Può sembrare il brivido di infrangere la sicurezza e di sferrare un colpo simbolico contro l'establishment irresistibile per i giovani britannici esperti di tecnologia, ma è una dipendenza che può finire in prigione frase. Benvenuti nel mondo rischioso dell'hacktivism.
L'hacktivismo è diventato famoso tre anni fa, quando artisti del calibro di Anonymous e lo spin-off LulzSec hanno conquistato i titoli dei giornali con le loro "operazioni" contro aziende e dipartimenti governativi; "Operation Payback" ha preso di mira PayPal e MasterCard per non aver accettato pagamenti per WikiLeaks, ad esempio. Gli hacker con un'ascia da macinare erano le star della sottocultura di Internet del 2011.
Tuttavia, il loro momento sotto i riflettori è stato breve. Gli attacchi contro l'FBI e la Serious Organised Crime Agency (SOCA) del Regno Unito hanno provocato le autorità in azione, e hanno represso gli hacktivisti con una serie di arresti e pene detentive frasi.
Buttando giù la porta
Era l'una di notte quando la polizia fece irruzione nella casa di James Jeffery nelle West Midlands su segnalazione del collega attivista informatico (e ora informatore dell'FBI) Sabu, più ufficialmente noto come Hector Xavier Monsegur. Lo hanno colto in flagrante: il suo laptop era aperto con programmi di hacking in esecuzione.
"Hanno tolto la porta - è stato surreale", ha detto Jeffery. “Ero a letto a guardare I Griffin e fare un po' di hacking. Stavo usando il mio laptop senza un disco rigido e stavo hackerando le cose in quel momento.
“Da tutto il rumore e i colpi, ho pensato che qualcuno stesse derubando la casa, quindi sono saltato giù dal letto e sono corso giù per le scale, e c'era la polizia che mi puntava i taser. Non ho avuto il buon senso di staccare la spina dal portatile perché non mi ero reso conto che fosse la polizia, quindi sono stato sorpreso con tutta questa roba sul mio computer.
In pochi giorni, Jeffery, malato di Asperger, si ritrovò nella prigione di Wandsworth; gli è stata rifiutata la cauzione, per impedirgli di coprire le sue tracce o di hackerare altri obiettivi.
Alla fine è stato condannato a 32 mesi per aver violato il sito web del British Pregnancy Advisory Service (BPAS), deturpandolo e rubando dati sensibili del paziente. Sebbene non abbia dato seguito alle minacce di rilasciare i dati, Jeffery accetta che la sua scelta dell'obiettivo abbia provocato un dolore inutile per persone innocenti.
“La clinica per aborti è stata l'unica cosa di cui [loro] mi hanno accusato e quella è stata la cosa più importante. Ho iniziato l'operazione perché non ero d'accordo con l'aborto", ha detto. “Ora so che è stato sbagliato fare quello che ho fatto. Avrebbe potuto causare molti problemi alle persone, specialmente se fossi diventato pubblico.
“Meritavo di essere punito per questo. All'epoca soffrivo di depressione e bevevo troppo; le mie azioni stavano diventando più sconsiderate. In un certo senso, ero felice di essere stato fermato prima che passasse a cose più grandi e mi sono ritrovato con una condanna più lunga.”
Ha aggiunto: "Non mi aspettavo una punizione così dura, però".
Danno collaterale
Non è l'unico ex attivista informatico a mostrare rimorso o a rendersi conto che gli attacchi contro le grandi aziende spesso danneggiano le persone, poiché sono i dati delle persone che vengono pubblicati online. “Ci sono rimpianti, non per le azioni, ma per i danni collaterali causati a persone innocenti, coloro le cui password erano trapelato ", ha detto l'ex membro di LulzSec Ryan Cleary, parlando a un evento del Royal Court Theatre per promuovere un nuovo spettacolo raffigurante hacktivismo, Internet è una cosa seria.
“Hanno affidato i loro dati personali ad aziende con una sicurezza disgustosamente scarsa. Quando quelle aziende [sono state] prese di mira, le loro cose sono trapelate, quindi sono state danneggiate più dell'azienda ", ha detto. "Devi dispiacerti per loro e per il modo in cui i loro account sono stati abusati".
