L’incredibile storia di Hacking Team ha ormai prodotto una montagna di articoli basati su due leak (termine elegante per definire un furto): i 400 gigabyte del server sottratto alla software house milanese e il successivo rilascio di un milione di mail della stessa azienda da parte di Wikileaks, con addirittura motore interno. Da questa documentazione nasce tutta la successiva inchiesta giornalistica globale che, tranne i casi buoni, è tutta uguale e assomiglia più alla ricettazione che all’approfondimento. Quel che invece resta sullo sfondo è probabilmente l’unica domanda che conta: questi software, indispensabili per le indagini contro la criminalità, sono vere e proprie armi? E come si commerciano?
Ormai tutti quelli che hanno mostrato interesse per Hacking Team (e non sono tanti, purtroppo è un argomento ostico che a livello popolare è stato recepito come una specie di guerra tra hacker) hanno capito che questa società lavorava ai più alti livelli coi clienti più importanti, alle prese ogni giorno con la lotta alla criminalità. I clienti erano i servizi di intelligence, ministeri, organi di polizia, procure; tutti – compresa l’Italia, uno dei paesi che garantiva il maggior fatturato all’azienda di David Vincenzetti – dovevano riconoscenza per i risultati ottenuti con queste suite, l’ultima delle quali, “Galileo”, prometteva faville in quanto a penetrazione di siti e reti ed è al centro degli scambi di mail forse più interessanti.
Here's a larger picture of the table with Hacking Team's best customers. pic.twitter.com/6BWkuopYxS
— Lorenzo Franceschi B (@lorenzoFB) July 6, 2015
È ormai chiaro che esistano due livelli etici: la possibilità che la vendita, regolare, di certi malware sia stata preziosa per i servizi di mezzo mondo per azioni di sorveglianza di massa nell’epoca pre Datagate ed entro confini così allargati di legittimità da sfiorare l’abuso dei diritti individuali; la possibilità che questi stessi software siano stati venduti a dirigenti di Sudan, Russia, Bielorussia, Bahrain e un’altra manciata di paesi nelle black list internazionali. Un bouquet di regimi non democratici e paesi anche solo temporaneamente esclusi da certi commerci o nel più totale caos politico. Sempre col beneficio d’inventario, si può vedere la mappa interattiva che ricostruisce tutti i rapporti commerciali di Hacking Team.
Le ricostruzioni sulla base dei leaks
Consigli di lettura: i giornalisti Fabio Chiusi, per quanto riguarda i diritti civili, e Carola Frediani, straordinaria nell’illuminare i retroscena interni (grazie al fatto che si è occupata di Hacking Team anni fa, quando non era argomento così popolare) e anche a descrivere la tattica del doppio forno. Sono più che sufficienti per avere i dettagli su quanto è successo e sulle dinamiche ancora sospette e oscure dietro questo hack di cui si parlerà per anni.
Il giornalismo d’inchiesta internazionale deve probabilmente fare un salto concettuale e porsi la classica domanda: cui prodest? Seguire il denaro, chiedersi a chi ha giovato tutto questo probabilmente aiuterà a scovare i veri protagonisti del furto invece di affidarsi al solito complottismo che vorrebbe addirittura la stessa Hacking Team aver rilasciato tutto. Scenario improbabile, considerando che esiste un’agguerrita concorrenza e quindi la possibilità per gli stessi clienti di appoggiarsi a strumenti diversi senza pregiudicare a medio termine il loro lavoro, e gli aggiornamenti del software riducono al minimo il vantaggio sui bug per eventuali malintenzionati, anche se gli zero-day fanno sempre gelare le vene. Peraltro le società di sicurezza hanno mostrato di essere già in grado di fermare il virus spia.
E se fossero armi?
Ancora più sullo sfondo resta invece la domanda che spiega la tensione vissuta dalla società nei mesi scorsi quando fu alle prese coi permessi per esportare i propri software e un balletto di responsabilità e pressioni tra Onu, osservatori internazionali sui diritti umani, il ministero dello Sviluppo economico italiano, la Farnesina e lo stesso palazzo Chigi. Qui si è giocata e si gioca ancora la battaglia per capire come catalogare questi strumenti. Più è restrittiva la categoria più si restringe il volume di affari di società come queste, perché ovviamente un prodotto considerato come arma militare è soggetto a particolari vincoli di diffusione. Lo stesso MISE, lo scorso inverno, ha cercato di evidenziare il doppio uso di questi software, cioè ha premuto perché la loro vendita fosse soggetta a un’autorizzazione ministeriale. Il doppio uso è un concetto semplice: un prodotto che non ha scopo militare, offensivo, ma che può essere usato per questo fine, ha una doppia utilità che ne cambia la definizione. La complicazione è dovuta alla tecnologia, che è spesso geneticamente ibrida civile/militare, in ogni caso il Parlamento Europeo ha già stabilito quasi quattro anni fa delle norme per controllare l’esportazione di prodotti a doppio uso.
Il motivo per cui si dovrebbe aprire una commissione d’inchiesta parlamentare è che le mail interne dell’azienda milanese spiegano come a un certo punto la situazione si è sbloccata grazie al suo esercizio di lobbying, potendo vantare relazioni altolocate. Inevitabili considerando il suo ruolo, che ne ha fatto per un certo tempo quasi l’esternalità di un intero pezzo di intelligence e anticriminalità nazionale, sostenuta peraltro anche da fondi pubblici. Le tensioni sviluppate in quel frangente hanno mostrato come le istituzioni coinvolte potrebbero non essere state abbastanza lucide per considerare l’opzione embargo di un prodotto che loro stesse usano e sul successo del quale pesa anche la vita economica dell’azienda fornitrice.
