Il più noto hacker italiano racconta la movimentata storia della stregoneria telematica internazionale. Quando le teste calde della rete cominciarono a lanciare le loro pazze sfide, chi immaginava che potesse maturare anche la figura del "pirata buono", cioè del ravveduto che mette il suo sapere a disposizione della sicurezza informatica ed è perfino capace di creare aziende e posti di lavoro?
$ SET HOST /X
_$ Address: 0208057040540
ACP: CALL CONNECTEDQ S D
Software SICOMM France
You Are on QSD (France)
International Chat System
Free AccessFor fun and friends!
No pirating nor hacking Please!
1. 1988-1995.
Dal 1988 al 1995 ho digitato questo comando e
scritto messaggi, per interminabili ore e lunghe nottate, agli amici su Qsd.
"Qsd" è il nome di una messaggeria, un sistema informatico al quale ci si può
collegare e dove si possono scambiare messaggi con gli altri utenti collegati in
quel momento, o lasciare una comunicazione nella "mailbox", la casella postale
che ogni utente ha sul sistema: si trova a Metz, città nel nord della Francia,
nel dipartimento di Lille.
Il comando set h/x, sui sistemi Vax/Vms, fa sì
che il server remoto esegua una chiamata verso un indirizzo di un altro sistema
informatico collegato alla rete X.25: le reti X.25 sono reti di dati a
commutazione di pacchetto (Packet switching) e si possono definire le
"progenitrici" delle reti pubbliche di comunicazione, le reti "per la massa"
quali l'attuale Internet.
2. Le origini.
Il department of Defense (Dod), ovverosia il
dipartimento della Difesa statunitense avviò, nel 1968, il progetto Arpanet,
acronimo di Advanced research programs agency network, ossia il progetto di una
vera e propria rete di telecomunicazioni dedicata esclusivamente alla
trasmissione e ricezione dei dati, quindi senza funzioni di rete telefonica o
per comunicazioni vocali. Essendo però lo stesso gruppo Arpa la principale
divisione di ricerca militare degli Stati Uniti, la rete Arpanet aveva il solo
scopo di permettere i collegamenti tra le basi militari, i laboratori di ricerca
e il ristretto gruppo di costruttori, altamente selezionati, nell'interesse
della sicurezza nazionale. La volontà del Dod nacque anche in seguito
all'invenzione, pochi anni prima, dello standard Ethernet, sviluppato allo Xerox
Parc dalla Xerox corporation di Stanford, Connecticut. Lo standard Ethernet
infatti permetteva di creare le Lan, acronimo di Local area network (reti locali
di dati), le quali avrebbero portato a una crescita esponenziale di risorse
isolate e non disponibili all'esterno. La visione dell'Arpa era probabilmente
distorta dagli standard militari e dalle conseguenti modalità di pensiero,
tant'è che l'evoluzione delle reti Lan e della tecnologia Ethernet è stata
sicuramente uno dei sostegni fondamentali per la diffusione delle
telecomunicazioni interaziendali e la condivisione delle risorse di
connettività. A ogni modo il progetto Arpanet proseguì e verso la fine degli
anni '70 si aprì alle università del paese, raggiungendo finalmente l'obiettivo
di condividere le risorse e le informazioni.
Il mondo commerciale, però, non
era intenzionato a rimanere a guardare, data soprattutto l'esplosione
dell'informatica nelle grandi aziende e i primi prodotti "home computer".
Ricordiamoci che tra la fine degli anni '70 e gli inizi degli '80 case
produttrici come la Spectrum e la Commodore presentarono i primi prodotti home,
"per la casa", quali il Sinclair ZX-80 e il Commodore Vic-20. Prima del "Vic",
come veniva chiamato il primo vero home computer di casa Commodore, vi fu il
Commodore Pet-1, risultato del successo avuto dalla diffusione del linguaggio
Basic tra i primi appassionati di programmazione e informatica casalinga.
Laddove la pubblica struttura era carente intervennero le società private le
quali, intravedendo enormi prospettive di business e avendo ben presente le
necessità del mercato, crearono una serie di reti dati interconnesse tra loro,
abbracciando lo standard di telecomunicazioni dati X.25. Il protocollo, definito
dall'Itu, l'International telecommunication union - che ha sede in Svizzera e
definisce gli standard di comunicazione voce, dati e telex, svolgendo il ruolo
di Registration authority per tutti i paesi del mondo, prevedeva l'assegnazione
di indirizzi per ogni paese e la possibilità di avere per ciascuno di essi più
carrier dati, ovverosia fornitori di servizio.
