Vi presentiamo l`intervista a Raoul Chiesa, il
Transcript
Vi presentiamo l`intervista a Raoul Chiesa, il
Non sono passato dall'altra parte della barricata Intervista Vi presentiamo l'intervista a Raoul Chiesa, il primo hacker italiano. Ci parlera' della sua esperienza, delle tecniche che usava per hacking. Sono cambiate o sono rimaste le stesse di un tempo? Nell'intervista troverete anche indicazioni utili ai neofiti. hakin9: All’inizio vorrei che ci parlassi di te, della tua esperienza, come sei arrivato a questo punto? Quando hai cominciato la tua esperienza nell’hacking, che cosa ti ha ispirato? Come sei diventato un guru per tutti gli hacker italiani (e non solo)? Raoul Chiesa: Ho iniziato nell’1986, quando avevo 13 anni. Ho iniziato perché giocavo e usavo il Commodore 64 e Amiga 2000. A 13 anni ho violato il mio primo sistema informatico, era la mia prima intrusione e ho capito che la cosa mi piaceva, amavo imparare e scoprire. Tutto cio è andato avanti per una decina di anni, sino al 1995. Mi chiedi perchè sono diventato un guru per tutti gli hacker italiani e non solo? Perché sono stato il primo hacker in Italia arrestato per hacking ma nel contempo non ho mai rubato, non ho danneggiato, dato 76 hakin9 Nº 6/2006 che il mio obiettivo era quello di imparare. E, probabilmente, anche perché sono stato il primo ad uscire alla scoperta. In questi anni sono apparso in molte televisioni, sulla maggior parte dei giornali cercando sempre di spiegare chi è un hacker, che non è per forza quella persona, quel criminale che vuole rubare il numero della carta di credito. Lo facevo per interrompere un po’ il cliché che c’è quando si parla di hacking, specialmente con i giornalisti. Oramai sono passati 20 anni, ed oggi ricopro cariche istituzionali: sono nel comitato del Board of Directors del CLUSIT, che è l’Associazione Italiana per la Sicurezza Informatica, sono in ISECOM, sono in OWASP ed, infine, in Telecom Security Task Force (TSTF.net). Negli ultimi anni ho rappresentato queste istituzioni nei principali eventi (security, underground ed hacking) a livello mondiale, e credo che ai miei concittadini italiani ed anche agli amici esteri faccia comunque piacere avere una persona come me che è sopra le parti. Il mio approccio è vendor-independent e neutral, motivo per il quali non spingerò mai brand del settore – IBM, Cisco, HP che dir si voglia – ma mi pongo ad livello superiore di analisi. Se uno dei vendor, dei costruttori, compie degli errori, è nostro compito individuarli e segnalarli, scindendo però la parte commerciale da tutto ciò. www.hakin9.org Intervista a Raoul Chiesa hakin9: Potresti dirci dell’esperienza dell’intrusione nel sistema della Banca d’Italia? Quali motivi ti hanno dato la spinta a farlo? Che cosa hai sentito superando il confine fino a quel momento non oltrepassato da altri? Raoul Chiesa: Quando ho violato il sistema informatico della Banca d’Italia avevo 21 anni. Cosa mi ha spinto a farlo? È successo assolutamente per caso, dato che in quel periodo della mia vita facevo hacking su reti x25 e non tanto su Internet, dato che Internet in Italia è arrivato negli anni 1994-1995 e non era così diffuso. Era infatti abbastanza problematico, per noi italiani, utilizzare Internet nel nostro paese. Tornando a noi, una sera, fra le tante intrusioni che facevo, ho visto che c’era bankitalia.it. Ho pensato: hmm…strano, proviamo che sistema ci risponde. Mi rispose il mailserver di Bankitalia, che era un IBM AX 3.2 e la 3.2 ha avuto una vulnerabilità per cui scrivendo rlogin –f root ci si ritrovava con una shell di root sul sistema…non c’erano per cui exploit o attacchi particolari e io mi ritrovai sul sistema di posta elettronica della Banca d’Italia con utenza root. C'ero io e una seconda persona, un mio amico di Venezia, e decidemmo di lanciare un segnale alla Banca d’Italia, spiegare come il sistema non fosse sicuro. In effetti, negli anni 1994-95 