L'hacker 'Phineas Fisher' parla per la prima volta davanti alle telecamere

Poco più di un anno fa, l'account solitamente tranquillo di Hacking Team, l'azienda italiana che vende malware-spia a governi di tutto il mondo, ha iniziato a pubblicare cose strane.

"Visto che non abbiamo niente da nascondere, pubblichiamo tutte le nostre email, i nostri file e i nostri codici sorgente" diceva un Tweet inviato una domenica sera, il 5 luglio 2015.

Il Tweet era accompagnato da un link a un file torrent di circa 400 giga, praticamente l'intero il contenuto dei server dell'azienda: email interne, documenti confidenziali e persino il codice sorgente. Hacking Team, già noto per il commercio di software con governi repressivi come l'Etiopia, il Marocco e altri, era appena stata hackerata.

Ore dopo, l'hacker che aveva violato i computer della compagnia e che aveva usato il suo account Twitter per diffondere i dati e sputtanarla, aveva svelato di essere lo stesso che l'anno precedente aveva hackerato un'azienda simile, FinFisher.

Da allora, l'hacker, soprannominato Phineas Fisher, è rimasto piuttosto tranquillo, a parte qualche tweet e un report dettagliato di come è riuscito a entrare nei server di Hacking Team, che è poi diventato il manifesto del suo movimento politico "hack back".

Qualche settimana dopo il suo hack gli ho chiesto se voleva rilasciare un'intervista a un collega di VICE Canada che stava lavorando a un documentario sul mercato in ascesa dei cybermercenari, le compagnie che vendono tool per spiare e hackerare a polizia e agenzie di intelligence in tutto il mondo.

Dopo un po' di insistenze, Phineas Fisher ha detto sì—a una strana condizione.

"Farò un'intervista video solo se userai Kermit la rana (o un qualsiasi pupazzo che non violi le norme di copyright) e la voce di un attore che legge le frasi che digito in chat," mi ha detto.

E così i nostri amici canadesi hanno preso un pupazzo e hanno chattato con Phineas Fisher nella sua prima vera intervista. Alcune parti puoi vederle nel video qui sotto, o leggere il transcript di seguito (lievemente editato per questioni di chiarezza).

BEN MAKUCH: Allora, perché hai hackerato Hacking Team?

PHINEAS FISHER: Ho letto il report di Citizen Lab su FinFisher e Hacking Team e ho pensato "bella merda", allora ho deciso di hackerarli.

Così? Come hai fatto?

Per Gamma group l'ho scritto [come ho fatto], per Hacking Team lo farò. [Questa intervista è stata fatta mesi prima che Phineas Fisher pubblicasse la spiegazione dettagliata.]

Qual era il tuo obiettivo nell'hackerare tutti i dati di Hacking Team? Stavi cercando di fermarli?

L'ho fatto per il LoL. Non credo che un leak possa distruggere un'azienda. Ma se non altro li ho placati un minimo e ho dato un po' di respiro alle vittime dei loro software.

A proposito, abbiamo parlato con i giornalisti etiopi che sono stati vittima del software di Hacking Team. Volevano ringraziarti.

Cool. Fa strano vedere che la mia passione/il mio hobby possa aiutare delle persone nel mondo reale.

Be' se è solo un hobby direi che sei abbastanza bravo. Quindi la tua è una forma di opposizione alla sorveglianza?

Certamente, altrimenti non farei quello che faccio.

Cosa pensi delle aziende di sorveglianza, e di HT nello specifico?

Direi che sono delle persone senza morale che inseguono solo i soldi, ma forse non è del tutto vero. Non credo di essere tanto diverso dai dipendenti di Hacking Team. Ho la stessa dipendenza da quell'impulso elettrico e dalla bellezza del baud [una citazione del famoso Hacker's manifesto].

Ho solo avuto esperienze di vita diverse. Sui muri c'è scritto ACAB [All Cops Are Bastards]. Immagino che se vieni da un mondo in cui la polizia è vista come una forza positiva, scrivere programmi per loro può avere un senso. Ma poi Citizen Lab dimostra che questi programmi vengono usati per lo più per livelli di cattiveria da fumetto, cose come spiare giornalisti, dissidenti, oppositori politici eccetera… E loro fanno semplicemente finta di niente e continuano a lavorare. Perciò sì, credo siano senza morale, ma molte persone nella loro situazione farebbero lo stesso. È facile razionalizzare le cose quando fai un sacco di soldi e le persone che ti stanno intorno, familiari eccetera, dipendono dal tuo lavoro.

