HACKER DE’ NOANTRI – SU INTERNET SI PUÒ ANCORA SCARICARE LIBERAMENTE IL SOFTWARE-SPIA DELLA HACKING TEAM – CI SONO ANCHE I MANUALI DI ISTRUZIONE E CENTINAIA DI FILE AUDIO INTERCETTATI – E IL GOVERNO NON FA NULLA
Marco Lillo e Antonio Massari per il “Fatto Quotidiano”
L’applicazione è fruibile tramite un’interfaccia semplice e intuitiva”. È il paragrafo 1 del manuale per l’utente che vuole installare e utilizzare l’agente Rcs (Remote control system), il sistema che consente di intercettare e pedinare in maniera digitale ogni nostro spostamento, telefonata, fotografia, email e tutto ciò che possiate immaginare, a patto che transiti da uno smartphone o da un computer.
DAVID VINCENZETTI - HACKING TEAM
Questo è il sistema che è stato utilizzato per trasformare il pc del faccendiere Luigi Bisignani in una cimice che registrava tutti i suoi colloqui. In quel caso, come in molte altre indagini nei confronti di mafiosi e corrotti, però c’era un pubblico ministero a vigilare sull’uso dei dati. Adesso invece potrebbe aprirsi un far west informatico. L’interfaccia “semplice e intuitiva”, così come il software Rcs, è online ed è possibile scaricarla da più di un sito web.
Il punto è che anche il manuale delle istruzioni, di appena 122 pagine comprensibili anche per chi mastica poco il linguaggio informatico, è disponibile on line e se non bastasse porta il timbro del nostro ministero dell’ Interno. Per quanto possa sembrare assurdo, è proprio il manuale adottato dal Viminale sin dal 2008, a spiegare come sferrare un attacco a telefoni e pc dei cittadini e delle istituzioni.
L’hackeraggio del 6 luglio
Dal ministero dell’Interno commentano che è lo stesso manuale utilizzato da qualsiasi cliente della Hacking Team, l’azienda italiana che ha creato i sistemi Rcs e Galileo: i 400 gigabite che contengono ogni segreto della società sono stati hackerati e dal 6 luglio sono stati diffusi on line. “Non c’è nessun pericolo grave – spiegano dal Viminale – perché dal giorno successivo alla fuga di dati sul web tutte le società informatiche hanno cominciato a elaborare antivirus che impediscono a questo sistema di intercettare e spiare i computer e i telefonini. Fino a quando era segreto era possibile ma ora tutto è pubblico”.
Anche David Vincenzetti, l’amministratore delegato di Hacking Team – che con il Fatto Quotidiano ieri ha preferito non parlare – subito dopo la “fuga di file” ha dichiarato: “Se non viene aggiornato è inefficace. È estremamente improbabile che diventi un’arma al servizio dei terroristi perché è parziale ed è obsoleto. Il rischio vero è che i nostri clienti possano essere ‘scoperti’ dalla comunità degli antivirus. Però abbiamo suggerito ai clienti le contromisure. A fine anno comunque uscirà il nuovo software”.
Al Viminale sono sereni e Vincenzetti tenta di tranquilizzare i suoi clienti ma qualsiasi cittadino o amministrazione che non abbia aggiornato i propri programmi in questo momento resta vulnerabile. L’arma è in rete. Per una persona che disponga delle competenze necessarie è sufficiente scaricarla da un sito web e installarla sul pc per spiare il mondo. Pratico, comprensibile e semplice in 69 paragrafi Le 122 pagine del manuale affidato al ministero dell’Interno e –in questo momento – disponibili per chiunque sono di una semplicità inquietante. In 69 paragrafi si contano ben 65 “figure” che guidano, passo dopo passo, l’utente: dall’installazione all’attacco.
Una volta montata la console dei comandi è sufficiente digitare il codice IP dell’obiettivo per iniziare l’operazione – figura 4 – e decidere da una schermata elementare – figura 11 – cosa spiare. Il manuale rivela, però, un particolare che le difese delle ‘vittime’ dell ’uso giudiziario del software di Hacking Team già hanno fatto notare: con un semplice clic sulla schermata “add download” - figura 13 – è possibile non solo monitorare ma anche modificare il contenuto: si possono inserire sul pc del soggetto spiato documenti che non ha mai posseduto o cancellare quelli che invece ha salvato. Con le ovvie conseguenze sul piano probatorio.