In quelle economie che ancora
avevano una visione "statale" del fattore telecomunicazioni (ricordiamoci sempre
che siamo negli anni '80) quali ad esempio la Francia e l'Italia, il servizio
veniva garantito dalla compagnia telefonica nazionale mentre nelle economie
"libere", che aprirono di fatto la strada all'Internet boom degli anni
'90, si vide la nascita di diversi carrier X.25. Questa grande ragnatela di
reti, tutte interconnesse tra loro grazie a switch, cioé nodi di transito
internazionali, prevedeva l'accesso alla rete tramite dialup1,
utilizzando la normale rete telefonica e un modem. I primi hacker avevano
finalmente la strada per raggiungere potenti computer, generalmente di proprietà
di multinazionali nel settore industriale, chimico, farmaceutico e petrolifero,
o facenti capo a governi, banche e società di telecomunicazioni. In Italia si
usava la rete Itapac, in Francia la Transpac e negli Stati Uniti le varie
Tymnet, Sprintnet, Infonet e così via. Ritengo che ogni hacker sia stato spinto,
almeno inizialmente, dalla curiosità di "put the hands on", vale a dire
dalla voglia di toccare con mano e usare dei sistemi informatici e delle reti
dati ai quali, altrimenti, non avrebbe mai potuto avere accesso.
Ad aggravare - o a migliorare, a seconda del punto di vista - la situazione
arrivò la sopra menzionata apertura di Arpanet alle università, il che permise
agli studenti di avere accesso alla progenitrice dell'attuale Internet. Solo una
decina di anni dopo i privati avrebbero avuto accesso alla Grande Rete e proprio
questo lasso di tempo vide protagonista la prima generazione di hacker: una
generazione spontanea, curiosa, intelligente. Il Manifesto degli Hacker, scritto
da The Mentor, autodescrive un mondo dove il ragazzo troppo intelligente e
chiuso viene isolato, dove i genitori di quel periodo regalavano ai figli un
home computer «per farlo stare buono e per essere al passo con i tempi». Nessuno
se ne accorse, ma stava nascendo la generazione successiva ai bambini
"teledipendenti", quella dei "computer dipendenti". Le sale giochi con i
videogames da bar non erano più piene come un tempo, i ragazzini invitavano a
casa i compagni di classe per "giocare al computer" e, in ogni parte del mondo,
altri ragazzini di quella generazione scoprirono che il computer si poteva
programmare. Si poteva creare qualcosa, esattamente come con il
Lego o i Playmobil. E c'era di più... Esisteva un aggeggio chiamato modem, il
quale permetteva di collegarsi con un altro computer. E con le banche dati. E
con le nascenti reti di comunicazione. Alcuni bambini videro la differenza, si
chiusero ancora di più nella propria camera e iniziarono l'esplorazione di un
mondo completamente nuovo.
Nel 1983 esce il film Wargames e per quei
pochi ragazzi colpiti da dubbi sull'utilità delle lunghe ore passate davanti al
computer questo significa intravedere finalmente un obiettivo concreto e un
nuovo gioco con il quale divertirsi.
3. Non più soli.
Poco tempo fa una cara amica, che non si
autodefinisce hacker ma lo è, a mio parere, assolutamente, nel pensiero, nella
profonda intelligenza e nel modo di agire, mi disse una frase molto particolare.
«Siamo come i tossicodipendenti, ci riconosciamo a vista». Un pensiero forte nei
toni, ma che rende perfettamente l'idea dei forti legami che esistono nella
comunità hacker. Con questo concetto ben presente torniamo all'evoluzione dei
nostri ragazzini e assistiamo alle prime azioni di Kevin Mitnick, brufoloso e
grasso sedicenne della California che iniziò la carriera entrando nel sistema
informatico della sua scuola e continuò a fare hacking sino all'età adulta,
divenendo un "Wanted by the Fbi" sino al 19952, o al Worm di
Robert Tappan Morris, figlio di un ricercatore della National security agency
(Nsa, la più importante Agenzia governativa americana), studente alquanto timido
e riservato il quale, per errore e con puri scopi di ricerca, creò il primo
"Virus" dell'era Internet, che bloccò a tempo di record più della metà dei
sistemi connessi alla rete.
Arriviamo addirittura alle guerre informatiche
tra gang, quando la banda dei Masters of deceptions (Mod) e quella dei Legion of
doom (Lod) iniziarono a darsi addosso l'un l'altro, a suon di password rubate e
sistemi spenti da remoto, dirottamenti di chiamate telefoniche ed eccessi di
qualunque tipo.
