În 1995, când a fost arestat pentru atacul asupra serverelor Banca d’Italia, Raoul “Nobody” Chiesa făcea parte din elita hackerilor lumii. Ca și Julian Assange sau Kevin Mitnick, era un puști curios, care învăța cucerind. Polițiștii, judecătorii și tribunalele l-au speriat rău și s-a transformat curând într-un așa-numit “hacker etic”, specializat în securitatea informației.
Îi întâlnește pe hackerii de azi la tot felul de evenimente și vede cât de mult s-a schimbat lumea asta. S-au dus vremurile romantice. Furia și banii sunt, în ziua de azi, principalele motoare ale hacking-ului, explică Chiesa.
Împreună cu alți doi autori, a scris o carte în care descrie nouă profiluri de hackeri ai zilelor noastre (“Profiling Hackers. The Science of Criminal Profiling as Applied to the World of Hacking”, 2009. Am discutat cu el despre aceste evoluții, despre guvernele-hackeri și despre cum te poți proteja într-o asemenea lume.
Pe 29 noiembrie, Chiesa va fi la București pentru DefCamp 2013, cea mai mare conferință de hacking și securitate IT de la noi.
Raoul “Nobody” Chiesa
- Am văzut primul computer când eram puști și am devenit foarte curios. Câțiva ani mai târziu, când au apărut pe piață computerele personale, mi-am cumpărat un Commodore 64, apoi un Commodore Amiga și, cel mai important, primul modem, cu care apelam numere de telefon și descopeream rețelele care precedau internetul, precum X.25. O nouă lume se deschidea sub degetele mele. Puteam discuta cu hackeri din alte colțuri ale lumii. Era incredibil pentru mine, ca puști, apoi ca adolescent. Așa a început totul, cu mult înaintea WWW-ului.
- Între 1986 și 1995 am atins vârful hacking-ului, eram printre elite. Îi știam pe toți, de la Kevin Mitnick la Kevin Poulsen, inclusiv pe Julian Assange, Kimble și alții. Am hackuit cam tot ce se putea hackui pe atunci.
- Prima lege italiană împotriva hacking-ului a apărut în 1994. Am avut ideea “strălucită” de a ataca Banca d’Italia, împreună cu un prieten. Înainte de asta, prin 1993, hackuisem Sprint, GTE, MCI și AT&T, adică cei mai mari operatori de telecomunicații din lume. Începuse atunci o investigație de durată, iar când am atacat Banca d’Italia, Poliția Specială italiană deja mă urmărea. Au adunat probe și m-au arestat, asta e.
- Era nostim într-un fel, dar și înspăimântător [să am de-a face cu legea], date fiind vârsta pe care-o aveam și faptul că n-avusesem treabă până atunci cu justiția. Nostim, pentru că era primul caz de hacking investigat în Italia. Se poate spune că s-au apucat să scrie legile locale împotriva hacking-ului din cauza mea. Judecătorul nu știa nimic despre computere, avocatul – la fel. Iar eu stăteam acolo, într-un birou al procuraturii, și le desenam amândurora scheme care descriau acțiunile mele. Le explicam că n-am furat nimic și că voiam doar să-i pun în gardă pe administratorii sistemului, în condițiile în care rețelele erau total nesigure, lipsite de orice protecție.
- Atât procurorul, cât și judecătorul au înțeles că eram doar un adolescent curios din fire. M-au ținut trei luni și jumătate în arest la domiciliu, și toată povestea s-a încheiat aici. Pe de altă parte, episodul ăsta m-a ajutat să-mi aleg viitorul: nu mai voiam să am de-a face cu polițiști, judecători și tribunale. Mi-am dat seama că pasiunea și abilitățile mele puteau să-mi aducă un job plătit. Am înființat prima companie în 1996. Azi sunt președintele unui startup specializat în securitatea informației. Lucrăm și cu forțele de poliție. La asta nu m-aș fi gândit vreodată când eram un puștan hacker.
- Sunt cel puțin nouă profiluri diferite de hackeri. Cel puțin, așa rezultă din Hacker’s Profiling Project (HPP), la care am lucrat pentru Interregional Crime&Justice Research Institute din cadrul Națiunilor Unite (UNICRI), începând din 2004. Avem:
– Newbies/Lamers,
– Script Kiddies,
– Crackers,
– Ethical Hackers,
– QPS hackers (quiet, paranoid and skilled),
– Cyber Warriors,
– Industrial Spies,
– Government Hackers,
– Military Hackers.
