Claudio Guarnieri è l’hacker italiano che sta aiutando a proteggere il mondo

Foto in apertura: Matteo Flora

In tutto il mondo attivisti e giornalisti sono costantemente sotto attacco da parte di governi autoritari e aziende che producono sistemi di sorveglianza digitale — noti come spyware — e che stanno impostando, giorno dopo giorno, un'infrastruttura economica estremamente remunerativa.

Alcune di queste aziende sono anche italiane. Penso ad Area Spa, che recentemente è stata oggetto di una lettera aperta al Ministero delle Sviluppo Economico, inviata da Coalizione Italiana Libertà e Diritti civili, Privacy International, ed Hermes Center for Transparency and Digital Human Rights.  Nella lettera si chiedeva di revocare l'autorizzazione all'esportazione di software di sorveglianza in Egitto, richiesta poi accettata dal Ministero.

Nel frattempo, però, per proteggere il lavoro e l'incolumità dei giornalisti e degli attivisti che combattono per difendere i diritti umani, ci sono anche alcuni hacker che hanno deciso di mettere le loro conoscenze tecnologiche al servizio di questa causa.

È il caso di Claudio Guarnieri, conosciuto nell'ambiente come nex, "hacker, ricercatore di sicurezza informatica, artista, ed attivista per i diritti digitali". La sua attenzione è rivolta principalmente alla sorveglianza messa in atto dai governi, alle minacce nei confronti di giornalisti e dissidenti, ed al supporto tecnologico alle organizzazioni umanitarie.

Claudio lavora come ricercatore tecnologico presso Amnesty International, ed è un senior research fellow al Citizen Lab dell'Università di Toronto, un laboratorio interdisciplinare che si occupa di tutto ciò che si trova all'intersezione fra tecnologie dell'informazione e della comunicazione, diritti umani, e sicurezza mondiale.

Ho avuto la possibilità di parlare con Claudio via mail ed affrontare alcuni dei temi più importanti legati alla sua attività, come ad esempio il rapporto di fiducia necessario per aiutare giornalisti ed attivisti sul campo ed il futuro del supporto degli hacker per la protezione dei diritti umani.

MOTHERBOARD: Quando e come ti sei avvicinato al mondo della programmazione e dell'hacking? Qual è il tuo background tecnico?

Nex: Ho cominciato ad avvicinarmi a questo mondo da molto giovane, ed ho attraversato diverse mutazioni di interesse ed influenze. Ho consolidato però le mie capacità tecniche e quella che poi sarebbe diventata la mia specializzazione professionale — l'analisi di malware ed il reverse engineering — durante gli anni dell'Università, che sono stati anni di ottimo "praticantato" hacking, ma di scarsa dedizione accademica.

Sei stato interessato sin dall'inizio agli aspetti etici e di civic hacking? Oppure ci sono stati degli eventi ben precisi che ti hanno fatto riconsiderare il modo in cui poter applicare le tue conoscenze informatiche?

La realizzazione che le responsabilità dell'essere hacker si estendono ben oltre il dominio puramente tecnico è arrivata tardi. Quella che in principio era solo una fascinazione tecnica ed un'attrazione alla contro-cultura hacking è in seguito diventata una "vocazione" quando ho cominciato ad entrare in contatto con le realtà sociali — e soprattutto umane — direttamente affette dalle mancanze e dai tradimenti di una tecnologia insicura. Realizzare che là fuori esiste un mondo di giornalisti/e, attivisti/e e dissidenti che lottano per la giustizia e la democrazia, e che sono vittime di attacchi informatici, ha cambiato tutto.

Qual è stato il percorso che ti ha condotto a lavorare con Citizen Lab ed Amnesty? Ti occupavi già di analisi malware e security research per altre aziende?

Sì, ho fatto i miei anni nel settore della sicurezza commerciale. L'ho trovato viziato, poco stimolante e privo di visione. È un settore iper-finanziato, con tanti talenti quanti imbroglioni, e sempre più eticamente ambiguo. L'ho abbandonato quando possibile, ed ho deciso di dedicarmi invece al settore NGO che è molto più bisognoso.

Nella tua attività di supporto ai giornalisti ed agli attivisti con il Citizen Lab, che tipo di difficoltà incontri per entrare in contatto con tali soggetti? C'è il rischio che spesso non sappiano a chi rivolgersi?

Molto spesso non sanno a chi rivolgersi. Parte del mio lavoro, ed in parte la ragione della mia scelta di lavorare per Amnesty International, sta nel raggiungere — anche viaggiando — il maggior numero di individui e comunità a rischio possibili, ed informarli che c'è disponibilità di aiuto e far capire che dietro ad un attacco informatico si potrebbe celare un pericolo molto più concreto e preoccupante di quanto sembri.

