Vi presentiamo l`intervista a Raoul Chiesa, il

Non sono passato dall'altra parte della barricata
Intervista
Vi presentiamo l'intervista a Raoul Chiesa, il primo hacker
italiano. Ci parlera' della sua esperienza, delle tecniche che
usava per hacking. Sono cambiate o sono rimaste le stesse di un
tempo? Nell'intervista troverete anche indicazioni utili ai neofiti.
hakin9: All’inizio vorrei che ci parlassi di te,
della tua esperienza, come sei arrivato a questo punto? Quando hai cominciato la tua esperienza nell’hacking, che cosa ti ha ispirato?
Come sei diventato un guru per tutti gli hacker
italiani (e non solo)?
Raoul Chiesa: Ho iniziato nell’1986, quando avevo 13 anni. Ho iniziato perché giocavo
e usavo il Commodore 64 e Amiga 2000. A 13
anni ho violato il mio primo sistema informatico,
era la mia prima intrusione e ho capito che la
cosa mi piaceva, amavo imparare e scoprire. Tutto cio è andato avanti per una decina
di anni, sino al 1995. Mi chiedi perchè sono
diventato un guru per tutti gli hacker italiani
e non solo? Perché sono stato il primo hacker
in Italia arrestato per hacking ma nel contempo
non ho mai rubato, non ho danneggiato, dato
76
hakin9 Nº 6/2006
che il mio obiettivo era quello di imparare.
E, probabilmente, anche perché sono stato il
primo ad uscire alla scoperta. In questi anni
sono apparso in molte televisioni, sulla maggior
parte dei giornali cercando sempre di spiegare
chi è un hacker, che non è per forza quella
persona, quel criminale che vuole rubare il
numero della carta di credito. Lo facevo per
interrompere un po’ il cliché che c’è quando si
parla di hacking, specialmente con i giornalisti.
Oramai sono passati 20 anni, ed oggi ricopro
cariche istituzionali: sono nel comitato del
Board of Directors del CLUSIT, che è l’Associazione Italiana per la Sicurezza Informatica,
sono in ISECOM, sono in OWASP ed, infine, in
Telecom Security Task Force (TSTF.net). Negli
ultimi anni ho rappresentato queste istituzioni
nei principali eventi (security, underground ed
hacking) a livello mondiale, e credo che ai miei
concittadini italiani ed anche agli amici esteri
faccia comunque piacere avere una persona
come me che è sopra le parti. Il mio approccio
è vendor-independent e neutral, motivo per il
quali non spingerò mai brand del settore – IBM,
Cisco, HP che dir si voglia – ma mi pongo ad
livello superiore di analisi. Se uno dei vendor,
dei costruttori, compie degli errori, è nostro
compito individuarli e segnalarli, scindendo
però la parte commerciale da tutto ciò.
www.hakin9.org
Intervista a Raoul Chiesa
hakin9: Potresti dirci dell’esperienza dell’intrusione
nel sistema della Banca d’Italia? Quali motivi ti hanno
dato la spinta a farlo? Che cosa hai sentito superando il
confine fino a quel momento non oltrepassato da altri?
Raoul Chiesa: Quando ho violato il sistema informatico della Banca d’Italia avevo 21 anni. Cosa mi ha spinto
a farlo? È successo assolutamente per caso, dato che in
quel periodo della mia vita facevo hacking su reti x25 e non
tanto su Internet, dato che Internet in Italia è arrivato negli
anni 1994-1995 e non era così diffuso. Era infatti abbastanza problematico, per noi italiani, utilizzare Internet nel
nostro paese. Tornando a noi, una sera, fra le tante intrusioni che facevo, ho visto che c’era bankitalia.it. Ho pensato: hmm…strano, proviamo che sistema ci risponde. Mi
rispose il mailserver di Bankitalia, che era un IBM AX 3.2
e la 3.2 ha avuto una vulnerabilità per cui scrivendo rlogin
–f root ci si ritrovava con una shell di root sul sistema…non
c’erano per cui exploit o attacchi particolari e io mi ritrovai
sul sistema di posta elettronica della Banca d’Italia con
utenza root. C'ero io e una seconda persona, un mio amico di Venezia, e decidemmo di lanciare un segnale alla
Banca d’Italia, spiegare come il sistema non fosse sicuro.