Tuttavia, al momento degli attacchi, le motivazioni personali hanno superato tali preoccupazioni. "Quando pubblichi qualcosa come 'Ho deturpato un sito americano', è una bella sensazione - una vera scarica di adrenalina che hai attirato l'attenzione dei media", ha detto Jeffery. "Ti senti quasi come se stessi proteggendo il momento, perché se puoi accedere a qualcosa ti senti come se potessi fare tutto ciò che vuoi."
L'acclamazione e il brusio sono stati ciò che ha portato Jeffery a obiettivi più oltraggiosi. "Verso la fine, mi stavo concentrando maggiormente su quanto mi piaceva l'attenzione e stavo facendo cose più grandi per ottenere più attenzione", ha detto.
"Riguardava ancora i miei sentimenti o le mie cause politiche, ma più grande è l'obiettivo, ad esempio con le cose del governo, maggiore è il brivido".
Sit-in digitale
Sebbene l'obiettivo finale di Jeffery possa essere stato fuorviante, condivide i sentimenti di altri membri del gruppo di hacker in quanto non si pente di aver preso parte a operazioni che hanno promosso cause o rivelato verità.
I partecipanti a tali attacchi online sentono che il web e le loro competenze offrono una piattaforma per i giovani disamorati confrontarsi con le autorità, credendo che le loro azioni possano evidenziare questioni e cause che non sono coperte dal mainstream media.
“Penso che l'hacktivism sia un modo per il pubblico di avere una voce. Anonymous è stata una collaborazione globale di hacker con gli stessi interessi, il più delle volte", ha affermato Jeffery. “L'unico modo per convincere il governo ad ascoltare è esporre ciò che sta facendo.
“Lascia che il pubblico veda la verità. Edward Snowden, Julian Assange, Bradley Manning: sono tutti eroi, che rischiano la libertà e la vita per esporre la verità. Moralmente ed eticamente, questa è la cosa giusta da fare. È nell'interesse pubblico. Se il governo non ti dice la verità, allora prendi la verità”.
Anche se può sembrare ingenuo, alcune delle "operazioni" gestite da LulzSec e Anonymous hanno avuto un impatto positivo sul resto del mondo. All'evento del Royal Court Theatre, altri quattro ex membri condannati dei LulzSec hanno sottolineato le intenzioni del gruppo di fare "cose buone", vedendosi come dei moderni Robin Hood.
Un'operazione LulzSec che esemplifica obiettivi più meritevoli è stata condotta nel febbraio 2011, quando il il team ha scritto un codice per interrompere i tentativi del governo internazionale di limitare i social media durante i civili disordini. “Paesi come la Tunisia e lo Zimbabwe stavano censurando parti di Internet, in particolare gli attivisti Facebook, e spiarli e prendere i loro dettagli di accesso", ha detto Jake Davis (meglio conosciuto come arte topiaria).
“Abbiamo scritto un pezzo di codice che contrastava i codici dei loro governi in modo che le persone potessero ancora accedere al web. Ignorerebbe la censura e darebbe loro l'uso gratuito del web ", disse Davis. "E abbiamo creato chat room, che potrebbero utilizzare come piattaforma per condividere video e pensieri".
Il team era molto orgoglioso di quell'operazione perché era una forma collaborativa di supporto per i manifestanti e “non è successo niente di illegale – non è stato hacking; era solo la scrittura del codice”.
Per gli hacktivisti, gli attacchi basati sul web sono una forma legittima di protesta, paragonabile a manifestazioni dirompenti nel mondo reale. "Se i computer che eseguono l'attacco DDoS sono controllati da utenti volontari piuttosto che da una botnet, non vedo davvero alcun differenza tra questo e un sit-in nella vita reale ", ha detto Mustafa Al-Bassam, che aveva 16 anni quando è stato arrestato per la sua parte nel LulzSec trucchi.
Non divertimento e giochi
Le autorità non erano d'accordo e hanno adottato una linea dura sull'hacking per fare esempi delle persone coinvolte e per scoraggiare altri potenziali attivisti informatici. Una volta che gli hacker hanno iniziato a prendere di mira agenzie governative e giganti aziendali, l'establishment non ha visto il lato divertente di Lulz.
