IO ERO NOBODY E TUTTE LE NOTTI ME NE VOLAVO IN FRANCIA, VIA QATAR by Raoul Chiesa aka Nobody
http://www.fub.it/telema/TELEMA25/Chiesa25.html
Il più noto hacker italiano racconta la movimentata storia della stregoneria telematica internazionale.
Quando le teste calde della rete cominciarono a lanciare le loro pazze sfide, chi immaginava che potesse maturare anche
la figura del "pirata buono", cioè del ravveduto che mette il suo sapere a disposizione della sicurezza informatica
ed è perfino capace di creare aziende e posti di lavoro?
$ SET HOST /X
_$ Address: 0208057040540
ACP: CALL CONNECTED
Q S D
Software SICOMM France
You Are on QSD (France)
International Chat System
Free Access
For fun and friends!
No pirating nor hacking Please!
1. 1988-1995.
Dal 1988 al 1995 ho digitato questo comando e scritto messaggi, per interminabili ore e lunghe nottate, agli amici su Qsd. "Qsd" è il nome di una messaggeria, un sistema informatico al quale ci si può collegare e dove si possono scambiare messaggi con gli altri utenti collegati in quel momento, o lasciare una comunicazione nella "mailbox", la casella postale che ogni utente ha sul sistema: si trova a Metz, città nel nord della Francia, nel dipartimento di Lille.
Il comando set h/x, sui sistemi Vax/Vms, fa sì che il server remoto esegua una chiamata verso un indirizzo di un altro sistema informatico collegato alla rete X.25: le reti X.25 sono reti di dati a commutazione di pacchetto (Packet switching) e si possono definire le "progenitrici" delle reti pubbliche di comunicazione, le reti "per la massa" quali l'attuale Internet.
[ Top ]
2. Le origini.
Il department of Defense (Dod), ovverosia il dipartimento della Difesa statunitense avviò, nel 1968, il progetto Arpanet, acronimo di Advanced research programs agency network, ossia il progetto di una vera e propria rete di telecomunicazioni dedicata esclusivamente alla trasmissione e ricezione dei dati, quindi senza funzioni di rete telefonica o per comunicazioni vocali. Essendo però lo stesso gruppo Arpa la principale divisione di ricerca militare degli Stati Uniti, la rete Arpanet aveva il solo scopo di permettere i collegamenti tra le basi militari, i laboratori di ricerca e il ristretto gruppo di costruttori, altamente selezionati, nell'interesse della sicurezza nazionale. La volontà del Dod nacque anche in seguito all'invenzione, pochi anni prima, dello standard Ethernet, sviluppato allo Xerox Parc dalla Xerox corporation di Stanford, Connecticut. Lo standard Ethernet infatti permetteva di creare le Lan, acronimo di Local area network (reti locali di dati), le quali avrebbero portato a una crescita esponenziale di risorse isolate e non disponibili all'esterno. La visione dell'Arpa era probabilmente distorta dagli standard militari e dalle conseguenti modalità di pensiero, tant'è che l'evoluzione delle reti Lan e della tecnologia Ethernet è stata sicuramente uno dei sostegni fondamentali per la diffusione delle telecomunicazioni interaziendali e la condivisione delle risorse di connettività. A ogni modo il progetto Arpanet proseguì e verso la fine degli anni '70 si aprì alle università del paese, raggiungendo finalmente l'obiettivo di condividere le risorse e le informazioni.
Il mondo commerciale, però, non era intenzionato a rimanere a guardare, data soprattutto l'esplosione dell'informatica nelle grandi aziende e i primi prodotti "home computer". Ricordiamoci che tra la fine degli anni '70 e gli inizi degli '80 case produttrici come la Spectrum e la Commodore presentarono i primi prodotti home, "per la casa", quali il Sinclair ZX-80 e il Commodore Vic-20. Prima del "Vic", come veniva chiamato il primo vero home computer di casa Commodore, vi fu il Commodore Pet-1, risultato del successo avuto dalla diffusione del linguaggio Basic tra i primi appassionati di programmazione e informatica casalinga.
Laddove la pubblica struttura era carente intervennero le società private le quali, intravedendo enormi prospettive di business e avendo ben presente le necessità del mercato, crearono una serie di reti dati interconnesse tra loro, abbracciando lo standard di telecomunicazioni dati X.25. Il protocollo, definito dall'Itu, l'International telecommunication union - che ha sede in Svizzera e definisce gli standard di comunicazione voce, dati e telex, svolgendo il ruolo di Registration authority per tutti i paesi del mondo, prevedeva l'assegnazione di indirizzi per ogni paese e la possibilità di avere per ciascuno di essi più carrier dati, ovverosia fornitori di servizio.
