Regole d'oro per giovani hacker

Può essere difficile mantenere una doppia vita, specialmente quando una delle due identità è coinvolta in traffici criminali. Che tu sia uno spacciatore digitale, un hacker mercenario, o un truffatore del web, è indispensabile che tu ti assicuri che la tua personalità online non riveli niente dell'identità reale.

Ma sotto tutti i livelli di criptazione e di stregonerie tecnologiche, i cyber-criminali a volte dimenticano troppo facilmente il punto fondamentale: mantenere completamente separate la propria vita personale e professionale. Se non si segue questa regola di base, non importa dietro quanti proxy o connessioni sature ci si nasconda, è possibile che si venga presi lo stesso. Ros Ulbricht, il presunto proprietario del primo sito di Silk Road, è stato beccato, in parte, grazie al fatto che in qualche occasione aveva usato il suo vero nome e il suo indirizzo email. Questo è stato d'aiuto agli investigatori per smascherare chi si nascondeva sotto lo pseudonimo di Dread Pirate Roberts.

Il principio secondo cui le proprie identità vanno mantenute separate, si chiama “compartimentazione”, che è, secondo “the grugq”, esperto di sicurezza online “la separazione delle informazioni, inclusi dati di persone e attività, in cellule riservate.” In termini pratici, questo significa, per esempio, utilizzare account email diversi per le proprie differenti identità che non abbiano connessioni tra loro, o non far nascere collegamenti tra comportamenti illegali (ad esempio, fare una telefonata per organizzare uno scambio di droga) e il posto in cui si vive (un posto in cui è molto probabile che le forze dell'ordine vi trovino).

Perché una doppia vita funzioni, “quelle cellule non devono interagire,” mette in evidenza the grugq. Molte persone diverse possono trarre vantaggio da questo approccio: poliziotti sotto copertura che nascondono la propria reale identità; giornalisti investigativi che non vogliono rivelare una fonte con cui mantengono tutte le comunicazioni su indirizzi email e dispositivi diversi; e, ovviamente, i cyber-criminali, che, per operare, devono affidarsi a uno pseudonimo.

The grugq afferma che un esempio di compartimentazione riuscita è il caso di “Yardbird”, il leader di un circolo pedo-pornografico che è sfuggito alla cattura, dopo 15 mesi di operazioni sotto copertura, facendo arrestare un altro pedofilo. In breve, uno dei motivi per cui è riuscito a scappare dalle forze dell'ordine era che il suo gruppo manteneva separata la condivisione dei file e lo scambio di informazioni sulle operazioni. “Il gruppo […] aveva elaborato una serie di pratiche di sicurezza incredibilmente efficienti,” afferma sul blog.

Un esempio più recente ci mostra invece il caso ideale per capire quello che i cyber-criminali non devono fare.

Molte persone odiano Brian Krebs. Attraverso il suo blog di sicurezza online, ha divulgato le tattiche usate dai criminali spammer di email, dai clonatori di carte di credito e i truffatori di bancomat. Alcune persone lo odiano così tanto che gli hanno mandato una squadra di SWAT armati fino ai denti in casa—dopo aver fatto una finta chiamata d'emergenza—e hanno cercato di mandare in rovina le sue finanze con l'apertura di crediti per decine di migliaia di dollari.

Adesso uno di questi burloni è stato preso, secondo quanto dice l'ultimo post sul blog di Krebs. L'anno scorso “Flycracker” (conosciuto anche come Fly e Muxacc) ha tentato di far recapitare un pacco di eroina a casa di Krebs, sincronizzando la consegna con un intervento della polizia, che avrebbe portato al suo arresto.

Krebs tuttavia afferma che Fly è stato recentemente arrestato in Italia per il sospetto di traffico di conti associati carte di credito. Nel report rivela anche il modo in cui lui e alcuni suoi colleghi sono riusciti a risalire all'identità di Fly—anche se rimane ancora poco chiaro che ruolo abbia avuto, se l’ha avuto, il loro operato nell'arresto.

