Storie di uomini e macchine
ALESSANDRO CURIONI, FONDATORE E PRESIDENTE DI DI.GI. ACADEMY, AZIENDA LEADER NELLA FORMAZIONE E NELLA CONSULENZA NELL’AMBITO DELLA CYBERSECURITY, FA CHIAREZZA SULLE RAGIONI PER CUI LA FIGURA DELL’HACKER È OGGI ASSOCIATA ESCLUSIVAMENTE AL FURTO DI IDENTITÀ E ALLA VIOLAZIONE DELLA SICUREZZA E DELLA PRIVACY, MENTRE ALCUNI DI LORO SONO STATI ANCHE PROTAGONISTI ASSOLUTI DELLA RIVOLUZIONE DEL WEB. E SULLE CALDAIE SMART DICE CHE…
Potremmo cavarcela dicendo avete voluto la bicicletta? Pedalate… Oppure ricordare che il progresso ha sempre un costo da pagare. Soprattutto quando si parla di tecnologia digitale e informazione. D’altra parte il profumo dei soldi, e la storia ce lo insegna, attira tantissimi esseri umani, tra cui anche i criminali. E siccome il progresso ha fatto sì che a occuparsi del denaro non fossero più le banche ma la “rete”, ecco che …Houston abbiamo un problema… Come dire, libera informazione, libera rete. Un pericolo che tutto sommato si poteva prevedere e quindi, magari, alzando il livello di guardia si sarebbe potuto trovare qualche contromisura in anticipo. Quanto meno per limitare i danni, invece di rincorrere affannosamente, come sta accadendo, una situazione sfuggitaci di mano. Di cosa parliamo? Di una parola che basta pronunciarla per suscitare ansia, in particolare in chi possiede o utilizza un dispositivo tecnologico connesso a internet: hacker. Basta solo un dato per capire quanto sia esteso e complicato il fenomeno: nel giro di cinque anni si è passati da 250 attacchi gravi a 13 mila rilevati. E parliamo solo di casi denunciati.
Ma è giusto legare la figura dell’hacker esclusivamente al furto d’identità e alla violazione della sicurezza e della privacy? Dei tanti che la storia ricorda, non c’è nessuno che abbia apportato un contributo positivo nello sviluppo tecnologico? Un argomento “scottante” e nello stesso tempo affascinante che per affrontarlo, però, necessità di un interlocutore di assoluto spessore che, oltre alle competenze specifiche, sia anche un bravo comunicatore. Qualità che senza dubbio abitano in Alessandro Curioni, docente universitario, giornalista, imprenditore e scrittore di successo.
Prima di conoscerlo più da vicino, però, e poi ascoltarlo, credo sia opportuno riflettere su una cosa: quando si parla di tecnologia, ma non solo, non bisogna mai dimenticare che alla fine ciò che fa la differenza è sempre e solo l’essere umano. Se un robot che opera, un calcolatore oppure una rete informatica presenta un’anomalia, dev’essere l’uomo o la donna ad accorgersene, nessuno potrà mai sostituirli. Di conseguenza dovremmo prima preoccuparci di chi crea e gestisce le macchine, dovremmo scegliere l’etica, la morale, la cultura che alberga nelle persone e non, invece, credere di trovarle nella tecnologia…La fragilità del mondo, e dei suoi abitanti, ha toccato livelli preoccupanti, occorre, dunque, cambiare il modo di rapportarci con entrambi.
Ma torniamo al nostro “ospite”. Docente a contratto del corso Sicurezza dell’informazione presso l’università Cattolica di Milano – Facoltà di Giurisprudenza – Alessandro Curioni è fondatore e presidente di DI.GI. Academy, azienda specializzata nell’ambito della sicurezza delle informazioni. Come docente e consulente ha collaborato con realtà di rilievo nazionale e internazionale. Nel corso della sua carriera ha gestito oltre 200 progetti nel campo dell’information security che hanno coinvolto aziende nazionali e internazionali. Insomma, parliamo di un grande professionista del settore, un eccellente conoscitore di quello che sta succedendo nel mondo della sicurezza. Recentemente ha pubblicato Hacker – Storie di uomini e macchine (Chiarelettere, pp.142, euro 16.00), un libro intrigante che l’autore consiglia ai non addetti ai lavori, a chi si domanda da dove arriva la parola hacker, perché siamo arrivati fino a qui, come sia possibile delinquere online con tanta facilità… Partiamo.