In quelle economie che ancora avevano una visione "statale" del fattore telecomunicazioni (ricordiamoci sempre che siamo negli anni '80) quali ad esempio la Francia e l'Italia, il servizio veniva garantito dalla compagnia telefonica nazionale mentre nelle economie "libere", che aprirono di fatto la strada all'Internet boom degli anni '90, si vide la nascita di diversi carrier X.25. Questa grande ragnatela di reti, tutte interconnesse tra loro grazie a switch, cioé nodi di transito internazionali, prevedeva l'accesso alla rete tramite dialup(1), utilizzando la normale rete telefonica e un modem. I primi hacker avevano finalmente la strada per raggiungere potenti computer, generalmente di proprietà di multinazionali nel settore industriale, chimico, farmaceutico e petrolifero, o facenti capo a governi, banche e società di telecomunicazioni. In Italia si usava la rete Itapac, in Francia la Transpac e negli Stati Uniti le varie Tymnet, Sprintnet, Infonet e così via. Ritengo che ogni hacker sia stato spinto, almeno inizialmente, dalla curiosità di "put the hands on", vale a dire dalla voglia di toccare con mano e usare dei sistemi informatici e delle reti dati ai quali, altrimenti, non avrebbe mai potuto avere accesso.
Ad aggravare - o a migliorare, a seconda del punto di vista - la situazione arrivò la sopra menzionata apertura di Arpanet alle università, il che permise agli studenti di avere accesso alla progenitrice dell'attuale Internet. Solo una decina di anni dopo i privati avrebbero avuto accesso alla Grande Rete e proprio questo lasso di tempo vide protagonista la prima generazione di hacker: una generazione spontanea, curiosa, intelligente. Il Manifesto degli Hacker, scritto da The Mentor, autodescrive un mondo dove il ragazzo troppo intelligente e chiuso viene isolato, dove i genitori di quel periodo regalavano ai figli un home computer "per farlo stare buono e per essere al passo con i tempi". Nessuno se ne accorse, ma stava nascendo la generazione successiva ai bambini "teledipendenti", quella dei "computer dipendenti". Le sale giochi con i videogames da bar non erano più piene come un tempo, i ragazzini invitavano a casa i compagni di classe per "giocare al computer" e, in ogni parte del mondo, altri ragazzini di quella generazione scoprirono che il computer si poteva programmare. Si poteva creare qualcosa, esattamente come con il Lego o i Playmobil. E c'era di più... Esisteva un aggeggio chiamato modem, il quale permetteva di collegarsi con un altro computer. E con le banche dati. E con le nascenti reti di comunicazione. Alcuni bambini videro la differenza, si chiusero ancora di più nella propria camera e iniziarono l'esplorazione di un mondo completamente nuovo.
Nel 1983 esce il film Wargames e per quei pochi ragazzi colpiti da dubbi sull'utilità delle lunghe ore passate davanti al computer questo significa intravedere finalmente un obiettivo concreto e un nuovo gioco con il quale divertirsi.
[ Top ]
3. Non più soli.
Poco tempo fa una cara amica, che non si autodefinisce hacker ma lo è, a mio parere, assolutamente, nel pensiero, nella profonda intelligenza e nel modo di agire, mi disse una frase molto particolare. "Siamo come i tossicodipendenti, ci riconosciamo a vista". Un pensiero forte nei toni, ma che rende perfettamente l'idea dei forti legami che esistono nella comunità hacker. Con questo concetto ben presente torniamo all'evoluzione dei nostri ragazzini e assistiamo alle prime azioni di Kevin Mitnick, brufoloso e grasso sedicenne della California che iniziò la carriera entrando nel sistema informatico della sua scuola e continuò a fare hacking sino all'età adulta, divenendo un "Wanted by the Fbi" sino al 1995(2), o al Worm di Robert Tappan Morris, figlio di un ricercatore della National security agency (Nsa, la più importante Agenzia governativa americana), studente alquanto timido e riservato il quale, per errore e con puri scopi di ricerca, creò il primo "Virus" dell'era Internet, che bloccò a tempo di record più della metà dei sistemi connessi alla rete.
Arriviamo addirittura alle guerre informatiche tra gang, quando la banda dei Masters of deceptions (Mod) e quella dei Legion of doom (Lod) iniziarono a darsi addosso l'un l'altro, a suon di password rubate e sistemi spenti da remoto, dirottamenti di chiamate telefoniche ed eccessi di qualunque tipo.
