Come assumere un hacker

Hanno facce rassicuranti: fototessere con sorrisi e abbigliamento casual che sarebbero adatte per profili Tinder o il sito di una compagnia di assicurazione. Quasi tutti guardano fisso in camera. Cerco nel catalogo una volto che faccia al caso mio. Il servizio che mi viene offerto da questa lista di professionisti è semplice: assumere un hacker personale. Hacker’s list è nato appena cinque mesi fa, a novembre, nei giorni del più grande attacco di cybersicurezza della storia ai danni della Sony Pictures, quando la casa di produzione subì un assalto di presunta provenienza nordcoreana per via dell’allora imminente uscita del film The Interview. Il ventre del web – ha dimostrato la cronaca di quei giorni – è oscuro e soffice, e gli attacchi alla sicurezza informativa sono crimini che ricadono sul mondo reale, in materia di privacy o carte di credito.

Gli hacker – i talenti di una professione che fino a poco tempo fa si esercitava nel buio – stanno diventando figure comuni dell’Internet quotidiano: Citizenfour, sull’epopea di Edward Snowden, ha appena vinto l’Oscar, e la sorveglianza di massa è anche e soprattutto una preoccupazione della persona comune, perché tutti abbiamo qualche affaruccio personale online, una password che potrebbe essere copiata, insieme alle bollette da pagare sul tavolo in cucina. I professionisti di Hacker’s list si occupano di scaramucce. Cose da poco, ma con utenti che arrivano a pagare fino a cinquemila dollari per rimuovere una foto scomoda da Internet o riuscire a rimediare una password altrui.

Il mio nome è Anxiety – Ansia – perché quando mi hanno chiesto di dare un nome al profilo, al momento dell’iscrizione al sito (per assumere un professionista e prenotare un servizio, è necessario registrarsi), ho avvertito un fastidioso senso di esposizione personale: come se dare il nome (vero) e viaggiare tra i forum di discussione di Hacker’s list con un nickname e una password personale, mi mettesse comunque in gioco. Il pregiudizio sugli hacker in un sito di hacker mi suggeriva la possibilità che qualcuno stesse già leggendo tra le mie mail scandalizzandosi per tutti i messaggi nostalgici che mio padre manda sotto dettatura di mia madre («RE: perché non ti fai mai sentire?»).

Si paga con carta di credito, attraverso il sito che “congela” il denaro fino alla chiusura del lavoro.

Spiegano invece dal web che Hacker’s list garantisce «un trattamento confidenziale e anonimo, e l’efficacia del servizio o la restituzione del denaro». Funziona con la freddezza di chi vuol chiudere l’affare in tempi brevi, con professionalità. Poche mosse. Iscrizione, la conferma della password tramite email e subito l’accesso al corridoio dello shopping per area di competenza. Ciascun professionista tra gli oltre cento profili disponibili ha una sua area di specializzazione: consulenti dei social media, mani abili nel recupero dei dati, esperti nell’application testing, che sarebbe la verifica della sicurezza di un sito, Photoshop. L’utente può pubblicare su una bacheca il proprio caso, con una cifra limite che è disposto a pagare (si parte da una media di circa 100 dollari), cercando un professionista che risponda alle sue necessità.

Gli hacker, online da ogni parte del mondo – da Austin, a Mumbai a San Paolo – rispondono, negoziano, offrono la propria disponibilità. L’utente seleziona il profilo che gli interessa (le recensioni sui singoli professionisti aiutano nella scelta): si paga con carta di credito, attraverso il sito che “congela” il denaro fino alla chiusura del lavoro. Se il progetto non viene portato a termine, tutto viene rimborsato. Dopo tre giorni passati nella navigazione ho intuito che neanche con la più fantasiosa immaginazione avrei potuto inventarmi un problema che un hacker potesse risolvere per me, specie passando in rassegna le vere richieste di aiuto. «Ho bisogno di entrare in una pagina Facebook di un profilo altrui. Ho poco tempo. Devo capire cosa sta succedendo e non ho altra scelta», scrive un certo Gandhi, offrendo dai 200 ai 300 dollari, prima che 15 solerti hacker si propongano per completare il lavoro. «Sono in questo settore da quattro anni – gli risponde pubblicamente NikeNaik – e questo genere di cose è la mia pratica quotidiana».