In un'intervista rilasciata a VICE l'anno scorso, Fly ha detto di volerla far pagare a Krebs per aver “reso popolare la pratica di clonare carte di credito.”  Parlando nei suoi articoli dei forum che Fly e i suoi complici usavano, ha detto, Krebs stava “attirando nuove persone nel mondo delle truffe, cosa con la quale non siamo d'accordo. Se si guardano le statistiche, dopo il suo post sulla consegna di droga, il numero di persone che vogliono registrarsi su questi forum è cresciuto esponenzialmente.”

Quando gli è stato chiesto se fosse sicuro di non aver mai accidentalmente esposto la sua identità, Fly ha risposto, “ho preso molti provvedimenti per la sicurezza personale, ma non è impossibile trovarmi. Ma almeno sono sicuro che non ci sia neanche una mia foto online—e neanche un minimo indizio su dove vivo.”

Fly ha affermato che Ilya Sachkov, fondatore della compagnia di sicurezza globale Group-IB, ha detto “di poter beccare chiunque”—una dichiarazione su cui ha i suoi dubbi.

È venuto fuori che la compagnia potrebbe aver avuto un ruolo nella cattura di Fly. Nell'articolo di Krebs sulle indagini, viene citato il Group-IB nel collegamento tra lo pseudonimo di Flycracker con un indirizzo email: mazafaka@libero.it, associato a un portale web italiano.

E qui la pista seguita si fa meno chiara. Krebs fa riferimento a una “fonte affidabile nell'ambito della sicurezza,” che avrebbe affermato che mazafaka@libero.it era un indirizzo “in qualche modo compromettente,” e che la sua cartella inbox era piena di messaggi provenienti da un altro indirizzo, 777flyck777@gmail.com. “Mazafaka” è il nome di un forum di cui Fly era amministratore.

Non è chiaro cosa esattamente significasse “compromettente” in questo frangente. In ogni caso, la fonte ha avuto accesso all'indirizzo email ed è venuto fuori che i messaggi mandati da 777flyck777 contenevano dei resoconti di un keylogger, ovvero resoconti dei messaggi che vengono intercettati quando viene installato su un computer un dispositivo o un software per controllare qualsiasi cosa venga scritta.

Questi resoconti includevano anche il rapporto di qualcuno che era entrato su Gmail con il suo vero nome. Questa persona si è poi rivelata essere la moglie di Fly: presumibilmente Fly stava utilizzando un keylogger per spiarla e si faceva mandare i risultati all'indirizzo Mazafaka.

Tra questi resoconti appariva anche il vero nome di Fly, Sergei Vovnenko, un russo nato in Ucraina, secondo quanto dicono i suoi account sui social network. Altre informazioni, come i dettagli di alcuni pagamenti, collegavano la coppia e il figlio alla città di Napoli.

Ultimamente Fly è rimasto inattivo sui vari forum che frequenta, e gli admin hanno iniziato a cancellare i suoi post e account—una pratica standard applicata in caso di sparizione inaspettata di uno dei soci. Risulta che sia stato arrestato durante un'operazione congiunta delle forze dell'ordine italiane e americane, da quanto riporta una fonte governativa con cui ha parlato Krebs.

Uno degli errori di Fly—forse quello cruciale—è stato di mescolare la sua vita personale (spiare la moglie) con quella “professionale” (essere l'amministratore di un forum per truffe di carte di credito). La ragione per cui ha lasciato tracce digitali è quella di avere due indirizzi mail, che a prima vista potevano essere di due persone diverse, collegati tra loro.

Anche nel caso in cui l'indirizzo mail Mazafaka fosse stato hackerato da qualcuno, Fly avrebbe dovuto evitare di collegarlo al suo altro indirizzo per mandare i resoconti del keylogger che lo collegavano al mondo reale. O, in altre parole, avrebbe dovuto applicare una rigorosa compartimentazione e tenere completamente separate le due identità.

Lo scivolone di Fly gli si è ritorto contro, ma i criminali continueranno comunque a fare questi errori elementari. Un consiglio per tutti coloro che vogliono diventare truffatori di carte di credito o hacker: tieni ogni cosa, specialmente i tuoi problemi coniugali, lontani dal lavoro.