Un attacco informatico è come un brutto raffreddore. Comincia con un’infezione da virus e finisce con un senso di profonda debilitazione. Alla fine del 2012, poco dopo l’uscita di un articolo su uno scandalo di corruzione che vedeva coinvolto l’ex primo ministro cinese, la redazione del New York Times è stata vittima di un attacco particolarmente aggressivo. L’azienda telefonica At&t, che gestisce i server del New York Times, ha comunicato al quotidiano che nella rete locale era stata rilevata un’attività sospetta. Un’indagine interna ha scoperto che era in corso un’offensiva su grande scala: degli hacker cinesi erano riusciti a entrare negli account di posta elettronica, avevano rubato le password di tutti i dipendenti, avevano installato quarantacinque malware – un software dannoso che si diffonde attraverso una rete – e si erano messi a spiare cinquantatré giornalisti cercando informazioni di qualunque tipo sulla famiglia del primo ministro cinese. Ogni giorno, seguendo i metodi dell’esercito cinese, gli hacker cominciavano alle otto e lavoravano fino a mezzanotte, usando strumenti per l’accesso remoto in grado di rubare enormi quantità d’informazioni sensibili e addirittura di attivare i microfoni e le telecamere dei computer, trasformandoli in dispositivi di registrazione segreti. È stata un’infezione complicata e devastante, quasi un capolavoro nel suo genere.
Ci sono voluti quattro mesi d’indagini e inseguimenti perché il New York Times riuscisse finalmente a cacciare gli hacker dalla sua rete. Il governo cinese ha negato ogni coinvolgimento. Riflettendo sull’accaduto, però, in redazione si sono convinti che l’attacco doveva far parte di una “campagna di spionaggio a tutto campo” rivolta contro diverse testate. Poco dopo, infatti, il Wall Street Journal ha confermato che un gruppo di hacker cinesi aveva violato i suoi sistemi, e lo stesso hanno fatto il Washington Post e Bloomberg.
La vicenda ha messo i giornalisti di fronte a una realtà sconvolgente: la loro risorsa più preziosa – la confidenzialità delle fonti, assicurata attraverso canali di comunicazione sicuri – non poteva più essere garantita. Le testate giornalistiche non erano semplicemente vulnerabili agli attacchi informatici, erano diventate dei bersagli.
Quando ha sentito per la prima volta dell’attacco, Runa Sandvik è rimasta sconcertata. All’epoca aveva venticinque anni, viveva a Londra, nel Regno Unito, e lavorava come esperta di sicurezza per una rete di volontari impegnati a sviluppare un software che garantisse l’anonimato su internet. Qualche anno dopo, il New York Times l’ha chiamata per offrirle di diventare responsabile della sicurezza informatica. Le hanno spiegato che in redazione cercavano qualcuno che scongiurasse la possibilità di un altro attacco e aiutasse i cronisti a gestire le minacce informatiche. Il lavoro era tagliato su misura per lei. “Sandvik è stata la prima in tante cose”, dice Susan McGregor, una ricercatrice del Data science institute della Columbia university di New York. “Conosce il mestiere e sa cosa vuol dire lavorare contro la censura dall’interno di un giornale”.
“Bisogna soprattutto essere curiosi per le cose e appassionarsi all’enigma di come mettere in sicurezza un sistema o una persona”, mi ha detto recentemente Sandvik. Oggi ha trentasei anni e vive a New York con il marito, Michael, che lavora anche lui nella sicurezza informatica. Cinque anni fa ha lasciato il New York Times e ha fondato un’azienda, la Granitt, che fa consulenza ai giornalisti e ad altre categorie a rischio (avvocati, attivisti) su come tenere i dati al riparo dagli hacker, che spesso sono al servizio di regimi autoritari. Sandvik è di Oslo e il nome della sua azienda significa “granito” in norvegese. “Volevo un nome che riflettesse quello che faccio”, dice. “Qualcosa di stabile e solido”.
Sandvik parla con la tranquillità schietta tipica degli scandinavi. Minuta e muscolosa, porta canottiere da ginnastica aderenti e larghissime felpe con il cappuccio, come se stesse sempre per andare in palestra. Sull’avambraccio destro ha un elaborato tatuaggio nero disegnato da un artista francese che ha scoperto su Instagram. Oltre a essere una delle maggiori esperte di sicurezza informatica al mondo, è una specie di collezionista professionale di hobby: ha la patente per la moto e il brevetto da sub, le piace fare immersioni con gli squali (“Galleggi in superficie come un piccolo spuntino”, dice) e pole dancing. Per divertimento, qualche anno fa, lei e Michael hanno hackerato il sistema di puntatura digitale di un fucile di precisione. Hanno scritto un’email al rivenditore per segnalare il difetto, ma l’azienda ha ignorato il messaggio e si è limitata a comunicare ai clienti una potenziale violazione della sicurezza, rassicurandoli sul fatto che i fucili erano sicuri “a meno che non ci siano hacker nel raggio di trenta metri”.
