GRAZIE A TUTTI
Non me lo sarei mai aspettato. E' vero che in casa si gioca sempre meglio, ma è altrettanto vero che tenere banco a circa quaranta persone per oltre due ore non è cosa da poco.
In realtà non c'era niente di preparato, solo una traccia, il libro "Le Tigri di Telecom" e un ospite illustre, Stefano Chiccarelli, un amico che ha il dono di guardare oltre, oltre la questione ideologica, gli eventi mediatici e le storie individuali.

Ed è sua l'introduzione al tema della serata: suggestiva, quasi border-line rispetto al tema trattato. La comunità hacker, forte della sua identità ritrovata grazie al boom della Security negli anni 2000, si trova ora smembrata, ferita e distrutta da uno scandalo mediatico che alla fine ha coinvolte professionisti, smanettoni, comunità underground, iniziative e tutto ciò che cominciava finalmente a "muoversi" attorno all'ideale dell'hacking.
Attenzione. La comunità esiste ancora, è solo frammentata in miriadi di gruppi autonomi che, con molta probabilità, ritroveranno una loro via e magari si occuperanno di ricostruire ciò che ora non esiste più: la fiducia nelle loro possibilità.
Analizzando le origini della vicenda però non può sfuggire un particolare significativo. Alla fine gli hacker coinvolti nella vicenda Telecom erano ragazzotti affiliati ad alcuni personaggi venuti dal nulla, personaggi che si vantavano un passato nella comunità underground, personaggi che forse dovevano la loro posizione più ad un pregresso vicino alle istituzioni che alle libere iniziative tipiche dell'underground digitale.
In pratica la solita storia: giovani ragazzi che vengono usati dal potere per interessi più grandi di loro, ma stavolta con un'intenzionalità più determinata e incosciente, al punto da diventare la prova vivente dell'esistenza di un mostro chiamato spionaggio industriale.

Sull'introduzione di Stefano Chiccarelli si è quindi centrata la successiva discussione: perchè questa aggregazione di giovani hacker? Quali erano i doveri e le ossessioni della nuova sicurezza aziendale? Cosa è accaduto in Brasile durante la guerra tra Daniel Dantas e Tronchetti Provera? E, soprattutto, perchè l'inchiesta si è incardinata ed è evoluta secondo uno schema mediatico eccessivamente "strutturato"?
Rispondendo a queste domande è stata ripercorsa l'intera vicenda, affrontando un contesto che, a detta di tutti i presenti, sembra essere così complesso e intrecciato da essere difficile da contenere in un'unica sessione. Molti dubbi sono infatti rimasti ancora aperti, a partire dall'attacco a RCS, fino alla questione delle nuove minacce informatiche che le istituzioni si sono trovate ad affrontare nel lontano 2001.
Appuntamento quindi a settembre per riprendere un argomento che, nonostante le aspettative, sembra essere ancora di estremo interesse, proprio a causa della confusione che in passato è stata generata dai media.

Nel frattempo invito coloro che non hanno partecipato a leggere le impressioni della stampa locale su il Tabloid e L'Agone.
Per quelli che c'erano invece un ringraziamento speciale: per l'attenzione dimostrata, per l'interesse ad un tema così complesso e, soprattutto, per aver reso queste due ore "vive" e piacevoli per tutti, me compreso.

Evento Anguillara Sabazia ore 20:00
E' confermato, alle ore 20:00 del 26 giugno 2009 presso la libreria DOM in Via Arturo Toscanini, 2 di Anguillara Sabazia ci sarà la presentazione del libro "Le Tigri di Telecom" che avrà come ospite d'onore Stefano Chiccarelli, fondatore dell'associazioen culturale Metro Olografix, nonchè co-autore del riuscitissimo Spaghetti Hacker edito da Apogeo.
Per l'occasione si parlerà della "storia mediatica" del caso Telecom, delle sue vicissitudini intestine, che si intrecciano anche con le storie personali di chi operava dentro e fuori Telecom, ed infine della storia generale del'evoluzione della sicurezza informatica: riflessioni sul perchè è capitato tutto questo e dove ci ha effettivamente portati...
Tra le varie chiacchiere qualche illuminazione, anche per i non tecnici, di ciò che è accaduto veramente, cosa è stato montato dalla stampa e cosa ne è rimasto a tre anni dai clamorosi arresti dell'estate del 2006.
Vi aspettiamo numerosi!!!