Professor Curioni, dovrebbe offendersi chi si sente dare dell’hacker?
Il mio consiglio è di pronunciare sempre con cautela la parola hacker in presenza di altre persone del settore. Inoltre non definitevi mai hacker, neppure per scherzo….
Perché?
Anche di recente ho assistito a feroci discussioni e violenti litigi causati da usi impropri o presunti tali del termine.
Cosa s’intende con il termine hacker?
“Chi si diverte a esaminare i dettagli dei sistemi di programmazione e a estenderne le possibilità, al contrario della maggior parte degli utenti che preferiscono apprendere lo stretto necessario”. In senso più esteso: “una persona che si diverte ad avere una comprensione intima del funzionamento interno di un sistema, computer e reti di computer in particolare”. Questo è quanto si legge nel Jargon File, dal 1975 il compendio dello slang, della tradizione e della cultura legati al mondo degli hacker. Il tema è l’evoluzione della parola hacker, un tempo quasi mitologica, oggi, invece, il vocabolo, ahinoi, è considerato sinonimo di criminale informatico. La parola hacker ha ben otto significati e può essere riferito anche a qualcuno che non necessariamente ha a che fare con la tecnologia ma che riesce a trovare soluzioni brillanti in qualsiasi campo.
La figura dell’hacker, però, oggi è associata esclusivamente al furto di identità e alla violazione della sicurezza e della privacy…
Dimenticando che alcuni di loro sono stati anche protagonisti assoluti della rivoluzione del web e senza le loro storie il mondo di oggi non sarebbe lo stesso.
Immagino che una materia così “delicata”, da maneggiare con cura, le abbia creato qualche difficoltà nella stesura del libro…
Ho impiegato più tempo a pensare a “come” scriverlo rispetto a quanto ce ne ho messo a metterlo nero su bianco. Alla fine ho risolto con una scelta che definisco “in soggettiva”, è da quarant’anni che m’interesso dell’argomento e la mia storia personale è stata profondamente influenzata dalle cronache di quel mondo.
Come pensa reagirà a questo suo scritto la platea affascinata dal mondo tecnologico che, a differenza del passato, oggi è molto più numerosa?
Per molti non ci sarà nulla di nuovo, per altri ci saranno omissioni, qualcuno farà obiezioni, ma in definitiva ci sono molti modi per raccontare una storia e questo è uno dei tanti.
Il suo racconto inizia con John Draper, un personaggio, dice, di cui “vale la pena parlare, anche perché ci farà scoprire che talvolta basta anche solo un fischietto per cambiarci la vita”…
La storia che porta Draper a diventare il mitico Captain Crunch inizia nel 1969. Fa freddo, in Alaska. E ci si annoia. John ci si trova di stanza: qualche anno prima, nel 1964, seguendo le orme del padre – ingegnere della US Air Force – entra anche lui nell’aeronautica militare. Per ammazzare il tempo inizia a interessarsi di telefoni. In quel periodo viene in contatto con una piccola comunità di phone phreaker. Costoro sono una particolare categoria di hacker morbosamente attratta dalla manipolazione delle linee telefoniche.
Il fischietto cosa c’entra con i telefoni?
Lui scopre che i membri del gruppo sono non vedenti, e inizia a frequentare un tale di nome Danny, proprio in sua compagnia scopre che il fischietto regalato insieme ai cereali Cap’n Crunch è in grado di generare il tono a 2600 Hertz che permette di accedere alla linea di servizio delle compagnie telefoniche. Congedatosi dalla US Air Force, Draper trova lavoro come tecnico per la National Semiconductor, un’azienda americana che si occupa della realizzazione di dispositivi analogici, e nel frattempo studia ingegneria al college. Intanto il suo nome comincia a essere noto nell’underground e – passo dopo passo – i phreaker lo invitano alle loro conferenze telefoniche, che ovviamente sono frutto dell’hackeraggio delle linee. Proprio per partecipare a queste “riunioni” John adotta lo pseudonimo di Captain Crunch.
