Il cyber caos nel quale affondiamo

Cittadino e Stato, guerre online, nazioni e aziende private, intelligence, zero days: al Festival di Pisa se ne è molto parlato, ma niente soluzioni.
Il cyber caos nel quale affondiamo
Cittadino e Stato, guerre online, nazioni e aziende private, intelligence, zero days: al Festival di Pisa se ne è molto parlato, ma niente soluzioni.

La Rete è una trama fitta anche di misteri e di equivoci, di limiti e di risorse illimitate. L’Internet Festival di Pisa ha dedicato una intera giornata alla Cybersecurity sfruttando molto bene la metafora dei “tessuti digitali” – tema di questa edizione – nei quali rimangono impigliati informazioni, indizi, che ci incoraggiano a provare a svelare identità, rapporti di forza, e così muoversi in un territorio abitato da hacker, servizi segreti, trafficanti, venditori e compratori di vulnerabilità, investigatori, criminali, doppiogiochisti, libertari, censori. Un caos nel quale, senza un ordine politico e soprattutto culturale, rischiamo di affondare.

Il filotto di incontri alla Normale Superiore di Pisa, moderata da Fabio Chiusi è stato certamente uno dei nodi centrali del festival, dove ci si è molto interrogati, in generale quest’anno, sulla Rete intesa come comunità che da disorganizzata dovrebbe diventare (forse) organizzata. Ma come? E chi dovrebbe farlo? In nome di cosa? Peccato non sia stato previsto uno streaming per l’intervento di Raoul Chiesa, uno dei più famosi hacker italiani e nel mondo, il primo ad avere introdotto il concetto di hacker etico. Dopo essersi formato negli anni Ottanta, ha deciso di fondare una sua società, la Security Brokers, una “cooperativa di cyber esperti” che fa sul mercato, pubblico e privato, quello che effettivamente serve ma pochi conoscono davvero.

Ed è una fortuna, forse, perché farebbe tremare i polsi: gli esperti di sicurezza di infrastruttura giocano la loro partita in una geopolitica incredibilmente complessa, dove si ha che fare con la cyberwar attualmente in atto (e non certo solo per colpa di Putin e degli americani, che pure c’entrano molto) e le competenze di persone come Chiesa possono mettersi al servizio di stati, organizzazioni sovranazionali, per non spegnere un paese, per non darla vinta ai criminali. Con la sgradevole sensazione, tuttavia, che non sempre sia possibile dividere i buoni dai cattivi.

Raul Chiesa

Raoul Chiesa, torinese classe 1973, è fondatore di Clusit (lo è stato anche Stefano Quintarelli), membro del Comitato Direttivo dell’ISECOM e del Board dell’OWASP Italian Chapter, è stato per tre anni tra i coordinatori del Gruppo di Lavoro «Cyber World» presso il CASD/OSN (Centro Alti Studi per la Difesa / Osservatorio per la Sicurezza Nazionale) e membro dell’Osservatorio Italiano Sicurezza & Privacy (AIP/OPSI). È autore di numerose pubblicazioni e il pubblico ha imparato a conoscerlo anche attraverso varie ospitate in televisione. Il suo concetto di hacking etico purtroppo non è però ancora passato culturalmente in Italia, dove il termine hacker è sempre associato al cybercrime senza distinzioni.

È una rete Internet che ha bisogno di competenze di spionaggio, di metodo d’inchiesta giornalistico, anche di metodo poliziesco, e diritto. Steven Le Combert, l’ex generale Umberto Rapetto, l’avvocato Francesco Paolo Micozzi, hanno parlato di questo, ciascuno con sensibilità molto diverse. Il lato oscuro della Rete, le profilazioni, ma anche il problema delicatissimo dei captatori informatici utilizzati dalle procure, che operano secondo varie interpretazioni delle cassazioni, che si incistano nell’antiterrorismo vanificando gli sforzi del diritto di difendere la privacy e la vita stessa degli indagati.

rancesco Paolo Micozzi, avvocato, si occupa di diritto penale, con particolare predilezione per il diritto dell’informatica, delle nuove tecnologie, privacy e diritto d’autore. Collabora con le cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell’Università di Milano, ed è fellow dell’Hermes Center for Transparency and Digital Human Rights. È membro dei gruppi di lavoro “Surveillance” e “E-justice”, per il CNF, a Bruxelles.