Presentazione Libreria DOM
Ci siamo, la prima presentazione "seria" è alle porte. Dopo radio, qualche spot televisivo e qualche presentazione breve presso eventi più o meno mondani ecco una presentazione tutta mia, e la prima non può che essere ad Anguillara Sabazia, il luogo dove vivo (tanto lo sanno tutti ormai).
Ci abbiamo lavorato un po' sopra, sicuramente abbiamo creato qualcosa di più interattivo, con proiezioni "guida" per affrontare gli argomenti più ostici e forse qualche pezzo audio-video per caratterizzare meglio il contesto e i personaggi che hanno animato l'intera vicenda.
Per ora c'è solo la data: venerdì prossimo 26 giugno 2009 presso la libreria DOM di Via Arturo Toscanini, 2 (Anguillara Sabazia).
A breve avremo anche orari e programma definitivo... nel frattempo... accorrete numerosi!!!

Dove sono finiti i miei dati personali?
Finalmente sono riuscito a riavere la mia vecchia rubrica telefonica. No, non mi hanno ancora restituito niente (si, sono passati ormai 3 anni, i miei CD musicali ancora non li ho riavuti indietro), però frugando tra gli atti qualcosa di buono esce sempre fuori.
Tra relazioni, profili, idee e altro, la procura ha deciso di analizzare anche il mio cellulare, riportando su un documento tutta la mia rubrica, il contenuto di tutti i miei SMS e, infine, le fotografie delle mie figlie, delle vacanze, di amici, ecc. ecc.
Lì per lì ci sono rimasto male. L'intero fascicolo è infatti accessibile già da tempo e credo sia a disposizione di tutti i soggetti individuati come persone offese, ossia circa 4000 persone nella cancelleria del GUP.
Vedere le foto delle mie figlie o gli SMS affettuosi così in prima pagina mi ha fatto un po' pensare. Possibile che il Garante della Privacy si sbatta così tanto per proteggere i dati personali di qualcuno, poi quando sei imputato non gliene importa più a nessuno?
L'avvocato mi ha fatto poi ragionare. Effettivamente per una corretta gestione di un processo devono esserci tutti, tutti gli atti compiuti nella fase delle indagini preliminari. Alcuni di questi potrebbero infatti essere utili a sostenere l'accusa, altri per la difesa e ci devono essere a garanzia che non esistano dati o informazioni occultate da parte della Procura.
Riguardo al fastidio causato dalla pubblicazione ha comunque ragione Beccaria, il quale scriveva che il processo in sè, il subirlo, è già di per sè una pena inflitta.
E poi vuoi mettere... avere i fatti proprio pubblici come i personaggi famosi!

Impara a patteggiar...
Si susseguono le udienze per il caso Telecom-Sismi e l'immancabile articolo del Corriere ci tiene informati sullo stato di avanzamento del maxi-processo (o almeno di quello che ne rimane).
Stavolta si parla di strategie processuali e patteggiamenti di massa, complici i risultati della Consulta in materia di intercettazioni illegali e la richiesta di patteggiamento da parte di quattro dei 36 imputati.
L'articolo pone subito l'attenzione sul fatto che "molti imputati scommettono sul slavagente-prescrizione". In pratica, essendo particolarmente certa una pena sostanziosa, gli imputati hanno capito di avere come unica possibilità quella di tirarla per le lunghe.
Poi avviene l'irreparabile, ossia il GUP Mariolina Panasiti decide di non sospendere il processo per capire nel frattempo cosa voglia fare veramente la Consulta, quindi gli imputati tremano e cercano di salvarsi attraverso un patteggiamento strategico, "anche da chi in teoria riterrebbe di avere chance di difesa almeno su alcune imputazioni". Di nuovo, la gente patteggia perchè ha paura, perchè alla fine conviene sfruttare questa occasione sia per motivi psicologici, ma soprattutto economici, e questo anche nel caso in cui, effettivamente, tutte quelle schifezze poi non le aveva neanche toccate.
Il Corriere snocciola quindi i numeri del toto-patteggiamenti: tre, quattro, due, anni di reclusione che non farà nessuno in virtù di attenuanti, indulti e carcerazioni preventive. Poi qualche migliaio di euro di risarcimento e fine dei giochi.

