Intervista a Raoul Chiesa: l’hacker più famoso d’Italia

Autore: DAVIDE PALMIERI

Raoul “Nobody” Chiesa nasce a Torino il 3 Luglio del 1973. È stato tra i primi hacker italiani negli anni ’80 e ’90 (1986-1995).

Nel 1997 ha fondato la sua prima azienda di Security Advisoring, divenuta in 15 anni una realtà primaria nel panorama italiano, l’unica azienda vendor-neutral e non sovvenzionata da fondi di investimento o venture capital; Chiesa lascia la società nel 2012 in seguito ad una serie di contrasti sulla visione, la strategia, la gestione e forti attriti con il socio.

Nel 2012, insieme ad altri professionisti del mondo InfoSec, italiano ed internazionale, fondò “The Security Brokers“, un’azienda di Cybersecurity visionaria che offre soluzioni e servizi di consulenza in materia di sicurezza informatica, a Governi, LEA, Pubblica Amministrazione e aziende private.

Chiesa è tra i membri fondatori di CLUSIT (Associazione italiana per la sicurezza delle informazioni, costituita nel  2000), inoltre è membro del Board of Directors di ISECOM, OWASP Italian Chapter; è stato uno dei tre coordinatori ufficiali del gruppo di lavoro “Cyber ​​World” presso il Centro Alti Studi per la Difesa (CASD) tra il 2010 e il 2014 presso l’Osservatorio nazionale di sicurezza (OSN) sotto la supervisione del Centro militare per gli studi strategici {CeMiSS).

Kevin Mitnick e Raoul Chiesa
Kevin Mitnick e Raoul Chiesa in un convegno nel 2008 affrontano i temi della privacy e dei rischi di ingegneria sociale, sia nell’ottica delle piccole imprese che in quella delle grandi imprese.

Da Luglio 2015 è membro del Consiglio direttivo di AIIC, l’Associazione italiana di esperti sulle infrastrutture critiche, ed è anche stato nominato come Subject-Matter Expert per ENCYSEC (Enhancing Cyber Security), un progetto finanziato dall’Unione europea e  dell’ITU (International Telecommunication Union, Ginevra),un Gruppo di esperti sulla cybersicurezza; si è anche adoperato nei progetti UE «AC / DC» e «Cyberoad».Raoul e stato nominato inoltre Roster of Experts. È membro dell’Advisory Board @ COURAGE FOCUS GROUP (Agenda europea per la ricerca sul crimine informatico e il cyberterrorismo) e @ EOS {European Organization For Security, Bruxelles). Chiesa inoltre ha fornito numerosi corsi di formazione verticale, consulenza e discorsi in tutto il mondo sulla sicurezza informatica. Da luglio 2016 è tra i membri fondatori di ECSO (European Cyber Security Organization, Belgio).

Ha pubblicato svariati libri e articoli in tutto il mondo, che sono spesso tradotti in diverse lingue ( come autore principale o collaboratore scientifico).

Raoul é contattato costantemente da numerose testate giornalistiche e media di tutto il mondo (giornali, TV, radio, podcast e blogger) per spiegare questioni inerenti la sicurezza informatica, gli incidenti di sicurezza ICT e tendenze nel mondo IT.

La redazione di Technoblitz ha tenuto particolarmente all’intervista, essendo Raoul Chiesa uno dei maggiori esperti nel campo della cybersecurity sul panorama italiano e mondiale. Fatto alquanto bizzarro é, al momento in cui scriviamo, la mancanza di qualsivoglia informazione su Wikipedia.it, cosa veramente curiosa anche a detta dello stesso Chiesa, che imputa a persone invidiose, o ai “soliti furbetti”, la richiesta di cancellazione della pagina. Ad ogni modo, chi volesse approfondire, può andare su WikiQuote in cui vi sono ancora numerose informazioni.

Raoul Chiesa il più grande esperto di Cyber-security sul panorama italiano

Ecco qui sotto l’intervista a Raoul Chiesa:

Parlaci della tua visione dell’hacking ?

Sono entrato nel meraviglioso mondo dell’hacking nella meta’ degli anni ’80 e… beh, direi decisamente che il concetto stesso di “hacking”, insieme alle molteplici evoluzioni del termine, dei suoi attori, e soprattutto di me stesso, hanno fatto si che diventasse l’elemento centrale della mia vita: lavorativa e professionale, personale e sociale. Per essere piu’ chiari, a tutt’oggi non saprei cosa rispondere a chi mi chiedesse “Cos’altro avresti voluto fare da grande?” Forse il cuoco… mi piace stare ai fornelli, quasi come alla tastiera.

