Κατά τη διάρκεια του Σαββατοκύριακου, διέρρευσαν 400GB εξαιρετικά ευαίσθητα αρχεία της Ιταλικής εταιρείας ανάπτυξης λογισμικού spyware-malware Hacking Team.
Διέρρευσε ο πηγαίος κώδικας του κακόβουλου λογισμικού που αναπτύσσει η εταιρεία, η οποία είναι γνωστό ότι το πουλάει σε κυβερνήσεις όλου του κόσμου.
Τα spyware εκμεταλλεύονται ευπάθειες ασφαλείας στους υπολογιστές των θυμάτων και τηλέφωνα που έχουν εγκατασταθεί στέλνουν δεδομένα στον επιτιθέμενο.
Με τον πηγαίο κώδικα όμως να κυκλοφορεί ελεύθερα στο διαδίκτυο, αυτά τα τρωτά σημεία μπορούν να επιδιορθωθούν, προκαλώντας τεράστιες οικονομικές ζημιές στις κυβερνήσεις και τις ιδιωτικές εταιρείες που διέθεσαν εκατομμύρια για να τα αποκτήσουν.
Όμως η Hacking Team δεν είναι η πρώτη εταιρεία “ειδικών ασφαλείας” που παραβιάστηκε από άλλου πιο ειδικούς ερευνητές.
Ποιος θυμάται την HBGary Federal; Ήταν μια εταιρεία συμβούλων ασφαλείας που έχει συσταθεί για να προσφέρει τις υπηρεσίες της σε κυβερνήσεις και επιχειρήσεις, παρακολουθώντας και πάλι online δραστηριότητες, έναντι αμοιβής φυσικά.
Τον Φεβρουάριο του 2011 ο Διευθύνων Σύμβουλος της HBGary Federal, Ααρών Barr έδωσε συνέντευξη ενόψει του BSides security conference εκείνου του έτους στις ΗΠΑ, στην οποία ανέφερε ότι είχε εντοπίσει μέλη των Anonymous, και ότι ήταν σε θέση να τους κατονομάσει.
Η δήλωση πυροδότησε αντιδράσεις από τους Anonymous που έβαλαν στο στόχαστρο τους την HBGary Federal. Αυτή τη φορά όμως οι επιθέσεις δεν περιορίστηκαν σε απλά denial-of-service, Η σελίδα κυριολεκτικά λεηλατήθηκε. Από τους διακομιστές της HBGary διέρρευσαν χιλιάδες emails και έγγραφα, που δεν έπρεπε να διαρρεύσεουν.
Δεν έπρεπε καθώς τα e-mail που κυκλοφόρησαν ήταν μάλλον ενοχλητικά, γιατί αποδείκνυαν ότι η HBGary Federal είχε σαν στόχο να δυσφημίσει το WikiLeaks και τους υποστηρικτές του χρησιμοποιώντας δημοσιογράφους και βρώμικα κόλπα κατά της ιστοσελίδας.
Αυτός που δήλωνε θριαμβευτής καταστράφηκε. Η παρουσίαση του Barr ακυρώθηκε και ο ίδιος αναγκάστηκε να παραιτηθεί. Περιττό να αναφέρουμε τι έγινε με τη φήμη της εταιρείας ήταν όταν η έκταση του hack έγινε γνωστή.
Αυτό που ήταν ιδιαίτερα ενοχλητικό για την επιχείρηση ήταν ότι το μεγαλύτερο μέρος της επίθεσης κατέστη δυνατό λόγω της προχειρότητας στην ασφάλεια εκ μέρους της. Στο αρχικό σημείο εισόδου φαίνεται να υπήρχε μια λανθασμένη διαμόρφωση του διακομιστή και η επίθεση ήταν τόσο επιτυχημένη καθώς ο Barr, καθώς και άλλα στελέχη της εταιρείας, επαναχρησιμοποιούσαν τους κωδικούς πρόσβασης τους σε πολλούς λογαριασμούς.
Είμαστε ακόμα σε αναμονή για τις λεπτομέρειες, αλλά φαίνεται πολύ πιθανό ότι κάτι παρόμοιο συνέβη με το hack της Hacking Team. Με δεδομένες τις τεράστιες ποσότητες δεδομένων που διέρρευσαν από την εταιρεία, δεν φαίνεται ότι το hack οφείλεται σε κάποια προχειρότητα, αλλά ότι κάποια υποδομή ασφαλείας έλειπε ή δεν ήταν και τόσο ασφαλής.
Το αποτέλεσμα; Η φήμη της Hacking Team προσβλήθηκε όπως ακριβώς έγινε και με τη HBGary Federal. Η ιταλική εταιρεία εντωμεταξύ, εδώ και καιρό αρνείται την πώληση του λογισμικού επιτήρησης που αναπτύσσει σε καταπιεστικά καθεστώτα.
Όμως τα αρχεία που διέρρευσαν δείχνουν ότι έχει υπογράψει συμφωνίες με το Kazakistan, την Αιθιοπία, και το Μπαγκλαντές, χώρες οι οποίες έχουν αναγνωριστεί ως καταπατητές των ανθρώπινων δικαιωμάτων.
Η εταιρεία φέρεται να υπέγραψε επίσης ένα συμβόλαιο ενός εκατομμυρίου δολαρίων με τη Σαουδική Αραβία, η οποία φυλακίζει πολίτες που τολμούν να αμφισβητούν την αραβική θεοκρατία.
Ακόμα και το FBI έχει αγοράσει λογισμικό από την Hacking Team, ξοδεύοντας περισσότερα από 700.000 δολάρια. Όλοι οι αγοραστές φυσικά έχασαν τα χρήματά τους.
Στα αρχεία της Hacking Team υπήρχε επίσης κώδικας παρακολούθησης για jailbroken iPhones, λεπτομέρειες εσωτερικών ερευνών, και όλα ήταν αποθηκευμένα χωρίς κρυπτογράφηση.
Ποιος περιμένει όμως από μια επιχείρηση ασφαλείας να υποπέσει σε τέτοια λάθη; Τελικά πόσο ειδικός μπορεί να είναι κάποιος που δεν προσέχει αυτά που συστήνει στους πελάτες του.
Ποιος μπορεί να αυτοχαρακτηρίζεται ειδικός και top ερευνητής ασφαλείας όταν υπάρχουν τυχαία hacks που έχουν γίνει από 10χρονους, και ένας κορεσμένος κόσμος από ειδικούς στη διαδικτυακή σκηνή του 2015;
Πώς μπορεί να ξανακερδίσει την εμπιστοσύνη του αγοραστικού τους κοινού η Hacking Team μετά από μια τέτοια σκανδαλώδη ανεπάρκεια;