In Europa la situazione non è differente e sebbene vi sia
stato un gap temporale di tre o quattro anni rispetto agli Stati Uniti, vediamo
la nascita di storici gruppi quali il Chaos computer club (Ccc) di Amburgo, il
gruppo dei DTE 222 in Italia (il nome riprende il codice Dnic X.25, il prefisso
internazionale del nostro paese), i sistemi informatici Altos (Germania),
Pegasus (Svizzera) e QSD (Francia). Pochi anni dopo l'Italia avrà ancora il
Pier's Group di Milano e lo SferraNetwork di Torino, così come in Canada c'erano
Pad e Gandalf e Acid Phreak e Phantom Dialer negli Stati Uniti.
Nomi di gruppi e persone alquanto strani, i nicknames erano l'alias
dell'hacker, il proprio "nome di battaglia": il timido Kevin Mitnick si faceva
chiamare "Condor", dal film di Robert Redford I tre giorni del condor,
con il chiaro scopo di immedesimarsi nella freddezza e nella professionalità del
protagonista.
Torniamo al comando iniziale di questa storia e immaginiamo
strani personaggi, incluso il sottoscritto, incontrarsi virtualmente e dialogare
su Qsd, una tra le prime messaggerie on line che divenne un ritrovo di élite per
gli hacker di tutto il mondo. Da Qsd partivano le scorribande verso le reti di
svariati paesi, su Qsd si "hangin' up", ovverosia si aspettava che gli amici
arrivassero per decidere cosa fare durante la notte. Un'intera generazione ha
avuto la possibilità di vivere in un mondo virtuale, inesistente... si creavano
amicizie che duravano anni con persone che fisicamente non si sarebbero mai
incontrate, si parlava al telefono in due o tre lingue, si aumentava
incredibilmente il proprio bagaglio culturale.
Quella che segue è quasi un
reperto storico, trattandosi della registrazione di un giorno del 1991 dove, a
Qsd, erano collegati svariati amici dell'epoca.
[/q] Exit Chat - [/h] Get Help - [/priv] Send Private Massage
[/a] Change your alias - [/mbx] Mail functions
[/w] Who is online
- Sentinel (Serbia)
- Nobody (Qatar)
- Zibri (USA/SprintNet)
- Gandalf (Taiwan/DCI-TelePac)
- Bayernpower! (Ivory-Coast)
- Janez (USA/TymNet)
- Venix (Greece)
- Asbesto (Italy)
- Moni (USA/InfoNet)
- Raist (Poland)
- Rady (Bulgaria)
- Terminator (Brazil)
- Dark Avenger (Russia/ROS)
- Eugene (Hungary)
- Silk (Hong-Kong/DataPac)
- Machine (Kenya)
- Kimble (Germany/Datex-P)
Come si dice nelle foto di classe, "il secondo dall'alto
sono io" :-)
Passavo da un sistema in Qatar e da lì, con il comando Set H/X
0208057040540, chiamavo Qsd. Provenire da un paese che non era il proprio era
sinonimo di alte capacità e significava essere entrati nelle reti X.25 di vari
paesi; più il paese era lontano, più si era bravi ed élite. Oltre al
sottoscritto, però, troviamo Venix, trentaquattrenne greca divenuta una tra le
più apprezzate Security Manager del suo paese, o Bayernpower, tedesco della
Baviera, arrestato a Monaco per utilizzo abusivo di "calling card", carte di
credito telefoniche le quali permettevano di telefonare gratuitatemente in tutto
il mondo e in maniera pressoché anonima. L'ultimo utente, Kimble, è oggi uno dei
più ricchi milionari della Germania, dopo aver aperto un'azienda di Computer
Security ed essere arrivato a fondare una società di investimenti "new economy",
mentre Silk era una ragazza di Roma, la prima hacker al femminile del nostro
paese: a oggi non so dove sia e di cosa si occupi, ma tanti anni fa conobbe in
rete un ragazzo della Sardegna, tal Candido se non ricordo male, e spero che
siano ancora insieme.
