Quantcast
Etica hacker e disprezzo per la sorveglianza: chi è Evilsocket

Simone Margaritelli, aka Evilsocket, è un hacker italiano che ha rifiutato una collaborazione potenzialmente milionaria con gli Emirati Arabi. E che paga tutto in bitcoin

Simone Margaritelli, conosciuto come Evilsocket, è un hacker italiano il cui nome risuona molto oltre i confini del nostro paese. Nato a Siracusa, ha vissuto e lavorato a Roma. Si è sempre distinto sia per le sue capacità di programmatore che per il campo in cui le ha applicate—quello della sicurezza. Margaritelli è creatore di strumenti di successo come bettercap e dSploit. Ma oltre le capacità tecniche c'è molto altro: appartiene a una generazione di hacker con una solida base etica e un grande rispetto per la comunità.

Negli ultimi tempi sono successe un po' di cose nella sua vita. Per dirne qualcuna, è stato contattato dai servizi segreti degli Emirati Arabi, ha provato a convertire tutti i suoi soldi in bitcoin e l'azienda per cui lavora ha scoperto per prima una vulnerabilità critica di Android.

In un ambiente come quello della sicurezza, che sta diventando sempre più corporate, Margaritelli è un personaggio controcorrente, perché resta fedele alla filosofia open-source pubblicando articoli e progetti. Visto che più si va a fondo più diventa evidente che, oltre che bravo tecnicamente, Evilsocket è anche un insieme di storie assurde, eccoci qui a farci una chiacchierata.

Motherboard: Ciao Simone, ti definisci un ex-blackhat e sei tra i più conosciuti in Italia. Mi racconti un po' com'è nata la tua passione? Hai cominciato già da giovanissimo, giusto?

Evilsocket: Il primissimo approccio è stato all'età di 8 anni con un Commodore 64 e il Basic, ma mi sono avvicinato seriamente all'informatica da adolescente, quando ho rimediato un portatile usatissimo con un processore Pentium a 100Mhz e un modem a 28Kbps (bei tempi!). Mi incuriosivano i virus, principalmente l'idea di poterli programmare, e così ho iniziato a mettermi sotto e studiare qualsiasi cosa mi capitasse sotto mano nella rete, dai codici sorgente già disponibili ai manuali di programmazione in assembly e così via.

Con gli anni poi ho approfondito gli studi concentrandomi su aspetti più ampi della sicurezza, della programmazione, del reversing e del networking, riuscendo a realizzare software sempre più complessi... e così ho capito che potevo anche smontare/violare i software degli altri.

Dai 16-17 anni fino ai 23 ho fatto cose che mi hanno causato diversi problemi legali, al che ho capito che era il caso di smettere con le scorribande notturne e mi sono concentrato sull'aspetto professionale e difensivo del mestiere.

Quindi è dai 23 che il tutto è diventato un lavoro? So che lavoravi come sviluppatore PHP a Roma, ma dopo un messaggio in chat è cambiato tutto.

Non proprio, in realtà lavoravo nella sicurezza già a 18 anni, ma principalmente facevo consulenze sporadiche, pubblicavo progetti opensource e post sul blog, così per pagare l'affitto mi sono trovato a fare lo sviluppatore C/C++, lo sviluppatore PHP e così via.

Poi, circa sei anni fa, ho iniziato a lavorare per un'azienda di antivirus, quel messaggio al quale ti riferisci è arrivato poco meno di quattro anni fa. (Il messaggio è quello che invitò Simone a lasciare il lavoro da sviluppatore per occuparsi esclusivamente di sicurezza, ci si arriva tra qualche domanda, Ndr)

Ah ecco. A proposito di open source, quanto c'è di politico in quello che fai?

Questa è una domanda difficile. Per quanto riguarda il condividere tutto quello che faccio, partendo dai post sul blog ai progetti open, è semplicemente il mio modo per ringraziare "la rete" e dare indietro un po' di quel che ho avuto la fortuna di ricevere. Sono completamente autodidatta, e per quello che sono diventato oggi devo ringraziare tutte le persone che, prima di me, hanno deciso di condividere apertamente e gratuitamente il loro sapere.

