Si è appena consumato un cataclisma nell’industria della security informatica: l’azienda milanese Hacking Team è stata, ohibò, hackerata. 400 gigabyte di dati disponibili per tutti: dentro ci sono ricevute, email, log, password; un po’ di tutto insomma—una botta davvero gigantesca per un’azienda che vende sistemi di sicurezza e sorveglianza.

Qui su Motherboard stiamo continuando ad analizzare gli archivi di dati e abbiamo già parlato dell’hacker che ha rivendicato l’attacco, della corsa ai ripari da parte di Hacking Team, che ha ordinato i propri clienti di smettere di usare i prodotti che avevano acquistato da loro, e infine anche di tutte le agenzie governative che hanno acquistato servizi e prodotti sospetti dall’azienda.

Fino a qui tutto bene, quindi—ma la vera domanda che affligge oggi almeno il 70% dei lettori dei siti di informatica e tech di mezzo mondo è un’altra: cos’è questo Hacking Team?

Alberto Ornaghi e Marco Valleri, cominciano a lavorare assieme nel 2001, quando programmano e pubblicano Ettercap, un semplice programma che permette di testare la sicurezza delle reti LAN, verificando le loro debolezze contro eventuali attacchi hacker. Ettercap è gratuito e completamente libero, e qualche tempo dopo quel periodo viene notato non solo dalla comunità globale di informatici, ma anche dalla polizia italiana, che non si risparmia di presentarsi alle porte di casa dei due.

Computer sequestrati, manette e fine della storia? Macchè. Alberto e Marco non vengono accusati di nulla, ma anzi vengono assunti: la polizia italiana voleva una versione di Ettercap per Windows che permettesse loro di spiare determinati sospettati. È così che Hacking Team, oggi guidata da David Vincenzetti, è diventata una delle prime agenzie di consulenza informatica e vendere strumenti per hacking alle autorità; oggi dà lavoro a più di 50 dipendenti.

Il lavoro di Hacking Team non è esattamente una novità: è da quando è stata creata la prima rete intranet che i tecnici informatici si scervellano per trovare modi di bucare qualunque tipo di sistema di sicurezza, ma è la prima volta che qualcuno traduce queste pratiche di hacking in prodotti da scaffale (virtuale) alla portata di tutti.

“Noi di Hacking Team crediamo che combattere il crimine dovrebbe essere una pratica facile: forniamo alle autorità e alle agenzie di intelligence tecnologie per hacking informatico semplici ed efficaci. Il compito della tecnologia è di darci più potere, non di ostacolarci,” cita la sezione ‘About’ del sito—ora offline—di Hacking Team.

Quello che Hacking Team fa, a livello pratico, è vendere servizi e prodotti: nel primo caso si tratta spesso di consulenze in ambito sicurezza; per esempio abbiamo appreso dal dump di dati pubblicato che grandi banche come Deutsche Bank o agenzie assicurative come Barclays hanno pagato Hacking Team per farsi letteralmente attaccare da loro, di modo da evidenziare eventuali lacune nei sistemi di sicurezza.

Parlando invece di prodotti, il cavallo di battaglia di Hacking Team è il suo Remote Control System, conosciuto meglio come Galileo, una suite di attacco e analisi. “La crittazione dei dati viene utilizzata ovunque per proteggere la privacy degli utenti; allo stesso modo, la privacy protegge anche i criminali,” cita la brochure di Galileo, che continua elencando poi il come e il dove questi criminali potrebbero risultare protetti e conclude, “Come puoi indagare su questo tipo di criminali? Ecco, Remote Control System serve esattamente a questo.”

Hacking Team quindi arriva a fine mese con i bilanci in attivo vendendo consulenze ad aziende private e strumenti a governi e autorità—non ci sarebbe alcun tipo di problema, se non fosse che le istituzioni spesso e volentieri abusano di questo tipo di strumenti.

Oltre che le questioni probabilmente poco piacevoli che salteranno fuori da questo dump di dati, non c’è bisogno di tornare troppo indietro per trovare prove di questa tendenza: a metà aprile scorso si è scoperto infatti che la Drug Enforcement Administration americana, la DEA, ha acquistato e utilizzato Galileo da almeno il 2012. Il quadro legislativo attorno a questo tipo di strumenti è ancora poco chiaro, per questo si pensa che la DEA potrebbe averlo sfruttato in maniera potenzialmente illegale—ciò che preoccupa di più è quanto invasive siano queste pratiche, e basta pensare al tam tam crescente attorno alle politiche dell’NSA americana per capire che si tratta di preoccupazioni poi non così astratte.

Hacking Team potrebbe aver fornito a diverse entità pubbliche e private l’accesso a una risorsa importantissima: la nostra privacy.

A marzo Hacking Team è stato accusato di collaborare con il regime etiope, non esattamente conosciuto per i suoi modi accoglienti. Human Rights Watch ha infatti mostrato come le autorità etiopi controllassero i giornalisti presenti nella nazione mediante i prodotti di Hacking Team, ostacolandone quindi il lavoro e mettendo a repentaglio le loro vite.

In questo caso il fattaccio è che Hacking Team dichiara pubblicamente di vendere i propri prodotti solamente ad enti statali non inclusi nelle blacklist della NATO—l’Etiopia è in questa lista, assieme a numerose altre nazioni saltate fuori dal recente leak.

CitizenLab già nel 2014 aveva disegnato una mappa degli stati a cui Hacking Team avrebbe venduto i suoi prodotti, evidenziando il fatto che molti di questi paesi fossero riconosciuti come autoritari; quindi non propriamente legittimati ad entrare in possesso di uno strumento di controllo e sorveglianza fornito da un’azienda privata. Hacking Team ha sempre negato tutto.

Mentre aspettiamo di spulciare a dovere i dati pubblicati con questo leak, quindi, faremmo bene a ricordarci che tra il rischio di esporre informazioni potenzialmente sensibili—perché usare Galileo per combattere la piaga del terrorismo e dei cartelli della droga può essere una pratica discutibile nei modi ma non nell’etica—è da bilanciare con la possibilità di esporre possibili affari poco trasparenti che Hacking Team potrebbe aver effettuato in tutti questi anni, fornendo a diverse entità pubbliche e private l’accesso a una risorsa importantissima: la nostra privacy.