I codici e le email private di Hacking Team portati alla luce dall’attacco hacker del 6 luglio e poi dalle pubblicazioni su Wikileaks hanno permesso di conoscere più a fondo i prodotti della società italiana dei software-spia. Tra questi anche il Money Module, in grado di tracciare le transazioni in Bitcoin – un prodotto che ha attratto l’interesse di molti governi, visto che le operazioni in criptovaluta sono di per sé difficilmente tracciabili e quindi usate anche da criminali e terroristi.
SULLE TRACCE DEI BITCOIN
Hacking Team vende software che permette di sorvegliare persone-target mentre usano i loro computer o smartphone. A gennaio 2014, il Ceo David Vincenzetti annunciava in una email ad uso interno una nuova funzionalità nell’aggiornamento 9.1 della suite Remote Control System che includeva un modo per “tracciare le criptovalute”, come – ma non solo – Bitcoin: il Money Module, appunto. Vincenzetti indicava che il prodotto era ancora in via di sviluppo (sarebbe stato rilasciato a marzo), destinato per il momento ai computer desktop e capace di “tracciare le critpomonete, come Bitcoin, e le relative informazioni”. Money Module includeva il supporto per le valute digitali alternative: Litecoin, Feathercoin e Namecoin (altre sarebbero state aggiunte in un secondo momento). “Il modulo è in grado di raccogliere varie informazioni: lista dei contatti e account locali, wallet (quindi: denaro) e storia delle transazioni”, scriveva Vincenzetti.
PASSWORD CATTURATE
I wallet dei Bitcoin restano segreti grazie all’utilizzo di chiavi di cifratura. Money Module è in grado di appropriarsi del file wallet.dat che contiene le informazioni per l’utilizzo di queste chiavi e cattura anche le password grazie al keylogger che “legge” ciò che è digitato sulla tastiera, spiega Nicholas Weaver, ricercatore dell’International Computer Science Institute di Berkeley, California. “Quando si è in possesso di una copia del file wallet.dat, si ha l’intera storia delle transazioni”.
LE EMAIL DI HACKING TEAM
Alberto Ornaghi, software architect di Hacking Team, spiegava tutto in una email ai colleghi italiani: “A partire dalla 9.2 il backend supporterà il nuovo modulo Money per tutte le piattaforme. Terremo traccia delle transazioni in crypto-currrencies dei target e nelle demo potremo anche fare una transazione in Bitcoin per comprare la droga e vedere nel modulo di correlazione a chi sono andati quei soldi. Le informazioni che possiamo ricavare sono: addressbook (lista di tutti i contatti e account locali del target), file (il wallet in sé, contenente i soldi e le chiavi private per spenderli), transactions (lo storico delle transazioni in/out del target, utile per fare correlazione). Lato agenti ci sarà ben poco da fare, facciamo tutto noi lato server”.
Pochi giorni dopo, Daniele Milan, operations manager di Hacking Team, scriveva (in inglese): “Sono sicuro che conoscete tutti Bitcoin, ma eccovi qualche informazione di contesto: le criptovalute sono un modo per fare transazioni non tracciabili e sappiamo tutti che i criminali amano riciclare, spostare e investire denaro sporco. Polizia e governi, usando il nostro modulo insieme a questa nuova funzionalità, possono mettere in relazione l’uso delle criptovalute, superando la loro opacità finanziaria”.
Poche ore dopo, il Ceo Vincenzetti replicava (in inglese): “Ottimo lavoro!!!”
I GOVERNI INTERESSATI
Al momento nessuno conosce l’intera lista di enti o governi che hanno installato o usato il Money Module Version 9.2 a inizio 2014. Ma le email su Wikileaks mostrano che sia il ministero della Difesa egiziano che il ministero degli Interni saudita hanno mandato e-mail al servizio di supporto di Hacking Team chiedendo informazioni.
In diverse email il Ceo Vincenzetti ha sottolineato i rischi delle monete virtuali come Bitcoin che possono essere usate per i pagamenti dei riscatti e altre operazioni criminali e si è espresso contro l’idea di farle diventare uno standard proprio perché in grado di consentire un completo anonimato. “Bitcoin non ha futuro. Questo non implica che le monete virtuali non abbiano futuro. Ma come modifica dell’attuale Bitcoin, qualcosa di diverso, completamente tracciabile, col supporto del sistema finanziario globale”, scriveva ancora Vincenzetti.
L’AZIONE ANTI-TERRORISMO
Nei giorni scorsi il Ceo di Hacking Team ha anche spiegato come funziona l’azione anti-terrorismo del software della sua società. “Abbiamo due parti innovative, una in particolare che permette di violare i forum dove l’Isis e altri estremisti comunicano non per indottrinamenti che avvengono coi media pubblici, ma per decidere per esempio gli ingredienti per costruire una bomba. L’operatività dei terroristi avviene tramite forum nascosti su Internet e non tramite Twitter e Facebook”. La “parte innovativa” del codice sorgente di Galileo è già usata da una quarantina di governi in tutto il mondo per proteggersi anche dal terrorismo; ora sarà ulteriormente aggiornata e la nuova versione sarà pronta in autunno. Gli elementi innovativi del software non sono stati sottratti dagli hacker, ha garantito Vincenzetti. Quanto ai rapporti con i Paesi che violano i diritti umani, il Ceo ha assicurato che è stata chiusa la fornitura con questi Stati.
CONSEGUENZE DURATURE
“Le transazioni in Bitcoin non sono più così segrete come si pensava E intanto i cyber-criminali”, grazie ai codici pubblicati su Internet, “hanno in mano strumenti più sofisticati”, commenta un sito americano che prova a trarre qualche conclusione dall’intera vicenda Hacking Team. Disturba anche l’idea che i governi possano attuare controlli delle comunicazioni così invasivi: a inquietare gli americani è il fatto che l’Fbi abbia acquistato software dalla società italiana, ma anche da noi il Garante privacy Antonello Soro ha espresso il timore che spiare contemporaneamente le persone su email, cellulari, computer e tablet rappresenti un vero “pedinamento elettronico” che rasenta l’incostituzionalità.
Intanto la conseguenza più immediata di tutta la vicenda sembra il colpo fatale inferto ad Adobe Flash player: dopo Firefox, anche Chrome ha disabilitato il supporto al popolare lettore di video di cui l’attacco ad Hacking Team ha mostrato una serie di falle sfruttabili dagli hacker. “Flash è un cadavere che cammina, sono tanti anni che ha delle vulnerabilità. Bisogna prendere atto che è un programma finito”, ha detto all’Ansa Matteo Flora, informatico ed esperto di sicurezza. “Flash vive per inerzia perché è ancora usato da una buona parte di utenti attivi e perché molti siti che lo supportano sono tecnologicamente indietro. Uscirà di scena quando prenderà sempre più piede l’Html5“. Un’evoluzione inevitabile che Hacking Team e i codici rubati hanno sicuramente accelerato.
