Intervista a Claudio ‘Nex’ Guarnieri, parte 1

E’ apparsa sul Manifesto di qualche settimana fa un’intervista a Nex, un ricercatore del progetto citizenlab.org. Qui di seguito c’e’ la versione completa della chiaccherata rivista dall’autore dell’articolo (ctrlplus.noblogs.org, twitter.com/ctrlplus_) per cavalette. La pubblichiamo in 2 puntate perche’ e’ piuttosto lunga.

Secondo noi e’ interessante per due motivi:

1) Delinea una visione critica del mondo della sicurezza informatica visto dall’interno.

2) Citizenlab fa un gran lavoro sui malware come strumento di controllo, spesso rivolto nei confronti di attivisti politici.
In Italia si sta tentando di inserirli nella legislazione come “Captatori Informatici” (un termine che rimanda agli “Elaboratori Computazionali” e ai tecnici in camice bianco…), perche’ malware, backdoor, trojan suonavano evidentemente male.

C – Vorrei partire da te. Come sei arrivato a collaborare con Citizen Lab?

N – E’ una storia lunga. Quattro o cinque anni fa non mi interessavo di malware, o meglio, non nei termini in cui me ne interesso oggi. In realta’ sono sempre stato un feticista delle tecnologie offensive ma quando ero piu’ giovane si trattava solo di un gioco intellettuale: piu’ un codice era sofisticato piu’ trovavo avvincente l’idea di smontarlo e capirne il funzionamento.

Nel 2009 ero appena uscito dall’universita’ e a quel punto, come molti di quelli che intraprendono un percorso di studi simile al mio, avevo cominciato a lavorare per alcune societa’ statunitensi nell’ambito della security commerciale.

Anno dopo anno pero’ ho maturato una certa frustrazione. Da una parte ho toccato con mano gli effetti dei nostri fallimenti – parlo della community di sicurezza e dell’industria tecnologica in generale – e della militarizzazione di Internet. Da un’altra mi sono reso conto che in questo tipo di realta’ aziendali non c’e’ ne moralita’ ne etica: in larga parte o si lavora a tecnologie completamente inutili oppure si giocano partite davvero sporche, con poche fortunate eccezioni.

C – In che senso?

N – Non posso entrare troppo nel dettaglio perche’ nel mondo della security corporativa e’ abbastanza normale firmare accordi di confidenzialita’ al momento dell’assunzione e il mio caso non fa eccezione. Diciamo pero’ che parte dell’industria della sicurezza informatica (in particolare quella anti-malware) lucra sull’instabilita’ ed ha quindi indirettamente interesse a mantenere lo status quo. Piu’ sono gli attacchi che si verificano, piu’ sono i servizi che possono essere venduti alla clientela. Quando un’azienda del settore individua una minaccia non ha alcun interesse a bloccarla sul nascere: la lascia crescere fino a quando il suo intervento diventa sufficientemente profittevole. Anzi, piu’ in generale non si tende mai a fermare nulla nel mondo della security, ne’ a livello tecnico, ne’ a livello politico. E il motivo e’ semplice: non c’e’ un incentivo economico. Oltre l’apparenza, chi tesse le fila del mercato ha interesse a far si che lo stato della rete continui a versare in condizioni penose: maggiori sono le vulnerabilita’ in un sistema, maggiori saranno i margini di guadagno.

C – Scusami se insisto ma vorrei qualche esempio.

N – Mettiamola cosi’: a livello astratto puoi riflettere sul fatto che nella security commerciale la stragrande maggioranza delle risorse viene investita in tecnologie perimetrali, di identificazione ed allertamento. Di contro gli investimenti finalizzati allo sradicamento definitivo di problematiche note sono pressoche’ irrisori.

Inoltre per conservare un edge di competizione su una minaccia e’ necessario mantenerne segreta l’esistenza il piu’ possibile, monitorarla e poi produrre della reportistica da cui trarre profitto. Cosi’ operano per esempio molte societa’ che si occupano di fantomatici APT.

Proviamo ora a scendere nel pratico. Ipotizziamo che tu, azienda X, venga a conoscenza di un gruppo di attaccanti che in questo esatto momento sta colpendo le reti di alcune societa’ e istituzioni. Che fai? Rendi pubblica la notizia e permetti alla community di elaborare una qualche forma di contromisura? Oppure la tieni per te, in modo tale che, se a essere colpito è un tuo cliente, tu sei l’unico in grado di tirare fuori dal cilindro una soluzione? In un certo senso stiamo ricalcando i passi dell’industria farmaceutica.

