contenuti e per sorvegliare le comunicazioni».

Nel 2012, quando per la prima volta Bahrain Watch fece emergere il tema degli spyware di governo, ci fu molta attenzione da parte dei media. Ma dopo le rivelazioni sul Datagate, e sulla sorveglianza di massa della Nsa – sottolinea Al-Fardan – situazioni come quella del Bahrain sono passate in secondo piano. «E poi ora c’è la guerra al terrore, ci sono leader come David Cameron che si scagliano contro la cifratura». Insomma, malgrado oggi si sappia molto di più delle pratiche dell’industria della sorveglianza, paradossalmente è più difficile ottenere delle risposte politiche. «Ma per uno Stato come il Bahrain, con tremila prigionieri politici - conclude Al-Fardan - ciò si traduce in continue violazioni dei diritti umani».


Così il Sudan ha messo in crisi Hacking Team
La Stampa
 carola frediani    09/07/2015

Ecco come si è sviluppato lo scontro tra l’Onu e la società milanese che ha coinvolto anche il governo italiano. Sullo sfondo, la lotta su come classificare i software di sorveglianza

Dopo il pesante attacco informatico che ha sottratto e riversato online 400 GB di suoi documenti e mail, Hacking Team - l’azienda milanese che ai governi vende software in grado di infettare pc e smartphone e di spiare in modo mirato le loro attività e comunicazioni - continua a non commentare sulle sue politiche commerciali.

Il caso Sudan
Neppure su uno dei più imbarazzanti documenti usciti: una fattura che – se corretta - mostrerebbe come nel 2012 i servizi segreti di Khartoum (NISS - National Intelligence and Security Service) avessero pagato 960mila euro per gli spyware made in Milano. L’assistenza tecnica dell’azienda italiana si sarebbe protratta fino al novembre 2014 e poi improvvisamente sospesa.

Il Sudan non è un Paese qualsiasi: da anni è sotto embargo Onu per quanto riguarda forniture militari e prodotti collegati a causa di un conflitto protratto per decenni, alimentato da scontri etnici e lotta per l’accaparramento del petrolio. Inoltre proprio nell’aprile 2012 si erano riaccesi nuovi scontri militari tra il Sudan (Khartoum) e il Sud Sudan (che si era separato nel 2011), con migliaia di morti. Per di più, sulla testa del suo dittatore-presidente, Omar al-Bashit, pende dal 2009 un mandato internazionale di cattura della Corte penale dell’Aja per crimini contro l’umanità.

Armi digitali e simili oppure no?
Poteva o no Hacking Team esportare i suoi software di sorveglianza in quel Paese? E, in seconda battuta: possono i suoi software considerarsi se non delle vere e proprie “armi digitali” (come sostengono alcuni politici e attivisti) quanto meno un ausilio a operazioni di tipo militare?
È questa domanda che a un certo punto comincia ad aleggiare come un fantasma sulle attività dell’azienda, rimbalzando fra il panel Onu che monitora le sanzioni sul Sudan, il Ministero degli Esteri, il Ministero dello Sviluppo Economico, i vertici di Hacking Team e i legali e gli investitori dell’azienda, con una serie di altri soggetti non da poco a fare da contorno e essere informati della situazione, come il ministero dell’Interno, della Difesa, dell’Economia e Finanze, oltre all’Agenzia delle Dogane. Una domanda continuamente elusa dalla società milanese, ma che diventa a un certo punto – fra 2014 e 2015 – anche oggetto di un braccio di ferro tra Onu, Hacking Team e Ministero dello Sviluppo Economico.

Clienti in tutto il mondo
Facciamo un passo indietro per contestualizzare. Hacking Team viene fondata nel 2003. Già nel 2004 vende il suo software spia alla Polizia Postale. È solo l’inizio: seguiranno i servizi spagnoli, un numero crescente di governi e agenzie di intelligence straniere, e praticamente tutte le forze dell’ordine italiane e i nostri servizi segreti – al punto che il direttore del Dipartimento delle informazioni per la sicurezza, Giampiero Massolo, dopo l’attacco all’azienda riferiva al Copasir del rischio che i dati della nostra intelligence potessero essere stati hackerati. Il software di Hacking Team – chiamato Rcs – è stato usato anche in indagini delicate e clamorose, contro la mafia, episodi di cronaca nera, ma anche la P4.

