/* L'intervista che segue e` stata pubblicata nella rubrica "voci dall'underground" della rivista ICT Security, Febbraio 2004. */ Sono stati molti i tentativi italiani di creare una rivista elettronica che potesse diventare un punto di incontro per gli hacker italiani e per gli smanettoni ma nessuno di essi riuscito nel suo intento. Soltanto BFi, grazie alla passione e alla competenza del gruppo che la gestisce, ci e` riuscita. Nel 2003, dopo 5 anni di attivita`, possiamo affermare che anche l'Italia ha la sua "rivista": la qualita` degli articoli pubblicati fanno di Butchered From inside una realta` conosciuta in tutto il mondo, uno dei progetti di maggior successo della storia underground italiana di sempre. BFi (BUTCHERED FROM INSIDE), LA RIVISTA DIGITALE DELL'UNDERGROUND ITALIANO Chi si occupa di sicurezza informatica da alcuni anni e` sicuramente consapevole dell'importanza che le riviste digitali tipo Phrack (http://www.phrack.org) hanno avuto nella diffusione del sapere e della conoscenza negli anni passati, anni in cui non era facile reperire informazioni sulle vulnerabilita` dei sistemi, anni in cui il motto era "security through oscurity". Poche persone conoscono la storia italiana di questo tipo di "riviste": in Italia la prima che ricordiamo e` "The DTE222 Hacking Journal", il cui numero 0 risale al 1987, cioe` ai tempi di Itapac; poi "The Black Page" del 1994, in pieno Italian Crackdown delle BBS. Entrambi le esperienze editoriali hanno avuto una vita breve, sono stati piu` dei tentativi che dei progetti veri e propri. Nel 1997 e` nata "System Down", dalle cui ceneri prende vita l'esperienza di BFi (http://bfi.s0ftpj.org) che si rivela da subito "la cosa giusta". Dopo BFI sono stati molti i tentativi di questo genere ma, purtroppo, sono rimasti dei tentativi. BFi si conferma come "LA" zine indiscussa dell'underground digitale italiano. Gestita dal gruppo s0ftpj (http://www.s0ftpj.org), e` diventata un punto di riferimento per smanettoni e professionisti. All'interno delle sue pagine sono state affrontate tematiche originali e sono stati pubblicati paper "unici" nel loro genere, sono stati resi pubblici e approfonditi "exploit" e problematiche scoperte dai ricercatori italiani, insomma una rivista scientifica ma con uno stile informale e originale. Abbiamo intervistato le persone della redazione di BFi, che hanno risposto in maniera "collettiva". -- NeURo: Cos'e` BFi? BFi: Un progetto, un sogno, in fin dei conti una semplice e-zine. Una pubblicazione italiana, per italiani, nata in un contesto di "arretratezza" degli italiani, reale o percepita, nella scena internazionale dello smanettamento dell'era Internet. Nata come punto di sfogo per talune persone che avevano voglia di produrre ed illustrare quanto "ideato", e` oggi qualcosa di conosciuto ed indicato, in Italia: punto di contatto tra chi vuole leggere e chi vuole scrivere. Probabilmente, per alcuni, anche un obiettivo da raggiungere per sentirsi 'feeki', per ottenere una reputazione o magari un gioco o, ancora, un mistico file da leggersi per imparare a memoria nonostante non ci si capisca nulla. Per alcuni di noi, BFi e` un lavoro utile e divertente, per far capire alla gente come si affronti il mondo nel condividere con piu` individui possibile esperienze di ricerca e relative scoperte invece di tenersi tutto per se`. In due parole, oggi BFi e` la rivista elettronica su cui vengono pubblicate molte delle ricerche piu` innovative nell'area ICT security condotte nell'underground italiano. E` un mezzo di incontro e condivisione per la comunita` hacker italiana, piu` o meno tecno-feticista. Sin da quando tutto e` nato, ci si e` sempre chiesti quali siano dubbi e perplessita` che girano intorno all'informatica. Su queste basi si e` provato a costruire qualcosa di parallelo ed indipendente (atipico, forse) che potesse