«Nessuna azienda è mai riuscita a proteggersi con efficacia dai miei attacchi»

Signor Bütler, ci parli un po’ di lei.

Sono fondatore nonché uno dei titolari di Compass Security. Cerchiamo eventuali punti deboli nei siti web, nei servizi di e-banking, nei sistemi commerciali, di voto e di accesso remoto, su Android, Mac e iPhone. Siamo, per così dire, degli «hacker buoni».

Ho fondato l’azienda assieme al mio collega Walter Sprenger. Abbiamo esordito in sordina riuscendo poi a espanderci molto velocemente; nel frattempo abbiamo aperto delle sedi a Berna, Zurigo, Berlino e, dallo scorso dicembre, anche a Toronto. 

Quali possono essere gli obiettivi che si celano dietro a un attacco informatico?

Sono molti i motivi che inducono un hacker ad agire e possono essere raggruppati in diverse tipologie; io personalmente preferisco la seguente suddivisione in quattro categorie:

• Gli script kiddie o «vandali digitali» che pubblicano la loro propaganda e altri contenuti su siti web di terzi e costituiscono un problema soprattutto per le PMI svizzere.
• I criminali dal colletto bianco che possono essere a loro volta suddivisi in, per così dire, «stupidi» e «intelligenti». Gli «stupidi» sfruttano le loro conoscenze per contattare un utente e-banking e farsi versare del denaro su un altro conto. Sono considerati stupidi perché le somme di denaro sono molto modeste ed è facile risalire a chi sferra questi attacchi. Gli «intelligenti» invece acquisiscono informazioni borsistiche importanti di determinati attori globali e le sfruttano per svolgere operazioni di insider trading prima che il resto del mondo ne venga a conoscenza.
• Gli «Anonymous» sono invece persone che, per motivi etici e morali, accedono a siti web e li utilizzano per diffondere i principi in cui credono. Un esempio è rappresentato da PostFinance, il cui sito web è stato bloccato per vendetta, in quanto l’azienda ha disattivato il conto di Julian Assange, l’inventore di Wikileaks.
• Il quarto gruppo si dedica allo spionaggio e riguarda i servizi segreti. Come è stato dimostrato da Julian Assange con le sue pubblicazioni, gli Stati Uniti dispongono di una vasta rete internazionale con cui possono controllare chiunque. Contro questa minaccia possiamo tutelarci ben poco e contro gli attori statali non abbiamo praticamente alcuna possibilità di difesa.

Sperimentando tutto questo, si fida ancora di Internet?

Posso rispondere con un’altra domanda? Lei guida la macchina? E sa che ci sono cinture di sicurezza, airbag e quant’altro perché sussiste la possibilità che si verifichi un incidente, giusto? E nonostante tutto continua a usare la macchina. Ecco, lo stesso vale per me e l’uso di Internet. So che comporta dei rischi e che, nonostante tutte le precauzioni, non si è mai completamente al sicuro. Eppure uso Internet, considerati tutti i vantaggi che offre.

Le è mai capitato di non essere riuscito a portare a termine un incarico?

Veramente preferirei non dirlo, ma finora praticamente nessuna azienda è stata in grado di difendersi dai miei attacchi. Il problema è tuttavia sempre l’essere umano: su cento collaboratori ne basta uno solo che non presti la dovuta attenzione e il gioco è fatto, anche se i collaboratori vengono avvisati e agiscono con prudenza. 

Abbiamo ad esempio ricevuto l’incarico di hackerare un’azienda e una persona si è offerta volontariamente per eseguire un test. Abbiamo utilizzato Google per effettuare una breve ricerca su questa persona e scoperto che si era registrata su un sito web su cui è possibile rintracciare vecchi compagni di scuola. Abbiamo allestito un account gmail a nome di un ex compagno di scuola e abbiamo inviato alla persona interessata il seguente messaggio: «Ciao, sto organizzando un incontro fra vecchi compagni di classe, dai un’occhiata agli indirizzi di cui ero a conoscenza; li ho già registrati nel file Excel allegato. Potresti completare l’elenco?» E appena aperto l’allegato, il computer del collaboratore è stato infettato da un cavallo di Troia.