Grazie al mondo ed agli attori che mi gravitano intorno all’ecosistema dell’Information Security e dell’hacking a tutto tondo, ho conosciuto persone stupende, nerd, geek, guru, veri e propri geni, ho ospitato sul divano di casa Il Condor piuttosto che Antisnatchor, ho girato Mosca con MadDog (Linux Journal), passato giorni con Ian di Debian, conosciuto Steve Wozniak, ma anche il Capitano (Crunch), Venix di Atene (che ispirò la Trinity del film Matrix) ed Otto Sync,  ho visitato quasi tutto il mondo (e continuo a farlo), addirittura vivo con una Digital Forenser… non dico altro!

Sempre se puoi parlaci della tua famosa intrusione nella banca d’Italia e di altre intrusioni che ti hanno resto l’hacker più famoso d’Italia?

E’ tutto pubblico, sono passati 23 anni… certo che posso parlarvene!

L’intrusione in Bankitalia non fu un “hack”. Semplicemente, dato anche il periodo di cui parliamo, il 1995, loro collegarono il sistema di posta elettronica ad Internet. Era un IBM Aix, ed i loro amministratori di sistema lasciarono rlogin aperto “al mondo”. Bastava digitare “rlogin –f root” e ti trovavi nella shell di root….. allora non mi sembrava di “violare un sistema”, no?? E poi quello che pochi sanno e’ che non fui io il primo a trovare quel “baco”, bensi’ un amico hacker del tempo, Nexus6 di Venezia: il merito va tutto a lui, non a me!

Sono invece “altri miei hack”, come l’hack al sistema di posta mondiale di AT&T, il full p0wning della compagnia di telecomunicazioni GTE, l’hack ad Unilever, a risultare ancora oggi epiche. Nel periodo dal 1986 al 1995 penso di aver davvero violato “tutto quello che si poteva bucare”. Ero nella top 10 mondiale degli hacker, quelli veri eh… sono cresciuto con personaggi del calibro di Kevin Poulsen, Kevin Mitnick, Kim(ble).com, Julian Assange, Phiber Optik e cosi’ via.

C’era una profonda differenza pero’, in confronto all’hacking di oggi, a quello che leggiamo ogni giorno sui giornali, o a ragazzini come il nostrano Andrea Stroppa (arrestato perche’ comprava le botnet dal Cybercrime per fare DDoS contro governo.it, Enel, Ministero dellàAmbiente, lo stesso Tribunale di Roma, e cose cosi’… e poi ce lo ritroviamo insieme a Carrai e Renzi: no comment!).

A proposito di Stroppa, qualche mese fa leggevo un articolo del giornalista professionista Giacomo Amadori intitolato “UN COATTELLO DIVENTATO SMANETTONE – I MISTERI DI ANDREA STROPPA: DA TORPIGNATTARA ALLA CIA, VIA CARRAI”.

Beh.. non penso ci sia molto altro da aggiungere.

Anzi si’, dato che non ho voglia di querele varie da parte dei “potenti amici” di Andrea Stroppa: sul sito del Foro Italiano, pubblicazione fondata nel 1876 da Enrico Scajola, insomma una cosa seria, vari Giudici di varie Corti di Cassazioni italiane analizzano, tra gli altri, proprio il caso Stroppa, e riportano i nominativi di quelle realtà’ ed organizzazioni che furono vittime dei suoi attacchi DDoS (si sa che bisogna essere un top hacker per lanciarli, no???) che sopra cito in parte.