A proposito di fidanzamenti, per fare capire come ragiona un hacker, la
nostra amica Venix un giorno del 1998 decise di vedere chi era collegato su un
sistema di messaggeria Internet, Irc (International relay chat) e, dopo essersi
segnata l'indirizzo Ip di ogni utente, iniziò sistematicamente a entrare nei
personal computer di ognuno di loro. Ogni utente aveva sull'hard disk appunti,
racconti, idee, fotografie... Il proprio personal computer, se lo si usa
davvero, è spesso lo specchio della nostra persona e contiene informazioni utili
per conoscerci e comprenderci: Venix trovò la fotografia di una delle sue
vittime, un ragazzo molto carino di nome Costantino. Non sembrava neanche troppo
stupido da quello che diceva, e allora perché non... Iniziò a spiare quel
ragazzo così carino in fotografia, incontrarlo in messaggeria, conoscerlo ed
effettuare verifiche incrociate su quanto lui diceva. Oggi Venix e Costantino
sono fidanzati, vivono insieme ad Atene e sul Pc del ragazzo è installato un
software di firewall per evitare che intrusi penetrino nel suo computer (ma
Venix dice che sa come aggirarlo).
Concludo questa divagazione sui miei
vecchi "amici di rete" smentendo uno dei tanti cliché sulla "non bellezza" degli
smanettoni informatici: Venix è una bellissima ragazza, assomiglia in maniera
incredibile all'attrice Angelina Jolie che nel film Hackers interpreta il
ruolo di Trinity ma, a quanto dice lei, «in realtà credo che sia Trinity ad aver
cercato di somigliare a me, dato che avevo quello stile ben prima del
film..».
4. Il periodo buio.
Il decennio che va dal 1980 al 1990 ha
sicuramente rappresentato l'apoteosi della "pazza corsa" degli hacker di tutto
il mondo. Questi anni vedono la nascita delle due riviste di riferimento del
settore, "Phrack" e "2600 Magazine", delle vere e proprie roccaforti della "free
knowledge", la voglia di libertà e condivisione delle informazioni tipica
dell'underground tecnicologico mondiale. Nel lontano 1986 dalle pagine di Phrack
si sentiva l'urlo della voglia di condividere con tutti il sapere e la rivista -
esclusivamente digitale - è passata incolume attraverso gli anni a denuncie e
attacchi da parte delle autorità governative e dei colossi delle
telecomunicazioni. Pochi mesi fa l'editore di Phrack è stato chiamato in
tribunale per aver pubblicato - dietro autorizzazione e su richiesta dell'autore
stesso - il codice sorgente del DeCSS, un software per sistemi Linux in grado di
riprodurre i Dvd sul proprio pc e, di conseguenza, in grado di copiare il Dvd
stesso in un formato che rende possibile l'invio e la distribuzione del film
stesso. Una lotta tra il "diritto di sapere" proprio della comunità scientifica
e gli interessi economici della Motion pictures american association (Mpaa),
l'associazione americana per la tutela dei diritti cinenatografici.
Bene o male con lo stesso concetto e proprio da Phrack ha origine, agli inizi
degli anni '90, il periodo buio dell'hacking, il primo episodio di una lunga
serie di eventi, spesso concatenati tra loro, che colpiscono duramente la
comunità hacker. Phrack riceve da "Prophet" e pubblica integralmente il manuale
del 5ESS, inclusivo delle specifiche per l'E911, leggendo il quale si potevano
riprogrammare le centraline telefoniche a lunga distanza della American
telecommunications & telegraphs (At&t), la più grande TelCo3
esistente. L'At&t fa pressioni sull'Fbi e Phrack viene sequestrato. La
comunità hacker di tutto il mondo si ribella, gli hacker capiscono che,
nonostante la loro forte individualità, è stato loro tolto qualcosa di
collettivo, un bene comune a tutti. La situazione divenne alquanto scottante, le
guerre tra le bande hacker cessarono e gli obiettivi divennero i sistemi
governativi e le stesse compagnie telefoniche. Si arrivò al processo e lì venne
dimostrato come il manuale del 5ESS fosse liberamente in vendita presso gli
uffici commerciali della At&t e nelle librerie tecniche per 14,99 dollari.
La At&t aveva chiesto un risarcimento danni di milioni di
dollari...
Poteva non accadere nulla. Tutto si sarebbe potuto concludere con
il memoriale/editoriale di Emmanuel Goldstein sulla libertà del sapere. Ma così
non fu. E non furono gli hacker i primi ad agire. Dal 7 al 9 marzo del 1990 il
Servizio segreto americano coordinò "The Sundevil Operation": avvengono raid
dell'Fbi a Cincinnati, Detroit, Miami, Newark, Phoenix e Tucson, Pittsburg,
Richmond, Los Angeles, San Francisco, San Jose...è un "massacro". Tutte le Bbs4
amatoriali vengono chiuse e l'Fbi fornisce la dimostrazione della propria
inesistente competenza verso l'informatica, sequestrando monitor e tappetini del
mouse quali prove "del reato commesso", invece del solo hard disk o una copia
dei file incriminanti.