In Europa la situazione non è differente e sebbene vi sia stato un gap temporale di tre o quattro anni rispetto agli Stati Uniti, vediamo la nascita di storici gruppi quali il Chaos computer club (Ccc) di Amburgo, il gruppo dei DTE 222 in Italia (il nome riprende il codice Dnic X.25, il prefisso internazionale del nostro paese), i sistemi informatici Altos (Germania), Pegasus (Svizzera) e QSD (Francia). Pochi anni dopo l'Italia avrà ancora il Pier's Group di Milano e lo SferraNetwork di Torino, così come in Canada c'erano Pad e Gandalf e Acid Phreak e Phantom Dialer negli Stati Uniti.
Nomi di gruppi e persone alquanto strani, i nicknames erano l'alias dell'hacker, il proprio "nome di battaglia": il timido Kevin Mitnick si faceva chiamare "Condor", dal film di Robert Redford I tre giorni del condor, con il chiaro scopo di immedesimarsi nella freddezza e nella professionalità del protagonista.
Torniamo al comando iniziale di questa storia e immaginiamo strani personaggi, incluso il sottoscritto, incontrarsi virtualmente e dialogare su Qsd, una tra le prime messaggerie on line che divenne un ritrovo di élite per gli hacker di tutto il mondo. Da Qsd partivano le scorribande verso le reti di svariati paesi, su Qsd si "hangin' up", ovverosia si aspettava che gli amici arrivassero per decidere cosa fare durante la notte. Un'intera generazione ha avuto la possibilità di vivere in un mondo virtuale, inesistente... si creavano amicizie che duravano anni con persone che fisicamente non si sarebbero mai incontrate, si parlava al telefono in due o tre lingue, si aumentava incredibilmente il proprio bagaglio culturale.
Quella che segue è quasi un reperto storico, trattandosi della registrazione di un giorno del 1991 dove, a Qsd, erano collegati svariati amici dell'epoca.
[ Top ]
QSD Main Menu - Please select :
[/q] Exit Chat - [/h] Get Help - [/priv] Send Private Massage
[/a] Change your alias - [/mbx] Mail functions
[/w] Who is online
- Sentinel (Serbia)
- Nobody (Qatar)
- Zibri (USA/SprintNet)
- Gandalf (Taiwan/DCI-TelePac)
- Bayernpower! (Ivory-Coast)
- Janez (USA/TymNet)
- Venix (Greece)
- Asbesto (Italy)
- Moni (USA/InfoNet)
- Raist (Poland)
- Rady (Bulgaria)
- Prk869 (USA/InfoNet)
- Terminator (Brazil)
- Dark Avenger (Russia/ROS)
- Eugene (Hungary)
- Silk (Hong-Kong/DataPac)
- Machine (Kenya)
- Kimble (Germany/Datex-P)
Come si dice nelle foto di classe, "il secondo dall'alto
sono io" :-)
Passavo da un sistema in Qatar e da lì, con il comando Set H/X 0208057040540, chiamavo Qsd. Provenire da un paese che non era il proprio era sinonimo di alte capacità e significava essere entrati nelle reti X.25 di vari paesi; più il paese era lontano, più si era bravi ed élite. Oltre al sottoscritto, però, troviamo Venix, trentaquattrenne greca divenuta una tra le più apprezzate Security Manager del suo paese, o Bayernpower, tedesco della Baviera, arrestato a Monaco per utilizzo abusivo di "calling card", carte di credito telefoniche le quali permettevano di telefonare gratuitatemente in tutto il mondo e in maniera pressoché anonima. L'ultimo utente, Kimble, è oggi uno dei più ricchi milionari della Germania, dopo aver aperto un'azienda di Computer Security ed essere arrivato a fondare una società di investimenti "new economy", mentre Silk era una ragazza di Roma, la prima hacker al femminile del nostro paese: a oggi non so dove sia e di cosa si occupi, ma tanti anni fa conobbe in rete un ragazzo della Sardegna, tal Candido se non ricordo male, e spero che siano ancora insieme. Per ultimo, ma non per i meriti, cito Prk869, uno dei più misteriosi dell' epoca, tanto che penso non sia stato travolto dall' operazione Ice Trap proprio per il suo assoluto mistero che lo ha sempre caratterizzato. Ad oggi neppure di lui so dove sia e di cosa si occupi, e ciò mi dispiace molto.