Pentru a defini aceste profiluri, am studiat toată “literatura de specialitate”, de la romane la biografii. Am început apoi să mergem la conferințe de hacking, să vorbim cu oameni, să întâlnim hackeri adevărați în mediile lor. Sigur că background-ul meu a ajutat mult, atât pentru a le câștiga încrederea cât și pentru a-i înțelege în profunzime.
- Călătoresc de mai bine de 15 ani în toată lumea, merg la conferințe de hacking și întâlniri de tot felul. Pot să te asigur că hackerii au viață socială. Am văzut hackeri îndrăgostiți de cărți, filme, muzică, mâncare, alcool, cam tot ce-i place unui om între 15 și 55 de ani. La urma urmei, sunt oameni ca mine și ca tine. Unii dintre ei sunt mai timizi, alții mai deschiși și mai activi. Ce pot să spun e că sunt mai isteți decât oamenii “standard”.
- Furia [hackerilor de azi] vine din lumea în care trăim. Gândește-te la Anonymous, indignados și așa mai departe. Întreaga omenire se schimbă, avem o criză în plină desfășurare, țări în curs de dezvoltare… Ca să-ți dau un exemplu: în anii ’50 – ’70, dacă tinerii erau împotriva Războiului Rece, a rachetelor din Cuba ori a Războiului din Vietnam, ocupau piețe publice. Acum, pot lansa un atac DDoS, pot distruge o pagină pentru a arăta lumii că sunt împotriva a ceva. Nu zic că e un lucru de făcut, doar că se întâmplă.
- Când hacking-ul nu e motivat de bani, are în spate sentimente religioase ori politice. Gândește-te la atacurile virtuale dintre India și Pakistan, zeci ori sute în fiecare zi, la hacktivism. Sau la spionajul la care recurg guvernele, așa cum aflăm din scandalurile NSA (SUA) și GCHQ (Marea Britanie). E amuzant, cumva: în clipa de față, cel mai tare hacker din lume nu e vreun puști priceput, ci un guvern, cel al Statelor Unite. Asta e cumva înspăimântător, e un semn că vremurile s-au schimbat. În rău. Un sfat pentru cititorii tăi: să se uite la conferința TED ținută de Mikko Hypponen la Bruxelles.
Vor vedea cât de mult s-au schimbat diplomația și serviciile secrete. Sunt lucruri care s-au întâmplat deja, iar Uniunea Europeană trebuie să facă ceva în privința asta.
- În ultimii 30 de ani, am construit un “ecosistem” care se bazează întru totul de sisteme nesigure. Securitatea n-a fost o prioritate. La fel s-a întâmplat când oamenii au construit sateliți, rețeaua SS7, mașinile de prin anii ’70. Acum, așa cum World Economic Forum scrie în fiecare zi, depindem de IT și ICT pentru a ne duce viața de zi cu zi. Totul e digital, mereu deschis, interconectat. Ce nu realizăm e că sistemele IT pe care ne bazăm sunt nesigure. (…) Fostul președinte al Dumei de la Moscova, Nikolai Kuryanovich, avea dreptate în 2007. În ziua de azi, câțiva hackeri pot fi la fel de puternici ca o mie de soldați. Se întâmplă asta pentru că totul e digital, inclusiv avioanele de luptă, tancurile, vasele militare, mașinile.
- Edward Snowden a contribuit la dezvăluirea unor informații care ne-au permis tuturor să vedem cât de departe a mers jocul. De la o vreme, în comunitatea hackerilor circulă o vorbă: dacă ești un simplu hacker, vei fi arestat pentru ceea ce faci; dacă ești guvern, în special cel american, atunci ești autorizat să “hackerești”. În conferința sa TED, Mikko Hypponen face afirmații foarte dure. De exemplu, spune că SUA se poartă pe internet ca într-o colonie pe care o controlează întru totul. E mult adevăr în aceste cuvinte și e foarte neplăcut. Mă sperie abordarea americană. Controlorul a pierdut controlul și trebuie să facem ceva, până nu e prea târziu.
Fotografii din arhiva personală a lui Raoul Chiesa