Il caos legale di Hacking Team

FelynX · 8 Luglio 2015, 8:25pm

WebNews | Marco Viviani | 08/07/2015

Marco Viviani per WebNews.it intervista l’avvocato Francesco Paolo Micozzi sul caso Hacking Team

D: Queste linee di codice: il partito pirata ha divulgato una slide incriminata, altri invece pensano possa trattarsi di un fake o di un puro esercizio teorico. Se fossero confermati strumenti come questi, utilizzati dalle forze di polizia e dalle procure, si sarebbe oltre il imiti consentiti dalla legge? R: Il riferimento era a quelle linee di codice che – apparentemente – consentirebbero di inoculare del materiale pedopornografico su macchine-bersaglio. Nella ipotesi in cui, infatti, taluno inserisca del materiale sulla macchina di un determinato soggetto al fine di precostituire a suo carico le tracce del reato sarebbe perseguibile per calunnia.

Continua: http://www.webnews.it/2015/07/08/il-caos-legale-di-hacking-team/

f00l · 8 Luglio 2015, 8:36pm

L’ho visto, condiviso da… qualcuno su FB, ma prima di dare la mia opinione a riguardo vorrei vedere il codice originale, se si trova in giro. Indipendentemente da questo, mi piacerebbe riuscire a organizzare una manifestazione contro 'sti stronzi. Direi che, fak o meno, ce n’è già abbastanza per fargli un pic-nic davanti all’ufficio…

f00l · 8 Luglio 2015, 8:40pm

Comunque questo portavoce è un paraculo… non conferma o smentisce niente. O è uscito dall’NSA, o stanno intervistando uno che è capitato lì per caso…

f00l · 8 Luglio 2015, 9:10pm

Un articolo interessante che ripercorre la vicenda da parte di Attivissimo:

La cosa più epica è il commento dell’utente souffle:

[quote]A occhio e croce, questi finiscono sotto a un ponte. Tutto sta a vedere come: se come i barboni o se come Calvi. [/quote]

f00l · 8 Luglio 2015, 9:26pm

HA!

http://www.hackingteam.com/index.php/about-us

mutek · 9 Luglio 2015, 9:44am

hanno tirato troppo la corda sono anni che vengono avvertiti tira e tira…

tra l’altro c’è a spanne una sorta di catena dei subappalti del fanta spionaggio all’italiana

guardate tra i vari file compare anche una certa Resi altra fanta azienda che vende roba simile ma sta piu nell’ombra perche non usano Passw0rd e sono un pelino piu furbi

FelynX · 9 Luglio 2015, 12:23pm

http://mgpf.it/2015/07/09/hackingteam-di-cosa-dovete-davvero-aver-paura.html

FelynX · 9 Luglio 2015, 7:29pm

–

Tra i moduli del software Da Vinci è stato trovato anche uno strumento che permetterebbe di caricare sul computer della vittima materiale compromettente per screditarlo o incastrarlo in un’eventuale indagine… Non ho ancora avuto la possibilità di analizzare questo aspetto nel dettaglio, ma le prime indiscrezioni circolate in rete confermano la presenza di uno strumento del genere. Se confermata, si tratterebbe di una palese violazione degli scopi per cui questo tipo di software dovrebbero essere creati e venduti. Una cosa è permettere la sorveglianza di un potenziale terrorista, un’altra dare alle forze dell’ordine uno strumento che gli permette di incastrare un innocente fabbricando false prove. Credo che in qualsiasi paese un’azione come questa verrebbe vista come un abuso di potere.

lynX · 10 Luglio 2015, 11:59am

Confermo l’esistenza del codice. Lo si può scaricare da http://hakteamvayuhxoe7.onion/git/rcs-backdoor.git/ oppure fare direttamente torify git clone git://cheettyiapsyciew.onion/rcs-backdoor per ottenere una copia funzionante del vcs originale. Il codice incriminato è nel file lib/rcs-backdoor/backdoor.rb e stando a git blame è stato programmato da un certo Daniele Milan d.milan@hackingteam.it che occasionalmente usa anche milan.daniele@gmail.com per i suoi commit. Il commit specifico è il seguente:

7bb2d70f (daniele 2012-03-14 13:58:01 +0100 180) trace :info, “Creating #{options[:gen_num]} fake evidences…”

Stando a guardare meglio il contesto del codice però viene il dubbio che si possa trattare di una funzione di testing dei meccanismi… cioè vengono creati dei file “evidence” a scopo di test. La routine antecedente allo screenshot indica questo:

      # create some evidences
  def create_evidences(num, type = :RANDOM)
    # ensure the directory is created

    FileUtils.rm_rf(@evidence_dir)

    FileUtils.mkpath(@evidence_dir) if not File.directory?(@evidence_dir)

    real_type = type

    # generate the evidence
    num.times do
      #real_type = RCS::EVIDENCE_TYPES.values.sample if type == :RANDOM
      real_type = [:APPLICATION, :DEVICE, :CHAT, :CLIPBOARD, :CAMERA, :INFO, :KEYLOG, :SCREENSHOT, :MOUSE, :FILEOPEN, :FILECAP].sample if type == :RANDOM
      Evidence.new(@evidence_key).generate(real_type, @info).dump_to_file(@evidence_dir)
    end
  end

La definizione della classe “Evidence” e il suo generate() ora mi sfugge, ma dubito che contenga materiale pedopornografico ecc direttamente in codice sorgente.

Resta il problema fondamentale che in qualche modo questi strumenti avranno sempre una funzione che permette di uploadare del materiale compromettente sul telefonino o computer della persona “indagata,” e nessuno sa se l’esecutivo è capace a resistere alla tentazione di fare da potere omnipotente. Fabbricare “prove” che un giudice mai potrebbe ne comprovare ne confutare non è solo eticamente orrendo – è la dimostrazione palese di come la separazione dei poteri sui quali si fonda la nostra democrazia è in crisi davanti alla volatilità del digitale. Non importa se i nostri servizi queste cose le fanno o non le fanno – la democrazia è di già compromessa dal fatto che hanno la scelta se rispettare la costituzione oppure no. Nessuno glielo potrebbe impedire. Questo di per se è anticostituzionale. Nessuno deve avere la scelta di essere omnicosciente o omnipotente in un governo democratico.

Questa storia non è un caso particolare specifico – è l’ennesima manifestazione di un problema sistemico dell’approccio sregolato alla tecnologia. Ci vuole una rivoluzione delle politiche digitali per risolvere queste questioni. Non basta punire gli sfigati che si sono fatti beccare con le mani nel sacco perchè ce ne saranno sempre di nuovi a fare la stessa cosa. Anzi, con tutti i codici sorgente ora a disposizione, chiunque potrà utilizzare questi strumenti contro chiunque altro.

Concludo che per ora non è sicuro che questo codice di per se sia una evidence di alcuna cosa. Ci sono altri documenti che comprovano operazioni commerciali che non avrebbero dovuto avvenire e ci sono problemi strutturali della digitalizzazione che vanno ben oltre questa ditta.