Per tutta la nostra conversazione, Sandvik mantiene un atteggiamento cauto e circospetto, che a tratti sfiora la paranoia. Comunichiamo solo su canali crittografati, anche quando discutiamo delle cose più innocue come organizzare un incontro o condividere il link a un articolo. Mostra una palese diffidenza per internet, soprattutto per come e dove sono conservati i suoi dati. In parole povere, è ossessionata dalla privacy. Quando le chiedo cosa bisognerebbe fare per tenersi completamente al riparo dalle minacce informatiche, dice che bisognerebbe non essere online e vivere nei boschi. A volte sono sconcertata dalla sua prudenza. Mi chiedo se ci siano delle cose che mi tiene nascoste, una specie di consapevolezza dei rischi che solo una persona della sua esperienza è in grado di avere. O se, nella sua affabile schiettezza, vuole semplicemente farmi capire che siamo tutti ciechi di fronte al livello di sorveglianza in cui viviamo.
Già una decina d’anni prima che il resto del mondo cominciasse a capire che internet non era un luogo riservato, Sandvik era immersa fino al collo nella “piccola ma vivace comunità di fanatici della tecnologia” che cercavano di rendere il web più sicuro. Sandvik è un’autodidatta: ha usato il primo computer nel 2002, a quindici anni, quando sua madre ha portato a casa un Hp Compaq Windows millennium edition nuovo di zecca. Il computer era squadrato e occupava un sacco di spazio. Sandvik non vedeva l’ora “di capire come fare tutte le cose che teoricamente non avrei dovuto fare”, dice. In breve tempo ha scoperto come entrare nei computer degli altri con un trojan, un malware mascherato da file d’immagine o da collegamento ipertestuale. “Non avevo la sensazione d’invadere uno spazio altrui o di fare qualcosa d’illegale”, dice. All’inizio faceva esperimenti sui computer degli amici, anche loro parte dell’effervescente comunità di hacker di Oslo. Nei fine settimana partecipava alle cosiddette feste local area network (lan), dove gli adolescenti arrivavano con computer portatili, impianti stereo, luci stroboscopiche e bevande energetiche, e passavano la notte a giocare ai videogiochi, entrare nelle reti degli altri e chattare online. Quando le chiedo se durante queste feste le capitava di parlare con chi le stava vicino, aggrotta la fronte e dice: “Sarebbe stato strano”.
Quando chiedo a Runa Sandvik cosa bisognerebbe fare per tenersi al riparo dalle minacce informatiche, dice che bisognerebbe non essere online e vivere nei boschi
La vita a Oslo era generalmente tranquilla. Il padre di Sandvik lavorava per una grande azienda farmaceutica, sua madre in un ospedale. “Non ero una grande fan della scuola che frequentavo, stavo passando un brutto periodo”, racconta. “Mi dicevo: ‘Ok, o le cose andranno meglio oppure resteranno uguali. Quindi tanto vale che provi a farle andare meglio’”. Ha lasciato casa sua a diciassette anni. A Trondheim, nel nord del paese, si è iscritta all’Università norvegese di scienza e tecnologia. Poi, per un po’, ha seguito un ragazzo a Londra. Ha trovato un posto come “hacker etica” in una società di consulenza, dove il suo incarico, sostanzialmente, era cercare di entrare nelle reti dei clienti per trovare delle falle nella sicurezza. Era un lavoro stabile, dalle nove alle cinque, ma lei si annoiava.
Nel 2009 ha cominciato a sentire parlare di Tor, un software open source capace di navigare in rete sfuggendo alla sorveglianza e alla censura. In un bar, Sandvik mi spiega come funziona il programma creando un labirinto di bicchieri di carta sul tavolo. Quando qualcuno usa una vpn – virtual private network, una rete che nasconde l’identità e la posizione di un utente su internet – il computer di un utente si collega a un server vpn, per esempio, in Germania: bicchiere di carta numero uno. Il fornitore di servizi internet dell’utente vede che si è connesso a quel server in Germania, e il sito che l’utente sta visitando – per esempio Google, bicchiere di carta numero due – vede solo il server in Germania (e non dove si trova realmente l’utente). Le vpn spesso sono usate nei paesi governati da regimi autoritari o in cui le persone sono sottoposte a restrizioni nell’uso di internet. Ma non garantiscono necessariamente l’anonimato, perché il fornitore della vpn sa chi sta navigando e dove. Con Tor, dice Sandvik, invece di passare da un solo server vpn, si usa una serie di server scelti a caso – bicchieri di carta uno, due e tre – così diventa completamente impossibile rintracciare una persona.
