La storia di Wau Holland e che noi non abbiamo imparato
La Rubrica - Cybersecurity Week
Questa settimana e la prossima vi intratterrò con storie di criminali cyber di "altri tempi" per mostrarvi come certe cose cambiano, altre no.
Utilizzare le tecnologie dell'informazione in modo "commercialmente creativo" può essere pericoloso, ma le aziende spesso non riescono a contenere il proprio appetito per il rischio, finendo per essere vittime di se stesse. Non soltanto mettono a repentaglio la propria reputazione, ma offrono anche l'opportunità a chi vuole protestare di mettere in scena exploit molto spettacolari. Una lezione che nel 1984 Herwart Holland-Moritz e Il suo compagno di avventure Steffen Wernery hanno impartito alle Poste tedesche e IBM. Prima di entrare nel merito vale la pena sapere di chi stiamo parlando.
Classe 1951, Holland ha una formazione che deriva dalle grandi contestazioni che percorrono l'Europa per tutti gli anni Settanta. Il suo attivismo, però non gli impedisce di mettere a frutto le sue capacità tecniche e di laurearsi. Tra l'altro proprio durante gli anni dell'università, frequentata a Marburg, conia il suo "nickname". All'epoca gli affibbiano il soprannome di Maulwurf, "talpa" in italiano, probabilmente in relazione al suo aspetto. Tuttavia la duplicità del significato che richiama anche il mondo delle spie e degli agenti sotto copertura, piace a Holland che, quando deve scegliere il suo pseudonimo informatico, decide di utilizzare tre lettere della parola Maulwurf: la "W", la "A" e la "U". Da quel momento diventa per tutti Wau Holland.
Nel corso di un incontro che si svolge nel 1981 nella redazione del giornale berlinese "Die Tageszeitung", un gruppo di attivisti inizia a valutare le potenzialità offerte dai computer. In questo piccolo gruppo Holland è figura di spicco anche perché proprio in un suo articolo apparso su "Die Tageszeitung" ha già delineato i contorni di questo progetto. Nasce così nel 1984 il Chaos Computer Club (CCC), anno in cui nella libreria Schwarzmarkt si tiene quella che può essere considerata la prima riunione ufficiale.
Il programma, che viene in seguito messo nero su bianco dallo stesso Holland, nell'editoriale del primo numero della rivista del gruppo "Datenschleuder", parte dalla considerazione che il computer è il nuovo e più potente mezzo di comunicazione messo a disposizione dell'uomo. Di conseguenza, può dare origine a una nuova e diversa qualità delle informazioni e della loro divulgazione che deve essere libera e illimitata. I membri del CCC fanno della pratica dell'hacking sui computer e sulle linee telefoniche una missione politica e sociale. Da questo spirito nasce il clamoroso exploit del gruppo di Holland che prende di mira il BTX (Bildschirmtext) messo a punto dalle poste tedesche con IBM.
Il servizio che il CCC intende colpire è un sistema telematico di comunicazione che permette agli abbonati di comunicare e acquistare beni e servizi. In sostanza si tratta dell'equivalente del Minitel francese e ha l'ambizioso obiettivo di trasformare in abbonati un milione di famiglie entro quattro anni. L'hack viene messo a punto dallo stesso Wau Holland e da Steffen Wernery che hanno individuato un baco nel sistema, grazie al quale riescono a ottenere la password della Hamburger Sparkasse, la cassa di risparmio di Amburgo. Una volta penetrati negli elaboratori della banca, i due hacker li impostano in modo che si connettano senza soluzione di continuità a un servizio a pagamento offerto sul BTX dallo stesso CCC. Per dodici ore le macchine della Hamburger Sparkasse continuano indefesse il loro lavoro e la bolletta che nel mese di novembre del 1984 viene recapitata all'istituto di credito comprende un addebito di ben 134 mila marchi per l'uso del servizio offerto dal Chaos Computer Club.
Holland e compagni convocano immediatamente una conferenza stampa in cui rivelano il loro micidiale scherzo che ha messo a nudo le drammatiche falle nella sicurezza del servizio BTX. Il caso riempie le pagine dei giornali e per il progetto delle poste tedesche inizia un declino irreversibile, al punto che nel 1988 gli utenti non sono un milione ma circa 20 mila. Questo caso è emblematico del tipo di attività del CCC e rispecchia fedelmente gli intendimenti di Wau Holland per il quale la tecnologia è soltanto un mezzo e mai un fine e l'hacking ne può mettere a nudo l'uso distorto. Episodi come quello del BTX ci dicono come già quattro decenni orsono fenomeni come Anonymous e i suoi plateali attacchi di protesta fossero ampiamente prevedibili.