Un altro esempio ancora. Se sei a conoscenza della vulnerabilita’ di un software molto popolare (magari un browser) ti conviene rendere noto il baco? O forse e’ meglio mantenerlo segreto e cercare un acquirente interessato a sfruttarlo e disposto a sganciare tanti bei soldoni?

Questo tipo di mentalita’ sta trasformando il mondo della security in un mercato il cui trend dominante e’ quello della vendita di accessori, non di soluzioni. La finalita’ ultima non e’ mai l’eliminazione di una minaccia, semmai il suo marginale arginamento. L’ho scritto anche in un articolo che mi era stato commissionato per un magazine dell’universita’ di Londra, The Beaver Newspaper, dove mi era stato chiesto di spiegare agli studenti quali pregi comportasse una carriera nell’ambito dell’IT: io ho raccontato loro esattamente il contrario.

Quando mi sono reso conto di queste dinamiche la mia coscienza mi ha imposto di mollare e dedicarmi ad altro. Non credo di essere stato l’unico: prova solo a pensare quanto accaduto l’anno scorso con il Datagate. Le rivelazioni di Snowden sono state una mazzata in faccia anche per tanti addetti ai lavori che non si aspettavano un livello di collusione di simile portata. Moltissimi amici che lavorano per Google o Facebook si sono davvero incazzati e demotivati dopo il giugno 2013. C’e’ chi si e’ lasciato alle spalle un’esperienza lavorativa che durava da anni, chi si e’ rifugiato nel mondo accademico, chi sta provando a cambiare le cose da dentro, chi si e’ messo a fare attivismo digitale. Ma sono sempre troppo pochi.

C – Uno degli elementi qualificanti del lavoro di Citizen Lab e’ sempre stato il suo approccio multidisciplinare. L’inquadramento dei fenomeni che studiate non si esaurisce mai sul piano esclusivamente tecnico ma e’ comprensivo anche della dimensione sociologica, economica e politica che si interseca con quella tecnologica. Al netto di quest’impostazione, quando un target viene colpito mediante del malware a quali effetti va incontro?

N – Per risponderti partirei con un esempio che ritengo paradigmatico. Mamfakinch era un gruppo giornalistico marocchino, diretto da Hisham Almiraat, nato all’alba della Primavera Araba. Mamfakinch, costituito da cittadini spesso critici nei confronti del governo, era stato particolarmente attivo durante le proteste in Marocco del 2011. Quando e’ emerso pubblicamente che il gruppo era stato oggetto di attacchi orchestrati mediante malware da parte delle forze di polizia locali i suoi supporter, i suoi media partner, i suoi simpatizzanti e le sue fonti hanno cominciato a spaventarsi e ne hanno preso le distanze per paura. Questo ha contribuito allo scioglimento del gruppo e alla chiusura del sito.

Un altro caso è quello di Ahmed Mansoor, noto blogger e attivista degli Emirati Arabi. Ahmed era stato arrestato nel 2011 quando, sempre sull’onda della Primavera Araba, insieme ad altri attivisti aveva firmato una petizione in cui veniva richiesta una maggior apertura democratica nella vita politica del paese: per questo era stato accusato di aver insultato la famiglia presidenziale e additato come minaccia alla sicurezza nazionale. Nel 2012 Citizen Lab ha pubblicato un report identificando l’uso del software di Hacking Team contro Ahmed, il quale, in seguito alla compromissione del suo computer, ha subito diverse aggressioni e pestaggi da parte di sconosciuti che si palesavano sempre al momento giusto e nel posto giusto.

C – Quindi il malware svolge anche un effetto che potremmo definire come “dissuasivo”.

N – Si, anche se questo accade soprattutto in contesti sociali critici, dove la gente perde facilmente la vita. Complessivamente pero’ possiamo dire che la sorveglianza mediante malware comporta differenti conseguenze. Primo, essa non mette a rischio solo il singolo target ma tutto il suo network d’appartenenza. Secondo, i casi che abbiamo analizzato durante la primavera araba ci hanno dimostrato chiaramente che gli attacchi condotti non avevano solo l’obbiettivo di estrarre il maggior numero possibile di informazioni dal computer o dal cellulare di un target. Essi puntavano piuttosto alla ricostruzione dei suoi schemi e insiemi relazionali. Terzo, nel momento in cui un singolo diviene consapevole di essere attenzionato, spesso abbandona il suo network per proteggerlo e non farlo cadere nella rete di controllo che l’avversario sta intessendo. In questo senso la sorveglianza svolge un ruolo dissuasivo. Coloro che sanno di esserne oggetto smettono di fare attivita’ politica: non vogliono diventare una minaccia per quanti gli stanno accanto.