La figura 14 mostra una schermata utilizzabile anche da un bambino: è sufficiente cliccare sulle dodici finestre per spiare tutti i documenti che il target manda in stampa, le password, il traffico web, le telefonate Skype, le fotografie salvate, i file a udio e video, i tasti che ha digitato sulla tastiera, decidendo ogni quanti minuti desideriamo essere aggiornati sui suoi movimenti. È questa la bomba che circola in rete, quindi in tutto il mondo, e che può polverizzare i segreti di chiunque.
Rispetto a questo rischio il silenzio del governo diventa giorno dopo giorno sempre più imbarazzante. La sensazione di trovarsi di fronte a un apprendista stregone che ha perso il controllo della situazione è forte se si scorre la lista dei clienti che hanno foraggiato con milioni di euro in questi anni Hacking Team comprando la licenza per l’uso della sua arma informatica. La Polizia Postale (in cambio del software e del manuale ora disponibile a tutti e anche de ll’assistenza), ha speso per esempio una somma che supera gli 800 mila euro.
Ora il mostro foraggiato dallo Stato potrebbe rivoltarsi contro i cittadini. Se la fase attuale –gratuita e pubblica ma incontrollata – pone dei rischi enormi anche l’uso fatto finora in segreto pone dei grandi dubbi. Chi ha utilizzato i software della Hacking Team in questi anni e per quali scopi? Il servizio segreto interno, l’Aisi, assicura di non aver mai usato i software in questione mentre dalle mail pubblicate sul sito Wikileaks appare chiaro l’utilizzo da parte del servizIo segreto estero, l’Aise, e dei corpi di polizia giudiziaria, dal Ros dei carabinieri allo Scico della Guardia di finanza, fino alla Polizia Postale.
Non è neanche chiaro se, questo strumento, sia pacificamente utilizzabile per fini istituzionali, ovvero per le indagini delle procure, considerato che il garante della privacy, Antonello Soro, in u n’intervista a la Repubblica, ha detto che bisogna riportare l’utilizzo di questi strumenti “entro il perimetro della Costituzione”. E ha aggiunto: “Le modalità tradizionali di intercettazione comportano procedure determinate e limitate nel tempo, prorogabili solo dal magistrato, sottoposte a misure severe previste dal codice penale.
L’intera operazione è tracciata. Invece Galileo può essere cancellato dall ’operatore che lo controlla a distanza senza lasciare tracce rilevabili neppure con tecniche sofisticate. Senza contare che le intercettazioni possono durare un tempo infinito”.
Nonostante queste dichiarazioni, a due settimane dal “f urto” dei dati, continua l’assenza di dibattito politico sul tema. Eppure, on line, non sono disponibili soltanto i file per installare il programma e il manuale d’istruzioni del Ministero dell’Interno, ma anche audio sui quali è necessario fare chiarezza. Centinaia di file vocali Il sito http://ht.transparencytoolkit.org ha infatti realizzato un mirro r del computer di Hacking Team, violato dall’ormai celebre hacker di nome Phineas Fisher, per mettere a disposizione del web i suoi contenuti.
Ci sono tutte le fatture, tutti i clienti, tutte le corrispondenze e le migliaia di mail pubblicate con tanto di motore di ricerca da Wikileaks. E soprattutto ci sono centinaia di audio. In pratica stiamo parlando, a tutti gli effetti, di intercettazioni ambientali. In molte – secondo una fonte qualificata che le ha ascoltate – si sente digitare all’interno di chat online. Il suono tipico di Whatsapp o Facebook. Sappiamo che il software è in grado di ricostruire i passaggi delle nostre dita sulla tastiera, ma non chi sia stato intercettato.
Sono operatori della stessa Hacking Team che registravano se stessi per fare una prova? Erano soggetti che venivano infettati? E da chi? Si tratta di persone sotto indagine? Perché queste intercettazioni ambientali erano depositate nei 400 gigabytedella Hacking Team? In un file – riferisce sempre la nostra fonte –si ascolta un uomo che dice: “Quando finisce di mandarti la roba io cancello tutto e poi sono cazzi tuoi quello che devi fare ... ”. Chi sta parlando? Di quale roba si tratta? Cosa stanno salvando e cancellando? E c’è anche chi s’innervosisce dicendo: “Porca miseria, voglio conoscere questo risultato” e poi esulta: “beccato!”.