L'Agenzia antidroga degli Stati Uniti acquista spyware da un'azienda italiana

DEA spende milioni di dollari per acquistare strumenti di hacking da un’azienda italiana

L’Agenzia antidroga ha speso milioni per strumenti di spyware prodotti dalla controversa azienda italiana di tecnologia di sorveglianza, Hacking Team, dal 2012, secondo un rapporto esclusivo di Motherboard.

Il software, noto come Remote Control System o “RCS”, è in grado di dirottare chiamate telefoniche, messaggi di testo e messaggi sui social media, e può attivare segretamente la webcam e il microfono di un utente, oltre a raccogliere password.

I documenti governativi mostrano che l’agenzia ha pagato 2,4 milioni di dollari per un RCS che potrebbe essere integrato nel telefono di un sospetto. Una volta che il telefono è infettato, lo spyware può registrare testi, email, password e persino intercettare conversazioni vicine tramite il microfono integrato. L’uso di spyware da parte delle forze dell’ordine è controverso, e i funzionari di solito necessitano di un mandato prima di attivare i programmi. Tuttavia, alcune agenzie in passato hanno ignorato questo requisito.

La fonte dello spyware è ancora più controversa. I documenti mostrano che la DEA acquista lo spyware da Cicom USA, ma le fonti di Motherboard affermano che Cicom è semplicemente un rivenditore di prodotti realizzati da Hacking Team che ha iniziato a commercializzarsi presso le agenzie statunitensi nel 2011. Il gruppo ha una cattiva reputazione nei circoli della sicurezza per aver impiantato malware mirato nei servizi di YouTube e Microsoft Live, e ha anche venduto a governi in Marocco, Etiopia e negli Emirati Arabi Uniti.

Secondo sia i documenti pubblici che le fonti, la DEA ha originariamente effettuato un ordine per il software nell’agosto 2012. Il contratto, che i documenti mostrano essere previsto per essere completato nell’agosto del 2015, è identificato solo come “Sistema di Intercettazione Basato su Host Controllato a Distanza.”

Il contratto, rivelato in precedenza, mostra che l’FBI non è l’unica agenzia governativa statunitense coinvolta in tattiche di hacking. Ha dimostrato che la DEA ha acquistato illegalmente il malware da utilizzare per spiare presunti criminali.

Secondo gli esperti di tecnologia di sorveglianza, i legami della DEA con Hacking Team sono una prova sufficiente che metodi e strumenti che un tempo erano destinati solo all’uso militare, alle agenzie di intelligence e persino ai criminali informatici—come droni e StingRays—stanno diventando ora comuni anche nelle forze dell’ordine.

Nonostante le voci che Hacking Team abbia un ufficio negli Stati Uniti, non c’è mai stata alcuna prova che l’azienda abbia venduto i suoi prodotti in America. Inoltre, in un’intervista con la rivista italiana L’Espresso, il CEO David Vincenzetti si è vantato di avere clienti in più di 40 paesi, compresi gli Stati Uniti.

Tuttavia, il collegamento tra Cicom USA e Hacking Team è stato confermato a Motherboard da più fonti a conoscenza dell’affare, che hanno parlato a condizione di anonimato perché non erano autorizzate a discutere i dettagli del contratto.

Eric Rabe, un portavoce di Hacking Team, non ha né confermato né negato l’esistenza del contratto con la DEA.

Il software RCS di Hacking Team può essere impiantato segretamente sul computer o sul cellulare del sospetto e monitorare tutte le attività, consentendo agli agenti di polizia di spiare dati che altrimenti potrebbero essere crittografati e fuori dalla loro portata.

Cicom USA, secondo la DEA, era l’unica azienda in grado di fornire il servizio richiesto, sulla base della ricerca di mercato condotta internamente dall’agenzia. La DEA non ha risposto a domande riguardanti questa ricerca.

La grande domanda per gli esperti di sorveglianza è se la DEA abbia effettivamente l’autorità legale di utilizzare spyware come quello di Hacking Team—e come, esattamente, venga utilizzato. Un portavoce della DEA ha dichiarato che l’agenzia “rispetta sempre le leggi delle giurisdizioni in cui opera.”

E ha aggiunto che “tuttavia, in questo caso, si tratta di tecnologia pronta all’uso, legalmente disponibile per l’acquisto da parte di tutti e utilizzata in tutto il mondo da molte organizzazioni.”

Ma gli esperti non sono convinti. Tuttavia, alcuni esperti legali sottolineano che non c’è nulla di illegale nell’uso di spyware. Anche se non esiste una legge specifica che copra specificamente l’hacking, Jonathan Mayer, un informatico e avvocato della Stanford University, ha affermato che le agenzie di polizia sono “ampiamente autorizzate” a condurre perquisizioni negli Stati Uniti, incluso l’uso di tecniche di hacking.

Tuttavia, per i critici, come Soghoian o Privacy International, ci dovrebbe essere ancora maggiore chiarezza e una discussione pubblica.

“Se le agenzie di polizia possono hackerare il tuo computer, accendere la tua webcam, accendere il tuo microfono e rubare documenti dal tuo computer,” ha detto Soghoian, “questo è il tipo di cosa che dovrebbe attirare l’attenzione del Congresso, in particolare prima che questo si diffonda alle agenzie di polizia locali.”

Risorsa: Motherboard.Vice.