C – Qual’e’ lo schema standard attraverso cui un attacco viene pianificato o condotto?

N – Anche in questo caso la risposta varia a seconda del contesto in cui si verifica l’intrusione e degli strumenti con cui questa viene condotta. In quasi tutti i casi che abbiamo analizzato gli attacchi erano intrapresi mediante delle tecniche di ingegneria sociale. In Bahrein il metodo era piu’ o meno sempre lo stesso. C’e’ un primo passaggio in cui l’attaccante prepara una mail contenente un allegato malevolo che invia al target. Il secondo passaggio invece consiste nell’istigare il target a eseguirlo in modo tale che il malware venga installato sul suo computer. Il metodo migliore per conseguire questo scopo e’ rendere il piu’ verosimile possibile la mail, magari stuzzicando la curiosita’ dell’obbiettivo.

In altri casi, anche se di rado, viene fatto uso di tecniche piu’ sofisticate: viene cioe’ creato un documento ad hoc – che puo’ essere un testo, un video o una pagina web – con degli exploit incorporati al suo interno, in grado di sfruttare le vulnerabilita’ presenti in certe applicazioni (come Microsoft Office, Flash Player o Internet Explorer): una volta che queste vengono exploitate lo spyware viene installato e il gioco e’ fatto.

Generalmente a essere nel mirino non e’ mai un singolo individuo quanto piuttosto un intero gruppo politico. Servizi e agenzie di sicurezza non sanno mai precisamente quali applicazioni o quali sistemi operativi si possono aspettare e per questo motivo lanciano esche, sparano nel mucchio, magari inoltrando un virus a un gruppo via Skype. Sembra un metodo dozzinale ma in realta’ funziona abbastanza bene. Lo abbiamo visto di prima mano usato per esempio contro ESAT, una tv satellitare gestita da membri della diaspora Etiope.

C – Ma supponiamo che un utente utilizzi Linux, aggiorni il suo sistema quotidianamente, si doti di full disk encryption, gestisca con attenzione la sicurezza fisica della sua macchina e navighi facendo uso di VPN affidabili e sistemi di anonimato forte. Neanche in quel caso puo’ ritenersi al sicuro?

N – No. Se il tuo avversario e’ motivato e dispone di sufficienti risorse puo’ arrivare a livelli di sofisticazione elevati. Backdoor, exploit e 0day per Linux non mancano: ci sono societa’ che producono esclusivamente quelli. I loro prodotti, venduti regolarmente a governi di tutto il mondo, costano di piu’. Ne consegue quindi che per attaccare target dotati di maggiori competenze tecniche e’ necessario un maggior investimento economico. Maggiori layer di sicurezza frapponi tra te e loro, maggiormente sarai in grado di farli desistere dalle loro intenzioni.

Va considerato pero’ che che sarebbe stupido provare a colpire un utente piu’ tech savvy: e’ molto piu’ probabile e sensato che un attaccante diriga la sua attenzione su persone sprovviste delle competenze necessarie per difendersi e tramite esse provi ad ottenere informazioni relative a tutto il suo network di appartenenza. Anche questa e’ una tattica molto comune che abbiamo visto verificarsi piu’ volte in passato.

C – In diversi vostri report avete ricostruito ogni nodo dell’infrastruttura di comando e controllo di RCS di Hacking Team, anonymizer compresi. La notizia ha provocato un certo lulz, sopratutto se si considera che nei suoi spot l’azienda milanese pretende di commercializzare prodotti che definisce come “invisibili e intracciabili”. A parte questo pero’ mi chiedevo quali sono gli obbiettivi che vi proponete di raggiungere con le vostre release.