Tor l’affascinava. “Per chi è cresciuto in Norvegia”, dice, “il resto del mondo era sempre il resto del mondo. L’idea di poter essere censurata oppure punita per aver detto o scritto qualcosa o per aver espresso le mie opinioni non mi sfiorava nemmeno”. Tor la faceva sentire più vicina a tutte le persone su internet, a chi aveva meno diritti di lei, ed era anche un’occasione per aiutarle a difendere la loro privacy e la loro libertà. Così è andata a lavorare per il Tor project, un’organizzazione senza scopo di lucro dedicata allo sviluppo del software. La relazione con il ragazzo di Londra era finita. A una conferenza di hacker ha incontrato Michael. Un anno dopo sono scappati insieme e si sono trasferiti a casa di lui a Washington, negli Stati Uniti.
Sandvik ci è arrivata nel 2013, subito dopo la primavera araba. Gli attivisti avevano cominciato a usare internet in modi prima sconosciuti, ma anche i loro movimenti cominciavano a essere seguiti da vicino. “Mi sono accorta che per le persone era diventato più difficile accedere ai social network e i governi stavano cercando il modo di bloccare Tor”, dice. Sandvik lavorava a contatto con attivisti e giornalisti e ha cominciato a farsi delle domande: “Come mai gli utenti in Etiopia non riescono a usare la barra laterale di Tor? Cosa sta succedendo esattamente in quel paese? Perché questa tecnologia non sta funzionando come dovrebbe? Perché le attività di attivisti, ricercatori e giornalisti danno tanto fastidio al governo?”. Tutte queste domande l’hanno portata a un posto da ricercatrice per la privacy e la sicurezza per un’organizzazione non profit, la Freedom of the press foundation.
Sandvik aveva trovato la sua nicchia. Girava il mondo e incontrava i suoi colleghi alle conferenze e alle feste. Un giorno, nel 2012, lei e Michael sono partiti per una vacanza alle Hawaii. Prima del viaggio Sandvik aveva scritto un tweet per fare pubblicità ai gadget di Tor. Dopo qualche giorno, le è arrivata un’email da un tizio che si è presentato come Ed: “Se ci sono delle camicie, preferirei il nero”, diceva. Sandvik ha risposto che sarebbe stata lieta di procurargliele. Poi Ed ha scritto di nuovo, chiedendole se mentre era a Honolulu voleva condurre insieme a lui un CryptoParty, un raduno underground di attivisti contro la sorveglianza digitale. Lì i due hanno spiegato a una ventina di persone come crittografare i dischi rigidi e navigare su internet mantenendo l’anonimato. Quel tizio era Edward Snowden.
Dopo la presentazione, Sandvik e Snowden sono rimasti in contatto. Sei mesi dopo, la faccia di Snowden è finita sulle prime pagine dei giornali di tutto il mondo. Sandvik era sconcertata dalla decisione dell’amico di far trapelare tutto quel materiale segreto, ma ne apprezzava il coraggio. “C’è stato un momento in cui ho pensato: ‘Cazzo, è una cosa grossa’”, dice. Sapeva per esperienza personale che i regimi autoritari censuravano i cittadini controllando i flussi d’informazione, ma non sospettava minimamente che succedesse anche negli Stati Uniti. La lettura delle carte di Snowden è stata una rivelazione. “Era la prova che il governo non solo ha gli strumenti e le capacità per sorvegliarci, ma lo fa davvero”, dice. Sandvik ha cominciato a vedere la privacy come uno dei capisaldi della democrazia e si è resa conto che quel caposaldo era in pericolo. La privacy è un diritto umano fondamentale, accedere ai dati personali digitali di qualcuno non era solo una violazione della privacy: “Quella che mi stai togliendo è l’autonomia”.
