Lo staff di capn3m0.org ha avuto la possibilità di intervistare il pr0_alpha_team, crew emergente che si è fatta notare nei giorni passati per aver violato numerosi siti istituzionali: dai siti dei piccoli comuni al sito delle Banca delle Marche, lo Store del sito difesa.esercito.it e molti altri.
Come immagine ho scelto la locandina del famoso film Hackers del 1995 che vede come protagonisti una crew di giovani ragazzi che un po’ per divertimento un po’ per passione portarono a termine attacchi di grande portata scombussolando una città e finendo nel mirino dell’Fbi. Il film, come si sa, è finzione, ma è stato di ispirazione per molti ragazzini che come me sognavano di diventare hacker o qualcosa del genere.
Il motto del film era:
their only crime was curiosity
(il loro unico crimine era la curiosità)
Conoscendo un po’ meglio i ragazzi del pr0_alpha_team mi è tornato alla mente e vediamo perché.
[hr]
D #1: – Come nasce il pr0_alpha_team? E’ stata più una cosa tra amici tipo “vediamo fin dove riusciamo ad arrivare” o strutturata e organizzata?
L’Alpha_Team nasce come un gruppo di ragazzi (amici virtuali) , che sfida le infrastrutture che al giorno d’oggi dovrebbero essere le più sicure, cercando di far notare ai cari Italiani quanto siano vulnerabili i loro sistemi e come dati privati possano finire nelle mani di gente qualunque.
D #2 – Il nome pr0_alpha_team da dove proviene? Siete una versione “alpha” quindi ancora non ufficiale? cosa dobbiamo aspettarci?
Allora il nome Alpha_Team deriva dalla poca fantasia che avevamo quando ci siamo registrati su Zone-H, cosa dovreste aspettarvi? beh spero per noi che potremmo ancora divertirci nel cercare vulnerabilità 🙂
D #3 – Guardando il vostro profilo su Zone-H si ha notizia di voi a partire da Novembre. Siete una crew “emergente” o operate da tempo ma solo ora volete rendere note le vostre azioni?
In precedenza abbiamo operato come singoli , ma poi un giorno abbiamo deciso di unirci e diventare l’Alpha_Team e rendere note le nostre azioni.
D #4 – Il vostro background? Siete “ethical hacker” anche come lavoro?
Siamo tutti studenti delle superiori ma in futuro vorremo sicuramente lavorare in quel campo, non ci definiamo hacker, ma solo appassionati informatici.
D #5 – Indipendenti o parte di un progetto più grande?
Siamo un gruppetto indipendente.
D #6 – Perché siti istituzionali? Quale messaggio volete mandare?
Attacchiamo siti importanti sia per divertimento sia per far capire ai nostri cari webmaster come sia facile sfruttare le loro mancanze. Per esempio nell’attacco alla Banca delle Marche volevamo far capire ai webmaster come sia stato facile per noi reperire informazioni sensibili.
D #7 – Fino ad ora le vittime illustri sono state violate con attacchi Sql Injection. E’ la tecnica che preferite o è quella a cui, come si è visto, erano vulnerabili tutte le vittime?
Perché in quei siti abbiamo trovato quel tipo di vulnerabilità.
D #8 – Il silenzio della stampa. I giornali latitano sempre quando l’attacco non è firmato Anonymous che “fa audience”. Cosa ne pensate di questa dis-informazione?
Pensiamo che al giorno d’oggi non ci sia dis-informazione ma solo poca voglia di reperire informazioni da utenti che utilizzano internet. Tutti dovrebbero sapere che rischi corrono navigando su internet.
D #9 – Il termine hacker ancora oggi viene usato in maniera errata e non si fanno mai distinzioni tra ethical, white hat, black hat, etc.. Voi come vi definite?
Siamo solo ragazzi appassionati di informatica.
D #10 – Il sito di una Banca, il sito dello store della Difesa… le vostre azioni hanno messo ancora una volta in rilievo le carenze tecniche in merito alla sicurezza informatica. In Italia spendere soldi per prevenire appare ancora una “cattiva abitudine” (purtroppo). Le vostre vittime se informate della violazione come han reagito? Le falle poi vengono sistemate?
Reagirebbero malissimo. Come possiamo vedere nel sistema bancario delle Marche ci troviamo di fronte ad un C.M.S. a pagamento, e credo che non lo abbiano pagato poco. No, le falle ad oggi sono come prima.
[hr]
Concludendo questa intervista ne emerge ancora una volta la scarsa attenzione dedicata alla sicurezza informatica, dei nostri dati e delle infrastrutture che il nostro Paese presta ai suoi servizi più importanti o critici. Questi ragazzi, come ho premesso citando il film “Hackers“, sono solo appassionati e curiosi. I mezzi e le competenze li hanno e stanno dimostrando come uniti si possono raggiungere obiettivi importanti come il sito di una Banca o dell’Esercito. Non sono legati a nessun gruppo “famoso” e pertanto del pr0_alpha_team sono in pochi a parlare ma, come loro stessi hanno affermato, vogliono rendere note le loro azioni.
Sul tema della disinformazione fanno un’osservazione corretta dicendo che ai giorni d’oggi con internet a disposizione di chiunque è difficile pensare che la gente sia male o per niente informata. Almeno i giornalisti pagati per “informare” potrebbero provare a fare quello sforzo in più che noi non sempre abbiamo tempo o modo di fare.
Riguardo infine l’attacco al sito della Banca delle Marche (bancadellemarche.it) ci fanno sapere che nonostante i soldi spesi per un CMS risultato vulnerabile (può capitare eh, nessuno mette in dubbio che ci possano essere bug) non è stata ancora sistemata la falla. Sono queste le notizie che tra le tutte dovrebbero far riflettere. Possibile che una Banca dopo aver riscontrato delle violazioni nei propri dati non ne faccia notizia e neanche rimedia in tempi brevi?
Errare è umano, ma perseverare è diabolico..