N – E’ una domanda difficile: ognuno di noi ha delle motivazioni differenti. Tieni presente pero’ che Citizen Lab che e’ innanzi tutto un’istituzione accademica. L’idea generale che soggiace quindi al processo di scrittura e’ sempre stata quella di creare un sapere di tipo scientifico. Il principio fondamentale che anima l’attivita’ di Citizen Lab e’ quello di mostrare che esistono delle tecniche riproducibili, delle metodologie documentate scientificamente per fare questo genere di ricerca investigativa. Con il nostro lavoro noi abbiamo costruiti dei modelli d’analisi – spesso ignorati nella fase di reporting – necessari per istigare un dibattito legale e politico, e direi che questo era il nostro obbiettivo primario.

Ma dal punto di vista personale ovviamente le motivazioni sono diverse. Quando ho cominciato a lavorare su queste tematiche, la mia spinta e’ derivata principalmente dalla situazione che si stava verificando in Bahrein nel 2011. Infatti uno dei ragazzi con cui lavoro e’ coinvolto in modo attivo nella scena politica locale. Dopo la pubblicazione del primo report pero’ la situazione e’ andata fuori controllo. Ti dico onestamente che non ci aspettavamo di trovare un uso cosi’ diffuso del malware in cosi’ tanti paesi dell’area medio-orientale.

Io ho diverse motivazioni che mi spingono a continuare lungo la strada che ho intrapreso negli ultimi due anni. Come spesso accade, quando si comincia a lavorare su questi temi lo si fa per puro interesse tecnico e io, come ti ho spiegato prima, nel mio percorso di studi ho sviluppato una sorta di feticismo per l’analisi delle tecnologie offensive informatiche. Non ti nascondo quindi che mi solleticasse l’idea di lavorare su un progetto di questo tipo che, di fatto, non ha precedenti.

Quando pero’ sono entrato in contatto diretto con le persone colpite da malware e ho avuto modo di stringere amicizia con molte di loro, sono riuscito davvero a realizzare a quali conseguenze va incontro un individuo che rimane vittima di questi attacchi. E quest’esperienza mi ha cambiato: non so dirti se “scioccato” sia il termine piu’ adatto ma di sicuro ho acquisito una prospettiva diversa dell’importanza del mio lavoro. Non si tratta piu’ solo di creare della documentazione tecnica o di comprendere come funziona un software. C’e’ dell’altro: c’e’ una situazione personale, politica, sociale, economica e legale. Ti ho raccontato di Ahmed che negli Emirati subiva costantemente vessazioni ed aggressioni fisiche… ma in Barhein ad esempio ci sono state persone che sono state prese, buttate in carcere e non si sono piu’ viste. Capisci benissimo che, di fronte a fatti di questo genere, l’aspetto tecnico va in secondo piano e smette di essere la motivazione principale.

C’e’ poi un altra questione che e’ strettamente connessa a quanto ti ho appena detto. A livello globale esistono sempre piu’ gruppi, organizzazioni, movimenti che stanno muovendosi per cambiare dal basso la situazione. Portano avanti attivita’ importanti ma proprio per questo motivo sono costantemente sotto attacco e spesso sono privi di qualsiasi capacita’ tecnica per difendersi. Questa mancanza di risorse crea loro problemi e criticita’ non di poco conto. Ecco perche’, una volta che siamo arrivati a capire meglio la natura del mercato del malware e quello delle societa’ che vi sono implicate, abbiamo cercato di coordinarci con giornalisti, avvocati e politici, ovvero con gente che fosse intenzionata ad agire anche sul piano legislativo, cercando di spingere per introdurre una qualche forma di regolamentazione. O almeno a iniziare un dibattito che fosse in grado di sensibilizzare l’opinione pubblica. Alcuni gruppi di giuristi stanno anche cercando di capire se ci sono gli estremi per intentare azioni legali contro queste aziende e governi. Ad esempio l’Electronic Frontier Foundation ha fatto causa al governo Etiope come risultato di una delle nostre pubblicazioni. Questo e’ stato l’arco di evoluzione delle mie motivazioni: dall’interesse tecnologico fino a quello sociale e politico, passando anche per un sentimento umano di vicinanza e solidarieta’. Ed e’ qualcosa che sta andando avanti anche ora.

One Response to “Intervista a Claudio ‘Nex’ Guarnieri, parte 1”

  1. Informatica e democrazia: nulla di scontato - Franco Vite Says:

    […] oggi, con grande interesse, l’intervista che viene pubblicata sul blog del collettivo Autistici/Inventati a Claudio ‘Nex’ Guarnieri, ricercatore del progetto […]