Cuando en julio del año pasado se filtraron 400 GB de información confidencial de Hacking Team, el impacto del incidente no solo radicó en la exposición de datos, sino en que se supo quiénes eran sus clientes; es decir, qué empresas y gobiernos habían adquirido su herramienta de espionaje. Esta semana, un joven se atribuyó el ataque y reavivó la polémica con un mensaje que invita a "luchar y vencer", al cual el CEO de Hacking Team no tardó en contestar.
La "confesión"
Todo empezó hace tres días, cuando este joven bajo el alias "PhineasFisher" publicó en Pastebin una detallada explicación en español de cómo accedió a la red de Hacking Team.
También abrió la polémica explicando su postura respecto al “hacking ético"; para él, es aceptable filtrar documentos, expropiar dinero a los bancos y proteger las computadoras de la gente común siempre y cuando la víctima merezca "ser hackeada".
Hacking Team era una empresa que ayudó a los gobiernos a hackear y espiar a periodistas, activistas, contrincantes políticos, y otras amenazas a su poder. Y, muy de vez en cuando, a criminales y terroristas. (...) También afirmaban tener tecnología para solucionar el "problema" de Tor y el darknet.
(...) Sería hacking ético filtrar documentos, expropiar dinero a los bancos, y proteger las computadoras de la gente común. Sin embargo, la mayoría de las personas que se autodenominan "hackers éticos" trabajan sólo para proteger a los que pagan su tarifa de consultoría, que a menudo son los mismos que más merecen ser hackeados.
Luego, PhineasFisher explicó cómo, según él, logró acceder a los sistemas de Hacking Team. Se propuso encontrar una vulnerabilidad 0-day en un sistema embebido, y pasó dos semanas haciendo ingeniería inversa para lograr un exploit remoto de root.
Escribí un firmware con backdoor, y compilé varias herramientas de post-explotación para el sistema embebido. El backdoor sirve para proteger el exploit.
En última instancia, fue una serie de fallas en la configuración de seguridad de Hacking Team lo que le permitió infiltrarse. Primero, que incluso en su documentación, la compañía decía que las copias de seguridad debían estar en una red aparte, aunque estaban en la misma red.
Segundo, que las bases de datos usadas, NoSQL, no tienen autenticación como sí tienen las SQL. Esto no es un problema si se usa una infraestructura adecuada que las soporte, como firewall y políticas de acceso a los servidores, por ejemplo, pero parece que no había nada de esto implementado.
En resumen, tenían backups e imágenes de máquinas virtuales en la misma red. PhineasFisher montó esas imágenes, pudiendo acceder a información como esos videos de cámaras web y grabaciones de Hacking Team; pero más importante aún, tuvo acceso a credenciales guardadas en esas copias de seguridad, logrando así acceso de administrador a toda la red, incluyendo los correos electrónicos de la empresa.
La respuesta del CEO de Hacking Team
David Vincenzetti, CEO de Hacking Team, publicó ayer un comunicado repudiando los dichos "inexactos" de PhineasFisher y el tratamiento de los medios de comunicación que "menosprecian a Hacking Team". En su opinión, la compañía solo produce y provee sofware líder a nivel mundial que ayuda a las autoridades a mantener a todos seguros.
El texto dice:
Criminales y terroristas usan hoy rutinariamente la clandestinidad y el cifrado de punto a punto de Internet para robar, matar y aterrorizar a poblaciones enteras. Hacking Team provee una valiosa herramienta que autoridades y agencias de seguridad alrededor del mundo usan para mantener a los ciudadanos seguros.
(...) Afortunadamente, múltiples investigaciones están en marcha en varios países. Esperamos que estos dichos [de PhineasFisher] sobre su trabajo lleven a su rápida detención y enjuiciamiento.
Según Vincenzetti, su compañía seguirá en actividad sin que ello deba ser cuestionable. Entre tanto, las redes de computadoras internas fueron aseguradas. “Nosotros tan solo proporcionamos soluciones de software adaptadas a las necesidades de nuestros clientes”, había declarado Christian Pozzi, sysadmin de Hackin Team, en ocasión del ataque el año pasado.
Más allá de ambas posturas, está claro que la polémica tiñe a este caso, no solo por la actividad comercial de Hacking Team sino por la postura que este joven presentó respecto al hacking ético.
Y tú, ¿qué opinas?