Nonostante alla fine l'immagine complessiva sia corretta (ossia che il patteggiamento è la panacea di tutti i mali), ci sono però alcuni punti che non tornano nella realtà dei fatti e che forse vale bene ricordare prima che diventino la "vera" storia di un caso complesso e già brutalmente strattonato tra verità e mediaticità.
Primo punto: nonostante per molti la prescrizione possa essere effettivamente un salvagente, non è stata la decisione del GUP a far spaventare tutti e decidere per altre strade.
La verità è che la richiesta di sospensione del processo avrebbe impattato anche sulla sospensione della prescrizione, quindi i tempi si sarebbero allungati, magari aiutando l'effetto "il tempo aggiusta tutto", ma niente più. Quindi l'avvenimento, nonostante per il Corriere sia il motivo del patteggiamento di massa, non ha influito mai sull'andamento del processo.
Al contrario i patteggiamenti sul tavolo non erano poi così inaspettati: uno di questi è il "pentito" del Tiger Team, colui grazie al quale l'inchiesta informatica ha avuto finalmente la svolta che si aspettava. Un altro si trovava con me nel carcere di Monza, ma ospite della sezione che nel gergo carcerario viene chiamata degli "infami" (si legga il libro per saperne di più). Immagino, quindi, che anche gli altri un paio di conti se li erano già fatti sin dall'inizio.
Probabilmente patteggeranno molti altri, almeno una volta che sarà chiaro l'esito dell'unica vera chance di questa udienza preliminare, ossia l'incidente probatorio tra Ghioni, Bernardini e Cipriani. Perchè sarà così importante? Probabilmente perchè da li' si capirà chi faceva parte della "cupola" dell'associazione a delinquere e chi no, e di conseguenza quanto in salita o in discesa potrà essere la via del patteggiamento.
Perchè l'occasione del patteggiamento è veramente ghiotta. tornando ad esempio al ragazzo prodigio del Tiger Team, nonostante abbia sulla propria testa un'associazione a delinquere e più di una cinquantina di intrusioni informatiche e intercettazioni abusive, se la cava con 2 anni di reclusione (che non farà mai) e diecimila euro di multa (un'iniezia).
Quindi, come dice il Corriere, "lo sconto del patteggiamento torna interessante, convivere con un processo appare un peso e un lusso (per le ingenti spese legali)". E io non posso che essere d'accordo...
Qualcuno dirà che comunque incombe su tutti il peso dei risarcimenti civili, che confrontato con il numero di parti costituite potrebbe diventare un vero salasso a vita.
Falso. Il "ponte d'oro" del patteggiamento (così l'ha definito il mio avvocato), pensa anche a questo, impedendo che la scelta abbia rilevanza per un eventuale risarcimento in sede civile. Si è vero, il reo deve comunque rifondere le spese legali per la costituzione di parte civile, ma in pratica, se le parti lese vogliono qualcosa di più cospicuo devono avviare una causa a parte e non possono neanche usare il patteggiamento come elemento per favorire una condanna.
Un'ulteriore sforzo che vale la pena solo se parliamo di presunte ricchezze di fatto (esempio Telecom Italia e Pirelli), o di fama (esempio tutti gli indagati per appropriazione indebita). Comunque alla fine conviene che sia il processo a dire chi dovrà risarcire e non perdersi in migliaia di cause civili dall'esito incerto.

Mi viene in mente un intervento di Massimo Mucchetti all'Infedele di La7: parlando del probabile patteggiamento di Tavaroli disse "Se mi sento innocente, io vado fino in fondo perchè ho cinque figli, devo dimostrare a loro che il loro papà ha agito per bene e spiegare le cose. Se patteggia... sarebbe come mettere un coperchio".
Gad Lerner intervenne quindi con un'argomentazione tanto semplice quanto significativa: "o forse deve anche ricominciare a vivere"... nulla di più vero, e devo dire che, conoscendone le covenienze, un po' ci ho pensato anch'io...

