/* L'intervista che segue e` stata pubblicata nella rubrica "voci dall'underground" della rivista ICT Security, Marzo 2004. */ s0ftpj e` il gruppo di hacker italiani piu` famoso al mondo, costituito da un gruppo di ricercatori indipendenti che, grazie alla professionalita` e alle competenze di cui sono dotati, hanno deciso di mantenere vivo il gruppo dal 1997 ad oggi. Un record se pensiamo a come i gruppi italiani nascono e muoiono in continuazione. Una chiacchierata con loro per capire "la pozione magica" che ha permesso tutto questo. S0FTPJ DIGITAL SECURITY Questo mese abbiamo intervistato s0ftproject, meglio conosciuto come s0ftpj, il gruppo che annovera al suo interno alcuni dei migliori hacker italiani, ossia quelli che, nel nostro Paese, sono stati tra i primi a scoprire e a pubblicare advisory sulla sicurezza di alcuni programmi e a sviluppare tool blackhat e whitehat, come CaRoGNa e KSTAT. I componenti di s0ftpj, italiani al 100%, sono conosciuti in tutto il mondo grazie al loro particolare dinamismo e all'attenzione che riservano al mondo dell'underground digitale italiano. Facciamoci raccontare la loro esperienza per capire meglio lo stile e le motivazioni che li spingono nella loro attivita`. -- NeURo: Come e quando nasce il vostro gruppo? s0ftpj: s0ftpj nasce nella primavera del 1997 come comunita` no-profit di coder, security enthusiast, cyber/cypherpunk e tecnosciamani. Oggi il gruppo costituisce una vera e propria famiglia in cui l'hacking viene vissuto ogni giorno a 360 gradi: dall'auditing del codice alla sovversione dei protocolli, dalla scrittura di exploit allo sviluppo di strumenti di difesa della privacy, dall'esplorazione delle reti allo studio di architetture e OS esotici, oltre a tutta quella serie di tecnicismi che tanto fanno impazzire, a livello semantico, riviste professionali e gruppi Usenet di tecno-feticisti. Alcuni di noi s0ftpj non lo hanno visto nascere, ma sono cresciuti grazie al suo lavoro, sono rimasti affascinati dal modo in cui venivano esposte le soluzioni e i problemi (spesso proprio in quest'ordine) del mondo della sicurezza delle reti e dei sistemi. La voglia di rendere disponibili a tutti le proprie idee ha portato molte persone ad avvicinarsi a s0ftpj, chi pubblicando white paper e software, chi alimentando nuove idee e discussioni. NeURo: Quali obiettivi vi prefiggete? s0ftpj: Lo scopo fondamentale di s0ftpj e` permettere una potente diffusione delle informazioni tra i suoi membri. Questa volonta` di libera condivisione della conoscenza spesso esonda al di sopra degli argini del gruppo e si concretizza in release pubbliche: i tool disponibili sul sito (http://www.s0ftpj.org) e i nostri articoli pubblicati su BFi (http://bfi.s0ftpj.org). Il nostro gruppo, mediante la rivista BFi, ha sempre cercato di diffondere liberamente le informazioni, senza censure (fino a quando e' stato possibile) e invitando alla compartecipazione di tutti coloro avessero interesse nel comunicare e diffondere i propri studi, ricerche, considerazioni e riflessioni sul mondo digitale. Cio' ha permesso alla e-zine stessa di emergere dal periodo di stasi generazionale che si era creata dalla meta' degli anni 90. D'altra parte, dando uno sguardo dal punto di vista di chi non era presente fin dall'inizio, non vediamo nessun fine pratico nell'esistenza di s0ftpj. Il gruppo e' tale per cui racchiude persone di diverso genere e mentalita', accomunate da una passione e da alcune precise regole morali (le stesse che hanno portato s0ftpj a comporsi): come s0ftpj agisca poi a livello di gruppo e' determinato dall'incrociarsi delle idee dei componenti, non vi sono doveri o diritti se non quello di spandere ai 4 venti le proprie informazioni :) Ecco spiegato anche il legame che tiene assieme BFi e s0ftpj. NeURo: Quali sono i valori di base che muovono il vostro gruppo? s0ftpj: La curiosita` che accende la voglia di fare ricerca. La fiducia negli altri "fratelli" del gruppo. La paranoia verso tutti gli altri. Il rispetto e l'ammirazione verso chiunque difenda l'informazione libera e gratuita. La ricerca, individuale oltre che tecnica, l'amore per le tecnologie, per la comunicazione digitale, per le interconnessioni in senso lato. La passione per lo smanettamento piu` o meno puro, a seconda delle esigenze e delle credenze personali dei singoli membri. Il tutto vissuto insieme, laddove possibile, sebbene spesso