L’attacco informatico ad Hacking Team ne ha messo a nudo alcuni degli aspetti più delicati e ha svelato all’opinione pubblica un mondo oscuro ai più. Nei 400 gigabyte di documenti riservati sottratti alla società milanese figurano infatti elementi utili a ricostruire ogni aspetto, anche il più privato, della vita e del lavoro aziendale: conversazioni via email tra i dipendenti, le relazioni esterne, dettagli tecnici dei prodotti, ma anche rapporti con i clienti privati e istituzionali, tra i quali figurerebbero persino la presidenza del Consiglio e diversi Stati canaglia.
Perché la società era un obiettivo? Chi voleva attaccarla? E quali saranno le conseguenze di questo hack?
Sono alcuni degli aspetti analizzati in una conversazione di Formiche.net con Stefano Mele, avvocato e direttore dell’Osservatorio “InfoWarfare e Tecnologie Emergenti” dell’Istituto Italiano di Studi Strategici Niccolò Machiavelli.
Mele, chi ha hackerato Hacking Team? Uno Stato, un’azienda concorrente, ex dipendenti?
Le ipotesi sul tavolo sono tante. Non conosco i dettagli o i documenti dell’indagine, ma mi sembra di capire che, per quanto non si sappia ancora con certezza chi sia l’autore o gli autori, il movente sia stato prevalentemente politico e non commerciale. Il soggetto che ha rivendicato l’attacco, infatti, è lo stesso che ha già colpito la concorrente inglese Gamma Group International, produttrice del software FinFisher e FinSpy, anch’essa accusata da più parti di vendere i suoi software spia a regimi illiberali. Ad ogni modo, 400 gigabyte di dati non escono in un attimo da una rete informatica. L’attacco deve essere stato attuato in un lasso di tempo non proprio brevissimo ed avrà lasciato sicuramente delle tracce (penso alle statistiche del traffico di rete, ad esempio). Pertanto, ritengo che con le informazioni già in loro possesso e attraverso un’analisi approfondita di quanto avvenuto la società Hacking Team saprà con buona certezza dove “bussare” alla ricerca del colpevole.
La società era davvero uno dei leader mondiali del settore?
Senza dubbio. Produceva e forse produrrà ancora un software di alto profilo, programmi da più parti classificati come di livello governativo. Questo le deve essere riconosciuto e, per quanto ne so, è stato uno dei suoi punti di forza sul mercato.
Qual era il vero valore aggiunto di Hacking Team per l’Italia?
Per il governo e per il nostro Paese il valore risiedeva proprio nel fatto che l’azienda fosse italiana. Aveva dunque contatti consolidati con soggetti dell’Intelligence e delle Forze dell’Ordine, che potevano servirsi di know how pregiato e di un livello di fiducia maggiore rispetto ad una società straniera, com’è naturale e giusto che sia. Del resto, il suo essere un’azienda italiana consentiva ovviamente anche un contatto e un controllo più stretto e diretto da parte dei nostri apparati governativi. Probabilmente è questo il motivo per cui alcuni soggetti istituzionali – in queste ore si fa il nome di alcuni appartenenti alla Presidenza del Consiglio – avrebbero cercato in alcuni frangenti anche di aiutare Hacking Team. Occorre, tuttavia, non fraintendere questa affermazione: è normale che soggetti istituzionali aiutino un’azienda italiana, purché ovviamente ciò avvenga all’interno di un perimetro normativo ben definito e chiaro.
Si può lavorare contemporaneamente, come ha fatto Hacking Team, per Paesi dagli obiettivi così diversi e a volte contrapposti come Usa, Russia e – forse – Stati canaglia?
Per quanto riguarda i Paesi sotto embargo, certamente no. Ma su questo tema occorrerebbe guardare con estrema attenzione a ciò che realmente è accaduto e soprattutto il quando. Nessun problema, invece, per la vendita dello stesso malware agli altri Stati, anche se in conflitto tra loro. E’ una situazione normale in una situazione di libero mercato in cui c’è qualcuno che, come Hacking Team, produce software così appetibile.
Ma chi lo ha acquistato non si è mai chiesto a cosa potesse servire un software potenzialmente vendibile a tutti? Quale vantaggio competitivo poteva realmente offrire?
