"In Europa ci sono già i presupposti per l'esplosione di un conflitto sociale. Questo è il seme del malcontento, dell'egoismo e della disperazione che la classe politica e la classe dirigente hanno sparso. Questo è terreno fertile per la xenofobia, la violenza, il terrorismo interno, il successo del populismo e dell'estremismo politico."

mercoledì 15 luglio 2015

Trojan di Stato, non c’è solo Hacking Team

I lettori di „Uropia, il protocollo Maynards“ e in genere i frequentatori di questo Blog saranno abituati alla raccolta di informazioni, testimonianze ed articoli che rappresentano le basi tecnologiche, giuridiche ed informatiche sulle quali la distopia del romanzo è costruita.

Troverete infatti in questo e nei post precedenti e successivi una collezione di informazioni direttamente tratte dal web, senza commenti o censure, dalle fonti originali –errori tipografici compresi!- e con i link relativi.



"Trojan di Stato, non c’è solo Hacking Team
di Luca Rinaldi, da Wired, 15.07.2015

Oltre all’azienda italiana, la mappatura di Wikileaks, rivela che il business degli spioni privati è una prerogativa europea, oltre ai francesi di Vupen, ci sono i tedesche DigiTask ed Elaman e gli inglesi di Gamma Group


Non solo Hacking Team. Il panorama delle aziende che producono trojan(software in grado di registrare pressoché tutta l’attività svolta su un computer), e in particolare trojan di Stato, non è abitato solo dall’azienda milanese, anzi. Stando a quanto si può verificare dal primo rilascio degli “Spy Files” pubblicati da Wikileaks nel 2011, sarebbero almeno quattro le società che fanno compagnia alla nostrana Hacking Team nella produzione di software per spiare computer, conociuti nel giro degi addetti ai lavori come captatori informatici.
Il dato interessante è che le magnifiche cinque si trovano tutte in Europa: secondo la mappatura di Wikileaks producono infatti questo tipo di strumento la stessa Hacking Team, la francese Vupen, le tedesche DigiTask ed Elaman e l’inglese Gamma Group.
Sicuramente le cinque non sono le uniche nel mondo a produrre Trojan, ma lo fanno da privati, rivendendo poi i loro prodotti. Al contrario «Paesi come come la Cina – dice a Wired Giovanni Battista Gallus, avvocato del circolo dei giuristi telematici – producono Trojan a livello governativo ed è normale che rimangano in ombra perché l’export è vietato anche per questioni di sicurezza nazionale».
Come si può notare sfogliando le presentazioni dei software prodotti dalle società specializzate tutte si pongono come produttori di tecnologia per governi. Chi diluisce il senso della cosa, chi invece esplicitamente propone “soluzioni per la sicurezza governativa”. Quest’ultimo è il caso della tedesca Elaman che, in partnership con una delle altre cinque produttrici di Trojan a livello europeo, l’inglese Gamma Group, ha uffici dislocati nel Regno Unito, in Germania, Emirati Arabi Uniti, Singapore, Indonesia e Sud Africa.
Insieme Elaman e Gamma Group hanno sviluppato Finfisher, una suite per infettare computer e smartphone con un trojan per poi monitorare tutta la loro attività, dalle conversazioni Skype alle email, dalle chat ai file salvati. FinFisher è poi diventata nel 2013 una azienda vera e propria, e gli SpyFiles 4 di Wikileaks ne hanno rilevato modi e metodi di infezione e intercettazione.
Come ha raccontato su Wired Carola Frediani, tra il 2013 e il 2014 l’Italiaavrebbe acquistato almeno quattro licenze (non contando quelle indicate nei file come cancellate), sia per target mobili che PC, divise su due diversi clienti: in un caso per una spesa finale di circa 682mila euro, in un altro per circa 1.120.000 euro.
Anche la francese Vupen è attiva nella collaborazione con le forze dell’ordine e agenzie di intelligence, non solo francesi. Sempre nel quarto rilascio degli SpyFiles di Wikileaks è emerso come la società abbia scoperto alcune vulnerabilità sui sistemi operativi Apple e le abbia fornite alla stessa FinFisher senza rivelarle. La falla dunque, faceva notare Paolo Attivissimo sul suo blog, non viene corretta neppure nei sistemi degli utenti onesti e innocenti perché non viene resa pubblica, ma viene al contrario rivelata solo a chi realizza prodotti di sorveglianza.
Su Forbes il fondatore di Vupen Chaouki Bekrar, a chi gli faceva notare la scorrettezza delle pratiche rispondeva che «non lavoriamo duramente per aiutare multimiliardarie società a rendere sicuri i loro codici. Volessimo fare volontariato, aiuteremmo i senzatetto».
Dunque, non solo Hacking Team sotto il cielo della produzione di software per il controllo da remoto di pc e smartphone. Quello che si osserva può essere definito un ecosistema di imprese che lavorano (o almeno dovrebbero) nell’alveo della legge e dei trattati internazionali. Su tutti il regolamento comunitario 428/2009 che regola il “controllo delle esportazioni, del trasferimento, dell’intermediazione e del transito di prodotti a duplice uso”, dove per prodotti a duplice uso si intendono i software e le tecnologie che possono avere un utilizzo sia civile sia militare.
Su questo terreno e sulle ambiguità sia delle singole norme nazionali, sia dello stesso regolamento europeo si gioca la correttezza o meno dell’exporte dell’utilizzo dei captatori informatici. Tanto che parte della vicenda Hacking Team si basa proprio sul fatto che gli strumenti messi a punto dall’azienda siano considerate o meno un armamento militare. Il leak di HT mostra, grazie alle mail scambiate sia all’interno dell’azienda, sia con il ministero dello Sviluppo Economico, che proprio su questo punto si giocava un pezzo consistente dei progetti di crescita dell’azienda.
Non a caso all’interno del regolamento stesso trova spazio una lista che autorizza l’esportazione dei software prodotti da Hacking Team e aziende che producono lo stesso prodotto e le aziende devono attenersi alla lista, salvo specifiche autorizzazioni. «Ed è evidente – spiega ancora a Wired Giovanni Battista Gallus – che nel caso Hacking Team, queste specifiche autorizzazioni non ci fossero», stessa osservazione della parlamentare del gruppo dei liberaldemocratici al Parlamento Europeo, Marietje Schaake, che chiede se «la commissione europea» sia «stata informata dal governo italiano dell’esistenza di una qualche precedente autorizzazione per permettere ad Hacking Team di esportare in Sudan e Russia». Su questo punto il governo italiano, vista anche l’interlocuzione tra il ministero dello sviluppo economico e la stessa Hacking Team, dovrà necessariamente intervenire nei prossimi giorni.
 
«Certo – sottolinea Gallus – la vendita a paesi che non sono in blacklist non garantisce comunque un utilizzo convenzionale e prevedere il reale utilizzatore finale del prodotto non è sempre facile. Questi prodotti hanno potenzialità tali per cui è facilissimo abusare dello strumento perché di fatto prendono il controllo delle periferiche su cui vengono installati, e indubbiamente anche a livello di disciplina internazionale c’è bisogno di una normativa più forte per regolamentarne l’utilizzo»."
(Wired, Luca Rinaldi, 15.07.2015)
alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)