I suoi libri vengono studiati all’accademia dell’FBI. Ha iniziato con Wargames, è stato arrestato e oggi è un ethical hacker. «Le guerre del futuro le combatteranno i pirati informatici» ed avverte, «i nostri comportamenti digitali ci espongono a rischi». All’indomani dell’attacco hacker filorusso al nostro Paese la nostra intervista a Raoul Chiesa
Una volta guerriglieri e terroristi avevano come obiettivo le infrastrutture strategiche di un Paese: autostrade, ferrovie, aeroporti. In un mondo tecnologicamente avanzato come il nostro le infrastrutture sono quelle telematiche, come conferma l’ultimo, imponente, attacco hacker a diversi siti italiani, istituzionali e non: quello dei Carabinieri, del ministero degli Esteri, della Difesa e di società come la banca Bper e la società utility A2a. L’azione è stata rivendicata da un collettivo di hacker russi, NoName057, e segue di poche ore la visita della presidente del Consiglio, Giorgia Meloni, a Kiev, dove ha ribadito il pieno supporto del nostro Paese all’Ucraina nella sua guerra per respingere l’invasione voluta ormai un anno fa da Vladimir Putin.
La parola hacker ricorre sempre più spesso nelle notizie. Se una volta, nell’immaginario collettivo, la parola richiamava dei nerd chiusi nella propria cameretta con un computer, oggi quando sentiamo parlare di hackers sono coinvolti, Stati, guerre, servizi segreti, destabilizzazione del mondo. Nella storia recente Cambridge analytica ha sconvolto l’opinione pubblica. Il destino di una nazione e del mondo intero, compromesso da profili di social media hackerati per estrarre comportamenti e carpire sensibilità da influenzare in campagna elettorale. Qualche giorno fa un’inchiesta giornalistica ha smascherato l’azienda israeliana che da più di vent’anni, il Team Jorge, è intervenuta per manipolare ben trentatré campagne presidenziali in tutto il mondo influenzando i risultati con successo. In Italia vive uno degli ex hacker (oggi si occupa di cybersecurity) più famosi al mondo, Raoul Chiesa, torinese, classe 1973, ha vissuto trasversalmente tutte le generazioni di hackers. Quando aveva quindici anni, violò una delle aziende più grandi al mondo di telecomunicazioni, l’americana AT&T. Appena maggiorenne violò il sistema missilistico-satellitare del Ministero della Difesa brasiliano. Nel 1995 viola il sistema della Banca d’Italia e, grazie anche all’aiuto dell’FBI, viene arrestato con tredici capi d’accusa. “Voglio precisare – ci ha raccontato in merito – che non rubai alcun dato sensibile alla Banca d’Italia, semplicemente volevo dimostrare come il sistema di sicurezza fosse vulnerabile, un po’ come lasciare l’auto accesa con le chiavi dentro ed andare al bar”. Dopo aver scontato quattro mesi ai domiciliari abbandona il dark web per diventare un “ethical hacker” e ironia della sorte, perfino consulente dell’FBI. Raggiungerlo non è facile, non usa i social media, nessun tipo di messenger, solo sms.
“Ho hackerato la Banca d’Italia solo per dimostrare la loro vulnerabilità”
Raoul Chiesa
Ricorda ancora il suo primo hackeraggio?
Ovviamente. Era Ansaldo, a Genova. Avevano un sistema su rete X.25 (prima di internet, per farla breve) grazie al quale io, a tredici anni, avevo accesso ad una sorta di “Centralino internazionale distribuito” (PBX), un po’ come il concetto del VoIP di oggi. Chiamavo quell’indirizzo “informatico” (NUA: Network User Address), ero fisicamente a Torino, ma potevo chiamare il 113 di Roma, per capirci. Non feci altro, se non ovviamente scorrazzare per tutta la rete interna, e capire cosa facessero lì dentro.
Com’è cambiato il profilo dell’hacker nel corso degli anni?