È stregato da quel mondo…
Ne è letteralmente rapito e, grazie anche alla sua preparazione tecnica, inizia a studiare delle soluzioni più evolute per violare i sistemi telefonici. I risultati del suo lavoro porteranno alla costruzione della famigerata Blue Box, un dispositivo che permette di telefonare gratuitamente.
E qui arrivano i primi guai…
Proprio così. I problemi cominciano nel 1971, quando sul quotidiano californiano San Jose Mercury appare un articolo riguardo a degli strani personaggi che vendono le Blue Box a membri del crimine organizzato. Il successivo arresto di questi soggetti, che sono arrivati a progettare un proprio sistema per violare le reti telefoniche, mette in agitazione il mondo degli “esploratori telefonici” e suscita l’interesse del giornalista Ron Rosenbaum, che alla fine dell’estate del 1971 entra in contatto con i giovani phreaker ciechi amici di Draper.
Con quale epilogo?
Dai loro colloqui emerge il ruolo chiave avuto da John nell’invenzione della Blue Box e inevitabilmente Rosenbaum si mette in testa di intervistarlo. Draper è piuttosto spaventato dalla piega che hanno preso gli eventi e col senno di poi non ha tutti i torti, ma accetta di parlare. Questo ci porta al fatale articolo della rivista Esquire. L’intervista viene pubblicata nel mese di ottobre del 1971 e Captain Crunch diventa una celebrità. Tuttavia, data la situazione, Draper è molto preoccupato e ritiene che il suo arresto da parte dell’FBI sia solo una questione di tempo. In effetti non si sbaglia: nel maggio del 1972 le forze dell’ordine lo prelevano. Cinque mesi dopo, John viene condannato per frode telefonica e spedito nel carcere americano di minima sicurezza di Lompoc, nella contea di Santa Barbara.
Due calendari “archiviati” e torna in libertà…
Sì, dopo due anni e di nuovo libero e mentre lavora come consulente per la Call Computer inizia a interessarsi – appunto – di computer, lasciandosi alle spalle la passione per le linee telefoniche e i loro segreti. Non è il suo primo approccio a questo mondo in rapida espansione. Draper è infatti già un utente di Arpanet, la rete di computer realizzata a partire dal 1969 dalla Darpa, agenzia del dipartimento della Difesa degli Stati Uniti d’America responsabile dello sviluppo di nuove tecnologie in ambito militare, cui però, almeno fino al 1983, hanno accesso anche gli studenti universitari. In quell’anno i militari crearono Milnet (oggi Siprnet), da cui esclusero i civili. Arpanet, abbandonata dai suoi creatori, diventerà quella che oggi conosciamo come internet.
Dopo altre vicissitudini giudiziarie, Captain Crunch entra in contatto con i futuri signori di Apple…
In occasione di incontri e cene organizzati dalla People’s Computer Company, un’associazione senza fini di lucro, Draper incrocia spesso Steve Jobs e Steve Wozniak. Proprio con quest’ultimo instaura un rapporto speciale. Wozniak, infatti, è uno di quelli che sono rimasti affascinati dall’ormai celeberrimo articolo apparso su Esquire e quando ha l’opportunità di discutere di persona con il protagonista non perde l’occasione. A questo periodo risalirebbe lo “storico” tentativo di Wozniak e Draper di telefonare al papa spacciandosi per Henry Kissinger. Lo “scherzo” non riuscì soltanto perché il santo padre stava dormendo…
Grazie a quel rapporto stretto approda nel mondo Apple come consulente programmatore…
E nonostante l’ennesima condanna per aver hackerato le linee telefoniche ottiene alcuni brillanti risultati: scrive il primo word processor per i computer Apple, che viene battezzato EasyWriter. Sarà proprio questo software a fargli fare il primo affare della sua vita. Gli anni ottanta sono segnati dall’avvento del personal computer e Ibm è alla ricerca di una serie di software che permettano agli utenti di sfruttare le potenzialità del nuovo apparecchio. Nel corso delle ricerche di mercato viene preso in considerazione anche EasyWriter, il software scritto da Draper che nel frattempo ha aperto una piccola azienda chiamata Cap’n Software. Senza che le venga rivelato il nome dello sviluppatore, che molto probabilmente non sarebbe stato gradito, la software house riesce a chiudere il contratto. La cifra dell’accordo non viene resa pubblica, ma nell’ambiente si mormora che Captain Crunch abbia intascato la ragguardevole somma di un milione di dollari. La storia di Draper, dunque, è quella di un hacker “stravagant”, che nel 2017 subisce una triste virata verso il basso quando viene accusato di aver molestato alcuni adolescenti tra il 1999 e il 2007.
