All’1.26 del mattino di lunedì 6 luglio 2015, viene inviato il seguente tweet dall’account di Hacking Team, una delle più importanti società italiane di intelligence: “Siccome non abbiamo nulla da nascondere, pubblichiamo tutte le nostre email, i file e i codici sorgente”[1]. Più di un milione di email vengono rese disponibili su WikiLeaks per un totale di 400 Gigabyte di documentazione della società sottratto e pubblicato.
L’attività principale di Hacking Team è la commercializzazione del software Remote Control System Galileo (altresì definito RCS Galileo), un pacchetto offensivo di alto profilo in grado di infettare ogni tipo di device (dai computer, ai tablet, agli smartphone). L’operazione avviene attraverso un trojan. Il programma maligno (malware) si attiva una volta che l’obiettivo apre una semplice email, scarica un file, si collega a una rete wifi precedentemente attaccata. A questo punto il trojan infetta il device rimanendo nascosto. Inizia quindi la seconda fase, quella del software spia (spyware). Il computer infetto invia file, schermate, chat, mail, conversazioni Skype o registrazioni ambientali al server che ora lo sta controllando da remoto. Il trojan, di per sé, non è una novità, ma l’intuizione di Hacking Team, come di altre società che commercializzano software analoghi[2], è rivoluzionaria: affiancare a programmi altamente sofisticati di attacco, un cruscotto semplificato che possa essere usato anche da chi non è un esperto di informatica. In due settimane di corso, l’utente è pronto a utilizzare il programma.
L’attacco a Hacking Team ha fatto emergere uno scenario in cui governi, autorità giudiziarie, società e privati cittadini di tutto il mondo possono intercettare conversazioni, attivare la fotocamera o localizzare attraverso il GPS qualunque tipo di device.
A livello internazionale, spiccano sicuramente i rapporti tra Hacking Team e il governo del Sudan e quello russo, ma non sono da sottovalutare quelli con il governo dell’Honduras, Ecuador, Panama, Marocco e quello etiope[3]. Tuttavia Hacking Team non si è limitata a vendere il software a Paesi terzi molti dei quali accusati di violazioni dei diritti umani dai principali organismi internazionali di monitoraggio, ma ha operato con moltissime autorità giudiziarie italiane fornendo informazioni assolutamente rilevanti per raccogliere prove su alcuni dei casi giudiziari più importanti a livello nazionale.
Tra questi va sicuramente ricordato il Caso “Bisignani”, ove si indagava per una presunta associazione a delinquere di stampo massonico, in forza della quale gli imputati avrebbero instaurato, grazie ad un’intricata rete di influenti amicizie, un sistema informativo parallelo che avrebbe avuto tra i suoi obiettivi l’ottenimento di informazioni con le quali assicurarsi favori da parte di esponenti della politica e dell’industria. Nel caso “Bisignani” il giudice per le indagini preliminari non ha qualificato tale attività come un’intercettazione in senso tecnico, lasciando sostanzialmente al Pubblico Ministero il potere di promuovere tale attività investigativa senza bisogno di un provvedimento autorizzativo da parte di un giudice.
Merita un cenno anche il caso dell’omicidio di Yara Gambirasio una giovane ragazza italiana scomparsa il 26 novembre 2010 vicino a Bergamo e ritrovata solo alcuni mesi dopo priva di vita. Il caso ha assunto una grande rilevanza mediatica, oltre che per la giovane età della vittima, anche per l’efferatezza del crimine. Il relativo procedimento giudiziario si è recentemente concluso, dopo un lungo iter investigativo e processuale, il 1° luglio 2016 con la sentenza di ergastolo per Giuseppe Bossetti. Durante il processo è emerso che alcune prove digitali sono state raccolte attraverso il software RCS Galileo installato nel personal computer di Giuseppe Bossetti. I legali hanno provato, senza successo, a introdurre la teoria dell’“evidence planting”, teoria da non sottovalutare nel momento stesso in cui vengono utilizzate queste tipologie di software. Infatti, nel momento stesso in cui si prende possesso del device del soggetto investigato, vi sarebbe la teorica possibilità di inserire o formare delle prove che possono dimostrare la tesi accusatoria. Tale tesi non è stata presa in considerazione dal Tribunale nel caso di specie, benché non si possa escludere che nel prossimo futuro sia ipotizzabile che vengano invece accettate delle eccezioni della difesa basate sulla dottrina statunitense del “Fruit of the poisoness tree” [4]. Tale tesi è contrapposta a quella più europea e che segue il principio “Mala captum, bene retentum”[5] in forza del quale una prova anche se acquisita in violazione di legge, può essere utilizzata dal giudice per le sue valutazioni in relazione alla colpevolezza del soggetto.