I casi di sospetta infedeltà sono tra i più comuni. «Devo hackerare il profilo del mio fidanzato, ho dei sospetti di qualcosa che sta succedendo e ho bisogno di scoprire tutto il prima possibile» scrive Franrr86, disposta a pagare fino a 500 dollari. «Aiutatemi, non ho tempo da perdere». Ci sono gli studenti che chiedono agli hacker la modifica dei voti del college online – le pagelle, come è prassi in America, vengono pubblicate sul web: «Qualcuno può modificare i miei voti inserendo una A e B nelle prossime settimane prima che possa mostrarli ai miei genitori? Potete rimetterli com’erano dopo che loro gli avranno dato un’occhiata». Dwfm ha postato la propria richiesta nella sezione “problemi di natura personale”, chiede supporto (fino a 500 dollari di offerta) per qualcuno disposto a cancellare tre profili Instagram dal web: «E non chiedetemi perché. Se sono arrivato fino a qui ho evidentemente le mie ragioni». Per 350 dollari «il lavoro può essere considerato fatto», assicura l’hacker Geniuskid (che ha una foto di profilo con un portatile sullo sfondo e una cuffietta da rapper sulla testa). Gli hacker possono rispondere a una determinata offerta pubblicamente o per posta privata: chi naviga online può vedere però quante volte sia stato contattato un singolo utente. Rxk9784 scrive dall’India e chiede aiuto per attaccare un indirizzo Gmail (400 dollari).

C’è qualcuno che chiede candidamente aiuto per hackerare una banca norvegese.

Il lavoro deve essere sembrato semplice agli occhi dei pirati della Rete: oltre cento pagine di mail private private di risposta di chi si candida ad accettare il lavoro. C’è chi cerca bacini di database per costruire business o vendere prodotti («qualcuno può rimediarmi qualche migliaia di contatti di deejay internazionali?»), molti invece hanno bisogno di “semplici” ritocchi ai commenti su blog e forum online. C’è qualcuno che chiede candidamente aiuto per hackerare una banca norvegese, e chi vuole attaccare il profilo Facebook di “un nemico” per vendette personali. Il confine legale-illegale è labile e irrisorio, e se nessuno dallo staff di Hacker’s list ha accettato una richiesta di intervista (il sito è registrato in Nuova Zelanda), ci sono esperti in materia di legalità sul web che stanno osservando il sistema.

Jonathan Mayer è uno scienziato informatico a Stanford, esperto di cybersicurezza. È stato consulente di Obama e Romney in tema di privacy sul web per i rispettivi siti dell’ultima compagna elettorale. Hacker’s list opera legalmente? «Nel diritto americano» – spiega Mayer interpellato via email – «questo argomento entra in un terreno spinoso riguardante la responsabilità secondaria. Dipende molto dai casi. Se un sito web è “davvero” ignaro dei singoli abusi, non è responsabile. Se un indirizzo incoraggia attività illegali, o ignora volutamente attività illegali, allora di solito è responsabile. Da una rapida occhiata penso che nel caso di Hacker’s list ci sia una forte possibilità che sia più vicino al secondo caso che al primo». In un articolo la rivista Forbes ha messo in guardia gli utenti dall’uso della propria carta di credito sul sito, mentre un competitor, NeighborhoodHacker, che offre servizi simili, ha iniziato ad accettare Bitcoin. Come far diventare archeologia due mestieri rispettabili: l’investigatore privato e il sicario: «Assumi online l’hacker che fa per te. Paga comodamente con carta di credito». Gli hacker – in genere – non “attaccano” i propri clienti.

Nelle immagini: scene dal Chaos Communication Congress di Berlino, dicembre 2014 (Adam Berry).