La differenza sostanziale e’ che quando io iniziai a fare hacking non c’era il Cybercrime, non c’era il denaro come “driver”, non c’era l’hacktivism. Violavi sistemi perche’ eri un teenager curioso, con tanto tempo libero, una sviscerata passione e… fammi dire, anche una sorta di etica. Basta pensare che nella maggior parte dei casi (come con la GTE, ma anche con il CNR di Pisa ed il server sul quale girava il primo server IRC italiano) ero io stesso ad avvertire il sysadm, ed in alcuni casi – come appunto con irc.cucciolo.unipi.it) diventammo amici, con alcuni lo siamo ancora oggi

Tornando alla tua domanda…. Beh, forse sono due gli hack che ricordo con piu’ affetto, nostalgia e sorrisi. Il primo quello su Israele, tutta la nazione era praticamente sotto il mio controllo. Da li’ usavo dei VAX/VMS per fare X.25 scanning sulla Francia… Pochi mesi fa, leggendo un libro sulla storia dell’Intelligence italiana, ho scoperto con piacere che l’autore mi aveva citato, proprio in merito a questo episodio, attribuendomi addirittura il merito di avere “inventato” il concetto di Cyber War e della triangolazione dei cyber attacks (WTF!).

Il secondo episodio risale a qualche anno fa quando Assange, rilasciando un’intervista, dichiarava di ricordare con nostalgia le sere passate a chattare sul sistema di controllo di una centrale nucleare in Francia, con un simpaticissimo hacker italiano”. Beh, quell’hackerello ero io, sempre il solito Nobody, che appunto da Israele era riuscito a violare il DEC che gestiva la centrale nucleare di una citta’ francese, che ancora oggi non posso nominare.

In molti, amici e fan, mi chiedono spesso “perché’ non scrivi un libro sulla tua storia Raoul, ne hai viste di tutti i colori!!?”. Ed e’ vero, ne ho viste e fatte “di ogni”… ma sono riservato di mio, come carattere, non amo “esibire”, come invece fanno in tanti e…. chissà’, quando andrò’ in pensione lo scriverò’ questo benedetto libro, ma già’ so che non racconterò’ comunque tanti episodi. Tante, troppe, davvero troppe sono le cose che ho visto, le informazioni alle quali ho avuto accesso, a volte non propriamente “belle”.

Il tuo nickname “nobody” ha qualche riferimento con Ulisse?

E’ questa una domanda che mi fanno spesso ed in molti, ma la risposta e’ no! Ho usato il mio vero nome come nick dal 1986 al 1993, poi quando nel 1993 GTE non “comprese” e/o “poco apprezzo’” il mio full owning a tutta la loro rete di TLC, dalle Hawaii all’Alaska passando per la Florida, cercarono di gettarmi un’esca per farmi arrestare dall’FBI ed estradarmi negli USA, allora fui costretto a cambiarlo.

Questo mi fu poi confermato dalla SCO, la Sezione Centrale Operativa della Polizia di Stato (dove lavorava un giovanissimo Pansa, insieme a quella lungimirante donna che era la dottoressa Maria Cristina Ascenzi) e dal PM Pietro Saviotti – probabilmente uno dei PM piu’ capaci che abbiamo avuto in Italia – un paio di anni dopo, quando mi arrestarono e l’Italia ebbe a che fare con il primo caso internazionale di hacking. Il resto e’ storia…. Successivamente a questo caso furono create le leggi sul Computer Crime e la Polizia Postale e delle Comunicazioni, gestita per moltissimi anni da un altro uomo che stimo con tutto me stesso, il Dottor Domenico Vulpiani.

Tornando a noi ed al mio nick…. “sentivo” una brutta aria ed un giorno, collegandomi a QSD (chattavo su QSD, Altos e Pegasus, quello c’era…. prima di IRC e dopo il Videotel), alla richiesta “Insert your Alias” decisi di non mettere piu’ Raoul e mi chiesi “Cosa metto?”, pensai… “Niente, non voglio essere nessuno, nessun nick che possa riportare a me”… ed allora digitai Nobody.

Certo, sorrido, mi fa tenerezza, vedere che oggi questi “Nessuno” si sono moltiplicati, nick come Nobody88 (un mio fan di Verona, appunto nato nel 1988) ma anche Nobody2000 (nato nel 2000!), ecc.

Cosa consiglieresti di fare ad un pentester italiano che non si è ancora affermato?

Di non spendere soldi nella CEH 

Battute a parte… di non spendere soldi in corsi dove ti insegnano “ad usare i tool”: oggi c’e’ Internet, l’open source, Linux….

I tool, se hai la passione li impari da casa, di mettersi su un lab, smanettare, ci sono gli hacking-lab online, spesso gratuiti, alcuni fatti davvero molto bene. Consiglio invece di studiare metodologie e standard internazionali, come l’OSSTMM dell’ISECOM. Consiglio di smanettare su cose “nuove”, sui device IoT/IoX, sui droni, di non fermarsi davanti agli ostacoli, di essere sempre etici e responsabili, di non smettere mai di studiare e di aggiornarsi.