A proposito di fidanzamenti, per fare capire come ragiona un hacker, la nostra amica Venix un giorno del 1998 decise di vedere chi era collegato su un sistema di messaggeria Internet, Irc (International relay chat) e, dopo essersi segnata l'indirizzo Ip di ogni utente, iniziò sistematicamente a entrare nei personal computer di ognuno di loro. Ogni utente aveva sull'hard disk appunti, racconti, idee, fotografie... Il proprio personal computer, se lo si usa davvero, è spesso lo specchio della nostra persona e contiene informazioni utili per conoscerci e comprenderci: Venix trovò la fotografia di una delle sue vittime, un ragazzo molto carino di nome Costantino. Non sembrava neanche troppo stupido da quello che diceva, e allora perché non... Iniziò a spiare quel ragazzo così carino in fotografia, incontrarlo in messaggeria, conoscerlo ed effettuare verifiche incrociate su quanto lui diceva. Oggi Venix e Costantino sono fidanzati, vivono insieme ad Atene e sul Pc del ragazzo è installato un software di firewall per evitare che intrusi penetrino nel suo computer (ma Venix dice che sa come aggirarlo).
Concludo questa divagazione sui miei vecchi "amici di rete" smentendo uno dei tanti cliché sulla "non bellezza" degli smanettoni informatici: Venix è una bellissima ragazza, assomiglia in maniera incredibile all'attrice Angelina Jolie che nel film Hackers interpreta il ruolo di Trinity ma, a quanto dice lei, "in realtà credo che sia Trinity ad aver cercato di somigliare a me, dato che avevo quello stile ben prima del film..".
[ Top ]
4. Il periodo buio.
Il decennio che va dal 1980 al 1990 ha sicuramente rappresentato l'apoteosi della "pazza corsa" degli hacker di tutto il mondo. Questi anni vedono la nascita delle due riviste di riferimento del settore, "Phrack" e "2600 Magazine", delle vere e proprie roccaforti della "free knowledge", la voglia di libertà e condivisione delle informazioni tipica dell'underground tecnicologico mondiale. Nel lontano 1986 dalle pagine di Phrack si sentiva l'urlo della voglia di condividere con tutti il sapere e la rivista - esclusivamente digitale - è passata incolume attraverso gli anni a denuncie e attacchi da parte delle autorità governative e dei colossi delle telecomunicazioni. Pochi mesi fa l'editore di Phrack è stato chiamato in tribunale per aver pubblicato - dietro autorizzazione e su richiesta dell'autore stesso - il codice sorgente del DeCSS, un software per sistemi Linux in grado di riprodurre i Dvd sul proprio pc e, di conseguenza, in grado di copiare il Dvd stesso in un formato che rende possibile l'invio e la distribuzione del film stesso. Una lotta tra il "diritto di sapere" proprio della comunità scientifica e gli interessi economici della Motion pictures american association (Mpaa), l'associazione americana per la tutela dei diritti cinenatografici.
Bene o male con lo stesso concetto e proprio da Phrack ha origine, agli inizi degli anni '90, il periodo buio dell'hacking, il primo episodio di una lunga serie di eventi, spesso concatenati tra loro, che colpiscono duramente la comunità hacker. Phrack riceve da "Prophet" e pubblica integralmente il manuale del 5ESS, inclusivo delle specifiche per l'E911, leggendo il quale si potevano riprogrammare le centraline telefoniche a lunga distanza della American telecommunications & telegraphs (At&t), la più grande TelCo(3) esistente. L'At&t fa pressioni sull'Fbi e Phrack viene sequestrato. La comunità hacker di tutto il mondo si ribella, gli hacker capiscono che, nonostante la loro forte individualità, è stato loro tolto qualcosa di collettivo, un bene comune a tutti. La situazione divenne alquanto scottante, le guerre tra le bande hacker cessarono e gli obiettivi divennero i sistemi governativi e le stesse compagnie telefoniche. Si arrivò al processo e lì venne dimostrato come il manuale del 5ESS fosse liberamente in vendita presso gli uffici commerciali della At&t e nelle librerie tecniche per 14,99 dollari. La At&t aveva chiesto un risarcimento danni di milioni di dollari...
Poteva non accadere nulla. Tutto si sarebbe potuto concludere con il memoriale/editoriale di Emmanuel Goldstein sulla libertà del sapere. Ma così non fu. E non furono gli hacker i primi ad agire. Dal 7 al 9 marzo del 1990 il Servizio segreto americano coordinò "The Sundevil Operation": avvengono raid dell'Fbi a Cincinnati, Detroit, Miami, Newark, Phoenix e Tucson, Pittsburg, Richmond, Los Angeles, San Francisco, San Jose...è un "massacro". Tutte le Bbs(4) amatoriali vengono chiuse e l'Fbi fornisce la dimostrazione della propria inesistente competenza verso l'informatica, sequestrando monitor e tappetini del mouse quali prove "del reato commesso", invece del solo hard disk o una copia dei file incriminanti.