Anzitutto, ogni soggetto acquirente di questo genere di malware normalmente li utilizza per i propri scopi strategici e non sempre questi sono in conflitto con quelli di altri Stati o soggetti, così come si può agevolmente evitare che lo diventino. Tuttavia, proprio da alcune email trafugate e rese ormai pubbliche sembra emerge che David Vincenzetti, il CEO dell’azienda, proponesse proprio ai Servizi italiani di finanziare (e quindi acquisire) una parte della sua azienda, al fine di ottenere, da un lato, nuove sovvenzioni e, dall’altro, da creare con loro rapporti sempre più stretti e solidi. Se ciò fosse accaduto, però, quasi certamente questa relazione non sarebbe sfociata in un rapporto di esclusività nei confronti della nostra Intelligence, ma verosimilmente, come spesso accade in questo come anche in altri settori, si sarebbe trattato più di un impegno a fornire ai loro committenti primari la versione più aggiornata e performante dei loro software.
Secondo lei perché Forze dell’ordine e Servizi segreti non realizzano in house questo genere di strumenti e di tecnologie, invece di esporsi con soggetti privati?
Prima di tutto bisogna avere risorse e competenze dedicate di altro profilo e il settore pubblico difficilmente riesce ad essere economicamente appetibile rispetto a quello privato. Inoltre, quando parliamo di “cyber armi” o di software per lo spionaggio e la sorveglianza elettronica, bisogna ricordare che non si tratta di missili che una volta colpito il bersaglio esplodono, distruggendosi. Infettando un pc con un malware, invece, lo si consegna inevitabilmente al soggetto che subisce quell’attacco. Unitamente all’effetto di quel software, infatti, si consegna anche il know how utile per generarlo. E’ questa, ad esempio, una delle ragioni per cui questo business non è poi così duraturo e solido come lo si potrebbe immaginare: quando il malware viene utilizzato o scoperto, di fatto è “bruciato” ed è quindi difficilmente riutilizzabile, se non in alcune sue singole parti. Per questo nutro alcune difficoltà a comprendere tutto questo allarmismo sul fatto che il software di Hacking Team sia ora liberamente disponibile in Rete. Semmai è il contrario: una volta su piazza, tutti possono attrezzarsi (così come si sono già attrezzati) per disinnescarne gli effetti. Il vero rischio, invece, come detto, è che vengano presi dei singoli moduli e riutilizzati per realizzare un’altra tipologia malware. Ma questa è, ovviamente, un’altra storia.
L’Italia investe poco in cyber security?
La vicenda di Hacking Team ha acceso le luci su un piccolo spaccato di quanto accade giornalmente in Rete, ovvero di come i governi si attrezzino – già da molto tempo – per svolgere operazioni di sorveglianza, di intelligence e sempre più anche di cyber warfare. Spero, tuttavia, che questa vicenda possa avere anche un lato positivo, ovvero che il pubblico più vasto possibile possa venire a conoscenza e comprendere appieno questo scenario e il messaggio che gli esperti di questi temi da anni cercano di trasmettere: non è più tempo di prendere la sicurezza informatica e delle informazioni sotto gamba e occorre correre urgentemente ai ripari.
Ma in Italia che succede?
Guardando a ciò che accade da noi, l’Italia purtroppo non investe ancora quanto ci si attenderebbe e auspicherebbe. Seppure il nostro Paese abbia imboccato la strada giusta – e i documenti strategici in materia di sicurezza cibernetica ne sono una prova – manca palesemente una cultura della sicurezza e una reale sensibilità verso questi temi da parte della nostra classe politica, deputata a supportare economicamente (e non solo) la protezione cibernetica dei nostri interessi ed asset nazionali. Altri governi, anche europei, riservano da tempo budget altissimi per questo settore, laddove noi in confronto non ne prevediamo quasi nulla. Nel frattempo, però, la situazione è molto grave e, come si suol dire, non si vede una luce in fondo al tunnel.
Cosa bisognerebbe fare?
Se le aziende non agiscono autonomamente – come è sotto gli occhi di tutti – una possibile soluzione potrebbe essere quella già adottata da altri Paesi europei, che attraverso una specifica legge hanno obbligato le loro aziende più rappresentative e le infrastrutture critiche ad adottare specifiche e stringenti misure di cyber security e di controllo sulla loro reale applicazione, proprio al fine di arginare questi fenomeni.