Che i software di sorveglianza di Hacking Team fossero a un certo punto venduti in tutto il mondo non era un mistero, visto che veniva sbandierato anche nelle loro brochure. Recentemente le esportazioni rappresentavano però ben l’80 per cento del business dell’azienda, su cui negli anni hanno scommesso vari fondi di venture capital, da Innogest a Finlombarda Gestioni SGR Spa (FGSGR), riconducibile alla Regione Lombardia. I documenti usciti e pubblicati da più parti online, che finora l’azienda non ha smentito, mostrano come i clienti più grossi sarebbero il Messico, l’Italia, il Marocco, l’Arabia Saudita, il Cile. E includerebbero anche, tra gli altri, Uzbekistan, Etiopia, Egitto, Turchia, Russia e appunto Sudan.

Nel mirino degli attivisti
Ma Hacking Team a un certo punto comincia ad entrare sempre più nel mirino di alcuni gruppi di attivisti della Rete che monitorano la sorveglianza di governi e aziende. I primi report di ricercatori che collegano il suo software a episodi di abuso da parte di alcuni governi sono del 2012 e riguardano il Marocco. Nel febbraio 2014 però esce un ulteriore rapporto che prova a mappare l’utilizzo del suo software in vari Stati, inclusi regimi autoritari e repressivi: tra questi c’è anche il Sudan. A quel punto qualcosa si smuove. Il cliente, il NISS in Sudan, si preoccupa del report e chiede se siano state prese delle contromisure tecniche. A marzo la Ong britannica Privacy International manda una lettera al ministero dello Sviluppo Economico italiano chiedendo chiarimenti sulle esportazioni di Hacking Team. E, di lì a poco, comincia un balletto tra Onu, Hacking Team e ministeri.

Il duello con l’Onu
Nel giugno 2014 il panel delle Nazioni Unite che monitora l’implementazione delle sanzioni sul Sudan inizia infatti a chiedere a Hacking Team se ancora vende o se ha venduto in quel Paese. L’azienda prende tempo, tutto il tempo che riesce finché le pressioni Onu non fanno intervenire anche il governo italiano. Infatti dalla prima richiesta di informazioni dell’Onu a dicembre 2014 ne seguiranno altre tre, inclusa una domanda rivolta al rappresentante italiano permanente alle Nazioni Unite Sebastiano Cardi. A quel punto la situazione era diventata già critica per l’azienda che decide di sospendere la fornitura al Sudan, con grande scorno del cliente.

A inizio 2015 però interviene il ministero degli Esteri, a cui si è rivolto il panel Onu, che insiste nel voler ricevere informazioni sulla possibile vendita del software al Sudan. Ma la preoccupazione principale dell’azienda sembra essere una sola: che il proprio software possa essere soggetto a misure restrittive. La linea adottata è che il panel Onu – a cui a quel punto è stato detto che no, Hacking Team non sta vendendo i propri prodotti in Sudan - non sarebbe autorizzato a chiedere informazioni sul passato. Come dire: non stiamo vendendo ora, però non chiedeteci se lo abbiamo fatto.

Ma il panel Onu insiste ancora e torna all’attacco. La questione si gioca sempre su come debba essere considerato il software Rcs esportato da Hacking Team: è ormai chiaro che i funzionari delle Nazioni Unite tendono a pensare che faccia parte della categoria di “assistenza militare” e come tale rientrare nelle misure restrittive previste dalle risoluzioni del Consiglio di sicurezzza 1591 (2005) e 2200 (2015). Interpretazione rifutata dalla società milanese. Al punto che ancora a 2015 inoltrato la lenta e faticosa trattativa con l’Onu, mediata anche dal ministero degli Esteri, non sembra arrivare a una conclusione.

Le restrizioni europee
Parallelamente, sempre a partire dall’autunno 2014, inizia anche uno scontro sotterraneo tra Hacking Team e il ministero dello Sviluppo Economico. Proprio a causa delle preoccupazioni legate al possibile uso di questi software per reprimere dissidenti e violare diritti umani in alcuni Stati, il ministero decide di applicare una clausola specifica della legge sulle esportazioni, in particolare l’art 4 del regolamento europeo (CE N. 428/2009) sul controllo delle esportazioni di una serie di prodotti a duplice uso (prodotti che possono avere un uso civile ma anche militare).

La clausola prevede una autorizzazione all’esportazione nel caso in cui si pensi che dei prodotti, anche quando non rientrino nelle liste ufficiali di beni di uso duplice controllati, possano comunque essere destinati a un utilizzo militare. Di fatto quindi la decisione del ministero congela per un periodo le esportazioni di Hacking Team. La quale a quel punto inizia un’intensa attività lobbistica distribuita su ambienti politici, governativi e militari di alto livello per quella che avverte come la più grave minaccia al proprio business mai verificatasi.

