Misha Glenny: Assumiamo gli hacker!

Questo non è molto coerente con lo spirito di TED, ma inizieremo questo pomeriggio con un messaggio di uno sponsor misterioso.

Anonymous: Caro Fox News, purtroppo ha attirato la nostra attenzione il fatto che sia il nome che la natura di Anonymous siano stati infangati. Siamo tutti. Non siamo nessuno. Siamo anonimi. Siamo legione. Non perdoniamo. Non dimentichiamo. Non siamo altro che il caos.

Misha Glenny: Anonymous, signore e signori - un sofisticato gruppo di hacker politicamente motivati emersi nel 2011. E sono abbastanza inquietanti. Non si sa mai quando e chi attaccheranno prossimamente, o quali saranno le conseguenze. Ma, stranamente, hanno un senso dell'umorismo. Sono entrati illecitamente nel Twitter account di Fox News per annunciare l'assassinio del presidente Obama. Ora potete immaginare il panico che avrà generato nella sala stampa di Fox. "Cosa facciamo adesso? Portiamo il lutto al braccio oppure stappiamo lo champagne?" (Risate) E naturalmente, chi poteva sfuggire all'ironia che la vittima di pirateria sia stato, tanto per cambiare, un membro della società di Rupert Murdroch?

(Risate)

(Applausi)

A volte, ascoltando le notizie vi chiedete: "C'è rimasto qualcuno da attaccare?" Sony Playstation Network - fatto, il governo della Turchia - fatto, l'Agenzia britannica per la lotta al grande crimine organizzato - una passeggiata, la CIA - un gioco da ragazzi. Infatti, un mio amico che lavora nel settore della sicurezza mi ha detto l'altro giorno che ci sono due tipi di compagnie al mondo: quelle che sanno di essere state violate dagli hacker e quelle che non lo sanno. Voglio dire, ben tre società che forniscono servizi di sicurezza informatica all'FBI sono state violate. Non c'è più nulla di sacro, per amor del cielo!

Comunque, questo misterioso gruppo Anonymous come direbbero loro stessi - sta fornendo un servizio per dimostrare quanto siano inutili le compagnie a proteggere i nostri dati. Ma c'è anche un aspetto molto serio di Anonymous - sono motivati ideologicamente. Sostengono di combattere contro una vile cospirazione. Dicono che i governi stanno cercando di prendere il potere su Internet e controllarlo, e che loro, Anonymous, sono la voce autentica della resistenza - sia contro le dittature del Medio Oriente, che contro le corporazioni mediatiche globali, gli enti di spionaggio o chiunque sia. E le loro politiche non sono interamente prive di fascino. Ok, sono un po' rudimentali. C'è veramente un'aria di semi-anarchia in loro. Ma una cosa è vera: siamo all'inizio di una potente lotta per il controllo di Internet. Il web collega tutto, e molto presto medierà praticamente su tutta l'attività umana. Perché Internet ha forgiato un ambiente nuovo e complicato per un vecchio dilemma che contrappone le esigenze di sicurezza al desiderio di libertà.

Questa è una lotta molto complicata che purtroppo, i comuni mortali come noi, probabilmente non riusciamo a capire molto bene. Tuttavia, in un attacco inaspettato di arroganza un paio d'anni fa, ho deciso di provare a farlo. E più o meno ho capito. Queste erano le varie cose che stavo guardando mentre cercavo di capirlo. Però, per cercare di spiegare tutta la faccenda, avrei bisogno di altri 18 minuti, quindi in questa occasione dovrete fidarvi di me, e vi assicuro che tutti questi problemi sono coinvolti nella sicurezza informatica e il controllo di Internet in un modo o nell'altro, ma in una configurazione che perfino Stephen Hawking avrebbe probabilmente difficoltà a cercare di capire. Dunque, eccoci qui. Come vedete, al centro, c'è il nostro vecchio amico, l'hacker. L'hacker è assolutamente essenziale per molte delle questioni politiche, sociali ed economiche che interessano la rete. E così ho pensato: "Beh, questi sono i tizi con cui voglio parlare". E indovinate un po'? nessun altro parla mai con gli hacker. Sono completamente anonimi, per così dire.