In realtà è proprio cambiato l’ecosistema hacker, se così possiamo chiamarlo. Vede, quando iniziai io, non esistevano nemmeno le leggi contro l’hacking, non era insomma “reato”. Non c’era nemmeno Google, che detta così, capisco possa essere difficile da immaginare, ma soprattutto la stessa Internet era agli albori.
Uno “screenshot d’epoca” che risale a quando Raoul Chiesa negli anni 90 hackerò At&T
Cioè?
Eravamo una “banda” di pionieri, adolescenti con tantissimo tempo libero e, soprattutto, una valanga di curiosità per tutto quello che erano le telecomunicazioni. Forse qualche lettore richiamerà dalla propria memoria il film Wargames, ecco, quello era lo spirito, e la maggior parte degli hacker europei della mia età, iniziarono a “fare hacking” proprio a causa, o grazie, a quel film
“I soldi hanno trasformato l’hacking in cybercrime, ora è tutto diverso”
E poi cosa è successo?
Poi arrivò il Cybercrime, o meglio, il Crimine Organizzato e si scoprì che “con il cyber” si potevano fare un sacco di soldi. Ecco, questa è la vera differenza tra quei pionieri di allora, mossi dalla sola curiosità, dalla sfida, dal fare “ragazzate” ad oggi criminali e criminalità, mischiati con la cosiddetta “Cyber War”, o “Information Warfare”. Basta osservare cosa sta accadendo in Ucraina, lato cyber o ricordare quando gli USA invasero la Libia. Prima ci furono azioni di hacking militare mirate, all’operatore telefonico LTT, all’Internet Provider nazionale e così via, e poi solo dopo si lanciarono i soldati con i paracaduti ed invasero, effettivamente, la nazione.
“Nel prossimo futuro una piccola forza di hacker sarà più forte delle forze armate di un paese”
Qualche mese fa il Sudafrica ha subito un attacco hacker dalla Russia per aver votato contro di loro alle Nazioni Unite. Le guerre del futuro le combatteranno solo gli hackers?
Già nel lontano 2007 Nikolaj Kuryanovich, portavoce ufficiale della Duma, il Parlamento russo, pronunciò una frase di una certa rilevanza e lungimiranza: “In un futuro molto prossimo i conflitti non avranno luogo sul campo di battaglia aperto, ma piuttosto in spazi su Internet”.
Parecchio tempo fa…
Vede, il Cybercrime, è divenuto il punto di partenza, o di transito, verso altri “ecosistemi” criminosi, geopolitici e militari. Come le dicevo poco fa parlando della prima invasione USA in Libia, sono in realtà decenni che azioni di Cyber War, le cosiddette “Black Ops”, sono eseguite con il supporto pressoché totale di Cyber Mercenaries
“In un futuro molto prossimo i conflitti non avranno luogo sul campo di battaglia aperto, ma piuttosto in spazi su Internet”
Una volta mi disse che con un Pc ed una connessione internet si poteva fare qualsiasi cosa.
Verissimo, “una volta”, oggi non serve nemmeno più una connessione internet perché i prodotti tecnologici che utilizziamo sono fatti male e nascono insicuri.
“Italiani non siete al sicuro. Quanti di voi hanno un antivirus sul cellulare?”
Non vorrei banalizzare però mi viene da dire che oggi l’utente medio è al sicuro. Per i servizi sensibili come quelli bancari, viene usata l’autenticazione a due fattori. Può succedere che venga hackerato un profilo social, pazienza, non sarà la fine del mondo.
Purtroppo, non è così. Ci sono banche in Italia, ormai troppe, che non forniscono più il “token” hardware per il PIN OTP ai propri clienti. Questo avviene perché il token ha un costo, va gestito, finisce la batteria, il cliente lo perde, e quindi da alcuni anni i player bancari hanno preferito obbligare i propri correntisti ad utilizzare le App su mobile. App che, per esperienza, sono quasi sempre scritte male, insicure, hackerabili ma che, soprattutto, sono installate sul dispositivo più intimo ed insicuro che abbiamo addosso, il nostro cellulare.
Uno “screenshot d’epoca” che risale a quando Raoul Chiesa negli anni 90 hackerò il Ministero della difesa Brasiliano
Ma il nostro cellulare è sicuro, si accede con impronta digitale o lettura dell’iride, più sicuro di così.