Lo stallo dura poco, viene sbloccato a dicembre; ma a quel punto arriva un’altra grana. Un aggiornamento del regolamento della Commissione europea prevederà comunque l’inclusione della tipologia di prodotti di Hacking Team nella lista delle tecnologie a uso duplice o duale controllate a partire da gennaio 2015. Alla luce di ciò la società milanese chiede dunque un incontro col ministero per ottenere un’autorizzazione preventiva o un tipo di regolamentazione che comunque le consenta di esportare anche fuori dall’Europa

Accanimento?
Più volte in queste diverse vicende i vertici di Hacking Team sembrano ritenere di essere l’oggetto di un accanimento – di attivisti, media, funzionari, burocrati, e soprattutto di interessi potenti. Che il loro stesso software – e l’aiuto dato a indagini su criminalità organizzata e corruzione – sia un nemico da abbattere per chi ha qualcosa da nascondere, anche nelle alte sfere. E sembrano invece impermeabili a un contesto internazionale che negli ultimi quattro anni ha accumulato numerosi rapporti di denuncia di Ong e singoli ricercatori sull’uso di questo tipo di software di sorveglianza in Paesi autoritari e sulle loro conseguenze pesanti sulla vita di attivisti, giornalisti e avvocati spiati.

Tra l’altro Hacking Team non era la sola azienda del genere a essere criticata: lo era anche la tedesca FinFisher, che proprio nell’agosto 2014 è stata hackerata con diffusione online dei suoi documenti.  Non si sa chi sia stato a farlo, ma appare molto probabile che si tratti della stessa mano che qualche giorno fa ha violato anche la società milanese – come già scritto da noi subito dopo l’azione.
Certo, le informazioni uscite dopo l’attacco informatico non aiuteranno la causa di Hacking Team. Ancora a maggio un rappresentante della società milanese andava in Bangladesh a mostrare la propria tecnologia a un’agenzia di sicurezza paramilitare nota per torture ed esecuzioni sommarie. Human Rights Watch l’aveva soprannominata «squadrone della morte».


Non solo Hacking Team: così lo spyware FinFisher è usato dall’Uganda all’Italia
Stampa
carola frediani    16/10/2015

Il software spia tedesco è stato tracciato in 32 Paesi, inclusa l’Italia. E in Uganda è stato usato per schiacciare l’opposizione



Malgrado gli attacchi informatici subiti e le denunce di organizzazioni per i diritti umani, l’industria europea degli spyware continua a fiorire, e i suoi software spia sono sempre più venduti sia in Paesi democratici sia in Stati illiberali. E in quest’ultimo caso sono utilizzati spesso per reprimere le opposizioni e il dissenso.

È quanto emerge da due nuovi rapporti internazionali dedicati a FinFisher GmbH, azienda tedesca – spin-off della precedente Gamma con sede in UK - che produce un programma di intrusione e sorveglianza simile a quello realizzato dall’italiana Hacking Team. Da questi rapporti emergono alcuni punti chiave: FinFisher sarebbe usato in un numero sempre più elevato di Paesi (almeno 32); l’Italia - confermando alcune supposizioni - sarebbe uno dei Paesi che lo utilizza (e, in un caso, un organo investigativo dello Stato italiano lo avrebbe sostituito a Rcs, il software di Hacking Team); l’Uganda avrebbe usato intensivamente quel software contro oppositori politici.

FinFisher vivo e vegeto
Ma partiamo dall’inizio. FinFisher è un software spia capace di infettare un pc o smarpthone e spiarne tutta l’attività digitale, simile nel funzionamento a Rcs, lo spyware prodotto dalla azienda milanese Hacking Team di cui abbiamo ampiamente scritto su La Stampa. Viene venduto dall’omonima azienda FinFisher, che ha sede a Monaco, in Germania, a governi e agenzie investigative governative per indagini e intelligence.

In passato alcuni rapporti pubblicati da Citizen Lab, un laboratorio antisorveglianza dell’Università di Toronto, avevano denunciato il suo utilizzo da parte di governi autoritari per colpire giornalisti, avvocati e dissidenti, ad esempio in Bahrein ed Etiopia. Le denunce dei ricercatori erano state in parte confermate anche da alcuni documenti dell’azienda che erano stati pubblicati online dopo che un hacker, nell’estate del 2014, aveva attaccato FinFisher diffondendone i materiali da un account Twitter. Quell’hacker, che su Twitter si faceva chiamare Phineas Fisher, ha poi rivendicato anche l’attacco ad Hacking Team avvenuto nel luglio 2015.

