Hoy se cumple un mes del escándalo de Hacking Team y todavía no había hecho referencia al mismo, a pesar de que muchas entradas del mes de Julio han estado relacionadas directamente con este incidente. Después de un mes el asunto se ha tratado en infinidad de noticias desde varios puntos de vista.
Primero, Hacking Team es una empresa italiana con sede en Milán especializada en seguridad informática y espionaje fundada en el año 2003. Detrás de HT se encontraban dos programadores, Alberto Ornaghi y Marco Valleri, que se hicieron famosos por publicar la herramienta Open Source Ettercap. capaz de robar contraseñas y realizar escuchas remotamente. La herramienta llamó la atención a la policía de Milán convirtiéndose en su primer cliente. En la actualidad Hacking Team cuenta con medio centenar de trabajadores.
Entre su carta de servicios se puede encontrar el alquiler de un sistema de control remoto propio e indetectable bautizado como Da Vinci, monitorización de objetivos en Internet, interceptación de comunicaciones de VoIP como Skype, acceso a la cámara, escuchas en los micrófonos de dispositivos, etc. Lo típico en un servicio de espionaje. Incluso cuentan o contaban con un servicio de espionaje mediante drones. El precio por uno de sus servicios está entorno a los 600.000€ de media. En Wikipedia se detalla ampliamente la actividad laboral de esta empresa.
Galileo
Hacking Team es puntera en su ámbito. Por poner un ejemplo, uno de sus servicios trataba en alquilar a través de un portal de exploits llamado Galileo vulnerabilidades no conocidas por el resto del mundo, vulnerabilidades que se conocen en el mundo de la informática como de día 0 o 0-Days, para ser usadas en sus sistemas de control remoto (Windows, Mac OsX, Windows Mobile, iPhone, Symbian, BlackBerry, Android). Siempre garantizaban que en su portal había como mínimo tres vulnerabilidades de éste tipo durante el año o el periodo que durara el contrato con el cliente. Además había otras categorías como la social que explotaban el comportamiento de los usuarios, la categoría público donde había vulnerabilidades con su código para la explotación públicado y privadas donde había vulnerabilidad conocidas pero sin código de explotación publicado. Estas vulnerabilidades o bien las descubrían ellos mismos o bien las compraban a terceros. En otra entrada se tratará este asunto porque es cuánto menos curioso ver cómo funciona el mercado de los 0-Days.
El escándalo saltó el pasado 5 de Julio cuando alguien utilizando el propio arsenal de Hacking Team los atacó publicando una fuga de información de 400GB. La noticia del incidente vio la luz en la misma cuenta de Twitter de Hacking Team comprometida y pronto empezó a distribuirse, vía Torrent y vía web en el repositorio ht.transparencytoolkit.org, toda la información. Ahora ya puede encontrarse en multitud de sitios siempre con el riesgo de que la información haya sido manipulada o tenga premio. Fue el mismo Hacking Team quien reconoció a través de un comunicado en su página web que el motivo de la intrusión se produjo porque perdieron el control sobre su arsenal.
Hacked rely on us
En la fuga de información se encuentra absolutamente de todo. Cruces de correos electrónicos con clientes de la empresa o con proveedores que suministraban exploits. Esta información la podemos consultar directamente en Wikileaks. También se encuentran pruebas de concepto de vulnerabilidades de tipo 0 Day, facturas por sus servicios, el propio arsenal de herramientas, los manuales que facilitaban a sus clientes, etc.
Entre sus clientes se encontraban todo tipo de empresas y gobiernos. Antes del incidente se relacionaba algunos gobiernos de dudosa moralidad, acusados de violar los derechos humanos en sus respectivos países, con Hacking Team. Pero ellos siempre habían salido a desmentirlo hasta que la fuga de información ha terminado por confirmarlo. Algunas noticias tratan el incidente desde este punto de vista de la moralidad.
El gobierno español a través del CNI también se encuentra entre los correos electrónicos cruzados de clientes con Hacking Team, aunque no se ha podido determinar exactamente el fin de los mismos. El propio CNI ha reconocido en un comunicado su relación con Hacking Team subrayando que su actividad ha sido totalmente legal.
Otro punto de vista del incidente ha sido el técnico. La publicación de los 400GB de información ha sido como abrir la caja de pandora. Cada día de Julio nos despertábamos con noticias nuevas acerca de nuevos 0-Days que los investigadores iban encontrando en el material publicado. Entre los más importantes se encuentran tres 0-Days en Flash Player, primero salió uno y después del fin de semana otros dos más, que han dejado prácticamente herido de muerte a este producto de Adobe. Después del primer 0-Day se recomendó parchear con la última actualización publicada por Adobe pero después de los otros dos se decidió en muchos lugares cambiar esta política por dejar de utilizarlo debido en gran parte en la poca confianza que ha dado el producto. Uno de los primeros en eliminar Flash Player fue Mozilla Firefox. Después de la implantación de HTML5 en Youtube este era el último empujón que necesitaba HTML5 parece destronar definitivamente a Flash player.
Otro de los que salieron mal parados fue Internet Explorer con otro 0-Day, si Microsoft ya había anunciado la descontinuación de su navegador a partir de Microsoft Windows 10, esta última vulnerabilidad le ha dado la puntilla que le faltaba. Otros productos de Microsoft como Windows también han salido retratados con vulnerabilidades de elevación de privilegios y ejecución de código remoto.
Actualmente cinco de las seis últimas alertas de 0-Days de Trend Micro corresponden a la filtración de Hacking Team.
- CVE-2015-2426: Hacking Team Leak Uncovers Another Windows Zero-Day, Fixed In Out-Of-Band Patch
- CVE-2015-2425: «Gifts» From Hacking Team Continue, IE Zero-Day Added to Mix
- CVE-2015-5123: New Zero-Day Vulnerability in Adobe Flash Emerges from Hacking Team Leak
- CVE-2015-2590: Trend Micro Discovers New Java Zero-Day Exploit Linked to Pawn Storm
- CVE-2015-5122: Another Zero-Day Vulnerability Arises from Hacking Team Data Leak
- CVE-2015-5119: Unpatched Flash Player Flaw, More POCs Found in Hacking Team Leak
Hacked Team
Por el momento este es el breve resumen de lo que nos ha ido dejando el tema Hacking Team durante el mes de Julio.