Parlando di Apple, nel libro dedica un capitolo a l’altro Steve…
Sono abbastanza certo che se fermo cento persone per strada e chiedo a tutte chi ha fondato la Apple, 99 volte la risposta sarà Steve Jobs. La verità non è esattamente questa. Secondo molti Steve Wozniak è l’uomo che ha inventato il personal computer e sarebbe sufficiente questo per inserirlo in un elenco speciale. Se poi si aggiunge il suo particolare approccio agli strumenti informatici, può essere considerato uno dei massimi esponenti nella storia dell’hacking mondiale.
Steve Jobs s’innamorò del primo computer realizzato da Wozniak…
Ne rimase folgorato, non solo per quello che riusciva a fare il computer, ma soprattutto per le prospettive commerciali che avrebbe potuto aprire. In breve, Wozniak, che ha proposto alla HP (multinazionale statunitense dell’informatica, ndr) il suo progetto sentendosi rispondere picche, si lascia convincere dall’amico Jobs e con il ricavato della vendita di un pullmino Volkswagen e di una calcolatrice programmabile HP i due mettono insieme il capitale minimo per costituire, il primo aprile del 1976, la Apple Computer. La prima sede operativa dell’impresa è un garage, entrato oggi nella leggenda.
Che dire, invece, di Kevin Mitnick, un personaggio diventato tanto leggendario quanto controverso all’interno della stessa comunità hacker?
Per anni è stato l’hacker più ricercato d’America, poi è diventato il più celebre e infine è stato investito dell’onere e dell’onore di essere la bandiera della lotta di molti hacker contro un atteggiamento governativo ritenuto persecutorio.
Persecutorio perché?
Kevin David Mitnick, scomparso prematuramente il 16 luglio 2023, è stato “il caso”, l’esemplificazione di una situazione portata alle estreme conseguenze in cui si scontrano la volontà di un sistema giudiziario che intende dare un esempio e una comunità che si sente minacciata da un accanimento ai limiti della ferocia, tale da generare una condanna che, secondo molti, è assolutamente spropositata rispetto al crimine commesso. Mitnick, infatti, è stato dichiarato colpevole per sua stessa ammissione, tuttavia non sono mai esistite prove concrete che abbia danneggiato i sistemi violati o che abbia utilizzato o divulgato le informazioni in suo possesso. Per questa ragione i 46 mesi della condanna definitiva (36 scontati di cui 8 in isolamento) sembrano tanti, sebbene Mitnick sia un recidivo.
Da più parti si dice che la comunità hacker sia in prima fila nella lotta per la tutela della privacy su internet. Ma non è una contraddizione?
Non proprio, perché non è la violazione del sistema informatico a essere esecrabile, bensì è la finalità che può essere malvagia. In tal modo un ventenne che “sfoglia” di nascosto l’hard disk di un ignaro utente è un semplice “esploratore” che soddisfa la propria curiosità, mentre la stessa attività svolta da Microsoft per scoprire se quello stesso utente si è abusivamente installato Windows diventa una violazione della privacy.
Come mai Windows è visto come il fumo negli occhi dalla comunità hacker? Dipende dal fatto che è a pagamento?
No, semmai perché l’azienda non divulga i cosiddetti codici sorgente del suo sistema operativo, impedendo un possibile significativo miglioramento nello sviluppo della tecnologia. D’altra parte, non tutti i software open source sono gratuiti, cosa che ha determinato lo sviluppo di migliaia di aziende in tutto il mondo che producono un giro d’affari misurabile in miliardi di dollari.
A proposito di violazioni, che dire delle truffe via telefono?
I criminali puntano a realizzare quella che si potrebbe definire una “estrazione di informazioni”, cioè contattare diverse persone interne a un’organizzazione e porre delle domande all’apparenza innocue, ma che in realtà hanno come scopo quello di ottenere informazioni utili. Per esempio, un presunto agente commerciale potrebbe telefonare a una compagnia e domandare quale software stanno usando attualmente o quali sistemi informatici possiedono, perché ha bisogno di quelle informazioni per vendergli un particolare tipo di prodotto. Anche in questo caso l’intento della persona all’altro capo del telefono potrebbe essere quello di ottenere informazioni utili per progettare un attacco.