In altri termini, quando la tua attività di indagine dipende da un’azienda e l’amministratore dell’azienda minaccia di andare in fallimento se non gli consentirai di vendere sul mercato, ci sono poche strade e nessuna particolarmente trasparente: acquisire l’azienda oppure lasciarla fare.
C’è anche un altro motivo per riflettere attentamente sulle definizioni: considerare tutti gli strumenti di intrusione come armi militari a tutti gli effetti, oltre a non essere affatto semplice, potrebbe rivelarsi clamorosamente dannoso in generale per lo sviluppo libero dei software, e nello specifico per le stesse community di hacker che hanno applaudito ai leaks su Hacking Team. Se è vero che sarebbe più semplice denunciare una società come trafficante invece che come commerciante atipico, una visione restrittiva e frettolosa potrebbe comportare un clamoroso peggioramento delle imputazioni agli hacktivisti colti sul fatto, che sarebbero denunciati per reati molto più gravi. Insomma, considerare i software di intrusione come armi definisce più facilmente come aggressori armati chi pratica queste intrusioni per motivi politici. È un argomento di cui si parla già da anni, dai tempi dei trojan scoperti dal Chaos Computer Club.
Lo spyware e Quintarelli
Il milione di mail pubblicate da Wikileaks hanno mostrato anche un gustoso retroscena a proposito del famoso spyware di Stato che a un certo punto calò dall’alto in commissione durante la discussione del DL antiterrorismo e il deputato Stefano Quintarelli riuscì a far cancellare. All’epoca quel testo fu definito “una svista”, ma alla luce di quanto emerso con Hacking Team è difficile resistere alla tentazione di unire i puntini: fu un aiutino ad Hacking Team bloccato in corner da una persona che lo stesso Vincenzetti mostra, rivolgendosi ai colleghi in altre mail, di vedere con diffidenza?
Proprio Quintarelli è protagonista di uno scambio di mail con David Vincenzetti, di cui parla sul suo blog:
Ogni volta che ci si avvicina a questioni di intelligence il terreno diventa molto impervio, in quanto bisogna bilanciare interessi divergenti. Una cosa che merita molta cautela e riflessione. È la ragione per cui intervenni nella conversione del DL Terrorismo con un emendamento che evitò la possibilità di usare, per un ampio insieme di ipotesi di reato, captatori per acquisire file dai computer target, ad insaputa degli indagati (proprio il genere di cose che fa l’RCS).
L’Intergruppo per l’innovazione ha già comunicato che i parlamentari che ne fanno parte intendono tornare sul tema con la dovuta attenzione e cautela in occasione del DL intercettazioni, oggetto di una mozione ed opportuni emendamenti per inserire una proposta innovativa che, sfruttando le tecnologie, consenta di bilanciare le necessità di indagine con i diritti dei cittadini.
Nuove regole dettagliate
Il bilanciamento sarà l’ossessione dei prossimi mesi. Nessuno può ragionevolmente pensare di impedire lo sviluppo dei software di intrusione, capaci di risolvere casi di criminalità molto importanti. Tuttavia le implicazioni sono spaventose. Basta leggere la descrizione che ne fa Claudio Agosti, un ex dipendente di HT, sollevando il dubbio se davvero questi malware siano compatibili con lo stato democratico e sostenendo che l’unico compromesso possibile è una forte regolamentazione su come e quando possono essere utilizzati.
Anche Quintarelli è convinto ci sia del lavoro da fare a livello regolamentare. «L’uso duale esiste già, così come un coltello militare e uno da cucina possono entrambi essere armi, o un fucile da caccia non è un fucile militare, il confine è sempre sottile, ma l’Onu vigila. Non credo», racconta, «che il problema sia scrivere una nuova legge, ma un regolamento che parta da un assunto: una intercettazione non può che essere a insaputa dell’intercettato mentre una perquisizione deve informare la persona. È necessario dettagliare quello, non so se a livello di norma primaria o stabilire solo i principi e poi con regolamenti».
Sono davvero necessari?
La metafora della intercettazione / perquisizione è utile per capire quanto è importante la “catena di fiducia” della fase di acquisizione dei dati, perché bisogna garantire – ed è complicatissimo – i diritti costituzionali lasciando in mano allo Stato un trojan che, tecnicamente, non è né l’una né l’altra ed entrambe le cose. L’avvocato Francesco Paolo Micozzi ha anticipato su Webnews le sue perplessità, che poi ha ripreso in altri articoli e recentemente sui social, fino a chiedersi se sia davvero necessario introdurre uno strumento simile nell’ambito delle indagini quando è difficile farlo rientrare nell’ordinamento giuridico.
Ecco la prospettiva inquietante per cui finora gli unici che in un certo senso hanno potuto usare “legittimamente” questi software sono i servizi segreti, che operano al di qua della legge comune sorretti dalla costante eccezione dell’antiterrorismo. Ma le forze di polizia e le procure, pur con più vincoli, hanno davvero fatto bene ad usare questi software oppure hanno usato armi improprie che potrebbero mettere in discussione la validità delle loro azioni legali?