"Il danno che hanno causato era prevedibile, esteso e previsto", ha dichiarato Andrew Hadik del Crown Prosecution Service alla condanna del LulzSec Four. “Hanno deciso di hackerare e pubblicare centinaia di migliaia di dettagli privati di individui innocenti. Le aziende hanno inoltre subito gravi danni finanziari e reputazionali.
"Dire che è stato tutto un po' divertente non riflette in alcun modo la realtà delle loro azioni", ha aggiunto. "Stavano infatti commettendo gravi reati".
Approccio pesante?
Alcuni nel settore della sicurezza pensano che le autorità siano state troppo dure con le persone coinvolte, chiedendosi perché i tribunali abbiano scelto di gettare il libro questi giovani delinquenti quando i sindacati del crimine informatico responsabili di frodi con carte di credito e malware sono probabilmente più dannosi per il più ampio mondo.
"Sembrano pensare 'se non fermiamo questi ragazzi quando sono giovani, peggioreranno', ma forse se li hai lasciati soli, ne sarebbero cresciuti come chiunque altro ", ha detto Sean Sullivan, un consulente per la sicurezza con F-Secure. “Alcune di queste azioni sono reati minori e le stiamo trattando come reati, per usare il linguaggio americano. Stiamo lanciando il libro a persone che non meritano che gli venga lanciato quel libro.
Fa l'esempio di un membro britannico del gruppo di hacker TeaMp0isoN, Junaid Hussain, noto online come Trick. Nel 2012, è stato condannato a sei mesi di carcere per il suo ruolo nella divulgazione dei dettagli personali di Tony Blair, oltre che per il "phonebombing" della hotline antiterrorismo del Regno Unito nel tentativo di interrompere il servizio.
Ora rilasciato, si presume che Hussain abbia commesso un reato; era indagato per accuse di non pirateria informatica quando si ritiene che abbia saltato la cauzione e abbia lasciato il paese per prendere parte a un'azione politica in Siria nel 2014.
«Il trucco è in Siria. Probabilmente sta girando video elettorali o altre cose, non ci sono prove che sia nell'ISIS". disse Sullivan. “È uno di quei giovani britannici che, poiché ha infranto la legge, probabilmente non vede alcun futuro per sé nel Regno Unito, e così è andato in Siria. Sembrava un ragazzo intelligente; è un peccato che trattiamo gli attivisti hacker in un modo che fa loro sentire che è impossibile fare qualcosa di legittimo dopo".
Ricaduta post-carceraria
Potresti pensare che acquisire notorietà come hacker attirerebbe l'interesse delle società di sicurezza desiderose di utilizzare tali competenze per i test di penetrazione, ma la realtà è molto diversa.
Una fedina penale esclude il lavoro nei servizi di intelligence del settore pubblico e i datori di lavoro della sicurezza aziendale sono ugualmente sprezzanti nel portare gli hacker dal freddo. “In passato abbiamo ricevuto richieste dall'Asia collegate a un virus di cui rivendicavano il merito; ovviamente finiscono dritti nella spazzatura", ha affermato Sean Sullivan, analista della società di sicurezza F-Secure. “Potrebbero pensare che tu possa passare dal lato oscuro al lato chiaro, ma noi facciamo una distinzione tra i due. Coloro che sono coinvolti nel DDoSing o nella scrittura di codice malware sono proprio fuori dal gruppo di candidati che siamo disposti a prendere in considerazione".
Sebbene l'ex hacker James Jeffery sia stato contattato da alcune persone interessate a sfruttare le sue capacità per scopi sconosciuti, non ha ancora trovato un impiego a tempo pieno. "Ho fatto domanda per un paio di lavori, per i quali sono stato rifiutato, principalmente perché ho precedenti penali", ha detto. "Avere precedenti penali non è vantaggioso per trovare lavoro."
Invece, sta lavorando a diversi progetti basati sul Web per se stesso, mentre occasionalmente riscuote pagamenti sia da Google che da Facebook nell'ambito dei loro programmi di ricompensa per la vulnerabilità. "Come cappello bianco, non c'è modo di guardarsi alle spalle temendo che busseranno alla porta", ha detto.