Il governo statunitense sbaglia quindi il bersaglio, non colpisce hacker ma semplici sistemi amatoriali, con il risultato di dissotterrare quella miccia spenta a mala pena pochi mesi prima durante lo scandalo 5Ess. L'operazione Sundevil viene ribattezzata Hacker's Crackdown, letteralmente "il giro di vite contro gli hacker" e rimarrà il simbolo della repressione del governo americano contro innocenti, la risposta dell'ignoranza e della forza contro adolescenti un po' troppo curiosi e semplici appassionati. La comunità hacker si unisce e l'episodio viene visto un po' come l'equivalente dell'Oloscausto hacker. Ad aggravare il tutto l'arresto da parte dell'Fbi ad Austin, Texas, di Erik Bloodaxe e di The Mentor, i due principali pilastri dell'underground hacking nordamericano.
La miccia innescata impiega poco tempo per completare il suo tragitto e un giorno di luglio, nel 1991, i sistemi telefonici a lunga distanza di New York smettono di funzionare. La centrale telefonica, chiamata in gergo C.O. (Central Office) di Manhattan, fuori servizio, convoglia il traffico su Long Island, ma anch'esso ha dei problemi e lo rigira su Newark, nel New Jersey. Il C.O. di Newark salta e come una grossa onda elettronica, da New York a Los Angeles, gli Stati Uniti d'America si "spengono". Alzando la cornetta di qualunque telefono e componendo il numero dei parenti in California tutto quello che si ottiene è un lungo, triste, "tuuuuuu". Gli aeroporti, le centrali di polizia e gli organi ritenuti "essenziali" sono isolati dal resto del mondo. Il primo segnale era stato dato durante il Martin Luther King's day, il 15 gennaio del 1990, quando per la prima volta i sistemi telefonici dell'At&t saltano: la compagnia imputò il fatto a un problema nel software, escludendo che i loro sistemi informatici potessero essere manomessi dall'esterno: il risultato fu che gli hacker ebbero un anno di tempo per "lavorarci su".
[ Top ]
Nel 1993 viene arrestata, a New York City, la banda dei Masters of Deception, ma il segnale è oramai chiaro. Un anno prima, nel 1992, l'Italia ha la propria SunDevil Operation, ribattezzata Italian Crackdown: anche in questo caso vengono colpite le Bbs amatoriali, in particolare la rete FidoNet e l'Associazione PeaceLink (quest'ultima estremamente attenta ai diritti della persona e della privacy, una delle rare bandiere italiane per la libertà di pensiero e comunicazione), facendo affiorare i primi problemi di addestramento delle Forze dell'Ordine (Guardia di Finanza, Polizia e Carabinieri), commettendo clamorosi errori di distinzione tra software protetto da copyright e software "freeware" o "shareware", ovverosia di libero possesso e per i quali sono autorizzati la copia e la distribuzione. Rivediamo le stesse scene dei raid americani, file e file di monitor e mouse sequestrati, senza alcun senso logistico e operativo. Il blocco delle Bbs impone, di fatto, l'impossibilità di fornire il servizio e di comunicare, creando una rottura nella catena di comunicazione tipica delle Bbs, il cui funzionamento è basato proprio sulla reciproca collaborazione di ogni nodo della rete.
Posso dire che i primi veri arresti riguardanti hacker nel senso proprio del termine sono avvenuti, nel nostro paese, nel 1993 e nel 1995. E' infatti del 1993 l'operazione Hacker's Hunter, durante la quale una quarantina di adolescenti, avvicinatisi da pochi anni o addirittura da pochi mesi all'hacking, furono fermati per intrusioni in sistemi informatici; in quello stesso anno l'Italia si dota delle prime leggi contro le intrusioni informatiche(5), ponendo un "paletto di stop" alle scorribande informatiche di quell'epoca. Il 1995 è invece l'anno dell'operazione Ice Trap, la prima grande indagine informatica che esce dai confini nazionali e vede la coordinazione delle Computer Crime Unit europee e nordamericane. Chi scrive era direttamente implicato nell'operazione, in seguito a una serie di intrusioni effettuate verso la Gte statunitense, la quarta compagnia telefonica del paese dopo la già citata At&t, la Sprint e la Mci Telecommunications.