Ma soprattutto, consiglio ai pentester di non dimenticare mai da dove vengono e di dire grazie a chi e cosa hanno imparato: “you got from the community, don’t forget to give back to the community”.

Cos’hai provato prima dell’arresto, ti sei mai pentito degli attacchi effettuati?

Quella mattina, quel 13 dicembre alle 6 di mattina…. Credevo fosse un film. Era come nei film, se non peggio, perché’ era vero!

Ricordo il rispetto – ma anche lo stupore, quando sono entrati in casa e si videro me ancora alla tastiera a fare wardialing – degli agenti speciali (SCO e Criminalpol), ricordo in Dottor Calesini in Via Grattoni a Torino (sede Criminalpol) che mi guardava con curiosità’ e mi sorrideva di nascosto, ricordo il viaggio a Roma su un’Alfa Romeo in borghese ai 200 km/h, sotto una tempesta di neve, mentre i due poliziotti mi sommergevano di domande, perché’ non capivano perché’ mi avessero dovuto arrestare e cosa fosse “sto hacking”, ricordo il piantone fuori dall’hotel, la stretta di mano davanti alla sede della SCO in Viale dell’Oceano Pacifico da parte di Maria Cristina e le sue parole:” Raoul, abbiamo imparato più’ ad intercettarti, osservarti e seguirti in questi 6 mesi che in tutta la nostra carriera: grazie!”.

E poi ricordo la prima intervista con Anna Masera su Panorama, la prima volta al Costanzo Show con il Sig. Costanzo che mi chiedeva di bucarmi di nuovo l’Auditel ed alzargli lo share alla trasmissione (non ne aveva bisogno, LOL), ma ricordo anche i tre mesi passati agli arresti domiciliari, senza telefono fisso ne’ cellulare (ETACS, al tempo), computer e modem (divieto assoluto di utilizzarli, al di la’ che mi avevano sequestrato tutto), ma con gli amici (quelli veri) che mi venivano a trovare di nascosto in piena notte per portarmi le sigarette e la spesa… Insomma, davvero tanti ricordi, indelebili, che resteranno per sempre nella mia memoria e che, oramai, fanno parte della mia vita, sono un pezzo di me. E’ anche in seguito all’arresto se Nobody e’ diventato Raoul, e se oggi Raoul Chiesa e’ un nome e cognome che significa molto per tantissime persone nel mondo.

No, non mi sono mai pentito, per il semplice fatto che non ho mai rubato, non ho mai danneggiato i sistemi che violavo (a parte un’unica volta, quando con Machine successe una vera e propria guerra “computer a computer” durata un’intera notte sino all’alba, l’uno contro l’altro, l’Università di Camerino fu letteralmente rasa al suolo: eravamo piccoli e stupidi, almeno io), non ci fu insomma mai quella cattiveria, o meglio quell’intenzionalità di compiere atti criminali e criminosi. Infine, ho sempre rifiutato il Carding, non ho mai voluto trarre un beneficio economico dalle mie azioni – anche perché’ altrimenti oggi sarei probabilmente miliardario… o in galera.

Era davvero un’altra epoca.

Cosa ne pensi da hacker di tutti i vari finti guru della tecnologia?

Penso che non solo non se ne può’ più’, ogni giorno qualcuno si improvvisa “esperto” e parla di cose che non sa, che non conosce. Oramai e’ peggio…penso che queste persone facciano del male non solo al Paese, non solo al mercato, ma che indirizzino male i decision maker e, soprattutto, che diano un cattivo, un pessimo esempio ai giovani, che sono il futuro della Cyber-security.

Parlaci della tua azienda e della vostra mission !!!!

Security Brokers è una Società Cooperativa per Azioni: la forma sociale che più si avvicinava al concetto di community che io sia riuscito a trovare.

L’ho scelta anche perche’ la prima societa’ che avevo creato, e della quale ho venduto le mie quote qualche anno fa, mi e’ stata letteralmente tolta da sotto il sedere dal socio, se cosi’ puo’ chiamarsi, che ovviamente non era e non e’ tecnico ne’ tantomeno “hacker”, ma un semplice businessman (prima vendeva mozzarelle…. fai te). Gli errori si fanno e si chiamano “esperienza”… ma possono essere fatti una volta sola! Quindi una SCpA, anche perche’ non e’ “scalabile” in alcun modo da nessuno.