Fratellanza nervosa
Mentre i quattro membri di LulzSec hanno ripreso conoscenza al Royal Court Theatre del tradimento che ha portato a loro stessi arresti, erano straordinariamente ottimisti riguardo alla defezione del loro ex collega Sabu all'FBI. Almeno sul palco.
Hector Xavier Monsegur è stato un co-fondatore del movimento LulzSec, ma è diventato informatore dopo essere stato arrestato durante l'estate del 2011. Ha lavorato con l'FBI per più di dieci mesi, continuando il suo ruolo di Sabu. È del tutto possibile che Jeffery e altri non sarebbero stati arrestati senza il suo aiuto.
C'è un certo senso di ingiustizia: Jeffery è stato arrestato prima che fosse rivelato che Sabu lavorava per l'FBI, quindi la polizia ha dovuto usare un'altra spiegazione su come l'hanno trovato. "Hanno detto che mi avevano beccato attraverso il mio indirizzo IP, ma questo non è possibile perché avevo fatto altre cose usando l'indirizzo IP, per il quale non sono stato beccato", ha detto. “Ho utilizzato Tor e proxy changer, proxy anonimi in Russia e VPN. Sarebbe stato impossibile risalire così rapidamente al mio indirizzo: c'erano solo due persone a conoscenza di ciò che stavo facendo, e Sabu era una di loro”.
I membri di LulzSec affermano, col senno di poi, che ci sono stati cambiamenti nella personalità online di Sabu nel corso del suo tempo con l'FBI. Stava cercando ulteriori informazioni sulle operazioni o chiedendo informazioni sui nuovi membri, presumibilmente sollecitato dal suo gestore dell'FBI.
Soprattutto, per uno come Jeffery – che non aveva molti amici intimi, ma contava Sabu come uno di loro – c'è un continuo senso di tradimento che lascia l'amaro in bocca.
“All'inizio è stato scioccante. Quando ho scoperto che era un informatore, non ci credevo davvero e ho continuato a parlargli per un po'", dice Jeffery. “Quando ero in prigione, ero arrabbiato per le sue azioni perché pensavo fossimo amici. Sapevo molto di lui e lui sapeva molto di me. C'era un senso di tradimento".
Visti i tradimenti, lo stress del carcere e le continue difficoltà poste dalla fedina penale, è facile credere che gli hacker condannati essere disincantato dall'intera scena, ma Jeffery crede ancora nel movimento degli attivisti informatici, anche se sceglie di stare alla larga dalle operazioni black-hat queste giorni.
“La prigione non è davvero un problema. Non temo questo, né la legge. Ma mi mancavano la mia ragazza, il mio figliastro e i miei genitori. Non posso permettermi di sottoporli di nuovo a tutto questo" Egli ha detto. "Adesso sono lontano dall'intera faccenda di Anonymous."
Tuttavia, avverte che ci sono molte persone pronte a riempire il vuoto lasciato dalla disintegrazione di LulzSec. Altri gruppi stanno ancora andando forte e giovani intelligenti con una causa continueranno a cercare giustizia e prestigio da dietro le loro tastiere. “Abbiamo bisogno di più persone che prendano posizione ed espongano la verità. Ho sempre detto: "è il potere dei numeri". Con una forza abbastanza grande, puoi fare in modo che le modifiche avvengano ", ha detto, aggiungendo un avvertimento:" Se gestisci un sito Web, non puoi essere completamente al sicuro dall'hacking.
Profili di hacktivist nel Regno Unito
Ryan Cleary alias VIRALE Membro di LulzSec, ha ammesso di aver violato i siti di CIA, SOCA e Pentagono. Condannato a due anni e otto mesi.
Ryan Ackroyd alias KAYLA Fingendosi una ragazza di 16 anni, l'ex soldato di 24 anni ha attaccato Sony, tra gli altri. Due anni e sei mesi.
Junaid Hussain alias TRUCCO Membro di TeaMp0ison, 18 anni, ha scontato sei mesi.
Jake Davis alias arte topiaria La voce esperta di pubblicità di LulzSec. Arrestato nelle isole Shetland all'età di 18 anni, condannato a due anni.
Mustafa Al-Bassa alias TFLOW Membro e collaboratore di LulzSec. Aveva 16 anni al momento dell'arresto ed era visto come un mago della programmazione. Un anno, otto mesi, sospeso per due anni.
