Questi hacker se ne fottono dei vostri sentimenti

(Immagine © Robert Colburn per openphoto.net)

Sapete usare internet? Probabilmente non del tutto. Credete di padroneggiarlo, ma avete idea di quanto sia grande? È enorme. E come l’universo, è in continua espansione. Se avete solo una vaga idea di cosa sia il “deep-web” e usate internet principalmente per navigare sui soliti cinque siti, in pratica ne state usando solo una minuscola parte.

Pensare a queste cose mi ha scatenato un attacco di panico, così ho deciso di contattare alcuni membri del Basehack, un forum di hacker, per cercare di capire qualcosa del torbido fondale del deep-web. I ragazzi che ho contattato—Stain, Stacks, BreShiE e TFC (The Fail Collective)—si considerano dei black-hat hacker, ovvero hacker che operano secondo un codice morale praticamente inesistente. Passano il loro tempo a raggirare e ricattare grandi aziende, talvolta guadagnando anche un bel po' di soldi. Concordavano tutti col fatto che l’hacking di beneficenza e altruistico fosse un’assurdità, e che la stupidità della gente e delle aziende è il loro incentivo principale per fare irruzione nei loro firewall.

Come mi ha detto Stain, “Quando non ti preoccupi delle tue azioni e non consideri gli altri e i loro sentimenti, il mondo diventa subito migliore.” La sua affermazione ha un che di spietato, ma purtroppo è vera. Stain mi ha spiegato che esistono migliaia di modi di fare soldi come black-hat, con un’attenzione particolare alla clonazione di carte di credito.

Un messaggio dal team Basehack.

La clonazione di carte (carding), mi ha spiegato Stain, “è molto comune, ed è di una facilità deprimente. Google Wallet, per esempio, è diventato la prima fonte per chi ha intenzione di clonare. Con un livello di protezione bassissimo e metodi di pagamento elementari, non mi sorprende sia diventato il migliore amico della nuova generazione di carder.”

Illustrandomi gli altri metodi usati per fare soldi, Stacks mi ha risposto, “Puoi creare una botnet o vendere computer con botnet, rubare carte di credito, fornire servizi DDoSing/stressing, hackerare siti e via dicendo. Ci sono persone che pagherebbero migliaia di sterline per un lavoro estremamente semplice. Puoi anche installare programmi come Bitcoin o Litecoin [un altro programma di decrittazione concorrente di Bitcoin] sul computer di uno slave [persona che è stata infettata].

Un metodo molto diffuso tra chi controlla I botnet, ho scoperto, è contattare i casinò online e chiedere un riscatto, minacciando di stravolgere e distruggere il loro sito con un attacco DDoS—una specie di Ocean’s Eleven versione 2.0. E non falliscono spesso, dato che la maggioranza di questi siti subirebbe una perdita molto maggiore del pagamento richiesto.

Ho chiesto a Stacks quanti soldi si fanno. “Se sei capace, molti,” mi ha risposto. “Parliamo di centinaia di migliaia di euro. C'è chi pagherebbe 10-11 euro per qualche centinaio di botnet slave. Con un buon numero di slave puoi guadagnare centinaia di euro a settimana. Se installi, per dire, un Litecoin su uno slave con un computer decente, puoi guadagnare un euro al giorno per ogni slave. Per le carte di credito non ti rispondo nemmeno. Puoi guadagnare un sacco, se sei disposto a correre rischi. Non appoggio queste cose, però.”

(Foto via )

Ma questi rischi diventano poco più che battute non appena la conversazione si sposta sul problema dell’anonimato. Stacks mi ha spiegato che rimanere anonimi è “molto semplice: basta un po’ di buon senso. Usare servizi come Tor o I2P, non connettere i tuoi account o lasciare tracce di connessioni precedenti e non vantarti con tutti di ciò che fai. Ma, soprattutto, evitare i legami tra il tuo vero nome e la tua identità online.”

È davvero così, mi chiedo? Le grandi società, così come le autorità, non hanno mezzi a sufficienza per rintracciare i colpevoli? Dipende tutto da ciò a cui si punta, conclude Stacks—attaccando le piccole aziende non si incontrano molti problemi, ma, chiaramente, se lo fai con un sito del governo, le conseguenze possono essere molto più serie.

Una volta esaurito l'argomento "soldi", mi interessava sapere perché ci si ritrovasse nel termine "black-hat hacking". BreShiE mi ha subito detto che c’è molto dibattito sulla definizione dei vari generi di hacker, e che lui si dichiara grey-hat hacker—un misto di black-hat e white-hat (questi ultimi sono i “buoni”, che si occupano di cose come testare la sicurezza dei siti). "Mi capita di fare lavoretti per tirar su qualche soldo, ma la maggior parte delle volte sono dalla parte dei siti,” mi spiega.