rispondere a queste esigenze, prima di tutto nostre e poi degli "ascoltatori". Crediamo che il centro di tutto sia proprio questo. BFi e` nato come un esperimento privato per le nostre esigenze e per i nostri desideri. Presentarlo al pubblico e` stata solo una naturale progressione. NeURo: Come e quando nasce? BFi: Diversi anni fa. Forse ingenuamente, per spirito di emulazione di realta` passate e d'oltreoceano, come intenzione ferma di "farsi ricordare". Non e` forse cosi` per molti di noi? Noi, intesi come esseri umani? Nell'estate del 1997 si concluse l'esperienza editoriale di "System Down", rivista dedicata ai molti giovani che in seguito al boom di Internet in Italia si avvicinarono pieni di curiosita` per l'hacking: nottate infinite, dietro una tastiera a pigiare sui tasti in un canale IRC non ben identificato, per decidere cosa mettere e come metterlo... ragazzi, che tempi! Nel febbraio del 1998 pubblicammo il primo numero di BFi con l'obiettivo di far sentire a queste "nuove leve" la presenza di una comunita`: la "scena italiana", pronta a scambiare informazioni e a diffondere l'etica hacker. Poi e' diventata qualcos'altro: un punto di riferimento, fermo o illustre che fosse, per alcuni aspetti della "scena italiana" che nonostante le supposizioni, sembra realmente esistere. Ogni tanto ci piace pensare che BFi abbia in parte formato o, quanto meno, indirizzato alcuni tra gli ultimi italiani che oggi sono conosciuti nel mondo che ruota intorno alla sicurezza ed all'hacking nella sfera dell'Open Source. NeURo: Come mai questo nome? BFi: Butchered From inside: Macellati dall'interno... Non volevamo dare alla rivista un nome altisonante o troppo istituzionale, ne` uno che desse l'idea di un gruppo di criminali. BFi sembro` perfetto per comunicare quale fosse la filosofia degli autori del primo numero, a quel tempo per lo piu` adolescenti: "caro lettore, sappiamo di essere strani e paranoici, siamo "malati dentro" e lo ammettiamo, ma se questo non frena la tua curiosita` allora impara a capire il nostro modo di fare e vivere la sicurezza informatica leggendo la rivista". Impulsi olistici e primitivi, insomma; desiderio di mostrare qualcosa di interiore, finalmente vomitato a gran voce nel profondo della rete o, meglio, "dal" profondo, visto che molti di noi e di quelli che contribuiscono piu` o meno abitualmente non amano essere spesso alla ribalta. D'altra parte, cosa c'e` di meglio? Forse ci e` sfuggito? E` essenziale, diretto, punta al CORE del sistema ed alle sue vulnerabilita`. Non credo si possa fare meglio per descrivere quello che facciamo e la filosofia con cui lo facciamo O;-) NeURo: Sono cambiate molte cose dal primo numero di BFi. Come siete riusciti a dare continuita` a questo progetto? BFi: Ci abbiamo creduto. Forse ci siamo intestarditi. Di sicuro abbiamo creduto, ogni tanto magari in modo piu` o meno supponente, che potesse servire a qualcuno. In prima istanza riteniamo sia servito anche molto e soprattutto a noi stessi. Forse pero`, non pensiamo si possa parlare di continuita`: all'inizio BFi era la solita zine con le solite trattazioni, almeno con il senno del poi. Il fatto e` che in italiano c'era molto poco, gli argomenti trattati, anche se ora sembrano anacronistici, ingenui e magari anche fuffa che si impara a 15 anni, forse sono diventati tali grazie al fatto che qualcuno ha iniziato a scriverli. E BFi stato un modo di farlo. Ora la questione e` molto diversa, il mondo pullula di informazioni del genere e non si puo` di certo fare un paragone nemmeno nella gente che ci legge. Per come la vediamo, BFi e` ancora lo stesso strumento, adattato giustamente ai tempi: gli articoli che escono sono assolutamente anomali rispetto alle solite trattazioni di sicurezza e insicurezza informatica, presentano aspetti molto mirati su realta` esistenti e forse anche per