Francesco Paolo Micozzi, avvocato, si occupa di diritto penale, con particolare predilezione per il diritto dell’informatica, delle nuove tecnologie, privacy e diritto d’autore. Collabora con le cattedre di Informatica Giuridica e Informatica Giuridica Avanzata dell’Università di Milano, ed è fellow dell’Hermes Center for Transparency and Digital Human Rights. E’ membro dei gruppi di lavoro “Surveillance” e “E-justice”, per il CNF, a Bruxelles. Nel suo intervento ha raccontato in pochi minuti l’involuzione del processo dopo l’introduzione dei trojan, capaci di inquinare le genuinità delle prove, la loro irripetibilità secondo le norme del dibattimento. Andando avanti così, senza contromisure legislative, il clima dell’anticrimine somiglia a quella stessa sorveglianza globale che il diritto dovrebbe combattere.

Se c’è una vicenda che condensa tutto quanto è quella di FBI vs Apple. La storia è nota: la polizia federale americana fa un errore clamoroso sull’iPhone di un terrorista ucciso dopo la strage di San Bernardino, e non riesce più a sbloccarne la memoria, a caccia di informazioni che potrebbero essere utili; non potendo usare un enforcement di tipo tradizionale, perché il sistema si protegge cancellando tutti i dati, chiede allora a Cupertino di creare una backdoor permanente al software. In pratica, di farsi un firmware da sola e di regalarla all’Fbi. Tim Cook risponde seccamente di no ed esplode il caso. Dopo alcune settimane, l’FBI annuncia di avere trovato un sistema alternativo, uno zero day del sistema, comprato per 1,3 milioni di dollari. A quel punto è la Apple a pretendere di sapere di cosa si tratta, ma l’FBI nicchia, nonostante le pressioni dei media e dei consumatori.

Questa vicenda è la perfetta sintesi di quello che stiamo vivendo: un rapporto malsano fra detentori privati, super capitalizzati, di informazioni sui cittadini, e intelligence affamate di questi stessi dati. Nessuno ci fa una bella figura, la sensazione è che entrambe le parti, nel caso in questione, abbiano cercato di sfruttare l’occasione per inviare un messaggio alla propria comunità: quella dei possessori di smartphone, dicendo che il loro prodotto è il più sicuro, e quello dei cittadini preoccupati dal terrorismo, dicendo loro che se si lasciasse campo libero ai servizi sarebbero tutti più al sicuro.

Da sinistra:

Da sinistra Fabio Chiusi, Luca Tremolada, Carola Frediani, Fabio Massa. Tre giornalisti e un carabiniere del Ris esperto di informatica forense, hanno discusso della vicenda Fbi contro Apple. Tremolada, che per il Sole24Ore ha intervistato il responsabile del bureau americano, tiene a evidenziare il problema della concentrazione di potere e capitali di un’azienda come Apple, ma il parere di tutti, con varie sfumature, è che se la Apple avesse accettato di scrivere un software nativamente bucato sarebbe stato un disastro. Dal punto di vista tecnico, peraltro, sono stati illustrati vari metodi coi quali avrebbe ottenuto lo stesso risultato (ad esempio un mirroring), perciò la domanda è: perché l’FBI ha sborsato tutti quei soldi? E a chi?

Tra sorveglianza, hacking di Stato e cyberwarfare, non siamo messi benissimo. Lo racconta Carola Frediani nei suoi articoli sulla Stampa (senza dubbio i migliori sui media italiani) e in giro per conferenze, con le sue slide che parlano di deep web, di casi come Stuxnet, di rapporti opachi tra agenzie di spionaggio privato e dipartimenti, ministeri, eserciti. Il web è diventato uno sfacciato prezzario di vulnerabilità vendute ai migliori offerenti, non importa precisamente chi siano. Questo è alla base dei limiti di ogni pretesa legislativa e anche politica nei confronti della Rete. La distribuzione geografica dei virus che hanno colpito ambasciate, strutture energetiche, ospedali, telecomunicazioni, istituti di ricerca, è infinito. L’attribuzione degli attacchi, dei furti di dati, sempre più complicata, col rischio di fare il gioco di qualcuno senza volto.