Così, nonostante il fatto che stiamo cominciando ad investire miliardi, centinaia di miliardi di dollari nella sicurezza informatica - per le soluzioni tecniche più straordinarie - nessuno vuole parlare con queste persone, gli hacker, che stanno facendo tutto. Invece, preferiamo queste soluzioni tecnologiche davvero strabilianti, che costano un sacco di soldi. E quindi niente è investito contro gli hacker. Beh, dico niente, ma in realtà c'è un'unità di ricerca molto molto piccola a Torino, Italia, chiamata "Hackers Profiling Project". Stanno facendo una ricerca fantastica sulle caratteristiche, le competenze e la socializzazione degli hacker. Ma siccome si tratta di un'operazione delle Nazioni Unite, forse è per questo che i governi e le imprese non sono così interessati a loro. Siccome è un'operazione delle Nazioni Unite, ovviamente è a corto di fondi. Ma credo che stiano facendo un lavoro molto importante. Perché dove abbiamo un surplus di tecnologia nel settore della sicurezza informatica, abbiamo una chiara mancanza - chiamatemi antiquato - di intelligenza umana.

Finora ho menzionato gli hacker di Anonymous che sono un gruppo di hacker motivati politicamente. Naturalmente, il sistema di giustizia criminale li tratta come criminali comuni. Ma è interessante notare che Anonymous non usa le informazioni rubate a scopo di lucro. Ma che dire riguardo ai veri criminali informatici? La vera e propria criminalità informatica organizzata risale a circa 10 anni fa, quando un gruppo di hacker ucraini particolarmente dotati sviluppò un sito web che portò all'industrializzazione del crimine informatico. Benvenuti nel regno ormai dimenticato di CarderPlanet. Questo è come si facevano pubblicità da soli dieci anni fa sulla rete. CarderPlanet è stato molto interessante. I criminali informatici andavano lì per comprare e vendere i dati delle carte di credito rubate, per scambiare informazioni sui nuovi malware in circolazione. E ricordate, questo è un momento nel quale per la prima volta vediamo i cosiddetti malware commerciali. Questa è roba preconfezionata, pronta all'uso immediato, della quale potete fare uso anche se non siete hacker particolarmente sofisticati.

E così CarderPlanet divenne una sorta di supermercato per criminali informatici. E i suoi creatori erano incredibilmente intelligenti ed imprenditoriali, perché, in quanto criminali informatici, si trovavano di fronte ad un'enorme sfida. E questa sfida è: Come potete fare affari, come potete fidarvi di qualcuno sul web con il quale volete fare affari, quando sapete che sono dei criminali? (Risate) È ovvio che siano inaffidabili, e che cercheranno sempre di imbrogliarvi. Quindi "la famiglia", come era chiamato il nucleo interno di CarderPlanet, se ne uscì con questa brillante idea chiamata "sistema di deposito fiduciario". Nominarono un responsabile con funzione di intermediario tra il venditore e l'acquirente. Diciamo che il venditore avesse i dati di una carta di credito rubata che l'acquirente volesse ottenere. L'acquirente allora inviava elettronicamente una somma di denaro al responsabile amministrativo, e il venditore cedeva i dati della carta di credito rubata. L'ufficiale quindi verificava se la carta di credito rubata funzionasse. E se funzionava, trasferiva poi i soldi al venditore e i dati della carta di credito rubata all'acquirente. Ed è stato questo a rivoluzionare completamente il crimine informatico sul web. Dopodiché si scatenò un putiferio. È stato un decennio di gran successo per i Carders.

Ho parlato con uno di questi Carders che chiameremo RedBrigade - anche se quello non era nemmeno il suo vero soprannome - ma ho promesso che non avrei rivelato la sua identità. Mi ha spiegato come nel 2003 e nel 2004 andava in giro per New York a divertirsi, prelevando 10.000 dollari da un bancomat, 30.000 da un altro, usando carte di credito clonate. Si faceva una media settimanale di 150.000 dollari - esentasse, naturalmente. Raccontava che ad un certo punto aveva così tanti soldi nascosti nel suo appartamento nell'Upper East Side che non sapeva proprio cosa farsene, ed entrò persino in depressione. Ma questa è un'altra storia che non racconterò adesso. La cosa interessante di RedBrigade è che non era un hacker avanzato. Aveva capito più o meno la tecnologia e si rese conto di quanto fosse importante la sicurezza per un Carder, ma non trascorreva giorno e notte davanti al computer, mangiando pizza, bevendo Coca-Cola e cose del genere. Andava in giro per la città a spassarsela, vivendo nel lusso più sfrenato.

E questo perché gli hacker rappresentano soltanto una parte di un'organizzazione cybercriminale. E spesso sono l'elemento più vulnerabile di tutti. Voglio spiegarvi questo concetto presentandovi sei personaggi che ho incontrato mentre facevo questa ricerca. Dimitry Golubov, alias SCRIPT - nato a Odessa, Ucraina, nel 1982. Sviluppò la sua bussola morale e sociale nel porto del Mar Nero durante gli anni '90. Questo era un ambiente ad alto rischio, del tipo "o la va o la spacca" nel quale partecipare in attività criminali o corrotte era del tutto necessario alla sopravvivenza. In qualità di utente esperto di computer, quello che Dimitry fece fu di trasferire il capitalismo criminale della sua città natale sul web. E fece un ottimo lavoro. È importante sottolineare però che fin dal suo nono compleanno, l'unico ambiente che ha conosciuto era quello della malavita. Non conosceva nessun altro modo di guadagnarsi da vivere e fare soldi.

Poi abbiamo Renukanth Subramaniam, alias JiLsi - fondatore di DarkMarket, nato a Colombo, Sri Lanka. All'età di 8 anni, fuggì con i suoi genitori dalla capitale dello Sri Lanka perché i ribelli cingalesi si aggiravano per la città alla ricerca di gente tamil come Renu da uccidere. All'età di 11 anni fu interrogato dalle forze armate dello Sri Lanka; accusato di essere un terrorista, ed i suoi genitori lo mandarono da solo in Gran Bretagna come rifugiato in cerca di asilo politico. A 13 anni, con una scarsa conoscenza dell'inglese e bullizzato a scuola, si rifugiò nel mondo dei computer dove dimostrò grande abilità tecnica, ma ben presto venne sedotto da persone su Internet. Fu condannato per truffa sui mutui e carte di credito e sarà rilasciato dal carcere londinese di Wormwood Scrubs nel 2012.

Matrix001 era un amministratore di DarkMarket. Nato nella Germania meridionale in una rispettabile famiglia di ceto medio, la sua ossessione per i videogames durante l'adolescenza lo portò nel mondo degli hacker. Presto prese il controllo di enormi server in tutto il mondo dove immagazzinava i suoi giochi che aveva craccato e piratato. Il suo sprofondare nella criminalità è stato graduale. E quando finalmente si rese conto della sua situazione e ne capì le implicazioni, era già nei guai fino al collo.

Max Vision, alias ICEMAN - il cervello del cardersMarket. Nato a Meridian, Idaho. Era uno dei migliori esperti in test di penetrazione che alla fine degli anni '90 lavorava a Santa Clara, California, per aziende private e per l'FBI, volontariamente. Verso la fine degli anni '90, scoprì una vulnerabilità su tutte le reti del governo degli Stati Uniti, che poi corresse - perché includeva impianti di ricerca nucleare - salvando così il governo americano da un enorme imbarazzo riguardo ai suoi sistemi di sicurezza. Però, siccome era un hacker accanito, lasciò un piccolo wormhole (buco nero) digitale attraverso il quale poteva entrare solo lui. Ma questo venne scoperto da un investigatore dall'occhio di falco, e ICEMAN fu condannato. Nel suo carcere di minima sicurezza, fu influenzato da dei truffatori finanziari che lo convinsero a lavorare per loro dopo il suo rilascio. E quest'uomo con un cervello di dimensioni planetarie sta attualmente scontando una condanna di 13 anni in California.

Adewale Taiwo, alias FeddyBB - esperto hacker di conti bancari di Abuja in Nigeria. Fondò il suo newsgroup chiamato prosaicamente bankfrauds@yahoo.co.uk prima di arrivare in Inghilterra nel 2005 per fare un master in ingegneria chimica all'Università di Manchester. Fece una buona impressione nel settore privato, sviluppando applicazioni di prodotti chimici per l'industria petrolifera mentre gestiva al tempo stesso, in tutto il mondo, un'operazione di frodi bancarie e sulle carte di credito del valore di miliardi fino al suo arresto nel 2008.

E poi finalmente, Cagatay Evyapan, alias Cha0 - uno degli hacker più eccezionali in assoluto, di Ankara, Turchia. Unì l'incredibile abilità di un geek (esperto di infomatica) alle sofisticate capacità di ingegneria sociale di un maestro del crimine. Una delle persone più intelligenti che abbia mai conosciuto. Aveva anche la più sicura rete privata virtuale che la polizia avesse mai incontrato fra tutti i criminali informatici del mondo.

Ora la cosa importante riguardo a tutte queste persone è che condividono determinate caratteristiche nonostante il fatto che provengano da ambienti molto diversi. Sono tutte persone che hanno sviluppato le loro abilità di hacker nella loro prima e media adolescenza. Sono tutte persone che dimostrano una capacità avanzata in matematica e nelle scienze. Ricordate che quando hanno sviluppato quelle abilità di hacker, la loro bussola morale non si era ancora sviluppata. E la maggior parte di loro, tranne SCRIPT e Cha0, non ha dimostrato alcuna vera capacità sociale nel mondo esterno - solo sul web.

E l'altra cosa è l'alta incidenza di hacker come questi che hanno caratteristiche assimilabili alla sindrome di Asperger. Ne ho parlato con il Prof. Simon Baron-Cohen, che è professore di psicopatologia dello sviluppo a Cambridge. Egli ha spianato la strada alla ricerca sull'autismo ed ha confermato, anche per le autorità locali, che Gary McKinnon - che è ricercato negli Stati Uniti per pirateria informatica contro il Pentagono - soffre di Asperger e di una condizione secondaria di depressione. E Baron-Cohen ha spiegato che alcune infermità mentali possono manifestarsi nel mondo dell'informatica e della pirateria come straordinarie capacità, e che non dovremmo mandare in galera persone con questo tipo di disabilità e competenze perché si sono persi socialmente o sono stati ingannati.

Ora io penso che qui stiamo perdendo un'opportunità, perché non credo che gente come Max Vision debba stare in prigione. E lasciatemi essere schietto a questo proposito. In Cina, in Russia e in molti altri paesi che stanno sviluppando capacità cyber offensive, questo è esattamente ciò che stanno facendo. Stanno reclutando hacker sia prima che dopo il loro coinvolgimento in attività criminali e di spionaggio industriale - li stanno mobilitando per conto del governo. Dobbiamo impegnarci e trovare il modo di fornire una guida a questi giovani perché sono una razza eccezionale. E se ci affidiamo, come stiamo facendo in questo momento, esclusivamente al sistema di giustizia penale ed alla minaccia di sanzioni punitive, alimenteremo un mostro che non saremo in grado di domare.

Grazie mille per l'attenzione.

(Applausi)

Chris Anderson: Quindi la tua idea degna di essere diffusa è quella di assumere gli hacker. Come superare la paura che gli hacker assunti possano mantenere quel minuscolo buco nero?

MG: Penso che in una certa misura, sia necessario capire che per gli hacker questo è un comportamento assiomatico. Sono implacabili e ossessivi in quello che fanno. Ma tutte le persone con cui ho parlato che hanno trasgredito la legge, tutte hanno detto: "Per favore, dateci la possibilità di lavorare nella legalità. Non abbiamo proprio mai saputo come arrivarci, cosa stessimo facendo. Vogliamo lavorare con voi".

Chris Anderson: Ok, questo ha senso. Grazie mille Misha.

(Applausi)