In alcuni casi di emergenza è necessario contattare le vittime, cercare di stabilire un canale di comunicazione, e spiegare la situazione. La risposta spesso varia. Mi son trovato nella situazione di dover chiamare vittime in Medio Oriente al telefono con un interprete e sentirmi il telefono riattaccato in faccia per paura, così come in situazioni in
cui dopo cinque minuti mi forniscono accesso al loro computer poiché presi dalla disperazione.

Ho incontrato persone la cui vita è stata distrutta per via di un attacco informatico, e comprensibilmente spesso percepisco in loro un senso di abbandono e sconforto verso lo strumento tecnologico. Io cerco solo di restituirgli un po' di serenità ed aiutarli sì ad utilizzare Internet, ma in modo coscienzioso.

Instaurare la fiducia con chi stai cercando di aiutare è sicuramente un tema molto importante e di difficile soluzione. E credo che le campagne di phishing possano rendere ancora più difficile instaurare un rapporto di fiducia con i soggetti a rischio, sei d'accordo? E più in generale: come comunicare ed ottenere la fiducia da parte delle vittime è un tema su cui c'è discussione accesa?

Più che discussione c'è solo tanto lavoro da fare. Diverse organizzazioni costruiscono i propri network di contatti e parte della difficoltà sta nel creare consapevolezza riguardo ai rischi nell'operare online. Chiaramente incontri spesso diffidenza, ed a volte anche disinteresse, che francamente comprendo, considerando i seri rischi che queste persone affrontano.

Il tuo lavoro presso Amnesty international rivela come anche le organizzazioni umanitarie abbiano iniziato ad impegnarsi sul lato tecnologico, evidenziando la pervasività della tecnologia in molti ambiti: la repressione delle minoranze, le discriminazioni, la libertà di espressione sono a rischio anche per colpa di strumenti tecnologici utilizzati come strumento d'offesa. Come e quando è nata la vostra collaborazione? Amnesty disponeva già di un team di esperti che si occupavano di tecnologia?

Ho collaborato con Amnesty International in passato e dall'anno scorso ho cominciato a lavorarci a tempo pieno. Sono parte del team Technology & Human Rights che è stato creato nell'ultimo anno e mezzo circa. Per il momento sono l'unico technologist, ma sono affiancato da eccellenti ricercatori con profili molto diversificati.

Che tipo di scambio di conoscenze hai avuto con Amnesty? Cosa stai apprendendo da loro?

Sto entrando in contatto con numerose realtà estremamente diversificate fra loro. La rete di Amnesty è estesa e permette di raggiungere molte più persone di quante io possa da solo. È anche una esperienza che rende umili. Il poter osservare ed imparare daI colleghi che ogni giorno si occupano di tortura, esecuzioni di massa, e rifugiati è decisamente una lezione di vita.

Il caso di Amnesty è un caso isolato oppure altre organizzazioni umanitarie stanno progressivamente inserendo al loro interno un team di esperti tecnologici per fornire aiuto?

Non è un caso isolato, ma Amnesty ha poca compagnia su questo lato. Decisamente c'è molto bisogno di questo tipo di attività. Penso che organizzazioni simili stiano cominciando a comprenderlo ma è difficile trovare le risorse ed un modello adeguato per integrare questa nuova dimensione nel tradizionale attivismo per i diritti umani. Noi stiamo sperimentando e spero che Amnesty possa essere da esempio ed ispirazione per altri.

Con Citizen Lab hai prodotto dei report molto dettagliati sul sistema RCS di Hacking Team , i cui risultati sono stati anche confermati dalle loro mail diffuse successivamente. Com'è stata l'attività di ricerca per individuare le capacità del loro software? E soprattutto: quali effetti ha avuto su Hacking Team?

Il nostro lavoro di documentazione dell'utilizzo del software di Hacking Team, come quello di FinFisher ed altri, è uno sforzo continuativo. Ovviamente, c'è sempre la difficoltà iniziale nell'identificare e scoprire lo spyware per la prima volta, ma poi diventa una caccia che si estende per mesi o anni. Il nostro obiettivo, oltre a capire il funzionamento del software — che bene o male, è simile per tutti gli spyware — era scoperchiare un'industria della sorveglianza molto occulta, e capire che ruolo queste tecnologie avessero nella repressione del dissenso. L'effetto del nostro lavoro sulle società in questione è discutibile, più che altro spero abbia aiutato ad informare e sensibilizzare il pubblico.

Un altro recente report di Citizen Lab tratta della campagna di phishing ai danni di attivisti e cittadini egiziani . Credi che spesso si puntino troppo i riflettori su attacchi informatici complessi dimenticando, invece, l'efficacia ed i rischi di attacchi di phishing ben pianificati?

