L’intelligence italiana usa FinFisher?

Torno a parlare dell’attività dei nostri servizi di intelligence, sempre in seguito a leak di informazioni.

L’altra volta si trattava della pubblicazione di indirizzi non proprio nascosti, ma nemmeno tanto pubblici, usati per ricercare fonti OSINT e poi divenuti OSINT loro stessi.

Stavolta si tratta di cose molto più serie, come seria è la fonte: Wikileaks.

Grazie all’eccellente opera di ricerca e pubblicazione fatta da Stefania Maurizi, ieri ha avuto molta eco la pubblicazione da parte di Wikileaks di un altra tranche di informazioni sul prodotto di spionaggio FinFisher, e i clienti governativi che l’hanno acquistato.

Che cos’è FinFisher?

FinFisher è una suite di programmi (in particolare il prodotto FinSpy), prodotti dall’omonima azienda anglo-tedesca, specializzati nel raccogliere informazioni e intercettazioni in un modo molto particolare (ma efficiente): installando spyware.

Già questo non è propriamente il modo più corretto di fare queste cose, ma del resto si può comprendere che una intercettazione per essere efficiente debba essere svolta nel modo più anonimo possibile, e intrusivo allo stesso tempo.

Vista la delicatezza dei prodotti, il loro uso è quasi esclusivamente destinato ad ambienti governativi, gli unici che dovrebbero avere hanno il potere giudiziario per svolgere questo tipo di controlli.

Fin qui nulla di particolare, se non che FinFisher è finito nel mirino degli attivisti per i diritti umani perché pare avesse venduto il proprio prodotto non solo a governi democratici (umh…), ma anche a regimi oppressivi come ad esempio l’Egitto di Mubarak, l’Etiopia o il Vietnam e il Bahrain.

F-Secure, nel 2011, aveva pubblicato tutti i documenti ritrovati dai ribelli negli archivi del Cairo.

L’Italia usa FinFisher?

Stando a quanto dice Wikileaks, pare proprio di sì.

L’Italia, anche se non è specificato quale ente o agenzia di intelligence o di polizia, ha acquistato delle licenze di FinFisher ed è nell’elenco dei clienti pubblicato dall’organizzazione di Julian Assange

italy finfisher

Tra l’altro uno degli allegati pubblicati sembrerebbe far pensare che ci sia anche una localizzazione in italiano del prodotto, cosa che non risultava dai documenti pubblicati finora

finspy italian error

Qualche osservazione

Devo dire che il fatto di trovare l’Italia su questa lista non mi stupisce più di tanto. In fondo il prodotto è uno dei migliori in questo campo, altrimenti non sarebbe stato usato da nazioni con regimi che esercitano un controllo estremo sui propri cittadini.

Manca però, ad oggi, il chi e il perché.

Sul chi posso fare qualche speculazione basandomi sulla cifra: un totale di 1.024.200 €.

Non è poco, e avendo qualche esperienza in contratti pubblici (anche segretati) quella cifra è comunque alta per permettere un acquisto tranquillo.

Direi che i casi sono due

  1. Una unicità del prodotto, cosa possibile visto che FinSpy pare essere unico nel suo genere. Esistono altre soluzioni più o meno lecite che inviano spyware e malware, ma di sicuro non sono pacchettizzate, non hanno supporto e training-on-the-job da parte degli sviluppatori. O meglio, ci sono, ma le vendono nell’underground le organizzazioni criminali.
  2. È stato acquisito da chi non ha vincoli. E in Italia questo significa sostanzialmente due stazioni appaltanti: la Protezione Civile, in caso di calamità naturale, e il Sistema di informazione per la sicurezza della Repubblica.

E onestamente non penso proprio che un alluvione si combatte con lo spyware.

Parliamo del perché.

Su questo vanno analizzate le licenze acquistate, che sono poche.

finspy italy license

Lo stesso numero è stato preso sia per FinSpy normale che per quello mobile, anche se dall’elenco pubblicato da Wikileaks non è chiaro come vengano suddivise.

Certo è che altri clienti, come ad esempio il customer 86 (non ancora noto chi sia), ne ha prese duecento.

finspy customer 86

L’Estonia ne ha prese anche in numero analogo.

Detto questo sarebbe da conoscere il modello di licensing di FinFisher, ma vista l’esiguità delle licenze acquisite (a fronte però di un prezzo molto elevato, giustificato dal tipo di prodotto e dalla clientela governativa) lascia pensare che siano state prese per una Proof of Concept (PoC). Cioè un test per permettere all’ente che le ha acquistate di provare il prodotto, magari su target molto specifici e particolarmente critici per la sicurezza nazionale, e poi eventualmente estendere l’installato comprando altri target da usare.

Sarebbe interessante quindi sapere chi le ha queste licenze, il che chiarirebbe molto di più come e perché vengono usate.

Su questo sappiamo però che i diretti interessati non risponderanno mai, speriamo in Wikileaks.

Commenta il post!