farcito di un comunque sano isolazionismo personale :) In poche parole, per i frettolosi: tutti assieme, liberamente, alla ricerca e alla scoperta, per essere poetici. Pizza, Famiglia e MD5. NeURo: Il vostro gruppo e` uno dei piu` stimati e longevi nel panorama underground italiano, a cosa si deve questo? s0ftpj: Probabilmente in Italia ci apprezzano perche` abbiamo sempre tentato di dare qualcosa alla "scena" in cambio dello spazio e degli stimoli che essa ci fornisce. Siamo decisi a continuare a organizzare speech e workshop in occasione di eventi live come HackMeeting ed E-Privacy e ad incrementare il numero di traduzioni di BFi per far conoscere anche all'estero cosa gli hacker italiani sanno fare. La stima poi segue di pari passo la longevita'. Tutti abbiamo parlato ogni tanto di quanto era gia` noto nella scena internazionale. Capita a tutti e fa parte del percorso individuale di ricerca tecnica. Forse la longevita` ci ha concesso il lusso di cominciare a proporre qualcosa di nostro, a pontificare, magari, oltre che a riaffermare e comprovare. Questo fa presa, spesso, sui "nuovi". BFi ha sicuramente influito molto, in quanto e' andata migliorando in un lasso di tempo che ha visto, in Italia, il passaggio da una fase temporanea di stasi per le e-zine, all'esplosione di decine di nuovi tentativi, alcuni coronati da vari livelli di successo. In tutto questo, BFi e' rimasto ed ha fatto presa, uscendo dal cortile del gruppo per diffondersi in maniera piu' capillare. Se da un lato aiuta il continuare a vivere l'underground digitale anche quando la passione si trasforma in professione, dall'altro diventa difficile mantenere vivi i contatti e le ore di smanettamento "quotidiano" in un mercato che preferisce prodotti "all in one" e consulenti con il "bollino". Inoltre, tolleranza, autoironia e un pochino di intelligenza quotidiana aiutano a mantenere longeve questo genere di amicizie. D'altra parte, l'essere stimati si deve anche certamente alla rubrica della posta, su BFi, gestita da Cavallo. NeURo: Il vostro stile e` sempre stato orientato alla full disclosure. Questo atteggiamento vi ha creato problemi in Italia? s0ftpj: In realta` in s0ftpj non c'e` una linea di pensiero unica sulla disclosure: ognuno di noi e` libero di decidere se rilasciare o meno cio` che vuole nel modo in cui preferisce. La linea predominante comunque e` quella della full-disclosure: questo crea dei rischi per cui e` importante valutare sempre con attenzione le conseguenze di quello che si rilascia. Con alcune persone abbiamo avuto problemi per la nostra schiettezza, o il nostro lassismo concettuale sulle conseguenze, inseguendo il puro tecnicismo. Con altre abbiamo instaurato rapporti di reciproca stima, percependo in alcune di esse come anche il nostro "stile" possa giovare se osservato da un punto di vista piu` ampio. In alcuni casi, purtroppo, ci si rende conto che certe tematiche non vanno affrontate pubblicamente. Anche se ci piacerebbe molto :) NeURo: I vostri paper e i vostri exploit in alcuni casi hanno fatto il giro del mondo. Questa cosa vi ha portato contatti internazionali? s0ftpj: Riceviamo un buon feedback dall'estero, conosciamo alcuni personaggi della scena europea e abbiamo partecipato con piacere a manifestazioni come il CCC e HIP/HAL. Credo che molti di noi qualche anno fa si siano sentiti almeno in parte emozionati e/o orgogliosi che i THC ci abbiano inserito nei link "su cui soffermarsi" per imparare. Penso che nessuno si aspettasse una risposta di questo tipo. Ma, come sottolineato da alcuni membri, riceviamo ogni giorno complessivamente centinaia di mail dall'estero. Peccato sia tutto spam. NeURo: Come viene visto il vostro lavoro all'estero? s0ftpj: In alcuni casi, forse, e` quasi sovrastimato. Alcuni di noi hanno visto il proprio lavoro come tesi di certificazioni varie, citato su pubblicazioni o libri. Addirittura sil di antioffline ci chiese un'intervista, fatto, questo, parimenti sconcertante. Di sicuro non abbiamo mai avuto problemi "diretti" con altri gruppi, ma in fondo il periodo che va dalla meta` degli anni '80 a quella degli anni '90 ci ha preceduto, con i suoi pro ed i suoi contro... Ma per molti nostri progetti, chi lo sa? Non penso ci sia un "nostro lavoro", ci sono un po' di cose interessanti, altre meno, alcune che hanno fatto buona impressione in tutto il mondo, altre che sono sconosciute addirittura