Bene, ieri Citizen Lab ha pubblicato un nuovo rapporto che mostrerebbe come il business di FinFisher sia non solo ancora vivo e vegeto, ma in espansione. Sarebbero almeno 32 i Paesi ritenuti clienti attivi in questo momento, come mostra questa mappa.



Dall’Angola all’Italia
Fra questi, Angola, Egitto, Gabon, Libano, Marocco, Oman, Arabia Saudita, Spagna, Turchia, Kazakistan. Alcuni sono gli stessi Paesi dove vende anche Hacking Team, almeno a giudicare dai documenti dell’azienda milanese pubblicati online la scorsa estate. Tra i clienti di FinFisher, anche l’Italia. I ricercatori di Citizen Lab ritengono che FinFisher sia usato nel nostro Paese da diverse entità. In un caso hanno identificato un indirizzo IP (2.228.65.xxx) usato come server FinFisher dal 2014 ad oggi, a cui in passato era stato associato invece l’utilizzo del software di Hacking Team. “Potrebbe indicare che una agenzia governativa italiana sia passata da Hacking Team a FinFisher”, scrivono i ricercatori.

La caccia ai server nascosti
Come hanno fatto i ricercatori di Citizen Lab a mappare l’utilizzo di FinFisher? Hanno individuato i suoi server, attraverso molteplici scansioni della Rete fatte nel 2015 usando una “impronta” degli stessi elaborata analizzando campioni del software. Ne hanno individuato 135: alcuni sono dei proxy che servono a rimbalzare e anonimizzare il traffico con cui sono raccolti i dati dai computer infettati; altri, i più importanti, sono i centri di controllo, che stanno dai clienti.

Per localizzarli i ricercatori hanno escogitato diversi trucchi. I server infatti cercano di mimetizzarsi; se uno digita il loro indirizzo viene mostrata una pagina innocente, spesso Google.com o Yahoo.com. Ma i ricercatori hanno trovato il modo di mapparli ugualmente sfruttando ad esempio i dati ricavati dai widget meteo della pagina di Yahoo, che rivelavano la sua vera localizzazione. Un server italiano usava ad esempio come pagina per nascondersi il portale libero.it.

Stato di sorveglianza in Uganda
Ieri è stato pubblicato anche un altro rapporto su FinFisher e l’Uganda. Si tratta di una ricerca di due anni condotta dall’ong britannica Privacy International. Una fotografia dettagliata da cui emerge un vero e proprio Stato di sorveglianza, che fra le altre cose avrebbe fatto ampio uso degli spyware FinFisher. In particolare dal 2012, scrive il rapporto, il presidente Museveni ha lanciato l’operazione Fungua Macho (“apri gli occhi”, in swahili) con cui avrebbe spiato membri dell’opposizione, attivisti, giornalisti. La polizia e i militari avrebbero impiegato lo spyware specificamente per “schiacciare… la disobbedienza civile” e “reprimere la crescente influenza dell’opposizione” ricattandola con le informazioni ricavate.

FinFisher non fu l’unica azienda contatta dal governo del Paese africano. C’era anche un progetto per mettere in piedi un centro di monitoraggio delle comunicazioni, per il quale erano in lizza molte aziende occidentali e non: Huawei e ZTE, NICE e Verint (di cui abbiamo scritto qua ), Macro System e l’italiana RESI Group (di cui abbiamo scritto qua ). Secondo le mail (pubblicate online) di Hacking Team, scrive il rapporto, la polizia era interessata a comprare anche lo spyware dell’azienda milanese.
Forse uno degli aspetti più inquietanti della massiccia operazione di spionaggio/sorveglianza perpetrata dal governo ugandese riguarda la modalità di infezione. Per attaccare i target sono state compromesse le reti LAN e Wi-Fi di istituzioni pubbliche e hotel, spesso con la collaborazione di questi ultimi. 21 hotel a Kampala, Entebbe e Masaka erano usati per infettare gli ospiti attraverso finti portali Wi-Fi.

Chi controlla gli spyware?
L’utilizzo degli spyware appare sempre più problematico in Paesi non pienamente democratici. Tuttavia c’è chi solleva dei dubbi anche per le democrazie. Scrivono ad esempio i ricercatori di Citizen Lab: “Può essere difficile anche per governi democratici con un forte stato di diritto controllare le capacità investigative segrete dei software di intrusione”. E proprio di questo si parla oggi e domani in un convegno a Cagliari, E-privacy 2015, interamente dedicato agli spyware. Da noi, li chiamano captatori informatici.