Quale che sia il futuro della giurisprudenza è difficile prevederlo, ma è un dato di fatto che questo nuovo strumento investigativo sarà oggetto, nei prossimi anni, di approfondite analisi da parte dei giudici di tutto il mondo.
Gli effetti del caso Hacking Team
Il leak di Hacking team ha fatto emergere numerose criticità in termini di sicurezza informatica, in quanto non solo ha permesso di rivelare al mondo le email e i documenti privati della società e dei suoi clienti, ma anche di diffondere on line lo stesso prodotto, ossia il codice sorgente del software RCS Galileo che è stato prontamente scaricato dai cyber criminali di tutto il mondo per utilizzi –ovviamente- illeciti.
I laboratori Trend Micro, analizzando l’enorme quantità di informazioni trafugate ad Hacking Team, hanno scoperto una falsa app di news creata per oltrepassare i filtri di Google Play. L’app era già stata scaricata una cinquantina di volte prima di essere rimossa il 7 luglio[6].
L’app era stata battezzata BeNews, per sfruttare la credibilità dell’oramai non più funzionante sito di notizie BeNews, ma in realtà era una vera e propria backdoor. Nei file trafugati di Hacking Team sono stati trovati i codici sorgente e le istruzioni per formare i clienti all’utilizzo di questa app.
Gli effetti dell’hackeraggio sono addirittura arrivati in Cina. Secondo quanto ha riferito il South China Morning Post[7], ben due gruppi di hacker operativi nel Paese asiatico avrebbero usato gli strumenti messi in rete dopo l’attacco informatico alla società milanese per sferrare attacchi cyber-criminali. In particolare gli hacker avrebbero approfittato di alcune falle del programma Flash di Adobe per colpire specifici settori, dalle telecomunicazioni all’aerospazio, dalla difesa all’energia.
Dopo l’allarme lanciato da esperti di security, che consigliavano di disinstallare Flash, e la decisione di Mozilla e Chrome di disabilitare il media player, Adobe è corsa ai ripari[8]. La società ha rilasciato un aggiornamento per il programma destinato agli utenti Windows, Mac e Linux[9].
Nel leak reso pubblico si trovava anche un esempio pratico di un exploit 0-day multipiattaforma di Flash (CVE numero CVE-2015-5119)[10] innescato dall’avvio di una calcolatrice di Windows da una pagina web di prova[11]. Non appena gli exploit sono stati “patchati”, i ricercatori e le società di sicurezza si sono accorti che già molte suite di hackeraggio si erano aggiornate per sfruttare le nuove vulnerabilità e, addirittura, tramite un’analisi del traffico, che la Corea del Sud ed il Giappone avevano subito attacchi di spear phishing[12] ai loro sistemi da parte di ignoti sfruttando quel sistema[13].
I programmi singolarmente, come RCS Galileo, sono stati resi inutili dall’intervento dei programmatori che hanno chiuso le vulnerabilità che sfruttavano, ma facendone una dissezione per un criminale attento si possono trovare spunti per programmare nuovi malware. Un esempio è il Rootkit per il BIOS UEFI (Unified Extensible Firmware Interface) trovato all’interno di RCS Galileo dai ricercatori di Trend Micro[14], che permette al programma di rimanere installato nei sistemi bersaglio anche se viene reinstallato il sistema operativo o se viene formattata la memoria, o, addirittura, se il disco rigido viene sostituito.
Nell’estate 2016 gli esperti di Blue Coat Labs hanno scoperto un attacco che sfrutta i codici exploit capaci di far leva su un paio di vulnerabilità critiche a suo tempo scoperte nelle versioni remote di Android 4.0, 4.1 e 4.3 (“Ice Cream Sandwich” e “Jelly Bean”).