Il governo statunitense sbaglia quindi il bersaglio, non colpisce hacker ma
semplici sistemi amatoriali, con il risultato di dissotterrare quella miccia
spenta a mala pena pochi mesi prima durante lo scandalo 5Ess. L'operazione
Sundevil viene ribattezzata Hacker's Crackdown, letteralmente "il giro di
vite contro gli hacker" e rimarrà il simbolo della repressione del governo
americano contro innocenti, la risposta dell'ignoranza e della forza contro
adolescenti un po' troppo curiosi e semplici appassionati. La comunità hacker si
unisce e l'episodio viene visto un po' come l'equivalente dell'Oloscausto
hacker. Ad aggravare il tutto l'arresto da parte dell'Fbi ad Austin, Texas, di
Erik Bloodaxe e di The Mentor, i due principali pilastri dell'underground
hacking nordamericano.
La miccia innescata impiega poco tempo per completare
il suo tragitto e un giorno di luglio, nel 1991, i sistemi telefonici a lunga
distanza di New York smettono di funzionare. La centrale telefonica, chiamata in
gergo C.O. (Central Office) di Manhattan, fuori servizio, convoglia il traffico
su Long Island, ma anch'esso ha dei problemi e lo rigira su Newark, nel New
Jersey. Il C.O. di Newark salta e come una grossa onda elettronica, da New York
a Los Angeles, gli Stati Uniti d'America si "spengono". Alzando la cornetta di
qualunque telefono e componendo il numero dei parenti in California tutto quello
che si ottiene è un lungo, triste, "tuuuuuu". Gli aeroporti, le centrali di
polizia e gli organi ritenuti "essenziali" sono isolati dal resto del mondo. Il
primo segnale era stato dato durante il Martin Luther King's day, il 15 gennaio
del 1990, quando per la prima volta i sistemi telefonici dell'At&t saltano:
la compagnia imputò il fatto a un problema nel software, escludendo che i loro
sistemi informatici potessero essere manomessi dall'esterno: il risultato fu che
gli hacker ebbero un anno di tempo per "lavorarci su".
Nel 1993 viene arrestata, a New York City, la banda dei Masters of Deception,
ma il segnale è oramai chiaro. Un anno prima, nel 1992, l'Italia ha la propria
SunDevil Operation, ribattezzata Italian Crackdown: anche in
questo caso vengono colpite le Bbs amatoriali, in particolare la rete FidoNet e
l'Associazione PeaceLink (quest'ultima estremamente attenta ai diritti della
persona e della privacy, una delle rare bandiere italiane per la libertà di
pensiero e comunicazione), facendo affiorare i primi problemi di addestramento
delle Forze dell'Ordine (Guardia di Finanza, Polizia e Carabinieri), commettendo
clamorosi errori di distinzione tra software protetto da copyright e software
"freeware" o "shareware", ovverosia di libero possesso e per i quali sono
autorizzati la copia e la distribuzione. Rivediamo le stesse scene dei raid
americani, file e file di monitor e mouse sequestrati, senza alcun senso
logistico e operativo. Il blocco delle Bbs impone, di fatto, l'impossibilità di
fornire il servizio e di comunicare, creando una rottura nella catena di
comunicazione tipica delle Bbs, il cui funzionamento è basato proprio sulla
reciproca collaborazione di ogni nodo della rete.
Posso dire che i primi
veri arresti riguardanti hacker nel senso proprio del termine sono avvenuti, nel
nostro paese, nel 1993 e nel 1995. E' infatti del 1993 l'operazione Hacker's
Hunter, durante la quale una quarantina di adolescenti, avvicinatisi da pochi
anni o addirittura da pochi mesi all'hacking, furono fermati per intrusioni in
sistemi informatici; in quello stesso anno l'Italia si dota delle prime leggi
contro le intrusioni informatiche5, ponendo un
"paletto di stop" alle scorribande informatiche di quell'epoca. Il 1995 è invece
l'anno dell'operazione Ice Trap, la prima grande indagine informatica che esce
dai confini nazionali e vede la coordinazione delle Computer Crime Unit europee
e nordamericane. Chi scrive era direttamente implicato nell'operazione, in
seguito a una serie di intrusioni effettuate verso la Gte statunitense, la
quarta compagnia telefonica del paese dopo la già citata At&t, la Sprint e
la Mci Telecommunications.
L'hacking è da me sempre stato visto come una sfida e un giorno di ottobre
del 1995 decisi, insieme a un paio di amici, di denunciare pubblicamente la
mancanza di sicurezza nei più importanti sistemi informatici del paese. Quella
mattina i responsabili di cinquanta aziende trovarono un messaggio, non appena
accesero i terminali: "Questo sistema non è sicuro".