L'hacking è da me sempre stato visto come una sfida e un giorno di ottobre del 1995 decisi, insieme a un paio di amici, di denunciare pubblicamente la mancanza di sicurezza nei più importanti sistemi informatici del paese. Quella mattina i responsabili di cinquanta aziende trovarono un messaggio, non appena accesero i terminali: "Questo sistema non è sicuro".
Tre giovani, di circa vent'anni, erano riusciti a superare le barriere di istituzioni come Bankitalia, Enea, l'Agenzia spaziale italiana oltre a semplici aziende di trasporti e di servizi, unendo tutti in un'unica rete senza alcuna differenziazione: il messaggio arrivò e ritengo che il 1995 sia stato l'anno in cui il nostro paese ha capito l'esistenza di un nuovo pericolo.
[ Top ]
5. Oggi.
Siamo giunti al 2001. Internet non è più una parola astratta, un termine ristretto a una piccola cerchia elitaria. Ne sento parlare per strada, sull'autobus, in televisione. Così come si è evoluta la diffusione della risorsa, il concetto di hacking e di hacker è cresciuto, cambiando in modo sostanziale. Non c'è più la magia, il concetto di sfida, la lealtà e le regole tipiche di un'intera epoca. Oggi c'è Linux, il nuovo sistema operativo aperto, gratuito. I portali regalano connessioni che sino a pochi anni fa costavano svariate centinaia di mila lire all'anno. Il broadband, le connessioni alla rete Internet "a banda larga", ovverosia ad altissima velocità, rende le tecnologie di accesso rete a media e alta velocità quali Adsl, Hdsl e Atm accessibili a tutti al costo di pochi milioni, contro le centinaia di alcuni anni fa, cambiando il concetto stesso di comunicazione in tempo reale. Oggigiorno il termine hacker viene affiancato a reati di qualunque tipo, dall'abuso di carta di credito alla sostituzione delle home page aziendali arrivando alla creazione di virus. Non esiste quasi più il concetto di "hacker etico", ovverosia colui che ama le tecnologie e la sicurezza e ricerca i difetti esistenti sulla Rete per correggerli e migliorarli.
Per fortuna la realtà dei fatti è invece completamente differente da quanto si dice o si legge. Se anni fa quando si scopriva un difetto, un "bug" che permetteva l'accesso a un sistema informatico, lo si condivideva in pochi, oggi c'è il sito web di Bugtraq(6) che informa in tempo reale dei nuovi difetti scoperti e le aziende leggono i security advisories e fanno recruiting di personale per le divisioni di sicurezza informatica. Non credo di pronunciare un'eresia affermando che, oggi, la sicurezza informatica si basa in pratica sul principio di "testare tutto" e soprattutto sul contributo degli svariati ricercatori in sicurezza in giro per il mondo. Sono gli stessi principi adottati dagli ethical hacker narrati in questa personale riflessione per Telèma e, spesso, sono le stesse persone, gli stessi hacker, che continuano a fare quello che facevano prima, ma in un'ottica diversa.
Ho passato la mia adolescenza, dall'età di 13 anni sino ai 22, facendo hacking. Notti intere davanti al terminale alla ricerca della conoscenza tecnica che volevo, impossibilitato dal trovarla altrimenti, in una struttura scolastica non pronta alla rivoluzione digitale. La prima regola è sempre stata quella di non fare danni, ma nonostante ciò gli obiettivi violati appartenevano ai grossi nomi dell'economia mondiale. Finito quel periodo di fuoco ho visto semplicemente una naturale crescita della mia persona e ho deciso di fondare un'azienda di sicurezza informatica. Un team di persone diverso dagli standard tecnici di mercato, dove il concetto di It security viene affrontato con la stessa voglia di ricerca, scoperta, analisi e comprensione, condividendo le informazioni per il benessere di tutto il mondo della ricerca: tutto questo nel 1997, quando in Italia parlare a livello commerciale di sicurezza era una sfida aperta. Come confermatomi dalla cara amica Venix, anche in Grecia in quegli anni affermare la necessità della sicurezza informatica per l'azienda equivaleva a chiedere al cliente di gettare i soldi dalla finestra: questa la percezione del problema che c'era allora.