In particolare, il codice exploit conosciuto come “lbxsl”, risulta tra quelli sottratti ad Hacking Team e pubblicati nel 2015[15].
I profili legali
Alla luce di queste premesse, è necessario interrogarci su due distinti ordini di problemi: il primo riguarda il livello di sicurezza con cui tali software vengono conservati e il secondo è quello relativo all’esportabilità e alla produzione di tali strumenti. Se, infatti, il captatore informatico rappresenta il futuro delle investigazioni, non si può negare che sia, a tutti gli effetti, una delle più pericolose cyber-weapon esistenti sul mercato e come tale vada trattato e regolamentato sia a livello nazionale che a livello internazionale. Sottovalutare questo aspetto può avere, nel medio-lungo termine, conseguenze devastanti in termini di sicurezza informatica.
La fuga di notizie ha mostrato che i dipendenti Hacking Team adoperavano password deboli, quali “P4ssword”, “Wolverine” e “Universo”[16]. Dobbiamo, quindi, interrogarci, se sia corretto che società private che producono e commercializzano software di questo tipo non debbano essere soggette a rigidi controlli e regolamentazioni, esattamente come accade nel “mondo off line”. Ai sensi del combinato disposto dell’art. 697 del codice penale e dell’art. 20-bis della legge 110/75[17], una società che produce armamenti o, banalmente, anche un privato cittadino che conserva un’arma nella propria abitazione risponde penalmente nel caso in cui questa venga smarrita e/o rubata per propria negligenza. Le pene arrivano fino a due anni di arresto.
La domanda è quindi molto semplice: si può considerare una “custodia poco diligente nell’interesse della sicurezza pubblica” il fatto di proteggere con password deboli l’accesso a server che al loro interno custodiscono cyber-weapon?
Un secondo profilo, ancora più delicato e controverso, è quello relativo all’esportazione di tali armi verso Paesi esteri che risultano in varie black list internazionali (tra cui ONU, NATO, EU). Sotto questo profilo esiste una regolamentazione di riferimento sia a livello nazionale (d.l.gs 9/2003[18]) che internazionale (Regolamento Europeo 428/09[19] e 388/12[20]). Sempre a livello internazionale, non si può non citare il Wassenar Agreement[21] che regolamenta il controllo delle esportazioni per le armi convenzionali e le tecnologie dual use[22], ossia quei prodotti che, pur non essendo di per sé armi, potrebbero potenzialmente diventarlo. In buona sostanza, gli Stati[23]che hanno sottoscritto tale accordo cercano attraverso le politiche nazionali di garantire che il trasferimento di armi o di tecnologie dual use non contribuisca allo sviluppo militare di Paesi non democratici in grado di mettere in pericolo la sicurezza internazionale.
Un “intrusion software”, ad esempio, può essere utilizzato da una società di security per testare la sicurezza di un sistema informatico e al contempo essere usato da uno Stato non democratico per controllare e intercettare le conversazioni dei propri cittadini. Un recente caso, ha visto coinvolta un’altra società italiana (Area S.p.A.) che vendeva al Governo siriano un sistema di monitoraggio on line attraverso un fittizio rapporto commerciale con la principale società di telecomunicazioni nazionale[24].
Il vero problema tuttavia è trovare il bilanciamento di interessi tra l’esigenza di reprimere e vietare trasferimenti illeciti di tecnologie dual use e quello di limitare lo scambio di informazioni fondamentali in ambito di security[25]. La recente modifica del Wassenar Agreement[26] ha generato numerose polemiche, in quanto la nozione di “intrusion software” è sicuramente molto ampia e potrebbe anche bloccare l’esportazione di software utilizzati dalle società di security per la ricerca di nuove vulnerabilità[27]. D’altro canto, non si può non considerare come l’acquisto di “exploit” e “0-day” debba essere regolamentata anche in considerazione del fatto che il nostro codice penale prevede una pena fino a 4 anni di reclusione per chi “fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi” (art. 617-quinquies c.p.).
Queste sono le premesse per una riflessione più ampia che andrà fatta tenendo a mente che il percorso per allineare la disciplina sulle cyber-weapon a quella delle armi tradizionali è appena iniziato, ma deve diventare presto una priorità anche a livello nazionale.
