FYI.

This story is over 5 years old.

Cosa succede quando si gioca con Anonymous

Un giornalista Reuters avrebbe trasmesso delle password a un hacker, e ora rischia 25 anni di carcere.
18.3.13

Matthew Keys rischia 25 anni di carcere

Matthew Keys, vice social media editor per la Reuters, è stato accusato dal governo degli Stati Uniti di aver fornito le credenziali di accesso al sito del Los Angeles Times a un membro di Anonymous. L'hacker avrebbe usato tali dati per modificare un articolo, in modo che comparisse la frase: "Pressure builds in House to elect CHIPPY 1337," riferimento all'alias dell'hacker. Stando all'articolo modificato, Chippy 1337 avrebbe dichiarato alla Camera di "ANDARE A FARSI FOTTERE". Sembra una cosa innocua, no?

Per niente, se Matthew rischia di affrontare 25 anni in prigione e una multa di 500.000 dollari per le accuse di complicità con il cybercrimine. Nel suo stato d'accusa, il passaggio di credenziali d'accesso è descritto come una "cospirazione per causare danni a un computer protetto", reato che può costare da solo cinque anni di carcere. Com'è possibile che un computer venga "danneggiato" da un post modificato da una fonte esterna? Cosa rende un computer "protetto"? Non si tratta solo dell'equivalente digitale di un atto di vandalismo?

Gli altri due capi d'accusa nel processo di Matthew sono descritti in termini ancora più vaghi, e sono le imputazioni più gravi, visto che valgono dieci anni l'una. Un capo d'accusa, "trasmissione di malicious code", contiene una descrizione del crimine che recita:

"Matthew Keys ha comunicato consapevolmente un programma […] e, come risultato di questo comportamento, ha provocato danni ad un computer protetto senza averne ricevuto l'autorizzazione."

Ma ci sono diversi modi per "comunicare" un'informazione, giusto? Quello che ha fatto Matthew è l'equivalente di mandare intenzionalmente un virus al direttore del LA Times, oppure è più simile a inoltrare per caso un messaggio spam sul Viagra che rallenta tutti i computer dell'ufficio? E in ogni caso, entrambe le azioni possono costare davvero dieci anni della sua vita?

Il terzo capo d'accusa che Matthew si ritrova ad affrontare riguarda un "tentativo di trasmissione di malicious code", che essenzialmente ripete quanto già detto nel secondo punto:

"Matthew Keys ha consapevolmente cercato di causare la trasmissione di un programma […] e, come risultato di questo comportamento, ha intenzionalmente causato danni, senza autorizzazione, a un computer protetto."

Non sono un avvocato, ma al di là della scarsa chiarezza delle imputazioni, la sentenza mi sembra troppo pesante. Come si può equiparare il "tentativo" di diffondere informazioni e la presunta comunicazione di informazioni in sé?

Il problema alla radice della situazione legale di Matthew sembra essere duplice: innanzitutto, negli Stati Uniti la terminologia giuridica su cui si basano i processi di cyber-security è spavantosamente generica e, in secondo luogo, i giornalisti che si occupano di Anonymous agiscono spesso in un terreno al limite tra il riportare l'attività degli attivisti e l'aiutarli nelle loro azioni.

Basta pensare al caso di Barret Brown per capire come indagare su Anonymous possa spesso portare dall'altra parte. Barrett è inciampato inevitabilmente nel ruolo di burattino del gruppo, soprattutto durante gli attacchi a Zetas, il cartello messicano della droga, e come risultato è diventato il bersaglio di accertamenti e cause penali. Sarebbe infatti stato sorpreso a condividere un link a email interne sottratte ad una società di sicurezza chiamata Stratfor, che contenevano informazioni sulle carte di credito dei clienti della società, per poi minacciare un agente dell'FBI ed essere accusato di occultamento di prove. Ora si trova in un mare di guai.

Le pene che questi uomini rischiano di dover scontare sono assurde. Certo, si sarebbero dovuti tenere alla larga dalle operazioni di Anonymous, ma come può il semplice fatto di fornire le credenziali di accesso a un sito web costare cinque anni di carcere? Parte del problema è che chi ha scritto queste leggi non capisce Internet, e ne ha una gran paura.

C'è bisogno di nuovi termini atti a descrivere gli individui che manipolano i sistemi dei computer. Non possiamo continuare a chiamare con lo stesso nome gli hacker russi e cinesi che cercano di crackare i sistemi della Casa Bianca e chi usa un login "prestato" per modificare senza conseguenze un dato apparso sul sito di un quotidiano. Il termine onnicomprensivo "hacker" non è più adatto in un mondo in cui manipolare un computer può significare moltissime cose.

Se non riusciremo a gestire questa cosa, verremo costantemente tormentati da un linguaggio impreciso, destinato a far emanare ai governi sentenze improponibili nei confronti di persone che non le meritano affatto. Barret Brown e Matthew Keys non sono mai stati accusati di nessun tipo di crimine violento, né hanno mai avuto intenzione di nuocere direttamente a qualcuno.

Infine c'è Aaron Swartz, il co-fondatore di Reddit responsabile del download sistematico di un alto numero articoli accademici conservati nel database Jstor. Per aver diffuso quelle informazioni (un atto che non definirei nulla più di una violazione di copyright), è stato minacciato dal pubblico ministero con una sentenza pesantissima, che potrebbe aver avuto a che fare con il suo suicidio. La vita e la morte di Aaron Swartz sono l'esempio più tragico della zoppicante gestione della terminologia legale da parte governo americano applicata nei confronti di internet.

Bisogna fermare questa follia. Con il tempo, il fenomeno delle cyberwar non farà altro che rafforzarsi e diffondersi, ed è fondamentale prepararsi al futuro smettendo di equiparare tutte le forme di hacking allo stesso modo e di trattare come un criminale chi condivide informazioni.