Il caso Hacking Team tiene banco in tutto il mondo, anche in Europa ci si chiede se non sia il caso di indagare a fondo sugli strumenti di questa società di software soprattutto se fosse dimostrata la vendita di programmi di controllo remoto anche a paesi nella black list delle organizzazioni internazionali. Quel che spaventa più concretamente però non è la geopolitica, quanto il caos legale che questo clamoroso furto elettronico potrebbe comportare. Se il famoso “Da Vinci”, il malware usato dalle polizie e intelligence, fosse ormai inutile o addirittura controproducente, a quale livello di sicurezza sono le attuali indagini sulla criminalità? E la validità delle condanne e dei processi?
Difficile separare quanto di vero può esserci in quel leak e cosa può essere surrettiziamente infilato da una volontà diffamatoria. Questo è il principale problema di questa vicenda, che ovviamente avrà anche un aspetto legale, la software house si difenderà e avrà presumibilmente già dato corso a denunce verso ignoti fornendo tutte le informazioni agli inquirenti su come sia stato possibile subire il furto di questi dati. Un evento che ha già aumentato la vulnerabilità dei sistemi in un giorno soltanto.
Come on people, that "childporn" Hacking Team thing is clearly not for planting evidence. Let's not spread misleading rumours.
— Claudio (@botherder) July 6, 2015
Questo materiale però si è trasformato in una sorta di atto di accusa verso HT stessa, soprattutto su due punti: il rapporto con regimi dittatoriali (né confermato né smentito), e l’eventualità che la loro tecnologia sia in grado di produrre dei documenti per costituire un reato da imputare a un cittadino qualunque. Ipotesi spaventosa, ma che molti considerano impossibile. Per discuterne Webnews ha sentito l’avvocato Francesco Paolo Micozzi, oggi – ironia della sorte – impegnato al Security Summit.
Intervista a Francesco Paolo Micozzi
Avvocato, cosa pensa della nostra proposta di avviare una commissione d’inchiesta parlamentare?
Ritengo che sia una buona idea anche, e soprattutto, per attirare l’attenzione dell’opinione pubblica sui profili di sicurezza informatica che sono, dalla maggior parte delle persone, completamente ignorate. Una commissione d’inchiesta, inoltre, potrebbe appurare se e che tipo di collaborazione ci sia stata tra HT e gli enti governativi o le forze dell’ordine o le autorità giudiziarie. Tuttavia, considerando i tempi tecnici necessari ad una commissione d’inchiesta parlamentare, si potrebbe pensare inizialmente anche ad un’informativa da parte del Copasir. Questo perché, se confermato quanto emerge dall’esame di alcune linee di codice sorgente di software asseritamente prodotto da HT, si delineerebbero profili d’analisi particolarmente interessanti.
Queste linee di codice: il partito pirata ha divulgato una slide incriminata, altri invece pensano possa trattarsi di un fake o di un puro esercizio teorico. Se fossero confermati strumenti come questi, utilizzati dalle forze di polizia e dalle procure, si sarebbe oltre il imiti consentiti dalla legge?
Il riferimento era a quelle linee di codice che – apparentemente – consentirebbero di inoculare del materiale pedopornografico su macchine-bersaglio. Nella ipotesi in cui, infatti, taluno inserisca del materiale sulla macchina di un determinato soggetto al fine di precostituire a suo carico le tracce del reato sarebbe perseguibile per calunnia. Attenzione, però: gli esperti informatici stanno già sollevando alcuni dubbi sulla “genuinità” del software.
Potrebbe essere stato messo lì apposta prima del rilascio…
Esattamente. Non vi è certezza sul fatto che quel codice sorgente fosse proprio quello conservato sui server di HT oppure sia stato modificato ad arte dai soggetti che hanno violato i server. In secondo luogo non si comprende se questo codice sorgente sia stato effettivamente ceduto a clienti (governi, autorità giudiziarie, forze dell’ordine, aziende) e questi clienti lo abbiano effettivamente utilizzato: magari si tratta di semplice demo.
Il codice non sembra un po’ troppo breve?
Il codice sorgente in esame non contiene le consuete linee di commento al codice e, inoltre, cercando di ragionare per assurdo, se una macchina-bersaglio fosse già stata infettata con un trojan non avrebbe molto senso utilizzare un software ad hoc per inoculare del materiale pedopornografico. Attività che sarebbe già possibile sfruttando il server trojan installato sulla macchina-bersaglio.
Il portavoce ha dichiarato che Hacking Team è completamente legale ed etico, e ha rinviato agli accordi di Wassenaar: ma questi accordi dicono che si possono creare prove false?
Non esistono accordi in grado di derogare all’applicabilità della norma penale incriminatrice di cui abbiamo parlato.
Ci sono due effetti possibili e incalcolabili di questa vicenda: penso alla possibilità che questo software sia del tutto inutile tra qualche giorno perché si realizzeranno antivirus idonei, lasciando le procure e le forze di intelligence senza strumenti di indagine. Penso anche a un possibile caos giudiziario. In teoria potrebbero esserci valanghe di richieste di revisione dei processi se fosse dimostrato che una persona è stata condannata grazie anche al software RCS? Se fosse dimostrato che anche solo potenzialmente può creare prove false a carico degli indagati?
Il discorso è molto complesso perché non mi risulta che sia stato analizzato a fondo ciascuno dei file contenuti nel quasi mezzo terabyte sottratto ad HT. Ciò nonostante gli effetti sarebbero difficilmente calcolabili anche a seguito di quest’analisi approfondita. Gli antivirus o le contromisure rispetto ai RAT (Remote Access Trojan) confezionati da HT pare che stiano già circolando in rete tanto che F-Secure sostiene che bloccava già prima tali software, ma i problemi di “computer forensics” nei casi di utilizzo di tali software potrebbero essere particolarmente complessi. Ciò significa che nel caso in cui un RAT, una volta raggiunto lo scopo, rimuova completamente tutte le tracce del suo passaggio e della sua azione su una determinata macchina, allora è ardua la possibilità di provare che l’evidenza informatica da analizzare sia stata generata dall’utente-bersaglio piuttosto che dal trojan.
@disinformatico We did block them, even without the source code. This is confirmed by their internal wiki (which is now in the public).
— Mikko Hypponen (@mikko) July 7, 2015
E una ragione legale per riaprire i processi?
Ovviamente nel caso in cui si riesca a dimostrare che qualcuno è stato condannato in forza di una prova informatica falsa si potrà invocare la revisione della condanna. Diverso è il caso in cui si dimostri che il software in questione anche solo potenzialmente possa creare prove false a carico degli indagati. Sarà, infatti, sempre necessario dimostrare che, nel caso specifico, la prova falsa è stata determinante per addivenire alla condanna. Molto più rilevanti – probabilmente – sono i casi di eventuale coinvolgimento di un software tale ai procedimenti penali in corso, non quelli passati.