Il captatore informatico e la digital forensics
Unitamente a quello della conservazione e dell’esportazione, il rispetto dei principi di digital forensics costituisce un ulteriore tassello di grande rilevanza per regolamentare l’utilizzo del captatore informatico. Come è noto la digital forensics è quella disciplina tecnico-legale che permette di garantire[28]:
1. l’immodificabilità del contenuto della memoria del dispositivo;
2. la conformità dei dati acquisiti con i dati originali;
3. la corretta conservazione dei dati acquisiti.
Alla luce di queste premesse, risulta davvero complesso ritenere che i principi enunciati possano trovare applicazione con riferimento ad uno strumento che viene inoculato surrettiziamente all’interno del dispositivo di un soggetto e ne prende il pieno controllo.
Inoltre, va considerato che il dispositivo durante la fase di attivazione e di captazione del trojan è in costante attività (ad esempio può ricevere telefonate, inviare sms, ricevere email o navigare su internet) e quindi si modifica in continuazione. Se dal punto di vista tecnico, attraverso un articolato uso della funzione di hash è ipotizzabile certificare una cristallizzazione del contenuto captato in un determinato momento, dal punto di vista processuale l’attività̀ captativa eseguita mediante trojan non può che generare un’attività irripetibile, in quanto modifica il luogo virtuale nel quale il malware viene installato.
Da ultimo, ma non per questo meno importante, va evidenziato che il captatore, una volta installato, non può essere facilmente rimosso dall’attaccante, restando dunque giacente all’interno del dispositivo. Per questa ragione, il rispetto dei principi di digital forensics è un presupposto essenziale per l’utilizzabilità delle prove raccolte attraverso questo strumento.
Le proposte di legge italiane per regolare l’utilizzo dei captatori informatici
Per quanto attiene l’utilizzabilità del captatore nelle indagini penali, nell’ultimo anno in Italia si sono susseguiti quattro progetti di legge per formalizzare lo strumento investigativo del captatore informatico nell’ambito del codice di procedura penale italiano: il primo progetto è stato presentato all’interno della legge in tema di contrasto al terrorismo (legge 17 aprile 2015 n. 43). In questo progetto di legge è stato fatto un maldestro tentativo di aggiungere all’interno dell’articolo 266-bis che disciplina l’intercettazione telematica, la possibilità di effettuare tale tipo di attività “anche attraverso l’impiego di strumento o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico”. Tale emendamento è stato criticato da molti parlamentari e dallo stesso Primo Ministro, in quanto inseriva la possibilità di effettuare attività assolutamente invasive nei confronti dei cittadini senza alcuna garanzia di legge se non quella di considerare tale strumento come una mera intercettazione telematica. Stessa sorte è toccata al Progetto di Legge “Greco” del 2 dicembre 2015.
All’inizio del 2016 si sono sviluppati due progetti di legge (Emendamento “Casson” e proposta “Quintarelli”) che sembrano avere un diverso approccio rispetto a quelli dell’anno precedente. Anche se ancora in discussione e non in versione definitiva, ciò che emerge è la necessità di regolare tale strumento attraverso i seguenti provvedimenti:
· limitazione dell’utilizzo dello strumento solo per i reati più gravi;
· necessaria autorizzazione del giudice per le indagini preliminari e non del Pubblico Ministero;
· possibilità di notifica ritardata all’indagato in caso di sequestro informatico, ma facoltà di quest’ultimo di analizzare i dati sequestrati in contradditorio con il Pubblico Ministero;
· istituzione di un processo di certificazione dei captatori autorizzati all’uso e presenti sul mercato attraverso sistemi idonei di verifica che garantiscano imparzialità̀ e segretezza;
· diritto per la difesa di ottenere la documentazione relativa a tutte le operazioni eseguite tramite captatori e di verificare tecnicamente che i captatori in uso siano certificati;
· disinstallazione dei programmi al termine dell’uso autorizzato, anche fornendo all’utente le informazioni necessarie a provvedervi autonomamente in alcuni casi.