questo si espone molto di piu` al mondo. Spesso ormai i nostri articoli precedono riviste internazionali ben piu` conosciute (i.e. Phrack) nella divulgazione di nuove tecniche. In realta` il segreto risiede forse nel fatto che BFi e` cresciuta con tutti noi. Dando un'occhiata ai primi numeri ci si accorge di un velo di spensieratezza e divertimento dietro ogni parola di ogni articolo. Andando piu` in la`, si nota come i contenuti siano diversi, piu` seri, piu` pacati: come se tutto fosse filtrato da un sottile velo di saggezza. In realta` non sono i contenuti ad essere cambiati (non solo, perlomeno), ma anche noi! Fare crescere BFi, prima di tutto a nostra misura ed in risposta alle nostre esigenze e` stata la mossa vincente per arrivare sino a qui. NeURo: Quanti lettori ha mediamente BFi? BFi: Ogni articolo viene letto da oltre 4000 persone l'anno, stando alle statistiche del sito ufficiale (http://bfi.s0ftpj.org); a queste vanno aggiunte quelle che scaricano la rivista, anche in traduzione francese ed inglese, dai siti mirror in Italia, Austria e Singapore. Alcuni del gruppo si augurano che, comunque, il numero di lettori rispetti questa falsariga: ... prev_month++ ... NeURo: Chi sono gli articolisti di BFi? BFi: Esseri umani. Nessuna IA. Nessun software di manipolazione semantica. Forse qualche geek, forse qualche "disturbato" :-) come alcuni hanno detto. Chi lo sa? Per essere concisi: persone con interesse nell'area della sicurezza, molta inventiva e una discreta vena di pazzia... Quindi chiunque abbia qualcosa di interessante da raccontare. NeURo: Come scegliete i pezzi da pubblicare? BFi: Tiriamo la moneta 16 volte. Se il numero di teste e` pari o superiore alla radice dell'anno di nascita dell'autore modulo 100 lo pubblichiamo (prima il modulo, poi la radice). A parte gli scherzi, per essere pubblicato un articolo deve soddisfare almeno uno di questi requisiti: - essere tecnicamente innovativo; - stimolare il lettore ad analizzare e risolvere un problema in maniera non convenzionale; - studiare un caso reale di implementazione di una tecnologia. I pezzi arrivano quasi sempre all'indirizzo della posta, a parte i soliti raccomandati :P Al che, il Responsabile delle Poste e Articoli li gira su una mailing list, in modo che tutti possano leggerli, valutarli e testarli. In realta` rimangono li` per settimane fino a che qualcuno non se ne ricorda, e preso da un attacco di iperattivita` convince qualcun altro ad occuparsene, il quale dopo un altro paio di settimane contatta l'autore e gli fa sapere qualcosa ;-) Quello che in realta` si fa quando arriva un nuovo articolo e` discuterci sopra. Prima di tutto sulle idee che stanno dietro l'articolo; poi si prova a vedere se sono davvero idee innovative ed originali, che possano suscitare la curiosita` del nostro pubblico. Se si passa questa fase, si puo` dire che l'articolo sara` dentro. NeURo: Ci sono stati mai problemi di pubblicazione di alcuni articoli? BFi: Qualcuno. Ripensamenti, preoccupazioni, semplici scrupoli e forse paranoie gratuite. Un po' come quando non si sa a quale offerta credere al supermercato. In realta`, purtroppo si`. Recentemente non abbiamo pubblicato alcuni articoli per timore di azioni legali, verso gli autori e chi ospita le pagine della rivista, da parte delle aziende che vendono i servizi risultati vulnerabili. Queste aziende dovrebbero capire che la scoperta e la libera documentazione di problemi di sicurezza nelle reti italiane possono solo aiutare ad elevare la qualita` del servizio offerto ai loro clienti e non sono legate ad alcuna volonta` di creare danni o disagi. Non possiamo certo parlare poi per tutti coloro che hanno scritto o scriveranno su BFi, ma molti del nostro gruppo hanno citato il nostro perenne e clamoroso stato di ritardo (mentale o logistico, non saprei) come base di tutti i problemi