in Italia la security non esisteva. Cosa ho provato ? Ho pensato: Cavolo! Siamo sul sistema del Banca d’Italia, ed adesso? And so what? Come già detto, non abbiamo danneggiato assolutamente nulla nel sistema. Quello che abbiamo voluto fare era stato cambiare il banner spiegando che il sistema non era sicuro. E spiegando che, se una volta il potere era rappresentato dai soldi o dalle armi (parlo del potere degli stati) oggi, nel 1995, volevamo spiegare al paese Italia che il potere era l’informazione, se hai l’informazione, hai il potere. E quello che ripetono oggi, a una decina d’anni di distanza – Information is the power. Però noi lo dicevamo già nel 1995. Dell’intrusione in Banca d’Italia in realtà non amo parlarne perché mi spiace per la Banca d’Italia stessa, nel senso che ancora oggi ogni volta che i giornalisti mi intervistano, la domanda torna su questa storia, oramai vecchia di 11 anni: erano tempi diversi, io ero diverso, la sicurezza in Italia era diversa... hakin9: La tecnologia oggi è cambiata, e di conseguenza è cambiato il modo di fare hacking? Se sì in che cosa? Raoul Chiesa: La risposta è si e la risposta è no. Mi spiego, è vero che le tecnologie cambiano ogni giorno, di continuo. Dieci anni fa o cinque anni fa non si faceva l’hacking su wireless, non si faceva l’hacking via Bluetooth o utilizzando una 2 Mbit/s DSL da casa propria. Quando io facevo hacking uscivamo da 300 byte, 1200 o 2400 quando si esagerava ! Ma a parte questo, secondo me le cose sono rimaste uguali. Voglio dire, come sai, oggi di mestiere mi occupo di penetration testing professionale, eseguiamo tantissimi pen-test ogni mese, parliamo di 15-20 pentest/mese (le altre società in Italia ne fanno una media di 1, 2 o 3 al mese, non penso di più) e quello che vediamo quando facciamo i test di intrusione è che problemi sono gli stessi di 10 anni fa: no password agli utenti, i system administrator che si dimenticano degli account di prova www.hakin9.org e così via. Sono le stesse problematiche di allora, certo, cambiano le tecnologie, ma l’approccio che si usa, il modo di attaccare, la metodologia usata restano identiche. hakin9: Come si passa dall’altra parte della barricata? Come si può, avendo le conoscenze, adoperarle per il bene collaborando per esempio con il Transcrime? Raoul Chiesa: Anzitutto io non amo che mi si definisca come uno che ha passato dall'altra parte della barricata. Mi spiego, continuo ad essere la persona che ero, continuo a fare intrusioni, ma la differenza è che oggi siamo autorizzati e pagati per farlo. Però la mia passione è scoprire le falle nei sistemi informativi, è scoprire le vulnerabilità e spiegarlo all’amministratore del sistema. Credo di aver avuto una enorme fortuna nell’inventarmi un lavoro che nel mio paese, allora, non esisteva. Sono stato il primo ethical hacker italiano, perché ho importato in Italia una professione che mancava. Riguardo al fare del bene, secondo me un ethical hacker è uno che fa del bene. E’ vero che collaboro con il Transcrime, collaboro con l’Unicri (www.unicri.it) che è una divisione delle Nazioni Unite, collaboro con CLUSIT, sono tante le istituzioni alle quali fornisco la mia esperienza. Credo che questo sia corretto, nel senso che comunque sono sempre stato contro l’hacking inteso come criminalità. Se fai hacking per soldi, per comodità personale, stai oltrepassando la barriera tra il bene e il male. Io non l’ho fatto mai e mai lo farò. hakin9: Un altro progetto a cui hai contribuito con la tua esperienza è l’Hackers Profiling Project. Come è nata l’idea, quali sono i fini e gli obiettivi? Raoul Chiesa: Hackers Profiling Project (HPP) è un progetto che amo assolutamente. È iniziato tre anni fa, direi decisamente per caso. Per caso vuol dire che, da alcuni anni, sono un insegnante ad un Master in criminologia per le Nazioni Unite, insegno lì da quattro anni. Tre anni fa c’era una studentessa, tra i tanti