Hacking Team hacked: quando la sicurezza si vende, ma non si persegue.

hacking-hackedteam

400Gb di dati della società di sicurezza compromessi e pubblicati online

La famosa società informatica milanese Hacking Team, nota già alle cronache per la fornitura ad una cinquantina di governi in tutto il mondo di trojan di stato (come il prodotto RCS, Remote Control system) è stata compromessa.

Nel peggior modo che si potesse immaginare.

Ben 400Gb di dati aziendali e personali sono stati trafugati dai sistemi dell’azienda per essere successivamente diffusi online.

Centinaia di documenti, mail private, codice sorgente, tutto quanto di più segreto si volesse (e dovesse) proteggere è stato sottratto e reso pubblico.

Come se non bastasse l’account twitter ufficiale è stato rinominato per un certo lasso di tempo da ‘HackingTeam’ in ‘HackedTeam‘; questo a completamento di un’opera di sberleffo che in molti ritengono un vero e proprio giro di ruota; lo scotto da pagare per aver lucrato a spese della privacy dei cittadini di tutto il mondo, oltretutto vantandosi di farlo in modo etico.

Quello che emerge pian piano dal quadro generale del dataleak è, per usare termini poco sensazionalistici, quantomeno inquietante: collaborazioni con governi non propriamente definibili etici e democratici e nessun rispetto per le minime pratiche di sicurezza per la protezione dei dati (come la scelta di password/passphrase robuste non salvate in chiaro all’interno di file di testo).

Minuto dopo minuto, ogni singolo file che viene alla luce logora la reputazione della società (neanche troppo lentamente a questo punto).

Diversi account twitter stanno pubblicando aggiornamenti interessanti sul contenuto dei dati sottratti, SyntheticLabs è uno di questi. Sembrerebbe esserci anche codice 0day, codice che con molta probabilità leggeremo presto nei canali di Security Disclosure.

Difficile prevedere come evolverà la faccenda nei prossimi giorni, dal materiale potrebbero emergere ancora altri dettagli, bisogna solo aspettare.

Cosa dovrebbe insegnarci questa vicenda?

Per alcuni a quanto pare, la sicurezza rappresenta principalmente un business, di quelli con la B maiuscola, da perseguire per un profitto.

Per altri (tanti altri, per fortuna) qualcosa di più profondo, uno ‘state of mind‘, che sconfinando negli ambiti di diritto e filosofia, abbraccia le nostre vite a tutto tondo. Qualcosa che dovrebbe far parte del bagaglio minimo di conoscenza di ogni cittadino di questo pianeta, un ideale da difendere, da coltivare ed insegnare con passione.

L’arma che abbiamo tutti a nostra disposizione per difenderci è l’educazione alla sicurezza e quindi la conoscenza: quando intorno a noi la maggior parte dei soggetti cerca di lucrare su ogni aspetto della nostra vita, usiamo il nostro bagaglio di conoscenza per tutelare i nostri diritti in modo consapevole.

Tutto questo dovrebbe farci riflettere anche sul cosiddetto uso dei ‘trojan di stato’; un aggiornamento delle ultime ore sembrerebbe confermare addirittura la presenza di una backdoor nel software di backdoor, cose che anche i clienti istituzionali ignoravano.