Oggi la @ Mediaservice.net conta quindici persone, sei delle quali sono impiegate nella Divisione sicurezza dati (Dsd), il Tiger Team dell'azienda. I Tiger Team sono elite squads composte da esperti informatici e di sicurezza, il cui mandato è quello di penetrare nelle vulnerabilità aziendali del loro Cliente con ogni mezzo necessario. Divenuti una prassi standard negli ultimissimi anni, hanno iniziato servendo le aziende di Fortune 500, gli organismi militari statunitensi e le grandi istituzioni finanziarie. Quello che dai clienti viene maggiormente richiesto è il servizio di Penetration Test (Security Probe), vale a dire un vero e proprio attacco ai propri sistemi informatici, effettuato con tecniche di intrusione utilizzate dagli hacker per raggiungere l'obiettivo. Nulla viene escluso e svariate tipologie di information gathering vengono utilizzate per ottenere informazioni utili all'intrusione. Il tragitto per arrivare alle soddisfazioni di oggi è stato sicuramente lungo, ma il piacere di vedere la propria azienda fare cultura, oltre che produrre e investire sui più giovani, è davvero notevole. A volte mi capita di essere chiamato come "docente per un giorno" in varie università italiane e vedo brillare gli occhi degli studenti quando rapiti mi ascoltano narrare episodi di altri tempi, quando Internet c'era ma era un lusso di pochi, si andava alla velocità di 1200 baud(7) contro i 56000 di adesso, il Popolo della rete era poco e tutti si conoscevano.
Se gli occhi degli studenti brillano, gli sguardi dei responsabili informatici e dei titolari quando consegnamo i nostri security report sono increduli, stupiti, a volte sconcertati. E' incredibile come, normalmente, il cliente pensi di essere completamente al sicuro, impenetrabile, e come abbia spesso investito ingenti somme per l'acquisto di megasistemi informatici e famosissimi firewall, senza poi curarne l'aggiornamento e la manutenzione. La sicurezza informatica aziendale, inoltre, è un concetto che dipende tantissimo dal fattore umano: è l'utente che deve capire l'importanza delle proprie azioni e di come alcune sue scelte sbagliate possano creare serie falle di sicurezza, esattamente come sulla rete Internet ogni nodo insicuro apre nuove possibilità di intrusione e di attacchi.
[ Top ]
Penso che la cosiddetta rivoluzione della new economy stia apportando forti cambiamenti alle nostre abitudini, in positivo e in negativo. Ma è soprattutto il modo di vivere la vita di ogni giorno che sta cambiando e mille sono le nuove possibilità che Internet ci offre. Tralasciando le tante false promesse sentite per anni e le previste crescite esponenziali nella diffusione della Grande Rete (peraltro rispettate), pensiamo a come oggi sia davvero facile trovare lavoro on line, approfondire argomenti specifici sui newsgroup e via e-mail o studiare a distanza: sono cose che solo dieci anni fa erano impensabili, se non altro per la difficoltà di utilizzo e le basse velocità di trasmissione.
Le mie preoccupazioni in termini di sicurezza vanno verso questa continua velocità negli usi e nei costumi della società tecnologica, una folle corsa che spesso porta a mancanze imperdonabili nella tutela e riservatezza dei dati. Le tecnologie a larga banda disponibili per aziende nelle quali spesso non esiste il personale adatto o dove manca il tempo necessario per gestirle, rappresentano un altro nodo possibile oggetto di attacchi; il trading on line non sempre avviene in maniera sicura, esistono fornitori di servizi di questo tipo che non adottano alcun tipo di cifratura dei dati trasmessi e inviati, cosicché gli stessi viaggiano "in chiaro", non rendendone affatto difficile la lettura in seguito a un'azione di intercettazione dei dati, definita in linguaggio tecnico "sniffing".
Due mesi fa un ricercatore statunitense, cinquantenne, e uno studente di poco più di vent'anni hanno caricato su un camioncino due computer portatili e dotati di schede Pcmcia wireless hanno iniziato a girare per le strade di Silicon Valley, California. Il wireless è la tecnologia che ci permetterà di fare a meno dei cavi di rete per collegarci alla rete Lan dei nostri uffici, ha definito uno standard internazionale riconosciuto e adottato in tutto il mondo e su tutti i dispositivi wireless prodotti o in corso di produzione e commercializzazione.
Questi due ricercatori hanno dimostrato come, per errori di progettazione dello standard comunicativo wireless, sia possibile ottenere informazioni e molto spesso accedere alle reti aziendali che utilizzano all'interno della propria struttura una rete wireless. La dimostrazione, il "proof of the concept" come viene chiamato in questi casi, delle vulnerabilità implicite di un protocollo internazionale di trasmissione dati ha scosso a livelli molto alti gli Stati Uniti e il mondo commerciale, mentre la comunità security ha potuto constatare la realizzazione di quanto si sospettava da molto tempo.