Le rivelazioni di Snowden hanno coinciso con una crescita della consapevolezza dei giornalisti di essere i potenziali bersagli di attacchi informatici. Quando era al New York Times, Sandvik è stata inviata nelle redazioni di Washington, Londra, Hong Kong, Mosca, Sydney e della Cina continentale per controllare e aggiornare i sistemi di sicurezza digitale. Era disponibile ogni volta che un giornalista aveva bisogno di consigli. Era il lavoro dei suoi sogni. “Tornavo a casa e sapevo che cosa ci sarebbe stato sulla prima pagina del New York Times la mattina dopo”, ricorda. Aveva stilato un protocollo per insegnare ai giornalisti delle regole di base: usate password uniche e complicate, adottate codici di autenticazione a due fattori, comunicate solo tramite app crittografate come Signal, diffidate dei servizi che forniscono trascrizioni veloci fatte dall’intelligenza artificiale. Sono accortezze che oggi sono familiari, ma all’epoca non erano comuni. “Mi ricordo che fin da subito sono rimasto impressionato da quanto erano preziosi i suoi consigli”, racconta Malachy Browne, della squadra per le videoinchieste del New York Times. Sandvik si occupava anche di scenari non convenzionali: cosa fare se sulla segreteria telefonica arrivava un messaggio di una fonte come Chelsea Manning? Come inviare in modo sicuro un giornalista in Corea del Nord?
Mentre Sandvik era al New York Times, è emersa una delle più grandi minacce alla sicurezza dei giornalisti nella storia della sorveglianza digitale: la startup israeliana Nso Group ha presentato uno spyware capace di entrare di nascosto negli smartphone. Pegasus è un software in grado di trasformare il telefono di un privato in un dispositivo di registrazione in incognito, di attivare la videocamera e di estrarre messaggi di testo, contatti, email e posizioni gps. Secondo CitizenLab, un istituto di ricerca specializzato in sicurezza digitale, dal 2016 Pegasus è stato usato da agenzie governative in almeno quarantacinque paesi, alcuni notoriamente autoritari, altri apparentemente democratici.
Per i giornalisti è stata una catastrofe. Il primo caso confermato al New York Times è stato quello di Ben Hubbard, all’epoca corrispondente in Medio Oriente. Un giorno Hubbard ha ricevuto uno strano link, scritto in arabo, che lo invitava a partecipare a una manifestazione di protesta all’ambasciata saudita a Washington. Non ha neanche aperto il link, sapeva che non doveva farlo, ma non è servito a nulla. Anni dopo ha scoperto che gli hacker si erano infiltrati varie volte nel suo telefono usando una nuova inquietante tecnologia “zero clic”, capace di accedere in tempo reale ai suoi contatti, alle sue foto, ai suoi messaggi e potenzialmente anche ai suoi conti bancari. “È come essere derubati da un fantasma”, ha scritto Hubbard. “Immaginatevi un ladro che rientra in una gioielleria subito dopo averla rapinata per cancellare le impronte digitali”.
Da “un punto di vista puramente tecnico”, Sandvik era “affascinata”. Pegasus era un malware capace non solo di entrare nel dispositivo di una persona a sua insaputa, ma anche di sfruttare app già installate e bachi dei sistemi operativi Apple e Android. “Avevo sempre pensato che prima o poi un software del genere sarebbe arrivato”, dice, ma questo era inaudito. Sandvik ha creato un database pubblico per tenere traccia di tutte le persone colpite: in men che non si dica il numero è salito a seicento persone, tra cui molti giornalisti.
Recentemente Sandvik ha seguito come consulente un importante caso che riguarda Pegasus: l’anno scorso alcuni giornalisti del quotidiano salvadoregno El Faro sono stati spiati dal software e hanno intentato la prima causa contro la Nso sul suolo statunitense. La loro avvocata, Carrie DeCell, attivista per la difesa della libertà di parola e di stampa negli Stati Uniti, spera di mettere in discussione uno degli elementi chiave che rendono Pegasus così pericoloso, cioè l’impossibilità d’identificare l’autore di un attacco informatico (come mi ha detto DeCell, “vogliamo far sapere ai governi di tutto il mondo che possono essere scoperti”). Collaborando con DeCell, Sandvik ha spiegato ai dipendenti del Faro come rendere sicure le loro comunicazioni digitali. Pegasus, però, è talmente sofisticato che non c’è molto che si possa fare per scongiurare un altro attacco. “Usavamo già Signal”, dice Nelson Rauda, un giornalista di El Faro a cui hanno hackerato il telefono. “Ma non è servito. Mi sono sentito completamente indifeso”.
