“Non potete farmi questo. Non riesco a respirare. Non riesco a respirare”. Poi rumori, rumori di uomini che colpiscono e rantoli di un uomo che sta soffocando. Prima di un lungo silenzio, interrotto da quello di una sega che fa a pezzi il corpo di Jamal Khaskoggi. Tremendi, anche per loro: "Mettetevi della musica nelle orecchie per coprirlo, fate come me", dice uno dei carnefici.
Oggi abbiamo l’audio che conferma la fine atroce del giornalista saudita. Ma comunque siano arrivati a lui, gli assassini del giornalista saudita sapevano come e quando trovarlo, conoscevano i suoi movimenti, la sua vita da esule in Turchia, e si crede ne avessero tracciato il cellulare, i messaggi. E a fornire queste informazioni, sospetta il Washington Post, potrebbe essere stato il software di un’azienda italiana di cui si è parlato tantissimo nel 2015 perché al centro di uno scandalo di proporzioni mondiali.
Si tratta dell’Hacking Team, nota per aver fornito sistemi di sorveglianza online ai governi di ogni angolo del mondo, almeno fino al mega furto di dati subito qualche anno fa da parte di un hacker che aveva poi messo online 400 gigabyte di dati, mail, indirizzi, contatti e prodotti venduti ai governi per ottimizzare i sistemi di cyber sorveglianza.
Il Washington Post parla di una società italiana ripercorrendo alcune delle sue ultime vicende, su tutte l'accusa di fornire i propri servizi a governi illiberali e estremamente attenti a controllare e reprimere le voci del dissenso interno.
È bene chiarirlo: non esistono prove o atti giudiziari che dimostrino i legami tra la società italiana, i suoi amministratori e il commando che ha giustiziato Khashoggi a Istanbul. Quella che il WP e altri media hanno tracciato è una linea di collegamento tra i sauditi e il Team italiano. Un’inchiesta e un’ipotesi giornalistica e investigativa che se troverà conferma nei prossimi giorni aprirà una nuova inquietante finestra sull’attività di Vincenzetti e i suoi tecnici.
Ma perché il WP punta il dito contro l’Hacking Team, con uno dei suoi migliori giornalisti d’inchiesta, pur senza fornire prove sufficienti a inchiodarla?
Storia di Hacking Team
La società è nata nel 2003 a Milano, e ha sede in via Moscova. Il fondatore è David Vincenzetti, 50 anni, imprenditore, “una vita trascorsa a cercare il modo di intrufolarsi nelle reti e nei dispositivi altrui”, si legge in un libro pubblicato da La Stampa: 'Attacco ai pirati'. “David Vincenzetti non è il tipico venditore di armi. Non ha mai venduto un’arma, una granata o un missile terra aria. Ma ha accesso a un’arma così potente che potrebbe mettere in ginocchio un’intera nazione” si legge nel profilo che gli ha dedicato il Telegraph.
Quest’arma è un RCS, acronimo che sta per Remote control system, che la società di Vincenzetti chiama Galileo: un pacchetto offensivo in grado di infettare computer e dispositivi portatili come tablet e smartphone. Come ci riesce? Attraverso un malware che viene attivato mediante l’apertura di una mail o lo scaricamento di un file; a quel punto interviene lo spyware che invia screenshot, mail, chat o conversazioni al server che lo sta controllando da remoto (Filippo Pierozzi, Scuola superiore Sant’Anna di Pisa, 2016).
Già dal 2004 Hacking team diventa uno dei maggiori fornitori di sistemi di cyber intelligence a clienti istituzionali italiani ed in breve tempo l’azienda si può affermare come “monopolista per le forze dell’ordine del nostro Paese” (Attacco ai pirati). Poi arriva la scalata internazionale.
Galileo è il loro prodotto di punta. Quello che tutti i Paesi vogliono. Marquis Boire del Citizen Lab ne scova 21, alcuni non proprio democratici, ai quali è stato venduto Galileo: Bahrein, Egitto, Kazakistan, Nigeria, Uzbekistan, Marocco, Sudan, Venezuela. E l’Arabia Saudita. Nella lista dei clienti ci sono istituzioni, aziende, governi, polizie di mezzo mondo, risultano contratti stipulati tra il 2004 e il 2015 per oltre 40 milioni di euro.
Perché Galileo non è un banale malware
Usare un cavallo di Troia per entrare nei computer e nei dispositivi non è una grande novità. Ma Vincenzetti ha un’intuizione ‘rivoluzionaria’: “affiancare a programmi altamente sofisticati di attacco, un cruscotto semplificato che possa essere usato anche da chi non è un esperto di informatica. Due settimane di corso e l’agente è pronto ad usare il programma. È come aver inventato un telecomando semplificato per far pilotare a tutti un caccia da milioni di dollari”, è la metafora usata in 'Attacco ai pirati'.