Ah, sì? In quanti hanno installato un banale Antivirus sul cellulare? In quanti hanno soluzioni di EPP (End-point protection) sui loro dispositivi mobili? Ed infine, quanto è più facile abboccare ad una frode (Phishing, SMShing, ecc) dal cellulare piuttosto che dal PC? In ogni caso l’esempio che ha fatto del furto di credenziali dei social non va sottovalutato. C’è un intero mercato, una vera e propria “economia sommersa”, del valore di miliardi di dollari, che si basa proprio sul Black Market di account compromessi.
“Foza Juve non è una buona password. Potete fare di meglio”
In effetti un recente rapporto ha evidenziato che la password più utilizzata dagli italiani nel 2022 è stata 123456 ed al secondo posto “password”. Cosa ha pensato quando ha letto questa notizia?
Diversamente da quanto magari si possa pensare, non è un fenomeno solo italiano. Bene o male in tutto il mondo, la “classifica” rimane pressoché identica così come le password, eccezion fatta per quelle quella che chiamo “Local Culture”: per esempio, “ForzaJuve” è il classico esempio di una password molto utilizzata, ma ovviamente solo in Italia, o comunque da parte di utenti di lingua italiana. Aggiungo però un’osservazione. Gli utenti italiani, e non solo, utilizzano, tipicamente, una sola password per tutti i servizi on line, qui risiede il “peccato originale”, quell’errore di abitudine, culturale e sociale in primis, grazie al quale il Cybercrime ha così tanto successo nel rubare le credenziali di accesso.
Qual è la situazione a livello di cybersicurezza della nostra pubblica amministrazione?
Alcuni mesi fa lessi le parole del Ministro Colao che affermava che il 95% della PA italiana è “facile preda hacker”, vorrei poi capire cosa c’entrano gli hacker, quando invece qui si parla di cybercriminali. Peccato che io quell’affermazione la ripetevo da quasi venti anni, e nessuno mi ha dato ascolto. I casi nostrani, dalla Regione Lazio alla Regione Sardegna, passando per ospedali, Asl, sono emblematici e noti a tutti.
L’ultima manovra finanziaria però, ha previsto dei fondi per la cybersecurity circa 120 milioni. Come dovrebbero essere concentrate queste risorse?
Da quanto ho potuto vedere leggendo fonti pubbliche, sono già riusciti a sprecarli. Ho visto foto della nuova agenzia nazionale per la Cybersecurity (ACN) con le classiche “poltrone in pelle umana” alla Fantozzi per capirci. Ho letto notizie ufficiali di circa 80 milioni di euro assegnati ad una multinazionale americana di “consulenze”, persino dopo che quella stessa azienda privata era stata violata pesantemente e colpita da attacco ransomware. In ogni caso, 120 milioni è un budget ridicolo non solo per risolvere i problemi di Cybersecurity nazionali, ma anche solo per arginarli.
“Il mio libro Profilo Hacker si trova nell’FBI Library di Quantico, sono soddisfazioni”
All’inizio dell’intervista mi ha detto che era un fan del film Wargames uscito nel 1982. Oggi gli hackers sono protagonisti di molte serie tv, ha visto Mr Robot su Amazon?
Si, non mi è piaciuta.
Allora qual è la sua serie tv legata al mondo hacking che preferisce?
IT Crowd su Netflix, fatta molto bene.
Lo sa che la sua storia potrebbe essere oggetto di una serie tv?
Lei scherza ma ho già scritto una serie tv dal titolo C0D3, sono ventiquattro episodi, un giallo collegato al cyber. Aspetto che qualche piattaforma streaming si faccia avanti, è fenomenale.
I suoi rapporti con l’FBI americana sono migliorati negli anni?
Direi notevolmente. L’edizione inglese del mio libro “Profilo hacker” non solo è presente nell’FBI Library a Quantico, Virginia, ma è oggetto di studio obbligatorio per gli FBI Special Agents che vogliono specializzarsi nel contrasto al Cybercrime.
