Hacking Team: Pwned
A estas alturas, supongo que todos habréis leído/oído las noticias sobre el hackeo a Hacking Team. Hay muchos medios en Internet que se han dado eco de la noticia. Y la verdad es que llevamos unos intensos en las redes sociales desde que salió la noticia, con la gente analizando la información publicada. He pasado algo de tiempo recopilando los tweets que más me han llamado la atención, y aquí os los dejo.
Nota: si visitáis los enlaces de Twitter que aparecen en este blog, no dejéis de leer los comentarios. No sólo aportan información si no que en algunos casos son necesarios para poner contexto al tema.
Antes de empezar con el tema en cuestión, veamos quienes son estos tipos. Os dejo un poco de su historia que fue publicada en Gizmodo y el anuncio donde presentan Da Vinci, su suite de intercepción para gobiernos.
Empiezo por algo que afecta directamente a nuestro país y que a mucha gente ha sorprendido:
Spanish National police and Intelligence agency (CNI) on the list of clients of Hacking Team: http://t.co/wcOq5oSMpO – shame shame shame
— Alvaro Muñoz (@pwntester) julio 6, 2015
La policía y el CNI compran malware!!! Honestamente, es sólo la confirmación de algo que ya sabía en algunos círculos desde hace mucho. Lo que sí que me sorprende es que esto no haya aparecido en los periódicos (nota: es posible que si que haya alguna publicación, pero como expatriado sólo miro los periódicos más grandes, y no he visto nada al respecto). Las implicaciones de esto pueden ser muy grandes y estaría bien saber bajo que marco legal se utilizan este tipo de herramientas.
Esta gente trabaja al límite de la legalidad, pero pagan sus licencias de IDA pro:
key file v5.4> 48-B67F-71B4-86Valeriano Bedeschi, HackingTeam srl Number of seats: 1 Valeriano Bedeschi <vale@hackingteam.it> — Joxean Koret (@matalaz) julio 6, 2015
esto con radare no les habria pasado
— 48bits (@48bits) julio 6, 2015
Hay gente que se ha dedicado a analizar en código de sus paneles de C&C. Se han encontrado con datos que se utilizan en querys a bases de datos directamente, sin filtrar:
How could it get worse for #hackingteam? Oh, they don’t sanitize user input. Really guys. Really. pic.twitter.com/5vZ6cG9VCg — Sinthetic Labs (@sintheticlabs) julio 6, 2015
Una de las cosas que más llama la atención es este trozo de código en el que se muestran ciertas rutas a ficheros con nombres sospechosos:
Nice spot by @robert_c_larsen. This is pretty sick minded… #hackingteam pic.twitter.com/Tus1htCVAe
— Sinthetic Labs (@sintheticlabs) julio 6, 2015
En un principio parecía que podrían estar utilizando un programa para plantar evidencias. Por un lado he decir que no me extrañaría demasiado, pero la realidad es que de acuerdo a las rutas que aparecen en el código parece algo que usaban para hacer pruebas forenses o algo así. Aun así, hay gente que no está convencida de esto:
Come on people, that «childporn» Hacking Team thing is clearly not for planting evidence. Let’s not spread misleading rumours. — Claudio (@botherder) July 6, 2015
Por último, Hacking Team ha estado en el punto de mira de las Naciones Unidas desde hace un tiempo. Se sospechaba que podrían estar vendiendo su software a países que no respetaban los derechos humanos, es decir, los países que occidente considera «los malos». Aquí os dejo un enlace con un resumen de los correos, este enlace expone el tema de la venta de «ciberarmas» a estos países por parte de Hacking Team. Merece la pena leerlo entero.
Para terminar de añadir salsa al asunto, la persona que filtró FinFisher se ha atribuido el ataque a Hacking Team.
Os dejo a vosotros que saquéis vuestras propias conclusiones. Yo me quedo en mi casa planteándome cuantos Hacking Team, Vupen y otras compañías hay por el mundo operando de esta manera y ayudando que los gobiernos se pasen nuestros derechos por el/la $zona_genital.
EXTRA: uno de los integrantes de Hacking Team no sabía usar los favoritos del navegador… o usaba el mismo equipo que su pareja y se guardaba el porno en un fichero en el escritorio.