Qui c’è un elemento che non viene ricordato nell’articolo del Washington Post, ma che potrebbe avvalorarne la tesi. Maher Abdulaziz Mutreb, leader del commando saudita accusato dell'uccisione del giornalista Khashoggi, vicinissimo al principe ereditario Mohammed bin Salman, fece un corso di sicurezza informatica in Italia nel 2011. La rivelazione arrivò il 18 ottobre scorso da alcune fonti turche che andarono a spulciare alcuni file pubblicati da Wikileaks. La società che lo formò risulterebbe essere proprio Hacking Team.
L'attacco hacker agli hacker: lo scandalo Hacking Team
Wikileaks è l’organizzazione che ha fatto conoscere al mondo le attività di Hacking Team. Nel 2011 il gruppo di Julian Assange ha rilasciato dei documenti che parlavano dell'azienda italiana. “Da quel giorno in poi sia attivisti che giornalisti di mezzo mondo hanno cercato di capire di più riguardo la società di Vincenzetti. Dal 2011 ad oggi HackingTeam è finita più volte sotto la lente di ingrandimento dei media internazionali” (La Repubblica).
Nel 2014 le Nazioni Unite chiedono informazioni alla società perché in odore di aver venduto Galileo ai servizi sudanesi, violando il divieto di vendita di armi al Paese durante la guerra civile.
La conferma si avrà qualche mese dopo, nel luglio 2015, quando un hacker riesce a violare i server della società pubblicando 400 gigabyte di documenti, contratti, mail di Hacking Team. C'è anche il contratto con i servizi sudanesi, cui hanno venduto il loro software per 960 mila euro nel 2012.
All’1.26 di notte di lunedì 6 luglio 2015 il profilo Twitter della società pubblica un messaggio in inglese: “Siccome non abbiamo nulla da nascondere, pubblichiamo tutte le nostre mail, i file e i codici sorgente”. Il tweet viene rilanciato migliaia di volte. Il messaggio è chiaro: Hacking Team è stata hackerata. Non è la società ad aver pubblicato tutti i suoi dati. Ma qualcuno l’ha violata. E dentro c'è un fiume di informazioni: 400 giga rubati dai server, mail, piani finanziari, rapporti con i clienti.
Il datagate italiano: Hacking Team finisce nel mirino
È l’inizio del "più grande scandalo italiano di cybersecurity". Il Datagate italiano. Il fondatore viene avvertito tre ore dopo. In un’intervista al Corriere della Sera chiede l’arresto di Assange. E poi ancora: “Abbiamo perso la capacità di controllare la nostra tecnologia. Terroristi, estorsori e altri possono implementare la nostra tecnologia a volontà”.
L’accusa è semplice: ora che tutti sanno come è fatto Galileo, tutti possono replicarlo. Ad oggi nessuno è riuscito a capire chi sia stato, chi sia l’hacker di hacking team. Lo scorso giugno il tribunale di Milano ha deciso di archiviare le indagini. Nulla di fatto.
Finito lo scandalo, restano i cocci. Da allora nessuno parla più di Hacking Team e la società finisce presto nel dimenticatoio, tranne per essere citata in alcuni articoli o interviste da parte di fondatori di startup che si vantano di fare cose meglio di loro. Su Crunchbase si possono spulciare molti articoli che ne parlano in questo periodo. Apparentemente in difficoltà economiche, la società rischia la chiusura. Un milione di perdite registrate solo nel 2015. Ma un anno dopo la società torna in utile.
L'investimento dei sauditi, in piena bufera Hacking Team
Le ragioni forse le chiarisce un articolo pubblicato da Matherboard. È il 31 gennaio del 2018. Si racconta che nel 2016 Hacking Team è riuscita a risollevarsi grazie all’investimento di un fondo saudita, fatto tramite una società con sede a Cipro, Tablet Limited, che avrebbe comprato il 20 percento delle azioni della società.
“Le ragioni che avrebbero spinto gli investitori sauditi e il governo saudita ad interessarsi nuovamente in Hacking Team e ai suoi sistemi di sorveglianza sarebbero geopolitiche”, spiega l’articolo. Il controllo dei dissidenti e quello delle attività del nemico iraniano. Ma soprattutto l'ossessione del principe saudita per controllare ciò che si dice, si commenta, sui social network.
Questo l’elemento che ha poi spinto il Washington Post a riaccendere i fari sulla società milanese. L’interesse dei sauditi per la cybersecurity, l’ossessione di Mohammed bin Salaman per i dissidenti del regime, la necessità di estendere la rete di società e tecnologie di sicurezza e spionaggio informatico per garantire la propria sicurezza.
Il fatto che il leader del commando saudita che uccise Khashoggi nel consolato saudita di Instabul abbia partecipato ad un corso di Hacking Team a Milano nel 2011 è un secondo elemento. Intrecci complessi, elementi, che al momento non fanno una prova. Ma che hanno riacceso i riflettori sulla società di via della Moscova a Milano, e sui suoi clienti scomodi.