Tre giovani, di circa
vent'anni, erano riusciti a superare le barriere di istituzioni come Bankitalia,
Enea, l'Agenzia spaziale italiana oltre a semplici aziende di trasporti e di
servizi, unendo tutti in un'unica rete senza alcuna differenziazione: il
messaggio arrivò e ritengo che il 1995 sia stato l'anno in cui il nostro paese
ha capito l'esistenza di un nuovo pericolo.
5. Oggi.
Siamo giunti al 2001. Internet non è più una parola
astratta, un termine ristretto a una piccola cerchia elitaria. Ne sento parlare
per strada, sull'autobus, in televisione. Così come si è evoluta la diffusione
della risorsa, il concetto di hacking e di hacker è cresciuto, cambiando in modo
sostanziale. Non c'è più la magia, il concetto di sfida, la lealtà e le regole
tipiche di un'intera epoca. Oggi c'è Linux, il nuovo sistema operativo aperto,
gratuito. I portali regalano connessioni che sino a pochi anni fa costavano
svariate centinaia di mila lire all'anno. Il broadband, le connessioni alla rete
Internet "a banda larga", ovverosia ad altissima velocità, rende le tecnologie
di accesso rete a media e alta velocità quali Adsl, Hdsl e Atm accessibili a
tutti al costo di pochi milioni, contro le centinaia di alcuni anni fa,
cambiando il concetto stesso di comunicazione in tempo reale. Oggigiorno il
termine hacker viene affiancato a reati di qualunque tipo, dall'abuso di carta
di credito alla sostituzione delle home page aziendali arrivando alla creazione
di virus. Non esiste quasi più il concetto di "hacker etico", ovverosia colui
che ama le tecnologie e la sicurezza e ricerca i difetti esistenti sulla Rete
per correggerli e migliorarli.
Per fortuna la realtà dei fatti è invece
completamente differente da quanto si dice o si legge. Se anni fa quando si
scopriva un difetto, un "bug" che permetteva l'accesso a un sistema informatico,
lo si condivideva in pochi, oggi c'è il sito web di Bugtraq6 che informa in
tempo reale dei nuovi difetti scoperti e le aziende leggono i security
advisories e fanno recruiting di personale per le divisioni di sicurezza
informatica. Non credo di pronunciare un'eresia affermando che, oggi, la
sicurezza informatica si basa in pratica sul principio di "testare tutto" e
soprattutto sul contributo degli svariati ricercatori in sicurezza in giro per
il mondo. Sono gli stessi principi adottati dagli ethical hacker narrati in
questa personale riflessione per Telèma e, spesso, sono le stesse persone, gli
stessi hacker, che continuano a fare quello che facevano prima, ma in un'ottica
diversa.
Ho passato la mia adolescenza, dall'età di 13 anni sino ai 22, facendo hacking. Notti intere davanti al terminale alla ricerca della conoscenza tecnica che volevo, impossibilitato dal trovarla altrimenti, in una struttura scolastica non pronta alla rivoluzione digitale. La prima regola è sempre stata quella di non fare danni, ma nonostante ciò gli obiettivi violati appartenevano ai grossi nomi dell'economia mondiale. Finito quel periodo di fuoco ho visto semplicemente una naturale crescita della mia persona e ho deciso di fondare un'azienda di sicurezza informatica. Un team di persone diverso dagli standard tecnici di mercato, dove il concetto di It security viene affrontato con la stessa voglia di ricerca, scoperta, analisi e comprensione, condividendo le informazioni per il benessere di tutto il mondo della ricerca: tutto questo nel 1997, quando in Italia parlare a livello commerciale di sicurezza era una sfida aperta. Come confermatomi dalla cara amica Venix, anche in Grecia in quegli anni affermare la necessità della sicurezza informatica per l'azienda equivaleva a chiedere al cliente di gettare i soldi dalla finestra: questa la percezione del problema che c'era allora.