Quale che sia il futuro della legislazione sul punto è difficile prevederlo, ma è certo che questo nuovo strumento investigativo nei prossimi anni sostituirà progressivamente la tradizionale intercettazione telefonica offrendo tuttavia un volume di informazioni decisamente più rilevante. Forse proprio per questa ragione, in Francia, Spagna, Portogallo e, ultimamente, anche in Finlandia ed Estonia sono state adottate delle legislazioni nazionali che ne hanno consentito, ma anche regolamentato l’utilizzo.
Conclusioni
Da ultimo, nel recente caso “Eye Piramid” abbiamo un’esemplificazione dello scenario futuro. Il caso, ancora in fase di indagini preliminari, riguarda due fratelli, Giulio e Francesca Occhionero che, con un semplice trojan, scritto in Visual Basic da Giulio, hanno acquisito informazioni riservate presenti nei device di migliaia di persone, tra i quali alcuni tra gli uomini più potenti in Italia. Le dimensioni di quest’attacco sono rilevanti: 18.327 username e 1.793 password rubati e un archivio totale di 87 GB di dati riguardanti i soggetti hackerati.
Il paradosso di questo caso è che, da un lato, l’hacker -o presunto tale- attraverso il malware “Eye Piramid” ha spiato politici e manager italiani e dall’altro la Procura di Roma attraverso il medesimo strumento si è introdotta nel computer dell’indagato per acquisire elementi utili all’indagine.
Queste sono le premesse per una riflessione più ampia che andrà fatta tenendo a mente che il percorso per allineare la disciplina sulle cyber-weapon a quella delle armi tradizionali è appena iniziato, ma deve diventare presto una priorità a livello nazionale.
[1] AA.VV., Attacco ai pirati. L’affondamento di Hacking Team: tutti i segreti del datagate italiano, Lastampa/40k, 2015, p. 8.
[2] Sempre attraverso WikiLeaks, si trovano le informazioni relative a FinFisher, azienda tedesca fino al 2013 e parte del gruppo inglese Gamma Group International, che produce una suite per infettare computer e smartphone con un trojan ad altre tre società europee: la francese Vupen, le tedesche DigiTask ed Elaman, specializzate nella produzione di captatori informatici.
[3] A questo indirizzo https://wikileaks.org/hackingteam/emails/ è possibile scaricare il motore di ricerca generato da WikiLeaks che contiene l’archivio delle email.Una mappa di possibili utilizzatori è pubblicata sul sito del Citizen Lab al seguente url: https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/.
[4] La teoria giuridica di matrice statunitense del “frutto raccolto dall’albero avvelenato” (Fruit of the Poisonous Tree) ritiene che la prova raccolta illegalmente dovrebbe essere esclusa dal processo. Questa teoria è soggetta a delle eccezioni qualora: (i) la prova è stata trovata da una fonte indipendente dalle indagini; (ii) la scoperta di tale prova era inevitabile; (iii) se c’è una causa che giustifica l’attività illegale che ha permesso di scoprire tale prova. SilverthorneLumber Co. v. UnitedStates, 251 U.S. 385 (1920).
[5] Per analizzare la contrapposizione tra i due principi si veda la seguente sentenza, European Court of Human Right, 30 giugno 2008, Gäfgen c. Germany.
[6] Per una descrizione più dettagliata, si può consultare il blog di Trend Micro: http://blog.trendmicro.com/trendlabs-security-intelligence/fake-news-app-in-hacking-team-dump-designed-to-bypass-google-play.
[7] Fonte: http://www.scmp.com/tech/enterprises/article/1838426/chinese-hackers-used-exploits-revealed-attack-cybersecurity-firm.
[8] Fonte: https://helpx.adobe.com/security/products/flash-player/apsa15-03.html
[9] Fonte: http://arstechnica.com/security/2015/07/once-again-adobe-releases-emergency-flash-patch-for-hacking-team-0-days.
[10]Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-the-open-type-font-manager-vulnerability-from-the-hacking-team-leak/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trendlabs+Security+Intelligence+Blog%29
La stessa Hacking Team descrive una della vulnerabilità di Flash Player “the most beautiful Flash bug for the last four years” Fonti: http://thehackernews.com/2015/07/flash-zero-day-vulnerability.html, http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-player-flaws-more-pocs-found-in-hacking-team-leak/.