In SB siamo un team molto coeso, siamo tutti tecnici, tutti senior, tutti con expertise verticali e skill decisamente non trovabili con facilita’, soprattutto in Italia. 

Il nostro sito (bruttissimo: non badiamo alla forma, ma alla sostanza…) recita “Security Brokers è un nuovo tipo di società di Sicurezza Informatica, un Team d’elite di partner fidati che comprende diversi Ethical Hackers noti a livello internazionale, ricercatori in materia di ICT Security, esperti di primo livello in ambito Information Security, normative ICT e tematiche GRC provenienti da tutto il mondo.”. Il che corrisponde esattamente a cio’ che siamo.

In Italia purtroppo lavoriamo ben poco, il nostro mercato e’ quasi totalmente all’estero, dove vieni scelto per meritocrazia, perche’ sei capace, serio, professionale, fidato, e non perche’ sei “amico di” o perche’ dai mazzette, regali di ogni genere, persino seratine omaggiate con escort ecc….

La nostra mission – prendo sempre dal sito – consiste nell’essere “Focalizzati su problematiche ICT Security e Cyber Defense altamente critiche e strategiche, forniamo soluzioni innovative e servizi affidabili ai nostri clienti a livello globale”.

Ed anche in questo caso corrisponde alla verita’: ho portato i pentest in Italia per primo (1996), abbiamo insegnato l’SQL Injection a Kevin (2000), con amici ho iniziato a fare R&D su hacking satellitare nel 2004, abbiamo iniziato a parlare di Security by Design nel 2010, di Cyber Threat Intelligence nel 2012…. Insomma dei visionari!, E quando una keyword, una buzzword anzi, diventa “di moda”, noi in genere l’abbiamo gia’ studiata, analizzata, sviscerata, rigirata, ma dal punto di vista pratico e tecnico, non teorico, e siamo gia’ passati ad altro.

Questo accade per un banalissimo motivo: non e’ “il Dio denaro” a guidarci, o spingerci. Non siamo persone avide. Siamo educati e rispettosi, di tutto e di tutti. Tranne di chi ci fa arrabbiare e di chi ci prende in giro.

Un nostro “difetto”? Siamo almeno cinque anni avanti a tutto. Ma ci piace cosi’…. Altrimenti ci annoieremmo da morire!!!

Una tuo pensiero  sugli sviluppi della sicurezza informatica e degli attacchi nell’arco di 50 anni?

50 anni?? E’ impossibile. Se dovessi essere ancora vivo, e se lo sarai anche tu, ci ritroveremo all’ospizio, magari come i vecchietti di “Amici miei”, ed allora ti saprò rispondere.

Però…. Prendendo come riferimento un timeframe più breve, diciamo un arco di 20 anni…. “vedo nero”.

Nel senso che… se le cose non dovessero cambiare, se la security continuerà’ ad essere vista e presa come mera opportunità’ di business, come un’opzione, come un fastidio, e non come quella “cosa che ci salverà”…. Ipotizzo un mondo totalmente technology-driven, dove quelle tecnologie che oggi chiamiamo Cloud, IoX, AI e cosi’ via… avranno il controllo.

Raoul ospita Kevin Mitnick a casa sua in Italia e lo porta in una “piola” torinese

 

Un mondo che negli anni prima si sarà probabilmente retto sul classico castello di carte o di sabbia… un mondo che, se nel frattempo le cose non saranno cambiate, sarà totalmente insicuro, e nel quale le persone, gli umani, non riporranno più alcuna fiducia nella tecnologia. Che per me resta uno degli aspetti più favolosi degli ultimi 100 anni. Ed allora significherà che abbiamo fallito, che non avremo perso solamente una “bella occasione”, ma anche che la Sandra Bullock in The Net era la nostra Nostradamus. E noi non lo sapevamo. E capiremo quanto siamo stati stupidi, saccenti, avidi e ciechi.

Autore: DAVIDE PALMIERI

 

Autore dell'articolo: Luigi Marra

Il mio nome è Luigi, nella vita sono un Ragioniere. Nel tempo libero coltivo la mia passione per la tecnologia e i motori che risale a quando ero bambino.