Oggi la @ Mediaservice.net conta quindici persone, sei delle quali sono
impiegate nella Divisione sicurezza dati (Dsd), il Tiger Team
dell'azienda. I Tiger Team sono elite squads composte da esperti informatici e
di sicurezza, il cui mandato è quello di penetrare nelle vulnerabilità aziendali
del loro Cliente con ogni mezzo necessario. Divenuti una prassi standard negli
ultimissimi anni, hanno iniziato servendo le aziende di Fortune 500, gli
organismi militari statunitensi e le grandi istituzioni finanziarie. Quello che
dai clienti viene maggiormente richiesto è il servizio di Penetration Test
(Security Probe), vale a dire un vero e proprio attacco ai propri sistemi
informatici, effettuato con tecniche di intrusione utilizzate dagli hacker per
raggiungere l'obiettivo. Nulla viene escluso e svariate tipologie di
information gathering vengono utilizzate per ottenere informazioni utili
all'intrusione. Il tragitto per arrivare alle soddisfazioni di oggi è stato
sicuramente lungo, ma il piacere di vedere la propria azienda fare
cultura, oltre che produrre e investire sui più giovani, è davvero notevole.
A volte mi capita di essere chiamato come "docente per un giorno" in varie
università italiane e vedo brillare gli occhi degli studenti quando rapiti mi
ascoltano narrare episodi di altri tempi, quando Internet c'era ma era un lusso
di pochi, si andava alla velocità di 1200 baud7 contro i 56000
di adesso, il Popolo della rete era poco e tutti si conoscevano.
Se gli
occhi degli studenti brillano, gli sguardi dei responsabili informatici e dei
titolari quando consegnamo i nostri security report sono increduli, stupiti, a
volte sconcertati. E' incredibile come, normalmente, il cliente pensi di essere
completamente al sicuro, impenetrabile, e come abbia spesso investito ingenti
somme per l'acquisto di megasistemi informatici e famosissimi firewall, senza
poi curarne l'aggiornamento e la manutenzione. La sicurezza informatica
aziendale, inoltre, è un concetto che dipende tantissimo dal fattore umano: è
l'utente che deve capire l'importanza delle proprie azioni e di come alcune sue
scelte sbagliate possano creare serie falle di sicurezza, esattamente come sulla
rete Internet ogni nodo insicuro apre nuove possibilità di intrusione e di
attacchi.
Penso che la cosiddetta rivoluzione della new economy stia apportando forti
cambiamenti alle nostre abitudini, in positivo e in negativo. Ma è soprattutto
il modo di vivere la vita di ogni giorno che sta cambiando e mille sono le nuove
possibilità che Internet ci offre. Tralasciando le tante false promesse sentite
per anni e le previste crescite esponenziali nella diffusione della Grande Rete
(peraltro rispettate), pensiamo a come oggi sia davvero facile trovare lavoro on
line, approfondire argomenti specifici sui newsgroup e via e-mail o studiare a
distanza: sono cose che solo dieci anni fa erano impensabili, se non altro per
la difficoltà di utilizzo e le basse velocità di trasmissione.
Le mie
preoccupazioni in termini di sicurezza vanno verso questa continua velocità
negli usi e nei costumi della società tecnologica, una folle corsa che spesso
porta a mancanze imperdonabili nella tutela e riservatezza dei dati. Le
tecnologie a larga banda disponibili per aziende nelle quali spesso non esiste
il personale adatto o dove manca il tempo necessario per gestirle, rappresentano
un altro nodo possibile oggetto di attacchi; il trading on line non sempre
avviene in maniera sicura, esistono fornitori di servizi di questo tipo che non
adottano alcun tipo di cifratura dei dati trasmessi e inviati, cosicché gli
stessi viaggiano "in chiaro", non rendendone affatto difficile la lettura in
seguito a un'azione di intercettazione dei dati, definita in linguaggio tecnico
"sniffing".
Due mesi fa un ricercatore statunitense, cinquantenne, e uno studente di poco
più di vent'anni hanno caricato su un camioncino due computer portatili e dotati
di schede Pcmcia wireless hanno iniziato a girare per le strade di Silicon
Valley, California. Il wireless è la tecnologia che ci permetterà di fare a meno
dei cavi di rete per collegarci alla rete Lan dei nostri uffici, ha definito uno
standard internazionale riconosciuto e adottato in tutto il mondo e su tutti i
dispositivi wireless prodotti o in corso di produzione e
commercializzazione.
Questi due ricercatori hanno dimostrato come, per errori
di progettazione dello standard comunicativo wireless, sia possibile ottenere
informazioni e molto spesso accedere alle reti aziendali che utilizzano
all'interno della propria struttura una rete wireless. La dimostrazione, il
"proof of the concept" come viene chiamato in questi casi, delle vulnerabilità
implicite di un protocollo internazionale di trasmissione dati ha scosso a
livelli molto alti gli Stati Uniti e il mondo commerciale, mentre la comunità
security ha potuto constatare la realizzazione di quanto si sospettava da molto
tempo.