Fare il lavoro che mi piace ed essere capace è una fortuna incommensurabile, condividere con la comunità è il minimo che io possa fare. Non sono molto attivo politicamente, ma penso che la cultura, sia scientifica che umanistica, debba essere libera e alla portata di tutti, solo così può esserci vero progresso.

Ora lavori per Zimperium, un'azienda israeliana leader nella sicurezza di sistemi mobile. Un vostro ricercatore ha scoperto la più importante vulnerabilità critica di android mai pubblicata (praticamente una compromissione completa del telefono che si ottiene attraverso un mms, un link o una mail). Tu di cosa ti occupi?

Per Zimperium lavoro sia come ricercatore per il reparto degli "zLabs", sia come sviluppatore C/C++/ASM per quanto riguarda il loro engine. Alcune delle mie responsabilità sono la ricerca su nuove possibili superfici di attacco (recentemente mi sto "specializzando" nel pentesting delle BTS gsm e lte) e contatto i venditori per la disclosure.

Poi faccio ricerca e sviluppo per nuovi metodi di protezione e rilevamento "minacce" da integrare poi nel nostro sistema di sicurezza. Oltre a reversing di 0day e/o nuovi malware. Sono un po' un tuttofare insomma.

Ecco, a proposito di BTS ho visto che da poco hai pubblicato una vulnerabilità che affligge i più famosi BTS open source, puoi dirmi qualcosa? Pensi che i corrispettivi software proprietari soffrano di vulnerabilità simili?

È difficile da dire senza poter mettere mano alle soluzioni proprietarie come le BTS Nokia, Ericsson e così via. Ma la logica mi suggerisce che è decisamente plausibile come cosa. Mi spiego: molti degli sviluppatori di queste soluzioni opensource sono ex dipendenti di queste aziende, ed è logico supporre che abbiano riutilizzato quanto meno alcuni dei componenti e delle meccaniche principali per i loro progetti open.

Inoltre software come OpenBTS, YateBTS e così via sono comunque utilizzati da diversi operatori esteri per dare copertura a zone molto isolate... mi è anche giunta voce che sono software attivamente utilizzati in ambito governativo per i vari IMSI Catcher e robe così, ho avuto dei riscontri in Brasile e Messico ad esempio... quindi non è proprio da sottovalutare come cosa.

"Non volevo che le mie capacità fossero messe al servizio di un regime fascista, non volevo che degli attivisti venissero trovati e perseguiti a causa mia."

Pur lavorando in questo ambiente continui a pubblicare articoli e programmi, chi lavora in aziende con altre politiche spesso non può farlo, giusto? È frutto di una tua scelta?

Sì, ho molti amici che lavorano per aziende simili alla mia e si lamentano costantemente di non poter pubblicare nulla a causa delle politiche aziendali e dei vari NDA che hanno dovuto firmare. Personalmente trovo che sia una politica molto stupida, l'azienda dovrebbe invogliare i propri ricercatori a esplorare e pubblicare, sia perchè una buona ricerca porta inevitabilmente pubblicità e valore aggiunto all'azienda, sia perchè il confronto diretto con la comunità hacker è l'unico modo per crescere veramente come ricercatore... e questo può avvenire solo pubblicando ricerche, software o facendo dei talk ai vari DefCon, BlackHat e così via.

Nel nostro caso, in particolare per quanto riguarda gli zLabs, non solo siamo spinti a fare ricerca su quel che ci pare e a pubblicare, ma fa proprio parte delle nostre "responsabilità" in quanto ricercatori.

Ho letto che Emirati Arabi che hanno cercato di reclutarti per un programma di spionaggio di massa, mi racconti com'è andata e del perché hai rifiutato?

Come ho scritto nell'articolo (che al di fuori di ogni aspettativa ha avuto portata internazionale), questa estate sono stato contattato da un italiano che lavora e vive a Dubai, persona che mi ha invitato a raggiungerlo per qualche giorno e parlare di una possibile collaborazione lavorativa.

Un amico in comune mi aveva assicurato la serietà del soggetto e così sono partito. Una volta arrivato è diventato abbastanza palese che si trattava di lavorare per il governo degli Emirati Arabi, più precisamente alla realizzazione di un sistema di sorveglianza globale e indiscriminato. Così ho detto "grazie ma no", ho ripreso il volo per l'Italia e ho pubblicato sul mio blog.

Ho rifiutato perché dopo aver fatto delle ricerche approfondite mi sono reso conto di quali fossero le politiche di quel paese nei confronti dei diritti fondamentali come quello di parola, di aggregazione e così via... non volevo che le mie capacità fossero messe al servizio di questo regime fascista, non volevo che degli attivisti venissero trovati e perseguiti a causa del mio lavoro.

Soprattutto mi ha fatto schifo che una persona proveniente da un paese libero, un altro italiano come me, abbia preso parte a questa cosa solo ed esclusivamente per i soldi. Quindi ho rifiutato e ho fatto del mio meglio per rendere nota la faccenda, in particolare per "avvertire" altri ricercatori che eventualmente potrebbero venire contattati dagli stessi individui per le stesse mansioni.

Hai ricevuto proposte simili da altri stati?

Si, ma preferisco non parlarne.

Ok. Cosa pensi di Hacking Team? Loro si fanno meno remore, sono più cinici? Cosa pensi della loro vicenda visto che il punto è proprio la vendita di sistemi a paesi che non rispettano i diritti umani?

In tutta onestà penso che la vicenda sia stata parecchio gonfiata dai media, non voglio assolutamente sminuire la gravità di quanto è emerso dal leak, ma credo che ci sia un po' (tanto) accaniti contro un'azienda nostrana che non è che una tra le miriadi di aziende che fanno la stessa identica cosa.

Fossi stato io a dirigere tutto il teatrino mediatico che c'è stato dietro, diciamo che mi sarei concentrato più sul perché non esiste ancora una legislazione precisa riguardo questo genere di prodotti informatici.

Non dimentichiamo che, se Hacking Team ha potuto, e ancora può, operare come ha fatto, è soprattutto grazie a un sistema legale fondamentalmente assente o quantomeno molto elastico.

HT è solo una delle tante conseguenze di un paese che è almeno 10 anni indietro per quanto concerne la privacy, la regolamentazione delle cyber armi e i rapporti internazionali tra aziende ed intelligence.

Quindi tu ne faresti una questione sistemica più che di responsabilità personali.

Beh direi di sì, ma del resto è "l'italian style" questo no? Ci concentriamo più sulla mafia che su ciò che la sostiene a livello politico ed economico, rendiamo la droga un tabù senza pensare a cosa spinge i giovani a distruggersi, eccetera... l'Italia purtroppo è il paese del "se trovo qualcuno contro cui puntare il dito, non è più mia responsabilità"

Invece cosa ne pensi di Phineas Fisher, l'hacker autore del leak ai danni di Hacking team?

Non conoscendolo se non per le sue azioni, i suoi leak e l'intervista che ha rilasciato non ho opinioni precise su di lui (o su di lei), ammiro quello che ha fatto perché è esattamente quello che avrebbe dovuto fare chiunque altro avendo tempo, mezzi e conoscenze a disposizione per farlo.

Mi piacerebbe offrirgli una birra e chiedergli come è riuscito a conciliare questa sua visione assoluta sulle tecnologie di monitoraggio ed il suo lavoro, ammesso che ne abbia uno nel mondo IT

Un'ultimissima cosa: mi racconti dell'idea di vivere solo con bitcoin? Ci stai riuscendo? come va?

Si ci sto riuscendo e sta andando a gonfie vele, saltuariamente devo ancora far ricorso al sistema bancario tradizionale quando non ci sono proprio opzioni fattibili o economicamente più convenienti, ma ormai le banche le uso solo come una sorta di "proxy", il 99% dei miei spostamenti di denaro, dal più elevato per pagarmi le vacanze al più piccolo per pagare la cena, sono in BTC.

E com'è quando ti trovi al ristorante e vai a pagare?

Come qualsiasi altra persona che paga con carta di credito ( carta di debito nel mio caso) metto la carta nel POS, inserisco il pin e ho fatto.