alla maggior parte dei partecipanti al gruppo. Penso non sia problema di nessuno la visibilita` dei propri lavori, anche se ovviamente fa piacere :D Al di la` di commenti ricevuti (da alcuni siti istituzionali DECISAMENTE importanti), quali: "s0ftpj you do a pretty good fucking job" NeURo: Che idea avete della sicurezza commerciale in Italia? s0ftpj: L'idea che probabilmente ne hai tu. Cangiante, quanto meno. In fondo, noiosa, superflua, orientata o meno al vaporware che sia, serve anch'essa. Se ogni ricercatore accademico al mondo non trovasse, spesso suo malgrado, un'eco del proprio operato nel mondo commerciale, allora vorrebbe dire che tutto il suo lavoro non ha influito, positivamente o negativamente, su alcunche`. E la ricerca fine a se` stessa, e` intellettualmente stimolante, ma e` davvero ricerca, in senso lato? Di sicuro rappresenta un viaggio interiore, ma questa rivista non tratta di Mandala ne` enumera i granelli di sabbia nelle spiagge, quindi ecco un commento serio: come in tutti i campi dell'informatica, ci stiamo facendo "colonizzare" dall'estero. Il problema e' che le grandi multinazionali che si stanno imponendo sul "mercato" della security in Italia, in generale, sono arrivate a lavorare su questo tema solo in quanto miniera di soldi. E un paese come l'Italia dove, nonostante l'alto livello economico, la tecnologia e` ancora vissuta un po' come magia, puo` dare grandi soddisfazioni a ciarlatani di ogni genere :) Pensiamo che in Italia si sia importato solo il peggio della security internazionale, mentre il meglio (le societa` di consulenza formate da guru del settore, le conferenze tecniche ad alto livello di contenuti, eccetera) sono rimaste negli Stati Uniti. Ad ogni modo, un nostro membro si occupa REALMENTE di sicurezza: fa il bagnino. NeURo: A quali progetti state lavorando? s0ftpj: Abbiamo alcuni progetti in fase di release (disponibili nella sezione tools di http://www.s0ftpj.org): - KSTAT: una versione aggiornata di uno dei nostri tool "white-hat" piu` conosciuti. - sud (superuser daemon): un sistema per Linux e *BSD che permette all'utente di ottenere privilegi di root e di usare programmi SUID in un ambiente NOSUID. sud e` basato su un modello client/server e sulla capacita` di passare file descriptor tra processi; consente di scegliere il metodo di autenticazione e le proprie credenziali sono verificate per mezzo di un socket unix. - innova: un framework modulare per la manipolazione delle sessioni di rete locali, da layer 3 in poi, in modo trasparente alle applicazioni. Gira completamente in userspace su sistemi Linux. - IN-FiT: una soluzione di backup e data restoring/publication innovativa, che elimina i costi di manutenzione e di recupero dei dati di backup, sfruttando spazio inutilizzato sui PC delle reti aziendali (LAN/WAN), tenendo i dati disponibili istantaneamente per il recupero. E` forse corretto, data la sede, sorvolare su altri tipi di progetti, meno in linea con questo format editoriale :) NeURo: Quale pensate sara` il futuro per s0ftpj? s0ftpj: Prima di pensare al futuro, rendiamo onore al passato ringraziando di cuore l'associazione telematica Metro Olografix, che da sempre ci e` vicina e da anni ci offre gratuitamente l'hosting del sito. Oggi. Il futuro di s0ftpj e' oggi. Il futuro di s0ftpj, come per tutte le cose, e' nel suo presente. Comunque roseo, perche`, che il gruppo prosegua nel suo percorso o meno, lascera` qualche traccia. Se non in rete, se non nei lettori di BFi, se non in qualche pensiero di amore/odio di qualche vendor o "figura pubblica", sicuramente avra' lasciato un segno indelebile in noi. Potremo cambiare strada, personalmente, ma non dimenticare cosa ha significato per noi. Se avra` significato qualcosa anche per voi, tanto meglio. Ah, si`. Sicuramente non verremo quotati in borsa e, come aggiunto dal membro che si occupa di sicurezza, non annegheremo. -- Ringrazio s0ftpj per quello che ha fatto in questi anni e speriamo che prima o poi in Italia qualcuno si renda conto che la sicurezza informatica non si improvvisa, che occorre una genialita` particolare per scoprire le vulnerabilita` e che, senza la scoperta di queste, non ha senso parlare di sicurezza, perche` le vulnerabilita` piu` pericolose sono quelle che non sono state ancora identificate. Stefano Chiccarelli Chief Security Officer Tenovis Newtel s.r.l. s.chiccarelli@tenovisnewtel.it