Decisamente, ed è in parte colpa sia della comunità hacker che dei media, che molto spesso indulgono nel favorire le scoperte più appariscenti a scapito della noiosa realtà di ogni giorno, che è tanto problematica quanto patetica. Vedo dozzine di giornalisti ed attivisti a rischio e vittime, in qualsiasi momento, di attacchi efficaci seppur dozzinali. Ma purtroppo, alla prossima conferenza, sarà più probabile sentir parlare di come è possibile hackerare una macchina, e sul prossimo articolo di giornale sarà più probabile leggere di qualche "cyberguerra".

L'utilizzo sistematico di spyware contro attivisti e giornalisti rappresenta una delle minacce più pericolose per lo svolgersi delle attività democratiche. Dalle analisi che effettui, quali sono i trend? L'utilizzo di spyware sta aumentando drammaticamente?

L'utilizzo di spyware e di più banale phishing è decisamente in continuo aumento. La crescente adozione di crittografia nelle comunicazioni elettroniche sta rendendo l'intercettazione passiva sempre più inefficace, e questo è ovviamente un bene. Tuttavia ha la "controindicazione" di spingere coloro che vogliono esercitare una forma di controllo a dover ottenere direttamente l'accesso ai dispositivi ed agli account utilizzati per comunicare. E questa è una tendenza che mi preoccupa molto.

Un esempio di sorveglianza attiva è quello del US Cyber Command. Ma ci sono anche casi italiani, come quello contenuto nel ddl sui captatori informatici in cui è prevista la possibilità di accedere ai dispositivi ed acquisire file da remoto. Hai avuto modo di approfondire il DDL italiano? Se sì, qual è il tuo parere? Ci sono anche altri governi che stanno adottando soluzioni simili su cui è necessario tenere gli occhi puntati?

Non ho ancora approfondito il DDL per dare un giudizio adeguato. Sono considerazioni legali complesse che non vanno prese sotto gamba. Per principio, rimango cauto di fronte ad ogni tentativo di legittimazione.

Molti governi stanno cominciando ad adottare leggi simili. In Olanda è passata recentemente una legge che autorizza l'utilizzo di tecniche di hacking. In Gran Bretagna c'è l'esempio dell'Investigatory Powers Act del 2016. Non potremo che vedere la maggior parte dei paesi Occidentali adeguarsi velocemente.

Cosa si può fare per impedire che software di sorveglianza come quelli di** NSO e di Area Spa finiscano nelle mani di governi autoritari? Credi che maggiori controlli sull'export di queste tecnologie siano sufficienti ad arginare il problema? **Nel recente caso dei tool NSO utilizzati in Messico *contro politici ed attivisti a favore della soda tax — una tassa per disincentivare l'acquisto di bevande zuccherate — è emerso come anche stati democratici finiscano con l'utilizzare metodi repressivi contro i propri cittadini. Bloccare quindi l'export verso stati autoritari potrebbe non risolvere del tutto la questione?*

Non sono convinto che regolamentare le esportazioni di software di sorveglianza sia una misura sufficientemente efficace. In realtà credo che ci sia una domanda di fondo che non è stata ancora sufficientemente considerata ed a cui manca una risposta. Vogliamo, noi stessi per primi, nei nostri paesi Occidentali, che questa tecnologia venga utilizzata? Se sì, in che termini, per che crimini e con quali garanzie? Sapendo che la legittimazione di questi strumenti alimenta un mercato di insicurezza, si tratta di una domanda che non è poi così scontata. Quando avremo una chiara risposta, potremmo poi pensare se e come poter esportare ad altri.

Hai recentemente iniziato il nuovo progetto Security Without Borders , presentato al 33° Chaos Communication Congress ad Amburgo , in modo da facilitare il contatto fra hacker ed attivisti. Come sta procedendo? Avete già ricevuto segnalazioni?

Non solo abbiamo già ricevuto segnalazioni, ma abbiamo già condotto e concluso attività di supporto. La risposta finora è stata positiva, ma ci sono molte difficoltà da sormontare e molto da pianificare. Vedremo cosa ci riserva il futuro.

Ti auspichi un maggior coinvolgimento da parte degli hacker per quanto riguarda questioni politiche, civili, ed etiche?

Credo che la comunità hacker e della sicurezza informatica, con le dovute eccezione di alcune frange politicizzate da molto tempo, abbia abdicato il suo ruolo attivo nella più larga società per troppo a lungo. In questo momento in cui Internet, la tecnologia ed in particolar modo la sicurezza informatica stanno diventando oggetto non solo di legiferazioni, ma anche di battaglie politiche, è importante che la nostra sottocultura sia presente non solo per ricordare che esistiamo, ma per far sentire le nostre opinioni e per garantire che Internet rimanga libera. O forse, per adoperarsi che lo diventi.