*È interessante perché loro dicono che quello che fanno è legale, quello che fai tu invece no.*

Sì, questo è vero. Legalità e illegalità sono quasi inversamente proporzionali al bene e al male.

Ci hanno detto che quello che stavano facendo era corretto. Vero. Secondo te cosa pensa la gente di Hacking Team, adesso?

Probabilmente la gente non ha ancora sentito parlare di Hacking Team. Forse è diventato un po' più difficile per loro reclutare nuovi talenti nel mondo della programmazione, questo sì. Probabilmente le persone lo credono relativamente normale e le contraddizioni e razionalizzazioni che devono imporsi per restare sani e lavorare li rende sempre più folli, come Vincenzetti [il CEO di Hacking Team].

Credi che le compagnie di sorveglianza ti temano, ora?

Non credo di suscitare timore. Ma probabilmente tra le email di Hacking Team puoi notare che avevano fatto un test di sicurezza dopo Gamma Group [FinFisher].

Loro si definiscono "hacker etici" e Hacking Team produceva tool che venivano usati per lo più per fini scorretti. Perciò tanta gente nel campo della sicurezza informatica mi ha sostenuto, dopo l'hack. Ma è stato anche un atto scomodo, perché gente come loro che si occupa di sicurezza bancaria e gente come Hacking Team vengono messi nello stesso calderone… E la memoria torna a brutti ricordi come ~el8, zf0, phc ecc.

Secondo te il software venduto da Hacking Team era fatto bene? Come lo valuteresti?

Voglio dire, funziona abbastanza bene per il suo scopo. Considerando il numero di dipendenti che ci lavoravano full time non è niente di che. Ma il software non è la parte importante, sono molto meglio i RAT [Remote Access Tools]. Quello che forniscono è un pacchetto point-and-click e un supporto tecnico. Così i dittatori del cazzo che sanno a malapena accendere un computer possono spiare e hackerare i loro oppositori.

**Sì, è il modo in cui *Citizen Lab* vedeva il software. L'agenzia di intelligence etiope INSA non era molto brava a cancellare le sue tracce.**

Sì, leggendo le email del supporto clienti si capisce quanto facessero schifo col computer. Voglio dire, INSA, paga un corso di informatica a qualcuno dei tuoi impiegati o qualcosa del genere…

Ottimo consiglio! Qual è la cosa più divertente che hai trovato?

Mientras tanto en la Embajada de Londres. Awkward…Dany Freire BJuly 11, 2015

[A tweet that reads "Meanwhile in the London Embassy" in Spanish, an apparent jab at WikiLeaks and Julian Assange, who's locked-up in the Ecuadorian Embassy in London]

Quindi queste compagnie di sorveglianza continuano a vendere i loro software ai dittatori, (anche dopo essere state hackerate); non c'è niente che la legge possa fare per fermarli?

Sono un po' confuso dalla questione. Non sono sicuro che le persone che scrivono le leggi abbiano qualche interesse a fermare chi lavora per rinforzare il loro potere.

Mi sembra giusto.

Forse ti riferisci alla frase di Citizen Lab dove si parla di governi "buoni" e governi "cattivi", dove quelli buoni dovrebbero distogliere i cattivi dall'uso di programmi usati da tutti?

Intendevo la differenza tra "regimi autoritari" e governi "democratici".

La funzione essenziale della legge è la stessa, dappertutto. I clienti di FinFisher e Hacking Team sono stati individuati in Bahrain, Ecuador, Messico, Etiopia eccetera… Le vittime erano tutti giornalisti investigativi, dissidenti, oppositori politici, mai dei criminali "standard".

La stragrande maggioranza delle risorse dei governi è dedicata al controllo delle minacce, anche nei governi per così dire democratici. Prima che tutto fosse archiviato su hard disk, che è possibile forzare comodamente in pigiama, gli archivi dovevano essere violati fisicamente.

Ma quando la commissione di cittadini che investigava sull'FBI è entrata nei loro uffici ha trovato, secondo l'analisi dei documenti: 1 percento per il crimine organizzato, per lo più talpe; 30 percento "manuali, questioni di routine e materia procedurale"; 40 percento per la sorveglianza politica, inclusi due casi che riguardavano l'estrema destra, dieci gli immigrati, e più di 200 i gruppi liberali di sinistra.

Un altro 14 percento circa dei documenti ha a che fare con i casi di resistenza alla coscrizione o diserzione. I restanti documenti, invece, riguardano rapine in banca, omicidi, stupri e casi di furto interstatali. I casi di diserzione o di abbandono dell'esercito non vorrei includerli tra i "veri" crimini, ma piuttosto considerarli una forma di minaccia (resistenza) alle persone in comando. Diciamo al 70 percento fatti politici e al 30 percento crimini. La differenza tra i regimi autoritari e quelli cosiddetti "deomocratici" è che i clienti di Hacking Team sono usi a incarcerare, torturare e uccidere gli oppositori, laddove i "democratici" conoscono soluzioni più gentili per gestire il dissenso.

Credo che prendendo i leak di Snowden e la lista di clienti di Hacking Team, si scoprirebbe che i governi stanno fondamentalmente facendo la stessa cosa. Soldi e tecnologia, è tutto ciò che li separa.

Be', sì, la tendenza naturale di tutti coloro che hanno potere è volere più potere e controllo, e hanno bisogno di sorveglianza per questo.

Stavo pensando, cosa diresti a Eric Rabe? È l'addetto stampa di Hacking Team.

Be', sicuramente è molto bravo a tirare fuori la parte migliore di ogni situazione. Vale i soldi che chiede se ti ritrovi accusato di contribuire a violazioni di diritti umani e hai bisogno di qualcuno per le relazioni con il pubblico.

Mi chiedo anche che faccia abbia l'ufficio stampa di Lockhee Martin.

Lockheed Martin fa solo i droni usati da qualcun altro per uccidere delle persone che appaiono su una lista scritta ancora da qualcun altro. Hacking Team è solo uno degli step rimossi dal processo. Essere solo parte del problema ti risolve qualunque problema con il pubblico, no?

Sono sicuro che sia ciò che si dicono ogni notte. Un'ultima cosa prima che tu vada, se non ti dispiace. Come posso essere sicuro che tu sia Phineas Fisher?

Non puoi. Siamo tutti Phineas Fisher. È un nome un po' stupido, comunque, il primo gioco di parole che mi è venuto in mente pensando a FinFisher. Dovrei trovarne un altro.

Sì, dovresti. Qualcosa di fiero, tipo "Laser Tiger."
Serve qualcosa di più cyber.
"Hacking Team Hacked Again By Infamous Laser Tig3r". Ok, dai. Grazie mille per aver trovato il tempo di parlare con me. Lo apprezzo. Anche il pupazzo ha lavorato stasera, ti piacerà.
Squadra Investigativa Cibernetica di VICE.

Mi piace.
A parte gli scherzi, nell'articolo di Motherboard su Variety Jones si continua a leggere "una fonte ha ottenuto indipendentemente accesso a," dove "una fonte ha ottenuto indipendentemente accesso a" è probabilmente un eufemismo per parlare di un hack illegale. Come posso essere pagato per fare questi lavori speciali di "giornalismo investigativo"?

Penso tu chieda un bel po' di Bitcoin. Prendi anche Dogecoin o Kanyecoin?

Bitcoin, Dogecoin, Faircoin. Ah, una roba divertente che dovresti includere nell'intervista: ho cominciato a muovere i primi passi nella scena hacking scrivendo un malware in visual basic grazie al gruppo ecclesiastico a cui andavo, quando mia madre mi ha iscritto alla scuola estiva di Visual Basic.

Wow, quindi possiamo ringraziamo la Chiesa? Grazie, è molto divertente.

Non c'è di che. Quando uscirò di prigione per colpa dell'hacking, invece che diventare un whitehat penso comincerò con la stand up comedy. Che dici?

Segui il tuo cuore, Phineas.