Meglio cambiare mestiere...
Tempo fa abbiamo parlato del provvedimento del Garante riguardo alla qualificazione e al controllo dei cosiddetti "Amministratori di sistema".
Qualche giorno fa ho partecipato ad un seminario sull'argomento (so che non dovrei farlo, mi scuso con la comunità della sicurezza informatica, però l'argomento mi appassiona e mi piace tenermi informato). La prima parte del seminario è stata affidata ad un noto magistrato, che ha inquadrato in maniera esemplare il contesto e tutte le implicazioni legali che è necessario prendere in considerazione onde evitare multe o ritorsioni da parte del Garante della Privacy.
Tra i vari suggerimenti, il relatore ha consigliato anche alcuni accorgimenti per adempiere al requisito di "adeguatezza" del professionista al ruolo, specificato all'interno dei criteri di "Valutazione delle caratteristiche soggettive" del paragrafo 4.1:
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
La ricetta è semplice: curriculum vitae adeguato, certificazioni o titoli di studio compatibili e, dulcis in fundo, una fedina penale di tutto rispetto.
Il magistrato ha ragione: affidereste mai i vostri sistemi a qualcuno che è imputato o, addirittura, è stato condannato per reati connessi all'informatica? Potremmo porre la domanda in un'altra maniera: chiamereste in casa vostra un idraulico che è stato condannato per rapina?
In realtà la domanda è sbagliata, e per diversi validi motivi: primo fra tutti che il concetto di giustizia non può chiudersi nella sola condanna, ma si deve accompagnare ad un processo di riabilitazione che dovrebbe portare ad un reinserimento vero dell'individuo nella società.
La cruda realtà ci insegna che quest ultimo passaggio non si realizza quasi mai, e che è sempre un rischio dare fiducia a chi l'ha già tradita una volta. E il caso Telecom non fa eccezioni: guarda caso tra i cattivi c'è anche un recidivo che sembrerebbe aver messo a disposizione del team tutto il suo torbido passato fregandosene della stangata già ricevuta. Quindi la colpa delle Tigri di Telecom è duplice, non solo per i fatti, ma anche per aver confermato che da gente di quel tipo non ci si può aspettare nulla di buono.
So che sono l'ultima persona al mondo che potrebbe dire una cosa del genere, ma io continuo a non essere d'accordo con questo punto di vista.
Sono d'accordo sul fatto di considerare la fedina penale o eventuali pendenze più o meno aperte come un'indicazione di affidabilità, ma non a trattarla come un elemento oggettivo univoco di valutazione. I reati informatici sono molto particolari, le persone che ci cascano sono anch'esse particolari e normalmente sono più ragazzi "portati sulla cattiva strada" che delinquenti matricolati come qualcuno ci vuole far credere, almeno quando si parla di tecnici informatici.
Se così non fosse Nobody, uno dei più illuminati esperti dell'hacking internazionale, nonchè referente di numerose iniziative di carattere strategico, non potrebbe neanche presentarsi ad un colloquio di lavoro, così come altri importanti personaggi che hanno dato vita ai BlackHats italiani a causa di intoppi, attenzioni o semplici scaramucce con la giustizia italiana.

Oltretutto la realtà ci da una descrizione completamente diversa del problema: leggendo quei pochi casi di amministratori infedeli che la stampa ci offre, ci accorgiamo che la stragrande maggioranza non sembrerebbe aver avuto precedenti guai con la giustizia. Anzi, quasi tutti risultavano dipendenti arrabbiati che avevano deciso di approfittare della posizione ottenuta per sfogarsi contro un'azienda miope o semplicemente per arrotondare lo stipendio.
Mi viene in mente un mio carissimo amico, dipendente di un'azienda di dimensioni importanti, che per un lungo periodo di tempo si è trovato in stanza con due colleghi piuttosto esuberanti. Mi raccontava con enfasi che ogni tanto, quando la noia era mortale, qualcuno chiudeva la porta dell'ufficio, qualcun altro metteva un bel groove techno ad alto volume, e tutti si tuffavano verso un obiettivo qualsiasi, giusto per dimostrare le proprie capacità e per farsi un po' gli affari degli altri. E tutti e tre erano amministratori di sistema, certificati, dotati di un curriculum di tutta invidia e, udite udite, giuridicamente immacolati.