Uno shock ben superiore si ebbe quando fu violato per la prima volta il sistema di cifratura dello standard Gsm (quello che usiamo sui nostri telefonini), ritenuto dagli utenti comuni non decifrabile e quindi molto più sicuro del suo predecessore, il sistema Tacs, il quale non criptava in alcun modo i segnali audio. Nonostante le ben note vulnerabilità del sistema Gsm vedo nuovi servizi di "autenticazione utente" via Sms o la possibilità di effettuare disposizioni economiche dal telefonino dell'utente: questo modo di voler fornire tutto e subito in un mercato in fortissima crescita porta a trascurare o realizzare con frettolosità l'aspetto della sicurezza e della privacy dell'utente il quale, ignaro, continua a utilizzare il servizio aumentando a ogni connessione le possibilità di abuso dei propri dati.
[ Top ]
6. Conclusioni.
Grazie al Worm, il virus che non distrugge e si autoriproduce di Robert Morris il mondo capì quanto Internet fosse insicura e quanto si dovesse prendere in considerazione l'aspetto della sicurezza informatica. Grazie alle azioni di Kevin Mitnick il mondo scoprì l'esistenza dell'Ip spoofing quale tecnica di attacco mai utilizzata prima e ritenuta inapplicabile dai teorici. Grazie alle guerre tra i Mod e i Lod l'Fbi scoprì l'esistenza degli hacker e riuscì ad attrezzarsi per combattere il fenomeno - alquanto trascurato prima di allora - creando le prime Computer crime squads. Grazie all'autodenuncia del Ccc i cittadini tedeschi capirono quanto il sistema telematico Btx, di proprietà dello stato, fosse insicuro: il Ccc fece arrivare i soldi della "truffa tecnologica" a un'assocazione non a scopo di lucro e il sistema Btx venne chiuso. Grazie al sottoscritto importanti istituzioni, nel 1995, scoprirono di non essere sicure e l'Italia capì quanto ci fosse bisogno di sicurezza.
Nel 2000 vi sono stati svariati discorsi tenuti al Senato statunitense da hacker storici come il già citato Kevin Mitnick, the Mudge del gruppo dei L0pht, nei quali è stata messa in evidenza la situazione di assoluta gravità che circonda i sistemi informatici governativi del paese. Anni prima Susan Thunder, amica di Kevin, dopo aver illustrato a una commissione governativa speciale la tecnica del "social engineering" telefonico ottenne l'accesso a diversi sistemi militari statunitensi della Marina e dell'Aviazione in meno di 20 minuti, con utenti e password comunicati verbalmente dagli stessi militari in servizio, ai quali aveva raccontato semplicemente di essere la segretaria del generale X e di avere immediatamente bisogno della password di accesso al sistema.
L'europeo che è stato eletto nel corso di quest'anno membro del comitato direttivo dell'Icann (Internet corporation for assigned names and numbers) è Andy Mueller-Maguhn del Chaos computer club. L'Icann è l'organismo internazionale che regola e disciplina le modalità di definizione dei nomi a dominio in Internet. L'Europa, dunque, ha scelto proprio un hacker, un interprete del genuino significato del termine, per decidere il futuro della nuova Internet.
C'è chi parla di hacking e chi di security.
Forse tutto dipende solo da come si osservano le cose... e da quanto si ama il proprio lavoro.
Note
1 Dialup: il termine equivale all'attuale concetto di Pop, Point of presence, ovverosia il numero telefonico dell'Internet access provider attraverso il quale ci colleghiamo a Internet.
2 Kevin David Mitnick viene arrestato il 14 febbraio del 1995 dalle squadre speciali dell'Fbi, grazie al consulente Nsa Mr. Tsutomo Shimomura e il supporto della Sprint corporation. Negli anni di latitanza ha violato i sistemi informatici interni di aziende quali Sun microsystems, Nokia, Motorola, Digital equipment corporation, Fujitsu, Nec, Novell.
3 (Slang hacker) TelCo. Telephone Company. Spesso chiamate "Ma' Bell", le compagnie telefoniche sono le vittime preferite degli hacker e dei phreaker.
4 Bbs, Bulletin board systems. Le Bbs sono dei sistemi amatoriali, gratuiti, mantenuti da privati i quali permettono lo scambio di comunicazioni e file tra i propri iscritti.
5 Articoli 615, 617 e 618 (e relativi commi) del Codice di Procedura Penale.
6 Bugtraq: www.securityfocus.com/bugtraq/
7 Baud. Unità di misura della velocità del modem. Ultimamente, date le alte velocità raggiunte, si usa l'abbreviazione K (56K).
[ Top ]
|