In effetti, negli anni 1994-95 in Italia la security non esisteva. Cosa ho provato ? Ho pensato: Cavolo! Siamo sul
sistema del Banca d’Italia, ed adesso? And so what?
Come già detto, non abbiamo danneggiato assolutamente nulla nel sistema. Quello che abbiamo voluto fare
era stato cambiare il banner spiegando che il sistema
non era sicuro. E spiegando che, se una volta il potere
era rappresentato dai soldi o dalle armi (parlo del potere
degli stati) oggi, nel 1995, volevamo spiegare al paese
Italia che il potere era l’informazione, se hai l’informazione, hai il potere. E quello che ripetono oggi, a una decina
d’anni di distanza – Information is the power. Però noi lo
dicevamo già nel 1995. Dell’intrusione in Banca d’Italia in
realtà non amo parlarne perché mi spiace per la Banca
d’Italia stessa, nel senso che ancora oggi ogni volta che
i giornalisti mi intervistano, la domanda torna su questa
storia, oramai vecchia di 11 anni: erano tempi diversi, io
ero diverso, la sicurezza in Italia era diversa...
hakin9: La tecnologia oggi è cambiata, e di conseguenza è cambiato il modo di fare hacking? Se sì in che cosa?
Raoul Chiesa: La risposta è si e la risposta è no. Mi
spiego, è vero che le tecnologie cambiano ogni giorno,
di continuo. Dieci anni fa o cinque anni fa non si faceva
l’hacking su wireless, non si faceva l’hacking via Bluetooth
o utilizzando una 2 Mbit/s DSL da casa propria. Quando io
facevo hacking uscivamo da 300 byte, 1200 o 2400 quando si esagerava ! Ma a parte questo, secondo me le cose
sono rimaste uguali. Voglio dire, come sai, oggi di mestiere
mi occupo di penetration testing professionale, eseguiamo
tantissimi pen-test ogni mese, parliamo di 15-20 pentest/mese (le altre società in Italia ne fanno una media di
1, 2 o 3 al mese, non penso di più) e quello che vediamo
quando facciamo i test di intrusione è che problemi sono
gli stessi di 10 anni fa: no password agli utenti, i system
administrator che si dimenticano degli account di prova
www.hakin9.org
e così via. Sono le stesse problematiche di allora, certo,
cambiano le tecnologie, ma l’approccio che si usa, il modo
di attaccare, la metodologia usata restano identiche.
hakin9: Come si passa dall’altra parte della barricata? Come si può, avendo le conoscenze, adoperarle per il
bene collaborando per esempio con il Transcrime?
Raoul Chiesa: Anzitutto io non amo che mi si definisca come uno che ha passato dall'altra parte della
barricata. Mi spiego, continuo ad essere la persona che
ero, continuo a fare intrusioni, ma la differenza è che oggi
siamo autorizzati e pagati per farlo. Però la mia passione
è scoprire le falle nei sistemi informativi, è scoprire le vulnerabilità e spiegarlo all’amministratore del sistema.
Credo di aver avuto una enorme fortuna nell’inventarmi
un lavoro che nel mio paese, allora, non esisteva. Sono
stato il primo ethical hacker italiano, perché ho importato
in Italia una professione che mancava. Riguardo al fare del
bene, secondo me un ethical hacker è uno che fa del bene. E’ vero che collaboro con il Transcrime, collaboro con
l’Unicri (www.unicri.it) che è una divisione delle Nazioni
Unite, collaboro con CLUSIT, sono tante le istituzioni alle
quali fornisco la mia esperienza. Credo che questo sia corretto, nel senso che comunque sono sempre stato contro
l’hacking inteso come criminalità. Se fai hacking per soldi,
per comodità personale, stai oltrepassando la barriera tra
il bene e il male. Io non l’ho fatto mai e mai lo farò.
hakin9: Un altro progetto a cui hai contribuito con la
tua esperienza è l’Hackers Profiling Project. Come è nata
l’idea, quali sono i fini e gli obiettivi?
Raoul Chiesa: Hackers Profiling Project (HPP) è un
progetto che amo assolutamente. È iniziato tre anni fa,
direi decisamente per caso. Per caso vuol dire che, da alcuni anni, sono un insegnante ad un Master in criminologia
per le Nazioni Unite, insegno lì da quattro anni. Tre anni fa
c’era una studentessa, tra i tanti partecipanti, che vedevo
essere interessata sul serio a capire il mondo di hacker. Ho
iniziato a darle le letture, dei libri da studiare sull’hacking,
libri come Underground, The Cuckoo’s Egg, ecc.
Lei ha iniziato a scrivere degli appunti di ricerca e me li ha
fatti vedere. Ho risposto: Stefania, è bellissimo! Secondo me
ci sono le basi per iniziare a fare qualcosa di diverso. Nel frattempo io mi sono innamorato del criminal profiling, prendendo anche spunto da serial come CSI dove gli analisti, da un
capello sulla scena del crimine, possono arrivare a tracciare
il profilo dell’assassino. Il criminal profiling è una scienza per
fare il profilo dei criminali ed io ho pensato che ci fossero forti
analogie tra il criminal profiling ed il profiling degli hackers.
Abbiamo iniziato a cercare su Internet, ma non c’era assolutamente nulla del genere, così come l’avevamo in mente
noi. C’erano alcune ricerche ma erano fatte solo dal punto
di vista del criminologo o del tecnico. Ti do un esempio: Honeynet project – www.honeynet.org – uno stupendo progetto
e molto bello. In parte può aiutare a capire come fa l’attaccante, ma ti spiega solo come l’ha fatto, non perché l’ha fatto
e quali sono le motivazioni che l’hanno spinto. Quello che
noi stiamo facendo con HPP è di scrivere una metodologia
che sarà opensource e free . È già un progetto ISECOM, se
hakin9 Nº 6/2006
77
Intervista
vai su www.isecom.org vedrai che HPP è tra i nuovi progetti
del nostro Istituto. Come funziona questa ricerca? Vogliamo
arrivare a far sì che, se sei stato attaccato, si sia in grado - dai
log, dalle evidence, ecc - di restituire il profilo dell’attaccante
- se era uno dalla Romania di 16-18 anni che voleva fare una
frode di denaro, se era un ricercatore che ha scoperto una
vulnerabilità o, ancora, se era una spia industriale. Crediamo
che sia importante perché oggi i clienti che spendono tantissimo denaro per le infrastrutture di sicurezza perimetrale ma
nonostante ciò non sanno chi li attacca: se è un ragazzino di
14 anni che sta solo giocando o un esperto di 30-40 anni che
è pagato da qualcuno per fare spionaggio industriale. Ecco
quali sono gli obiettivi di HPP. Vi è poi un ultimo obiettivo,
che è molto più umano. Abbiamo iniziato a fare HPP perché
ci siamo stancati di vedere come la stampa e i massmedia
descrivono un hacker, con i soliti cliché: ogni hacker secondo
loro è grasso, brutto, con gli occhiali e sfigato con le donne.
Guardami, io sono una persona che ama comunicare, non
sono un nerd. Vogliamo distruggere questi clichè che ci sono sulla figura l’hacker. E ti voglio dire che dopo due anni di
ricerca abbiamo visto che gli hacker sono invece persone
estremamente brillanti, intelligenti e creative. Sicuramente
amano diffondere e condividere le informazioni.
hakin9: Cosa intendi sotto l’espressione ethical hacker?
Raoul Chiesa: Ethical hacker per me, in una parola
è quella persona che è un hacker nel senso originale,
qualcuno che ama la tecnologia, ama scoprire le falle di
sicurezza o cercarle e studiarle, e che ha deciso di non
utilizzarle a fin di male. Quello che fa ha fini positivi, e lo
fa per aiutare la comunità internazionale.
hakin9: Cosa consigli ai neofiti interessati, cosa dovrebbero studiare? Hai forse qualche indicazione per tutti
gli hacker che cominciano soltanto le loro esperienze?
Raoul Chiesa: Le mie risposte sono almeno due. La
prima – trova un mentor. Il mentor è un insegnante, ma
non è un insegnante come in una scuola. E’ quel qualcuno che ti insegna on-line, un amico hacker più esperto.
A me è successo, e penso che ogni altro hacker che
intervisterai ti dirà che all’inizio ha avuto un mentor che
gli insegnava le basi, le logiche, gli approcci. La seconda
risposta che è la parola security, la parola che chiude
all’interno tantissime cose, tecnologie, terminologie
e approcci. Se parliamo di neofiti, forse un ottimo modo
per iniziare è ciò che faccio io, per cui l’ethical hacking
applicato alle verifiche di sicurezza ed ai penetration test.
Vi direi di iniziare da una metodologia che oggi è uno
standard mondiale e che si chiama OSSTMM, di capire
che fare l’hacking e fare verifica di security come mestiere sono cose completamente differenti. Non è un gioco,
è una cosa che infine può anche essere un pò noiosa
perché devi essere preciso, archiviare tutto, dimostrare le
tue scoperte e spiegarle nel dettaglio. Non puoi fare come quando eravamo piccoli si faceva l’hacking, poi però
mi annoio e sto a giocare. La terza cosa che io consiglio
è usare tantissimo quello che quando io ho iniziato non
c’era – Internet. Internet oggi è una fonte di informazioni
stupenda, infinita, utilissima per quelle persone che vo-
78
hakin9 Nº 6/2006
gliono capirne a fondo di sicurezza delle informazioni.
E uno può imparare a studiare comprando hakin9, andando su securityfocus.com, studiando l’OSSTMM o progetti come Hacker High School (hackerhighschool.org).
Quello che consiglio anche di non fare come ho fatto io,
è non andare a bucare i sistemi. Oggi si può organizzare
- a casa o a scuola - piccoli laboratori di attacco, e dai loro
PC imparare come si attacca un server XP, Sun Solaris,
HP/UX… perché nel nostro settore la pratica fa molto di più
della teoria. Un pò di teoria ci va, però siccome sono cose
che cambiano ogni giorno, ogni ora, ogni minuto, è bene
che ci sia una pratica continua. L’ultimo consiglio è che ci sia
la passione, se la passione non c’è, non imparerai mai.
hakin9: Quali sono secondo te gli hacker più creativi
e insidiosi del momento, sia black hat che white hat?
Raoul Chiesa: Allora, c’è un bel po' da dire. Diciamo
che i black hat, quindi quelli con le intenzioni veramente
criminali, sono dalla ex Unione Sovietica, dalla Romania,
perché sia la Russia, sia la Romania non hanno legislazioni
specifiche e dure contro il computer crime. Sono dei paesi
dove la situazione economica è triste, e per esempio ci sono
giovani ragazzi che prendono 5000 Euro per sfondare un
sistema e questa cifra basta magari loro per un anno, i loro
genitori li guadagnerebbero in molti mesi – o anni - di lavoro,
per cui è ovvio che lo fanno, accettano di sposare il male.
Come creatività, io osservo con molta attenzione il
Sudamerica, l’Argentina, il Brasile, dove ci sono alcune
società di security che stimo davvero, come ad esempio
i ragazzi di CORE.
Infine, mi sto compiacendo a vedere che in Europa
c’è molta unione tra i vari hacker, tra i ricercatori dei vari
paesi. Partecipando alle varie conferenze vedo che black
hat e white hat sono sempre negli stessi giri, comunità,
amicizie personali.
hakin9: Vorresti raccomandare ai nostri lettori qualche ultima novità dell’underground italiano ed europeo?
Sia in libreria, software ed eventi…
Raoul Chiesa: In merito alle librerie, mi faccio un pò di
autopromozione, nel senso che a gennaio usciremo con la
prima pubblicazione su cyber crime ed hackers profiling. Stiamo ancora decidendo il titolo finale, ma dovrebbe chiamarsi
Hackers Profiling ed uscirà grazie ad Apogeo Editore. Per il
pubblico italiano, parlando di eventi, a gennaio ci sarà Infosecurity Italia 2007. È un evento annuale, per noi un’occassione
per incontrarci. Non è un evento hacker, è un evento security,
ma anche dell’hacker nel senso bello del termine: parteciperà
OWASP Italia ed alcuni ospiti internazionali di alto livello.
Poi, nel 2007 ci sarà il 10° anniversario dell’Hack
Meeting italiano. Hack Meeting è un incontro veramente
di hacker, per hacker, da hacker e con hacker in Italia.
È un evento un pò politicizzato, parla molto di politica,
ma la mia speranza, il mio desiderio è che, alla decima
edizione, si cerchi un po' di far incontrare e di far sposare
quell’underground italiano e quel mercato dell’IT Security
dove ambedue hanno bisogno l'uno dell'altro.
hakin9: Grazie per l’intervista.
L'intervista di Łukasz Froncek
www.hakin9.org