[11] Fonte: https://www.inforge.net/xi/resources/proof-of-concept-flash-0day-use-after-free-vulnerability-hackingteam-leak.13632/
Nei leaksi leggeva di un‘ulteriore vulnerabilità Adobe, attraverso un attacco buffer overflow sulla DLL Adobe Open Type Manager incorporata in Microsoft Windows. La DLL lavora in kernel mode, quindi l‘attacco può compiere una privilege escalation per aggirare la sandbox. Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-the-open-type-font-manager-vulnerability-from-the-hacking-team-leak/
[12] Lo spear phishing è un attacco mirato verso un individuo o una compagnia con l’obiettivo di cercare informazioni sull’obbiettivo per poter incrementare le probabilità di successo. Questa tecnica è, alla lunga, la più diffusa su internet, con una quota del 91% degli attacchi.
[13] Fonte: http://arstechnica.com/security/2015/07/hacking-teams-flash-0day-potent-enough-to-infect-actual-chrome-user/
[14]Fonte: http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems/
[15]Fonte: https://threatpost.com/android-ransomware-attacks-using-towelroot-hacking-team-exploits/117655.
[16] Zack Whittaker, Hacking Team used shockingly bad passwords. Fonte: http://www.zdnet.com/article/no-wonder-hacking-team-got-hacked.
[17] L’articolo 20-bis è stato introdotto dal D.lgs 204/2010 e poi modificato dal D.l.gs. 121/2013.
[18] Fonte: http://www.gazzettaufficiale.it/eli/id/2003/05/05/003G0117/sg.
[19] Fonte: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=URISERV%3Acx0005.
[20] Fonte: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex:32012R0388. Da notare che è in discussione una ulteriore proposta di modifica che andrebbe proprio a modificare il concetto di “intrusion software”. Fonte: http://www.lexology.com/library/detail.aspx?g=0ad79571-1345-4cd3-9000-e71ef3c5f46f. Sul regime europeo, si può consultare il seguente Url: http://ec.europa.eu/trade/import-and-export-rules/export-from-eu/dual-use-controls/.
[21] Fonte: http://www.wassenaar.org/
[22] Specifico riferimento alle tecnologie contemplate dal Wassenaar Arrangement: http://www.wassenaar.org/wp-content/uploads/2016/12/WA-LIST-16-1-2016-List-of-DU-Goods-and-Technologies-and-Munitions-List.pdf
[23] Elenco degli stati disponibili alla seguente url: http://www.wassenaar.org/participating-states/
[24] Per ulteriori approfondimenti: http://milano.repubblica.it/cronaca/2016/12/01/news/milano_intercettazioni_violato_embargo_siria-153210074/ (Fonte La Repubblica, 1 dicembre 2016).
[25] Sul punto si suggerisce la lettura di J. Sanders, How the Wassenaar Arrangement threatensres ponsible vulnerability disclosures, disponibile al seguente Url: http://www.techrepublic.com/article/how-the-wassenaar-arrangement-threatens-responsible-security-vulnerability-disclosures/.
[26] Sul punto si può approfondire al seguente url: http://www.lexology.com/library/detail.aspx?g=396daedc-5ab0-4148-a5d6-e931aad83895.
[27] Sul punto si suggerisce la lettura di Sergey Bratus, Michael Locasto, Anna Shubina, Why Wassenaar Arrangement’s Definitions of “Intrusion Software” and “Controlled Items” Put Security Research and Defense At Risk, disponibile al seguente Url: https://www.usenix.org/system/files/login/articles/wassenaar.pdf. Si possono anche consultare i seguenti Url: https://threatpost.com/security-researchers-wary-of-proposed-wassenaar-rules/112937; e http://www.securityweek.com/cybersecurity-industry-remains-concerned-over-wassenaar-arrangement.
[28] M. Zonaro, Il Trojan – Aspetti tecnici e operativi per l’utilizzo di un innovativo strumento d’intercettazione, in Trojan Horse: tecnologia, indagini e garanzie di libertà, 2016, disponibile al seguente Url: http://www.parolaalladifesa.it/wp-content/uploads/2016/09/Parola-alla-difesa_Trojan-horse-tecnologia-indagini-e-garanzie-di-liberta%CC%80.pdf.