partecipanti, che vedevo essere interessata sul serio a capire il mondo di hacker. Ho iniziato a darle le letture, dei libri da studiare sull’hacking, libri come Underground, The Cuckoo’s Egg, ecc. Lei ha iniziato a scrivere degli appunti di ricerca e me li ha fatti vedere. Ho risposto: Stefania, è bellissimo! Secondo me ci sono le basi per iniziare a fare qualcosa di diverso. Nel frattempo io mi sono innamorato del criminal profiling, prendendo anche spunto da serial come CSI dove gli analisti, da un capello sulla scena del crimine, possono arrivare a tracciare il profilo dell’assassino. Il criminal profiling è una scienza per fare il profilo dei criminali ed io ho pensato che ci fossero forti analogie tra il criminal profiling ed il profiling degli hackers. Abbiamo iniziato a cercare su Internet, ma non c’era assolutamente nulla del genere, così come l’avevamo in mente noi. C’erano alcune ricerche ma erano fatte solo dal punto di vista del criminologo o del tecnico. Ti do un esempio: Honeynet project – www.honeynet.org – uno stupendo progetto e molto bello. In parte può aiutare a capire come fa l’attaccante, ma ti spiega solo come l’ha fatto, non perché l’ha fatto e quali sono le motivazioni che l’hanno spinto. Quello che noi stiamo facendo con HPP è di scrivere una metodologia che sarà opensource e free . È già un progetto ISECOM, se hakin9 Nº 6/2006 77 Intervista vai su www.isecom.org vedrai che HPP è tra i nuovi progetti del nostro Istituto. Come funziona questa ricerca? Vogliamo arrivare a far sì che, se sei stato attaccato, si sia in grado - dai log, dalle evidence, ecc - di restituire il profilo dell’attaccante - se era uno dalla Romania di 16-18 anni che voleva fare una frode di denaro, se era un ricercatore che ha scoperto una vulnerabilità o, ancora, se era una spia industriale. Crediamo che sia importante perché oggi i clienti che spendono tantissimo denaro per le infrastrutture di sicurezza perimetrale ma nonostante ciò non sanno chi li attacca: se è un ragazzino di 14 anni che sta solo giocando o un esperto di 30-40 anni che è pagato da qualcuno per fare spionaggio industriale. Ecco quali sono gli obiettivi di HPP. Vi è poi un ultimo obiettivo, che è molto più umano. Abbiamo iniziato a fare HPP perché ci siamo stancati di vedere come la stampa e i massmedia descrivono un hacker, con i soliti cliché: ogni hacker secondo loro è grasso, brutto, con gli occhiali e sfigato con le donne. Guardami, io sono una persona che ama comunicare, non sono un nerd. Vogliamo distruggere questi clichè che ci sono sulla figura l’hacker. E ti voglio dire che dopo due anni di ricerca abbiamo visto che gli hacker sono invece persone estremamente brillanti, intelligenti e creative. Sicuramente amano diffondere e condividere le informazioni. hakin9: Cosa intendi sotto l’espressione ethical hacker? Raoul Chiesa: Ethical hacker per me, in una parola è quella persona che è un hacker nel senso originale, qualcuno che ama la tecnologia, ama scoprire le falle di sicurezza o cercarle e studiarle, e che ha deciso di non utilizzarle a fin di male. Quello che fa ha fini positivi, e lo fa per aiutare la comunità internazionale. hakin9: Cosa consigli ai neofiti interessati, cosa dovrebbero studiare? Hai forse qualche indicazione per tutti gli hacker che cominciano soltanto le loro esperienze? Raoul Chiesa: Le mie risposte sono almeno due. La prima – trova un mentor. Il mentor è un insegnante, ma non è un insegnante come in una scuola. E’ quel qualcuno che ti insegna on-line, un amico hacker più esperto. A me è successo, e penso che ogni altro hacker che intervisterai ti dirà che all’inizio ha avuto un mentor che gli insegnava le basi, le logiche, gli approcci. La seconda risposta che è la parola security, la parola che chiude all’interno tantissime cose, tecnologie, terminologie e approcci. Se parliamo di neofiti, forse un ottimo modo per iniziare è ciò che faccio io, per cui