di pubblicazione. NeURo: Avete rapporti con Phrack? BFi: Di tanto in tanto. Conosciamo la redazione corrente, alcuni di noi in maniera piu` o meno "personale", ma ovviamente no. Alcuni ci hanno definito "il cugino italiano di Phrack", ma siamo due entita` separate e ovviamente di grandezza differente. La principale differenza risiede nella localizzazione: Phrack e' rivolto a qualsiasi tipo di lettore, BFi e' nato e vive per alimentare soprattutto l'Italia, soprattutto in passato carente di gruppi e punti di ritrovo per persone competenti. NeURo: Come mai difficilmente questo tipo di pubblicazioni riescono ad uscire dalla rete e diventare dei magazine cartacei? BFi: Perche` farlo? In fondo il target di BFi respira la rete, in un modo o nell'altro. Di sicuro non vogliamo soldi (ma neanche problemi logistici) per BFi. E comunque non sappiamo proprio chi si accollerebbe la responsabilita` legale ed editoriale di alcuni articoli :P Per loro natura pubblicazioni come BFi non sono compatibili con i tempi editoriali di una rivista su carta, inoltre non e` giusto che la gente debba pagare per accedere alle informazioni, dal momento che il costo pagato dagli articolisti e` di solito riducibile a qualche lattina inspiegabilmente chimica, un panino o del cioccolato, sigarette e buona musica ;-) come molti vecchi lettori sanno! E comunque, diciamocelo: nessun editore avrebbe interesse a far pubblicare in formato cartaceo qualcosa che non abbia cadenza fissa e abbia un pubblico di nicchia; oltretutto chi scrive su BFi e vuole passare il suo articolo ad una rivista e` liberissimo di farlo, purche` lasci l'anteprima della pubblicazione a BFi (l'originalita` della pubblicazione e` un punto al quale teniamo oggi molto). NeURo: Come pensate si possa continuare un cosi` bel progetto? BFi: In parte con le stesse idee e forze che hanno contribuito alla sua nascita: un pizzico di fantasia, un goccio di supponenza, impegno e tanta voglia di continuare a crederci, laddove molti sono soliti fermarsi. Ma, in fondo, perche` pensarci? Il progetto e` frutto di quello che facciamo tutti i giorni: quindi fino a quando lo faremo sara` cosi`. Se un giorno fossimo tutti presi dalla coltivazione delle fragole, BFi sara` un ottimo magazine online di giardinaggio e agricoltura. Per il resto, grazie a pochi articoli per volta, ma buoni, e sperando nelle collaborazioni di nuove leve, volenterose ed interessate. NeURo: Quale pensate sara` il futuro di questa ezine? BFi: Crediamo che "futuro" sia una parola troppo grossa, piu` che altro possiamo provare ad esprimere le nostre aspettative per BFi. Ci piacerebbe che gli utenti prendessero coscienza di quello che facciamo e di come lo facciamo e provassero anche loro a far la loro parte, magari comunicandocelo. Ci piacerebbe una piu` ampia collaborazione con molti autori che, in questo campo, vivono in Italia, ma che non hanno mai voluto o potuto esprimersi pubblicamente. Solo con un rapporto interattivo e diretto con "i silenziosi", ritengo si possa avere un futuro. Per continuare con un BFi che non e` solo s0ftpj, ma crogiuolo delle differenti realta` e visioni che animano la scena di questo paese. Tu quanto tempo dedichi a BFi? -- Cosa possiamo rispondere? Personalmente dedico pochissimo tempo a BFi :) ho scritto un paio di articoli, per questa zine, ma se li` fuori c'e` qualche ricercatore che ha voglia di condividere le sue scoperte con l'underground italiano, basta che invii il suo articolo alla redazione bfi@s0ftpj.org e in cambio ricevera` il feedback di una comunita` di hacker molto "competente" e molto "attenta" a tutte le novita` tecnologiche. Chi si occupa di IT security non puo` non tener conto di questa realta` riconosciuta e letta dai ricercatori di tutto il pianeta. Stefano Chiccarelli Chief Security Officer Tenovis Newtel s.r.l. s.chiccarelli@tenovisnewtel.it