Stain, invece, sostiene che ci sono molte buone ragioni per essere un black-hat tout court: “Il potere, i soldi, l’esclusività e le conoscenze sono tutte cose che ottieni solo come black-hat. Le cose che impari quando sei un black-hat sono incredibili in confronto agli archivi obsoleti di alcuni forum di hacking etico.”

Alcuni attacchi di TFC su siti porno.

Quest’opinione sembra molto popolare nel gruppo con cui ho parlato, di cui una maggioranza usa la parola “scum” per designare i white-hat. Ho chiesto al TFC il motivo di quella definizione: “Pubblicano le istruzioni per contrastare i punti deboli dei siti. Sono il motivo per cui esistono gli “skids” [“script kiddies”, che usano programmi di hacking pre-impostati]." Gli skids, come avrete capito, sono l’ultima ruota del carro della comunità hacker.

Stacks ne ha un’opinione simile: “Sono succhiasangue, gente che insegna agli idioti come agire, invece di lasciare che imparino da soli. Molte compagnie sapranno come contrastare i bug e non ringrazieranno nemmeno, quando gli verrà detto come farlo. Ci sono persone che aiutano idioti del genere.”

E l'hacktivismo, cosa ne pensano? Con poco stupore (dato il loro interesse per i soldi e il potere), scopro che, sostanzialmente, se ne fregano. BreShiE, il grey-hat hacker, mi ha detto di aver fatto dell’hacktivismo. “Ho alle spalle molti attacchi DDoS, contro siti come l’EDL,” mi spiega. “Ma non ho mai fatto dell’hacktivismo contro qualcosa di più serio, come la Corea del Nord o siti affiliati, conoscendo gli effetti devastanti che ciò produrrebbe sul mondo. Quando ci sono in ballo armi nucleari, credo sia davvero stupido intromettersi.”

La discussione ha inevitabilmente portato a parlare di Anonymous, che i membri del Basehack concordano essere più una distruzione della libertà su internet che altro. Secondo BreShiE, Anonymous è un’idea—una grande idea—ma detesta il fatto che quest’idea si manifesti con un manipolo di dodicenni che si vantano di essere hacker professionisti pur usando programmi semplicissimi.

Una bandiera di Anonymous. (Foto via)

“Non sarebbero entrate in campo cose come CISPA, SOPA e simili, se non fosse per i gruppi come Anonymous e LulzSec.” Così mi hanno detto dal TFC, prima di spiegare che il suo nome—The Fail Collective—è ispirato al lavoro di Anonymous. Da ciò che posso capire, l’opinione generale della comunità black-hat più "legittima"  è che Anonymous incoraggi i preadolescenti a fare qualcunque cazzata venga loro in mente, cose che alla fine recano danno all’intera comunità virtuale.

Stacks ha una visione di internet molto interessante. Lo compara al mondo reale, dicendo, “Ci sono le persone normali, e ci sono gli stronzi—spacciatori e altri personaggi, che normalmente si nascondono nel deep-web. E ci sono quelli che usano i graffiti per rappresentare la loro crew e alimentare le guerre tra bande—sono i diversi gruppi di hacker—e tutto quello che puoi immaginarti, c'è anche online. Dovrebbe essere un luogo libero, aperto. Il governo sta cercando di censurarlo e controllarlo, pur sapendo che è inutile quanto cercare di controllare il mondo reale. Ecco perché non possiamo permettere che accada, e continuiamo a batterci per i nostri diritti.”

La discussione con gli hacker mi ha confuso: sono persone molto piacevoli ed è difficile non concordare con loro sulla libertà di internet. Ma allo stesso tempo, ammettono tranquillamente che non gli interessano i sentimenti altrui, o che si possano rubare migliaia di sterline dalle tasche di un altro. Il che, in effetti, non è il tipo di cosa che dovresti incoraggiare, a meno che tu non sia una testa di cazzo.

In ogni caso, sono davvero dei geni. Quindi speriamo trovino un modo di convogliare la loro intelligenza in qualcosa di utile, invece di clonare carte e arrabbiarsi per un gruppo di ragazzini.

Poco dopo che abbiamo parlato con gli hacker di Basehack, il sito basehack.com è stato messo offline, ma i suoi membri mi hanno assicurato che sarà presto di nuovo attivo, sotto un altro nome.

Altro sull'hacking:

Come la rete e Anonymous cambiano la politica in Italia