l’ethical hacking applicato alle verifiche di sicurezza ed ai penetration test. Vi direi di iniziare da una metodologia che oggi è uno standard mondiale e che si chiama OSSTMM, di capire che fare l’hacking e fare verifica di security come mestiere sono cose completamente differenti. Non è un gioco, è una cosa che infine può anche essere un pò noiosa perché devi essere preciso, archiviare tutto, dimostrare le tue scoperte e spiegarle nel dettaglio. Non puoi fare come quando eravamo piccoli si faceva l’hacking, poi però mi annoio e sto a giocare. La terza cosa che io consiglio è usare tantissimo quello che quando io ho iniziato non c’era – Internet. Internet oggi è una fonte di informazioni stupenda, infinita, utilissima per quelle persone che vo- 78 hakin9 Nº 6/2006 gliono capirne a fondo di sicurezza delle informazioni. E uno può imparare a studiare comprando hakin9, andando su securityfocus.com, studiando l’OSSTMM o progetti come Hacker High School (hackerhighschool.org). Quello che consiglio anche di non fare come ho fatto io, è non andare a bucare i sistemi. Oggi si può organizzare - a casa o a scuola - piccoli laboratori di attacco, e dai loro PC imparare come si attacca un server XP, Sun Solaris, HP/UX… perché nel nostro settore la pratica fa molto di più della teoria. Un pò di teoria ci va, però siccome sono cose che cambiano ogni giorno, ogni ora, ogni minuto, è bene che ci sia una pratica continua. L’ultimo consiglio è che ci sia la passione, se la passione non c’è, non imparerai mai. hakin9: Quali sono secondo te gli hacker più creativi e insidiosi del momento, sia black hat che white hat? Raoul Chiesa: Allora, c’è un bel po' da dire. Diciamo che i black hat, quindi quelli con le intenzioni veramente criminali, sono dalla ex Unione Sovietica, dalla Romania, perché sia la Russia, sia la Romania non hanno legislazioni specifiche e dure contro il computer crime. Sono dei paesi dove la situazione economica è triste, e per esempio ci sono giovani ragazzi che prendono 5000 Euro per sfondare un sistema e questa cifra basta magari loro per un anno, i loro genitori li guadagnerebbero in molti mesi – o anni - di lavoro, per cui è ovvio che lo fanno, accettano di sposare il male. Come creatività, io osservo con molta attenzione il Sudamerica, l’Argentina, il Brasile, dove ci sono alcune società di security che stimo davvero, come ad esempio i ragazzi di CORE. Infine, mi sto compiacendo a vedere che in Europa c’è molta unione tra i vari hacker, tra i ricercatori dei vari paesi. Partecipando alle varie conferenze vedo che black hat e white hat sono sempre negli stessi giri, comunità, amicizie personali. hakin9: Vorresti raccomandare ai nostri lettori qualche ultima novità dell’underground italiano ed europeo? Sia in libreria, software ed eventi… Raoul Chiesa: In merito alle librerie, mi faccio un pò di autopromozione, nel senso che a gennaio usciremo con la prima pubblicazione su cyber crime ed hackers profiling. Stiamo ancora decidendo il titolo finale, ma dovrebbe chiamarsi Hackers Profiling ed uscirà grazie ad Apogeo Editore. Per il pubblico italiano, parlando di eventi, a gennaio ci sarà Infosecurity Italia 2007. È un evento annuale, per noi un’occassione per incontrarci. Non è un evento hacker, è un evento security, ma anche dell’hacker nel senso bello del termine: parteciperà OWASP Italia ed alcuni ospiti internazionali di alto livello. Poi, nel 2007 ci sarà il 10° anniversario dell’Hack Meeting italiano. Hack Meeting è un incontro veramente di hacker, per hacker, da hacker e con hacker in Italia. È un evento un pò politicizzato, parla molto di politica, ma la mia speranza, il mio desiderio è che, alla decima edizione, si cerchi un po' di far incontrare e di far sposare quell’underground italiano e quel mercato dell’IT Security dove ambedue hanno bisogno l'uno dell'altro. hakin9: Grazie per l’intervista. L'intervista di Łukasz Froncek www.hakin9.org