Cerca nel blog

2016/04/22

Hacking Team, svelata la tecnica d’intrusione

Ricordate Hacking Team, la controversa società italiana di sicurezza informatica che è stata violata circa un anno fa e i cui dati più riservati sono stati pubblicati in Rete? Molti si sono chiesti come sia stata possibile un’intrusione così vasta, soprattutto ai danni di un’azienda informatica che vive appunto di sicurezza. Ora è stato pubblicato su Reddit un racconto che, stando al suo autore, spiega come sono andate le cose.

L’autore usa lo pseudonimo Phineas Phisher e dice di essere stato lui, da solo, con circa cento ore di lavoro, a scardinare tutta la sicurezza di Hacking Team senza mai mettervi piede, smentendo quindi le ipotesi di un complice interno o di un dipendente infedele. Il sito Web dell’azienda era ben protetto e aggiornato, per cui Phineas ha scelto un’altra strada: ha trovato un dispositivo embedded (forse una telecamera) accessibile via Internet il cui software di base (più correttamente il firmware) era difettoso e vulnerabile. L’intruso ha modificato questo software, trasformando il dispositivo in un accesso nascosto persistente (backdoor).

Da questo dispositivo ha iniziato una lenta scansione della rete interna di hacking e ha trovato un’installazione non protetta del database MongoDB. Poi si è accorto che i dispositivi usati da HackingTeam per i propri backup erano accessibili sulla sottorete locale e così li ha configurati in modo da renderli leggibili via Internet.

Nei backup ha trovato le credenziali di amministrazione, e così si è promosso ad amministratore remoto dei computer di HackingTeam. A quel punto aveva in mano le chiavi di tutto. Ha scaricato tutta la posta di HackingTeam e poi si è accorto che Christian Pozzi, uno degli amministratori dell’azienda, teneva tutte le proprie password in un volume cifrato con TrueCrypt. Phineas ha aspettato che Pozzi aprisse il volume e poi ne ha copiato i file. Da lì ha avuto accesso al codice sorgente dei prodotti dell’azienda e l’ha copiato. Infine ha pubblicato in Rete tutto quanto.

Phineas Phisher, ammesso che il suo racconto sia vero (è perlomeno tecnicamente plausibile), ha anche spiegato la motivazione della sua incursione: dimostrare “la bellezza e l’asimmetria dell’hacking: con cento ore di lavoro, una sola persona può disfare anni di lavoro di un’azienda multimilionaria. L’hacking dà al perdente la possibilità di lottare e vincere”, ponendo fine a quelli che Phisher chiama gli “abusi contro i diritti umani” di Hacking Team.



Fonti aggiuntive: Ars Technica.

Nessun commento: