Claudio “vecna” Ago­sti, una gola profonda per Hacking Team

Intervista. Ricco il «bottino», reso pubblico, di un attacco informatico alla Hacking Team, leader mondiale in sorveglianza digitale. Ne emerge un quadro di affari con governi che violano i diritti umani e vendita di software per spiare computer e telefoni di giornalisti e attivisti. Un’intervista con Claudio Ago­sti, fuoriuscito dall’impresa milanese e noto mediattivista a favore della privacy

Fino a pochi giorni fa l’azienda mila­nese Hac­king Team (Ht) era con­si­de­rata uno dei lea­der mon­diali nel mer­cato del mal­ware. I suoi pro­dotti – quei par­ti­co­lari soft­ware usati per met­tere sotto stretta sor­ve­glianza com­pu­ter e smart­phone di atti­vi­sti, mili­tanti poli­tici e gior­na­li­sti – erano richie­stis­simi da poli­zie e ser­vizi segreti di tutto il mondo. Poi, la sera del 5 luglio, un attacco infor­ma­tico deva­stante ha col­pito i suoi sistemi.
400 Gb (giga byte) di dati ven­gono sot­tratti dai ser­ver della società capi­ta­nata da David Vin­cen­zetti e resi dispo­ni­bili in Rete. Tra il mate­riale pub­bli­cato ci sono i gio­ielli della corona, come il codice sor­gente di Rcs – acro­nimo di Remote Con­trol System –, pro­dotto di punta di Ht e frutto di 10 anni di lavoro e inve­sti­menti in ricerca e svi­luppo. Nell’elenco dei leak figu­rano altri file pre­zio­sis­simi, come i cosid­detti 0day: vul­ne­ra­bi­lità pre­senti nel codice di alcuni pro­grammi – in que­sto caso i popo­la­ris­simi Adobe Flash Player e Micro­soft Inter­net Explo­rer – che nelle mani giu­ste diven­tano vet­tori per con­durre attac­chi infor­ma­tici e pren­dere il con­trollo di un computer.

Come la noti­zia si dif­fonde, la Rete va in fer­mento. Il mana­ge­ment dell’azienda afferma di aver perso il con­trollo del pro­prio soft­ware di spio­nag­gio e attra­verso un comu­ni­cato stampa paventa la pos­si­bi­lità che chiun­que possa farvi ricorso. I più grossi net­work glo­bali coprono la sto­ria dedi­can­dole ampio spa­zio e appro­fon­di­menti. E quando il 10 luglio Wiki­leaks rende con­sul­ta­bile attra­verso un motore di ricerca la cor­ri­spon­denza interna dell’azienda – più di un milione di mail – ven­gono alla luce vicende imba­raz­zanti. Come l’esportazione ille­gale dei soft­ware di «sicu­rezza offen­siva» verso il Sudan, Stato col­pito da un embargo sulle armi a causa della siste­ma­tica vio­la­zione dei diritti umani ope­rata dal suo ese­cu­tivo. Oppure i rap­porti com­mer­ciali intrat­te­nuti con società pri­vate, in barba alla policy azien­dale di Ht, secondo cui i pro­dotti della com­pa­gnia sareb­bero a esclu­siva dispo­si­zione di entità sta­tali. Infine, i legami con la Pre­si­denza del Con­si­glio e i ser­vizi segreti, il cui aiuto sarebbe stato fon­da­men­tale per aggi­rare i divieti sulle espor­ta­zioni del Mini­stero dello Svi­luppo Eco­no­mico e per­met­tere all’azienda mene­ghina di con­ti­nuare a fare affari indisturbata.

Sco­per­chiato il vaso di Pan­dora, anche altre sto­rie ven­gono a galla. Come quella di Clau­dio Ago­sti. Per molti è una sor­presa vedere il suo nome in quell’archivio e sco­prire nel suo pas­sato un rap­porto lavo­ra­tivo con Ht. Per­ché «vecna» (que­sto il nic­k­name con cui tutti lo cono­scono in rete) è un atti­vi­sta pro-privacy, notis­simo in Ita­lia e all’estero. Hac­ker dall’altissimo pro­filo tec­nico, esperto in crit­to­gra­fia e vice-presidente di Her­mes (cen­tro studi impe­gnato nello svi­luppo di tec­no­lo­gie volte a tute­lare la pri­vacy e l’anonimato degli utenti in rete), Clau­dio ha deciso di rac­con­tare al «mani­fe­sto» alcuni aspetti della sua vicenda pro­fes­sio­nale in Ht, com­presi i motivi che l’hanno spinto a chiuderla.

Quando hai comin­ciato a lavo­rare per Ht?

Sono entrato in Ht nel 2005 per lavo­rare nella sicu­rezza infor­ma­tica. Facevo pene­tra­tion test. In pra­tica, i clienti ci chie­de­vano di con­durre un attacco con­tro le loro infra­strut­ture, così da indi­vi­duare le vul­ne­ra­bi­lità pre­senti nelle loro reti.

Eri un atti­vi­sta pro-privacy. Non tro­vavi che il pro­filo dell’azienda per cui lavo­ravi fosse in con­tra­sto con la tua etica? Nel 2005 Ht ave­vano comin­ciato da un anno a com­mer­cia­liz­zare tro­jan e spy­ware per la poli­zia postale italiana…

È facile ora vedere la cosa con linea­rità, più dif­fi­cile quando ero den­tro. Io non avevo a che fare con quel pro­getto, non ero a cono­scenza dei clienti cui veniva ven­duto mal­ware e non ho mai lavo­rato nep­pure in seguito in que­sto set­tore. Sapevo che c’era quel pro­to­tipo in ricerca e svi­luppo, ma capire le impli­ca­zioni che avrebbe avuto ad anni di distanza era per me impos­si­bile. Inol­tre, allora ero molto più pre­oc­cu­pato dalla sor­ve­glianza mas­siva che da quella tar­get­tiz­zata, indi­riz­zata su un sin­golo «bersaglio».

Nel 2005 la pos­si­bi­lità di otte­nere degli exploit era net­ta­mente supe­riore rispetto ad oggi: in que­gli anni chiun­que si dedi­casse alla sicu­rezza offen­siva era con­vinto che la vio­la­zione di uno spe­ci­fico tar­get sarebbe stata pos­si­bile con un po’ di lavoro. Il pro­dotto di Ht ha abbas­sato la bar­riera di ingresso degli attac­chi infor­ma­tici. È stata que­sta la sua vera por­tata inno­va­tiva. Si tratta di un tool che ha reso gli attac­chi, prima ese­gui­bili solo da per­sone tec­ni­ca­mente esperte, alla por­tata di agenti che ese­guono sem­plici pro­ce­dure. È un’analisi che oggi, con mag­giore espe­rienza, posso fare, ma che al tempo mi era del tutto impen­sa­bile. Anzi, ero con­vinto che l’efficacia di que­sta tec­no­lo­gia sarebbe comun­que stata sem­pre infe­riore rispetto alla capa­cità di un hac­ker esperto in grado di con­durre un attacco. Mi sba­gliavo. Tec­no­lo­gie simili sono entrate nella pira­mide orga­niz­za­tiva di com­pa­gnie che sono in grado di pagare per otte­nerle. E che danno loro un potere nuovo.

Ma se eri a cono­scenza di que­ste cose per­ché non ne hai par­lato prima pubblicamente?

La rispo­sta è sem­plice: per­ché non avevo niente da dire. Quello che avve­niva in Ht lo sco­privo dai report di Citi­zen Lab (isti­tuto di ricerca cana­dese impe­gnato da anni nel denun­ciare l’industria del mal­ware, n.d.a.) o da voci ripor­tate nell’ambiente della secu­rity informatica.

Quando sei uscito da Ht e perché?

Ci ero entrato spe­rando di fare atti­vità di ricerca e svi­luppo su tema­ti­che di sicu­rezza. Volevo esplo­rare campi che mi inte­res­sa­vano e spe­ravo di poterlo fare con un’azienda che mi pagasse per far quello che altri­menti avrei fatto nel tempo libero. Invece mi sono ritro­vato a svol­gere sem­plici atti­vità ope­ra­tive. L’investimento sul mal­ware stava aumen­tando e non era quello il tipo di ricerca che volevo intra­pren­dere. Nella pri­ma­vera del 2006 ho ini­ziato a cer­care un altro lavoro, fin­ché a giu­gno ho tro­vato un’opportunità interessante.

Chi lavora nel mer­cato degli 0day e della secu­rity quanto è com­pro­messo? Quanto è vicino e dipen­dente dagli ambienti mili­tari, dei ser­vizi e di poli­zia? Quanto mar­gine ha per poter sce­gliere chi avvan­tag­giare con il suo lavoro?

Non lo so. Ho cer­cato di capire quel mer­cato un paio di anni dopo, ma si trat­tava di cir­cuiti in cui potevi entrare solo a due con­di­zioni: o avendo tanti 0day da ven­dere, o avendo tanti soldi per acqui­starne. Io non avevo né gli uni né gli altri…

Defi­ni­sci 0day…

Si tratta di attac­chi che sfrut­tano delle falle nei soft­ware, le quali pos­sono essere facil­mente siste­mate se gli svi­lup­pa­tori ne sono a cono­scenza. Cono­scere que­ste falle, e scri­vere soft­ware che le pos­sano sfrut­tare per avere accesso alle appli­ca­zioni, è un valore: ed è per que­sto motivo che esi­stono gruppi di per­sone che si dedi­cano a cer­carle, tra­sfor­marle in attac­chi sta­bili, repli­ca­bili e ven­derle. C’è chi le chiama «armi digi­tali»: una defi­ni­zione cor­retta, con­si­de­rato il tipo di uti­lizzo che ne viene fatto e il valore che hanno acqui­sito negli ultimi 10 anni.

Uno 0day è il cuore dell’attacco infor­ma­tico, una volta com­piuto il quale si ha accesso alla mac­china com­pro­messa. L’accesso viene sfrut­tato per fina­lità d’intelligence, di spio­nag­gio, d’attacco alle reti interne. Il nome 0day deriva dal fatto che si tratta di attac­chi cono­sciuti da 0 giorni, in grado di sfrut­tare falle di pro­gram­ma­zione non ancora note. Nel caso di HT, gli 0day erano acqui­stati e riven­duti in quanto vet­tori d’infezione: veni­vano cioè inte­grati nel pro­dotto, così che l’agente sul campo potesse farne uso senza disporre della cono­scenza tec­no­lo­gica altri­menti necessaria.

Tor­nando alla tua domanda, credo però che chi lavori in que­sto mer­cato non abbia alcun mar­gine di azione. Certo, a meno che non si tratti di un dop­pio­gio­chi­sta che vende l’asset, pro­mette di man­te­nerlo segreto e poi lo bru­cia ren­den­dolo pub­blico e, quindi, inu­ti­liz­za­bile. Ma è un’evenienza che ten­de­rei a esclu­dere, per­ché, se guar­diamo al pano­rama delle aziende che ope­rano in que­sto set­tore, ci ren­diamo subito conto che si tratta di attori legati a dop­pio filo a orga­niz­za­zioni mili­tari e d’intelligence.

I 400 Gb di dati sot­tratti dai ser­ver di HT ne hanno com­ple­ta­mente messo a nudo l’attività e la strut­tura azien­dale. In un post su Medium hai soste­nuto che que­sta forma di «tra­spa­renza radi­cale è essen­ziale in que­sta fase di cre­scita espo­nen­ziale del potere digi­tale. Fino a quando non miglio­re­remo le nostre leggi». Mi pare che que­sta tua affer­ma­zione pre­senti al tempo stesso un rischio e una con­trad­di­zione. Da una parte la tra­spa­renza radi­cale è il fon­da­mento filo­so­fico su cui si fonda anche il regime di accu­mu­la­zione delle grandi Inter­net Com­pa­nies. Da un’altra essa si basa pre­ci­sa­mente sull’assenza – o il pro­gres­sivo sman­tel­la­mento – di un qua­dro giu­ri­dico volto a tute­lare la pri­vacy indi­vi­duale e col­let­tiva. Non credi che ricor­rere a tali stra­te­gie possa aprire la strada a sce­nari poten­zial­mente più peri­co­losi rispetto a quelli paven­tati dalla vicenda di Ht?

Con «tra­spa­renza radi­cale» non intendo lo stesso con­cetto pro­fes­sato dalle com­pa­gnie che gua­da­gnano dall’analisi del com­por­ta­mento degli utenti. Con que­sta espres­sione fac­cio invece rife­ri­mento ad una pub­bli­ca­zione mas­sic­cia, non revi­sio­nata e acri­tica dei dati. Un «leak mas­sivo», come è stato il cable­gate di Wiki­Leaks. E come ho spe­ci­fi­cato nel post che hai citato non la ritengo di per sé un’idea sacra e nep­pure giusta.

Credo però che ci tro­viamo in una situa­zione in cui le leggi e la con­sa­pe­vo­lezza degli utenti, delle aziende e dei cit­ta­dini si tro­vano ad uno sta­dio estre­ma­mente arre­trato. Ed è per que­sto motivo che un leak come quello che ha col­pito Ht – un vero e pro­prio trauma se con­si­de­riamo le con­se­guenze che ha avuto – sia, a conti fatti, un bene per tutti.

Da 5 anni sono attivo nello svi­luppo di Glo­ba­Leaks, una piat­ta­forma che serve per favo­rire la comu­ni­ca­zione riser­vata tra fonti – altresì detti whi­stle­blo­wers – e gior­na­li­sti che pos­sano mediare la dif­fu­sione dell’informazione. Quello che pro­muo­viamo è un mec­ca­ni­smo migliore della tra­spa­renza radi­cale. Ed è per que­sto motivo che il mio post su Medium ter­mina con que­sta frase: «se fai parte di un busi­ness ambi­guo e non rego­lato diventa un whi­stle­blo­wer, prima che qual­cuno ti esponga integralmente».

È un invito a rive­lare quel che suc­cede in ambienti simili, nei quali cer­ta­mente molti hanno dei dubbi che ven­gono però spesso ane­ste­tiz­zati dalla ideo­lo­gia e dai soldi. Senza per­sone dispo­ste a pren­dersi que­sta respon­sa­bi­lità la società non ha cono­scenze né sti­moli ad aggior­narsi e miglio­rarsi. E in casi di que­sto genere, se non sarai tu, per­sona a cono­scenza di que­ste vicende, ad essere un whi­stle­blo­wer corri il rischio che qualcun’altro lo sia al posto tuo, magari ricor­rendo, appunto, alla tra­spa­renza radi­cale. E quando que­sto acca­drà, non ci sarà revi­sione, non ci sarà una visione d’insieme, ma solo un grande danno a coloro che sono stati espo­sti al pub­blico ludibrio.

In con­clu­sione, la tra­spa­renza radi­cale per me rimane l’ultima spiag­gia, ma quando un mer­cato come quello di Ht viene espo­sto al pub­blico, allora sei legit­ti­mato a pen­sare che tutto som­mato sia meglio così. Il fatto che quella tec­no­lo­gia venisse usata per limi­tare dei diritti fon­da­men­tali non è mai stato un pro­blema per i ver­tici dell’azienda. L’unica cosa che potrebbe dele­git­ti­mare la tra­spa­renza radi­cale è un avan­za­mento nella cul­tura del whi­stle­blo­wing, una capa­cità gior­na­li­stica di rive­dere mate­riale com­plesso (anche se non facil­mente noti­zia­bile) e una mag­gior tutela legale per chi si espone, dif­fonde infor­ma­zioni segrete e prende la parola nel pub­blico interesse.

Chi dovrebbe dun­que garan­tire que­sta tutela legale? Quello stesso Stato che, come emerge dai leaks, aiu­tava Ht ad aggi­rare i divieti di espor­ta­zione ema­nati dal mini­stero dello Svi­luppo economico?

Non ho una rispo­sta. Stru­menti simili saranno sem­pre uti­liz­zati da mili­tari ed intel­li­gence, anche qua­lora ne venisse for­te­mente limi­tato l’utilizzo nelle inda­gini tra­di­zio­nali. Dai leaks però emerge la stre­nua difesa da parte di Ht della pro­pria ita­lia­nità: una carat­te­ri­stica che viene più volte pre­sen­tata alle isti­tu­zioni ita­liane come forma di garanzia.

Garan­zia su cosa?

Garan­zia per lo Stato ad eser­ci­tare un mag­gior con­trollo sulla gestione delle loro tec­no­lo­gie e degli usi che potreb­bero esserne fatti. Que­sto mi sem­bra un ele­mento impor­tante su cui ragio­nare. Fino a che punto un’agenzia di spio­nag­gio o con­tro­spio­nag­gio può con­durre i suoi com­piti affi­dan­dosi ad una risorsa estera su cui non eser­cita il pieno con­trollo? Credo che ogni Stato si ponga il pro­blema e che tale dina­mica potrebbe por­tare a una nazio­na­liz­za­zione di que­ste tec­no­lo­gie. Que­sto ci fa capire due cose. Primo, che i con­flitti digi­tali sono solo all’inizio. Secondo, che uno Stato che voglia pro­teg­gere i pro­pri cit­ta­dini non dovrebbe mai sfrut­tare tec­no­lo­gie che lascino la popo­la­zione vul­ne­ra­bile ad attac­chi 0day. La dichia­ra­zione di Came­ron di qual­che mese fa, quella secondo cui era inam­mis­si­bile che le comu­ni­ca­zioni su Wha­tsapp risul­tas­sero illeg­gi­bili ai ser­vizi bri­tan­nici, andava in que­sta direzione.