Liefst 400 GB aan bestanden, e-mails, documentatie, broncode, alles van Hacking Team ligt op straat. Het concern heeft de politie ingeschakeld en alle klanten verwittigd per direct het gebruik van de spyware te staken. Vele critici en concurrenten spitten momenteel door de bestanden en zo komen de meest bizarre, pikante, schandalige en pijnlijke details boven water. We zetten er een aantal op een rij.

Leugens over schurkenstaten

Dat Hacking Team spyware levert aan dubieuze regimes met een trackrecord van grove mensenrechtenschendingen, kan nauwelijks meer verbazen. Maar vervolgens blijkt dat er diplomaten zijn ingezet om tot aan de Verenigde Naties aan toe zulke deals onder de mat te vegen. Uit gelekte documenten blijkt dat de Italiaanse vertegenwoordiger bij de VN als marionet werd gebruikt om levering aan Soedan te ontkennen. Terwijl tegelijk de facturen richting het land werden gestuurd voor honderdduizenden euro's. En heel sluw staat Soedan bij de klanten die niet officieel worden ondersteund. Evenals de Russische geheime dienst overigens.

En wat was de reactie toen aan het licht kwam dat Hacking Team ook leverde aan de beruchte geheime dienst van Ethiopië? Niet het contract opzeggen, nee, dit kan tonnen extra omzet genereren door extra training en duurdere licenties!

OpSec van oma

Je zou zeggen dat een bedrijf van hackers de eigen security dik in orde heeft. Maar niets is minder waar, Hacking Team lapte alle basale regels van operational security (OpSec) aan zijn laars. Bestanden en communicatie werden niet versleuteld, code zit vol bugs en het meest pijnlijke van alles: de wachtwoorden. De gebruikte wachtwoorden zijn zo intens zwak, dat het haast niet te geloven is. Van het niveau 'Passw0rd'. En ze werden ook nog eens steeds opnieuw gebruikt, met soms kleine variaties.

Gepirateerde software

Het gebrek aan ethiek wordt ook gedemonstreerd door het feit dat de medewerkers van Hacking Team verschillende software gebruikten zonder licentie, onder meer developerstools IDA Pro en Visual Assist, inclusief 'bijbehorende' cracks.

Het orakel van Milaan

Ook een mooie krent uit de pap: CEO David Vincenzetti grapte nog een paar weken geleden over het scenario dat de geheimen van Hacking Team op straat kwamen te liggen, via Wikileaks. "Je zou gedemoniseerd worden door onze goede vrienden de activisten, en normale mensen zouden hun vinger naar je wijzen..."

Volgende pagina: de interesse van de Nederlandse politie

Nederlandse politie heeft interesse

Hacking team levert aan tientallen staten en politiediensten wereldwijd, waaronder dus zeer schimmige organisaties. Maar ook zat legitieme opsporingsdiensten uit veel westerse landen. In Nederland niet. Nog niet ten minste, want uit de gelekte agenda blijkt dat er juist maandag een presales bijeenkomst was met de Nationale Politie voor een demonstratie. De woordvoerder van de Nationale Politie kan desgevraagd de bijeenkomst niet bevestigen, dit wordt intern nog uitgezocht. De politie komt mogelijk later nog met een reactie. De afspraak is vooral opmerkelijk aangezien de Nederlandse politie nog geen uitgebreide hackbevoegdheden heeft. Een wet daarvoor is nog in behandeling.

Dolk in de rug

Wie in een schimmige branche zit, kan schimmige praktijken verwachten, zelfs van medewerkers. Een van de documenten doet een gênant voorval uit de doeken van intern verraad. Hacking Team huurde een detective na vermoedens dat de salesvertegenwoordiger in de VS ook concurrerende spyware aan de man probeerde te brengen, op kosten van Hacking Team. En inderdaad, de loyaliteit van deze salesman was zeer beperkt, hij bleek niet alleen rivaliserende producten te slijten, maar zelfs software gebouwd door een ex-medewerker van Hacking Team specifiek bedoeld om het vlaggenschip van Hacking Team, Remote Control System, zelf te neutraliseren.

Malware is bijzonder effectief

Ondanks al het amateuristische OpSec-geklungel, heeft - of beter had - Hacking Team zijn schaapjes op het droge. De omzet loopt in de miljoenen. Hun malware mag vol met bugs zitten, het is beschikbaar op alle mogelijk verschillende platforms, zowel desktop als mobiel. En de laatste versie werd door geen enkele malwarescanner gedetecteerd. Verschillende zerodays worden ervoor ingezet, voor Windows en vooral Flash, van oudsher een favoriete aanvalsvector. Die exploit werkt op alle browsers, inclusief het splinternieuwe Edge op Windows 10, meldt de Nederlandse security-expert Mark Loman.

De enige belangrijke lacune is iOS, daarvoor werkte de malware alleen op toestellen met jailbreak. Het bedrijf werkte hard aan een verbeterde versie die ook zou moeten werken op iPhones zonder jailbreak. Die versie zou naar verwachting eind dit jaar uitkomen. Blackberry wordt ondersteund tot versie 7.1, dus niet de laatste versies.