Confessioni di un ex giovane hacker
Si inizia così, dai siti leggeri, e poi si finisce in quelli pesanti. Con i relativi guai. Il vecchio cliché narcotico si può adattare agli smanettoni che a una certa iniziano a provare i brividi dell’hackeraggio, senza capire bene i rischi che corrono. Almeno, così la racconta Michele Vezzoli, consulente per la sicurezza informatica con un passato da pirata online. Bresciano, ora trentenne, iniziò giovanissimo.
«A tredici anni feci i primi attacchi e a quindici rimasi scottato. Non so se hai mai sentito parlare di Scurippio». No, tocca ammetterlo. Controlliamo online: al nickname corrispondono diverse incursioni registrate su Zone-H, un archivio in cui gli hacker pubblicano il loro curriculum. E troviamo pure alcuni articoli di giornale, tipo questo: «Bulli minorenni si sfidavano sul web» (La Repubblica, 22 luglio 2005).
«Facevamo a gara a chi defacciava il maggior numero di siti - racconta Vezzoli/Scurippio -. Si parte attaccando con schemi già fissati, partendo dalle vulnerabilità dei vari siti, che sono pubbliche. Poi si applicano quegli schemi a tutti i siti che hanno le stesse vulnerabilità». Per la cronaca, defacciare sta per defacement, cioè sfregiare un sito sostituendo l’home page con un’immagine. Ciò che faceva, cioè, il venticinquenne di Salò denunciato dopo una serie di attacchi a siti istituzionali, compresa la Nasa. Sono azioni condivise in community che si formano in rete, tra emulazione e competizione.
«Un po' mi ha colpito l'età, venticinque anni. Di solito sono cose che fai da adolescente. Dopo gli attacchi generici passi a quelli mirati, puntando sempre più in alto. Prendi la Nasa: nell'immaginario è moderna, ma di fatto sul web è talmente grande che c'è sempre qualcosa negli applicativi che non viene aggiornato ed è lì che puoi andare a colpire. Non ti rendi conto dei danni che stai creando, cerchi solo visibilità. I miei problemi sono iniziati quando ho hackerato siti come il consolato albanese in Italia o il sito della community di Microsoft». Un conto è attaccare la pagina del panificio all’angolo, un conto è pestare i piedi a realtà più grosse che denunciano e danno il via a indagini. Beccato, redarguito, viene pure mandato a processo, ma il reato si prescrive. «Mi è bastato per capire la lezione, comunque, e adesso ho una società che fa consulenze sulla cybersicurezza». In mezzo, ci sono stati gli studi informatici a Crema: «Durante la prima lezione, il docente mostrò una serie di slide con le cose da non fare. La cosa divertente è che c’era pure il mio caso!».
Certo che messa così, la questione dei pirati informatici un po’ si smonta. Uno (consciamente ignorante) immagina gruppi di anarcoidi idealisti che sfidano il sistema, ma la realtà è più terra a terra.
«Ci sono soggetti che lo fanno per dare sfoggio al proprio ego, oppure il cybercriminale classico che colpisce per chiederti soldi. Poi c’è l’hacker in giacca e cravatta che lavora per i governi e fa lavori di spionaggio o attacchi ad altri stati. Questo è il livello più alto».
Tornando alle vulnerabilità di prima, c’è chi si mette a cercarle in cambio di denaro, per rivendersi le scoperte all’interessato o a società che foraggiano un mercato sottobanco delle falle, da girare poi a chi ha interessi poco limpidi in materia. Anche Vezzoli le ha trovate, ad esempio nel sfotware TeamSpeak, usato dai giocatori di videogiochi per parlare online mentre giocano. «Una vulnerabilità di Google Chrome, ad esempio, può esserti pagata 70 mila euro dalla stessa Google, ma se la vendi a società come Vupen puoi guadagnare anche trecentomila euro. Il problema è che poi non sai come verranno usati quei dati: ad esempio, potrebbero essere utilizzati da governi per colpire dissidenti politici sfruttando quelle falle. Ma ci sono anche comunità che al contrario usano queste informazioni per difendere queste persone targettizzate dai governi».
Ci sono sfumature, insomma, tra il bianco o nero dei buoni e cattivi sul web. Quel che conta, è sapere come muoversi. «Stiamo andando sempre più verso una tecnocrazia dove chi ha le capacità domina». E gli altri stanno a guardare, magari mettendo password come 12345.A. D’accordo, andiamo a cambiarla.
Riproduzione riservata © Giornale di Brescia
Iscriviti al canale WhatsApp del GdB e resta aggiornato