Hacking Team – Hacker rivela passo passo come ne ha penetrato il sistema

19 Aprile 2016 Manuel Occorso

A distanza di un anno dall’attacco che ha compromesso la sicurezza di Hacking Team, l’azienda italiana che sviluppa (e vende poi ai governi) software per l’intrusione e la sorveglianza dei sistemi informatici, l’autore dell’hacking al loro sistema ha rilasciato di come ha fatto.

Un anno fa, l’azienda Milanese è diventata (un po’ ingiustamente: tutti sono vulnerabili, nessuno escluso) lo zimbello della situazione, dopo che le sue email interne e alcuni file sono stati pubblicati online. In realtà, è lo stesso hacker autore dell’attacco a dire che non è stato affatto facile penetrare nel loro sistema.

Ma vediamo nel dettaglio come c’è riuscito.

Rilevare i dispositivi connessi

Il primo passo per l’hacker, noto online come Phineas Fisher, è stato quello di rilevare tutto ciò che era accessibile dalla rete. Ed è qui che l’hacker inizia a notare come il sistema di Hacking Team non sia poi così vulnerabile: infatti i dispositivi accessibili dall’esterno sono pochi.

Ciò che ha rilevato Fisher è:
– Un portale per il supporto clienti, accessibile solo con un certificato Client.
– Un sito web sviluppato in Joomla, ben aggiornato e senza vulnerabilità (al contrario di quanto ci risulta di quello di Mossack Fonseca)
Due router
Due VPN Gateway
– Uno spam filter appliance

Le alternative

Secondo l’Hacker c’erano 3 opzioni per penetrare nel sistema:
0Day in Joomla
0Day in Postfix (server di posta elettronica)
0Day in uno dei dispositivi rilevati. (Routers e VPN Gateway)

La soluzione più semplice sembra proprio l’ultima: con parecchie ma ragionevoli ore di lavoro, non è poi così impossibile creare un exploit.
L’idea è quella di applicare tecniche di reverse engineering (tecniche per trovare il codice sorgente di un programma compilato) per risalire a un bug nella gestione dei dispositivi connessi alla rete e che consenta di penetrare il sistema.

Qui si fermano le informazioni rivelate da Fisher sull’exploit, in quanto pare che la vulnerabilità sia ancora funzionante, e quindi per lui utile per altri attacchi.
Ma l’exploit sembra collegato con una delle tecniche esposte da Chris Campbell (@obscuresec) in questa guida.

 

Test dell’exploit

L’hacker ha dichiarato di aver provato l’exploit contro molti altri sistemi, in modo da essere sicuro che funzionasse al primo colpo contro Hacking Team.
Questo fa emergere che c’è un exploit abbastanza potente in circolazione e che sia ancora funzionante, a distanza di un anno.
Un exploit su cui bisognerebbe iniziare a lavorare, cercando una soluzione.

Una volta entrato.. il gioco è fatto

Una volta penetrato nel sistema Fisher ha iniziato a fare scansioni in cerca di altre vulnerabilità per potersi spostare all’interno della rete di Hacking Team.
Qui non ci sono state difficoltà, ha infatti rilevato:
Un database MongoDB senza autenticazione
Un NAS (Synology) utilizzato per i backup senza richiesta di autorizzazione sul protocollo iSCSI, un protocollo di comunicazione su dispositivi di storage che permette di eseguire comandi di lettura e scrittura, anche su TCP-IP, consentendogli quindi di avere pieno controllo sul NAS.

E’ infatti proprio il controllo sul NAS che ha dato accesso ai file e le email del Leak:
gli è stato possibile trovare delle immagini delle macchine virtualizzate da Hacking Team, le ha potute montare ed eseguire. Tra le macchine virtualizzate c’era un Microsoft Exchange email server. Dal server email ha potuto ricavare l’accesso amministratore a un BlackBerry Enterprise Server.

In poco tempo sono state ricavate altre credenziali, fino al potersi connettere al Windows Domain come admin.

La ricerca di credenziali continua, fino a riuscire ad accedere addirittura alla macchina host del source code di Galileo (RCS), il prodotto principale dell’azienda:

 

le motivazioni di Fisher

Le motivazioni di Fisher sono secondo lui “etiche”. E’ infatti una dichiarazione di come, secondo lui, gli hacker etici oggi non siano più affatto etici, in quanto si occupano di fornire sistemi di sorveglianza a chi paga e non a chi li merita, ai governi e non alle persone comuni che invece dovrebbero essere rese ogni giorno più sicure. Per lui infatti è etico danneggiare aziende che vendono sistemi ai governi, è etico penetrare nei sistemi bancari e rubare denaro, è etico aiutare le persone comuni a rendere i propri computer più sicuri.

In un finale sarcastico in cui si ridicolizza il solito disclaimer del “Questa guida è a solo scopo educativo”, ecco le sue parole:

Hacking guides often end with a disclaimer: this information is for educational purposes only, be an ethical hacker, don’t attack systems you don’t have permission to, etc. I’ll say the same, but with a more rebellious conception of “ethical” hacking. Leaking documents, expropriating money from banks, and working to secure the computers of ordinary people is ethical hacking. However, most people that call themselves “ethical hackers” just work to secure those who pay their high consulting fees, who are often those most deserving to be hacked.

Le guide agli hack finiscono spesso con un disclaimer: “Questa guida è a solo scopo educativo, siate Ethical Hacker, non attaccate sistemi per cui non avete i permessi di farlo, ecc..”
Dirò lo stesso, ma con un concetto un po’ più ribello di “ethical” hacking. Pubblicare documenti riservati, espropriare denaro dalle banche, e cercare di rendere più sicuri i computer delle persone comuni, è ethical hacking. Ma le persone che chiamano se stesse Ethical Hacker lavorano solo per rendere sicuri chi paga le loro consulenze, e che sono spesso proprio coloro che meritano di essere hackerati.

Tags: ,