Zerodium

Un esempio di mercato di vulnerabilità: il metodo Zerodium, che dettaglia zero days e relativi prezzi. Come sostiene la Frediani, «a dire che l’iPhone è più sicuro è il mercato»: possono volerci anche più di un milione di dollari per forzarlo. Il metodo di questi mercati è piuttosto semplice: chi scopre una vulnerabilità si sottopone alla società, che la valuta e fa una proposta; a quel punto chi ha scovato lo zero day spedisce tutta la spiegazione tecnica lasciando che sia Zerodium a trovare il migliore offerente; una volta venduta, si riceva il compenso pattuito entro una settimana.

Fabio Chiusi: non vedo soluzioni

Fabio Chiusi ha moderato la giornata pisana sulla cybersecurity, dicendo spesso anche la sua. Particolarmente ferrato sulla sorveglianza globale, ha posizioni piuttosto pessimiste a proposito della capacità attuale di intervenire nelle fortissime storture della Rete. Ha le sue ragioni, che non sono solo tecniche.

Fabio Chiusi.

Fabio Chiusi è giornalista del Gruppo L’Espresso, collabora con Valigia Blu, e ha scritto alcuni saggi sulla Democrazia digitale, il caso Snowden. Ha tradotto per l’Italia l’ultimo libro di Evgeny Morozov, “Contro la silicon valley”.

Cittadino e Stato, Stati contro altri Stati, intelligence contro aziende private, aziende private colpite da stati o da community di cracker, o forse anche da spie al soldo di altre intelligence. Non ci si capisce più niente?

È così, anche il mestiere di giornalista è da questo punto di vista molto difficile. Pensiamo al caso delle mail sottratte a Hillary Clinton: un altro stato, da quanto è presumibile, entra nella campagna elettorale americana, la influenza, ma non è possibile stabilire con certezza se l’abbia fatto e con quali scopi. Ci stiamo abituando velocemente a questo abbassamento della sorveglianza e della partecipazione pubblica allo svolgimento dei processi democratici.

Il contesto è quello della tecnologia: ce n’è tanta, a disposizione di tutti, si evolve a velocità impressionante. Non si potrebbe cominciare con gli standard?

La standardizzazione tecnologica sarebbe utile a responsabilizzare i governi, la politica? Me lo chiedo. Credo sia molto complicato, è la vecchia storia del dual use, tutta Internet in fondo è così: la stessa cosa può essere usata per il bene o per il male. Come un coltello, col quale puoi uccidere una persona o affettarci un pomodoro.

Se però i governi stabilissero che questo coltello deve essere fatto in un certo modo, che non deve uccidere nessuno, e che se fosse costruito senza queste precauzioni ci fossero delle responsabilità…
… avremmo un paese che denuncia l’i-coltello, magari fatto dalla società più capitalizzata al mondo. Auguri. Onestamente io sono molto contento del dibattito qui al festival, si sono ascoltate tesi brillanti, ma non vedo soluzioni.

Dino Amenduni ha detto in un altro evento di questo Festival che a proposito di sicurezza e privacy sette persone su dieci sarebbero pronte persino a indebolire la democrazia, non è più vista come forma indispensabile. Senza un ritorno a ideologie forti, rischiamo di entrare applaudendo in un Panopticon?

È precisamente così e sono d’accordo con Dino. La sicurezza non è che una piccola parte di un inganno più grande, quello della fine delle ideologie. L’ideologia più invasiva che abbiamo vissuto è stata quella che ci ha convinto non ci fossero più e che non ne avevamo bisogno. Più studio e più mi convinco che se si riuscisse a creare una ideologia nuova, progressista, con una visione forte del domani, alla quale naturalmente si contrapporrebbe un’altra visione, metteremmo in soffitta le due ideologie che ci hanno portato allo stato attuale: post-ideologia e neoliberismo.

Dunque anche il cybercaos è frutto di questa fine delle ideologie?

Senza questa neutralità politica, questo impasto bipartisan inetto nei confronti dei nuovi grandi giocatori della scena, non si sarebbe instaurata questa mentalità che ha convinto molte persone che felicità è donare i propri dati per avere dei servizi completamente inutili. Viviamo un’epoca assurda nella quale ci dicono “hei, abbiamo questa bottiglia di acqua minerale col tappo wifi” e tutti pensano che bisogna averla, come si può vivere senza? Ma io vorrei soltanto una bottiglia di acqua minerale, quella che c’è sempre stata, non avevo mai desiderato di averne una diversa. Nessuno l’ha mai desiderato.

Ti consigliamo anche

Link copiato negli appunti