Come difendersi, allora?
Credo fermamente che sia necessaria un’ampia formazione volta a sensibilizzare gli utenti nella gestione e nell’uso dei sistemi informatici, perché potrebbero essere sempre vittime di una manipolazione. Le compagnie possono anche spendere milioni di dollari in tecnologie di sicurezza, ma è uno spreco di soldi se qualcuno può semplicemente chiamare una persona al telefono e convincerla a rivelare informazioni che potrebbero rendere addirittura inutili le difese informatiche. Da quei giorni ancora nulla è cambiato, perché l’unica statistica che sembra essere immutabile nel settore che oggi chiamiamo cybersecurity è quella secondo cui nell’80 per cento degli attacchi che hanno successo il fattore umano è determinante.
Ci racconta un aneddoto sulle rapine informatiche?
Nel 2016 la notizia dell’anno, per chi lavora nel mio settore, è stata la tentata (e parzialmente riuscita) rapina informatica con cui un gruppo di criminali stava per impossessarsi di oltre 800 milioni di dollari, parte dei depositi della Banca Centrale del Bangladesh presso la Federal Reserve di New York. Sarebbe stato il colpo del secolo ed è andato in fumo per un errore di battitura.
Cioè?
Dopo i primi trasferimenti verso una serie di conti in Estremo Oriente intestati a organizzazioni benefiche fittizie, all’ennesimo bonifico da 20 milioni di dollari un solerte impiegato di una delle banche da cui transitavano i soldi notò che il nome del destinatario conteneva un refuso: la parola “foundation” era scritta “fandation”. Quindi chiese spiegazioni alla Banca Centrale del Bangladesh, che immediatamente intervenne per bloccare quella e altre decine di transazioni che stavano per essere effettuate.
Parlando di sicurezza informatica, l’Intelligenza artificiale che ruolo può giocare?
Purtroppo abbiamo più volte avuto la dimostrazione di quanto siano fragili i sistemi. Pensiamo, ad esempio, a quanto successo lo scorso luglio quando un banale aggiornamento, per ironia delle sorte di un sistema di sicurezza, ha spento 8 milioni e mezzo di computer su scala globale determinando una serie di disagi, tra cui il blocco della gran parte degli aeroporti e dei voli. Ecco, allora, che ci dobbiamo confrontare con questa fragilità e l’intelligenza artificiale, a mio avviso una tecnologia molto divisiva, con tutta la sua potenzialità non ci rende meno fragili. Pensate, ad esempio, cosa possa significare compromettere l’integrità delle basi dati su cui viene addestrata…
Nel libro, in riferimento alla celeberrima affermazione del 1977 di Ken Olson, presidente della Dec, uno dei principali produttori di server aziendali, “Non c’è ragione per cui qualcuno dovrebbe volere un computer a casa propria”, lei osserva che in effetti oggi ne vogliamo a decine: la lavatrice, la lavastoviglie, il frigorifero, il forno, ma… soprattutto la caldaia, che è un apparecchio a me molto caro… A cosa si riferisce?
La vera preoccupazione che noi dovremmo porci, al di là dei dati, delle informazioni e delle banche dati, è legata al mondo di tutti quegli oggetti smart che ci circondano e che impattano direttamente sulla nostra vita.
Tipo?
Noi, ad esempio, in casa abbiamo degli elettrodomestici che hanno dentro l’esplosivo… Le cosiddette caldaie smart, pilotate da un app, sono le più vendute in Italia. Io ne acquisto una, la smonto, guardo come è fatto il software e a quel punto mi basterebbe semplicemente riuscire la violare la sicurezza della app, disabilitare la sicurezza della caldaia ed ecco che mi ritrovo una bomba in casa senza accorgermene… Lo scorso 23 marzo, inoltre, centinaia di distributori di tabacco in tutt’Italia sono impazziti perché qualcuno era riuscito a violare il sistema di sicurezza della manutenzione e avevano iniziato a distribuire sigarette a dieci centesimi…