Uno shock ben superiore si ebbe quando fu violato per la prima volta
il sistema di cifratura dello standard Gsm (quello che usiamo sui nostri
telefonini), ritenuto dagli utenti comuni non decifrabile e quindi molto più
sicuro del suo predecessore, il sistema Tacs, il quale non criptava in alcun
modo i segnali audio. Nonostante le ben note vulnerabilità del sistema Gsm vedo
nuovi servizi di "autenticazione utente" via Sms o la possibilità di effettuare
disposizioni economiche dal telefonino dell'utente: questo modo di voler fornire
tutto e subito in un mercato in fortissima crescita porta a trascurare o
realizzare con frettolosità l'aspetto della sicurezza e della privacy
dell'utente il quale, ignaro, continua a utilizzare il servizio aumentando a
ogni connessione le possibilità di abuso dei propri dati.
6. Conclusioni.
Grazie al Worm, il virus che non distrugge e si
autoriproduce di Robert Morris il mondo capì quanto Internet fosse insicura e
quanto si dovesse prendere in considerazione l'aspetto della sicurezza
informatica. Grazie alle azioni di Kevin Mitnick il mondo scoprì l'esistenza
dell'Ip spoofing quale tecnica di attacco mai utilizzata prima e ritenuta
inapplicabile dai teorici. Grazie alle guerre tra i Mod e i Lod l'Fbi scoprì
l'esistenza degli hacker e riuscì ad attrezzarsi per combattere il fenomeno -
alquanto trascurato prima di allora - creando le prime Computer crime
squads. Grazie all'autodenuncia del Ccc i cittadini tedeschi capirono quanto
il sistema telematico Btx, di proprietà dello stato, fosse insicuro: il Ccc fece
arrivare i soldi della "truffa tecnologica" a un'assocazione non a scopo di
lucro e il sistema Btx venne chiuso. Grazie al sottoscritto importanti
istituzioni, nel 1995, scoprirono di non essere sicure e l'Italia capì quanto ci
fosse bisogno di sicurezza.
Nel 2000 vi sono stati svariati discorsi tenuti al Senato statunitense da
hacker storici come il già citato Kevin Mitnick, the Mudge del gruppo dei L0pht,
nei quali è stata messa in evidenza la situazione di assoluta gravità che
circonda i sistemi informatici governativi del paese. Anni prima Susan Thunder,
amica di Kevin, dopo aver illustrato a una commissione governativa speciale la
tecnica del "social engineering" telefonico ottenne l'accesso a diversi sistemi
militari statunitensi della Marina e dell'Aviazione in meno di 20 minuti, con
utenti e password comunicati verbalmente dagli stessi militari in servizio, ai
quali aveva raccontato semplicemente di essere la segretaria del generale X e di
avere immediatamente bisogno della password di accesso al sistema.
L'europeo
che è stato eletto nel corso di quest'anno membro del comitato direttivo
dell'Icann (Internet corporation for assigned names and numbers) è Andy
Mueller-Maguhn del Chaos computer club. L'Icann è l'organismo internazionale che
regola e disciplina le modalità di definizione dei nomi a dominio in Internet.
L'Europa, dunque, ha scelto proprio un hacker, un interprete del genuino
significato del termine, per decidere il futuro della nuova Internet.
C'è chi
parla di hacking e chi di security.
Forse tutto dipende solo da come si
osservano le cose... e da quanto si ama il proprio lavoro.
Note
1 Dialup: il termine equivale all'attuale concetto di Pop, Point of presence, ovverosia il numero telefonico dell'Internet access provider attraverso il quale ci colleghiamo a Internet.
2 Kevin David Mitnick viene arrestato il 14 febbraio del 1995 dalle squadre speciali dell'Fbi, grazie al consulente Nsa Mr. Tsutomo Shimomura e il supporto della Sprint corporation. Negli anni di latitanza ha violato i sistemi informatici interni di aziende quali Sun microsystems, Nokia, Motorola, Digital equipment corporation, Fujitsu, Nec, Novell.
3 (Slang hacker) TelCo. Telephone Company. Spesso chiamate "Ma' Bell", le compagnie telefoniche sono le vittime preferite degli hacker e dei phreaker.
4 Bbs, Bulletin board systems. Le Bbs sono dei sistemi amatoriali, gratuiti, mantenuti da privati i quali permettono lo scambio di comunicazioni e file tra i propri iscritti.
5 Articoli 615, 617 e 618 (e relativi commi) del Codice di Procedura Penale.
6 Bugtraq: http://www.securityfocus.com/
7 Baud. Unità di misura della velocità del modem. Ultimamente, date le alte velocità raggiunte, si usa l'abbreviazione K (56K).