Sandvik ha lasciato il New York Times nel 2019. Su Twitter ha scritto che aveva problemi con il suo capo e che era stata accusata di essere una persona “difficile, cattiva, fragile, territoriale, autoritaria”. Secondo un portavoce del giornale, “il ruolo di Runa al New York Times è diventato superfluo dopo una riorganizzazione del dipartimento di sicurezza informatica”. Snowden ha pubblicato un tweet di solidarietà per la sua amica: “È una cosa talmente sbagliata che non si capisce come siano arrivati a una decisione del genere. Se ne pentiranno”. Per Sandvik è stato un fulmine a ciel sereno. Si è data un po’ di tempo per riprendersi, ha adottato un gatto, ha imparato a fare il pane alla banana e si è iscritta a un “centro per le immersioni con gli squali e lo yoga” in Florida.
Dopo un po’, ha cominciato a ricevere un fiume di email da giornalisti che le chiedevano consigli sulla sicurezza. L’hanno cercata per fare consulenza alla Ford Foundation, è diventata senior adviser del Cyberforsvaret, responsabile della sicurezza informatica delle forze armate norvegesi, ed è entrata nel consiglio consultivo tecnico dell’agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti. All’inizio le sembrava strano collaborare con il governo ma, come mi ha spiegato, “con il passare degli anni mi sono resa conto che dobbiamo lavorare tutti insieme se vogliamo davvero che il mondo rimanga sicuro”. Ha fondato la Granitt nel giugno 2022. Per ora è l’unica dipendente. “Si occupa in particolare della protezione dei giornalisti, che non sapevo fosse un campo diverso dalla sicurezza”, dice Scott Klein, un redattore che ha lavorato con lei.
Sul sito di Granitt c’è solo un logo in bianco e nero. Non c’è una descrizione dei servizi dell’azienda, ma una serie di link a vari account sui social network. Per attirare clienti Sandvik si affida unicamente alla sua reputazione e al passaparola. Finora la strategia ha funzionato piuttosto bene: è stata chiamata per fare consulenza da diverse grandi agenzie stampa, tra cui la Reuters e l’Associated Press, e ha accettato vari incarichi per giornalisti indipendenti. Il suo compenso orario può arrivare a varie centinaia di dollari, ma qualche volta le capita di lavorare gratis. “La minaccia d’interferenze dall’estero è molto concreta in questo momento”, dice Ankur Ahluwalia, vicepresidente per le soluzioni tecnologiche dell’Associated Press. “Pegasus è arrivato dal nulla, giusto? Non eravamo pronti per una cosa simile. Ed è stato spaventoso”. Patrick Boehler, redattore di Radio Free Europe/Radio Liberty, mi ha detto che prima d’incontrare Sandvik si era rassegnato al fatto che i giornalisti fossero alla mercé dei governi autoritari. “Lei ci ha insegnato a reagire e a riprenderci un po’ di autonomia”, dice.
Quando ho incontrato Sandvik, la mia speranza era di partecipare con lei a qualche appuntamento con i clienti. Ma mi ha detto subito di no. “Data la natura” del suo lavoro, la mia presenza avrebbe posto un evidente problema di privacy. “Quando parlo con i clienti, discutiamo di come posso aiutarli a svolgere il loro lavoro in sicurezza. Questo significa che sono molto aperti e vulnerabili su quali rischi affrontano e quali sono le loro lacune”, mi ha spiegato. “La posta in gioco è molto alta e personale”. Per rimediare, mi ha proposto di condividere con lei un’attività in cui sembra più a suo agio: una lezione di pole dancing.
Una mattina la accompagno al Body & Pole, una cavernosa palestra al centro di Manhattan in cui Sandvik va da cinque anni per frequentare le lezioni cinque o sei volte alla settimana. Dal soffitto, illuminato dalle luci stroboscopiche, penzolano anelli e corde. Sandvik dice che tra le allieve ci sono avvocate, ingegnere e imprenditrici, oltre a professioniste del sesso, spogliarellisti e una donna che sostiene di essere un’atleta. Quando le chiedo che cos’è che le piace tanto della pole dance resta un attimo in silenzio, come se non avesse mai considerato la questione. “Credo… hai presente quando hai avuto una giornata frustrante, e vorresti soltanto urlare a squarciagola?”, dice, contorcendo la faccia in un grido muto. “Ecco, per me ballare intorno a un palo è questo”.
Al Body & Pole ci sono quattro livelli. Sandvik dice che è al livello 3,5, ma per cortesia si offre di accompagnarmi a una lezione introduttiva. C’incontriamo negli spogliatoi, dove mi presenta alcune delle sue amiche. Poche di loro sanno che è un’esperta di sicurezza informatica: non lo tiene necessariamente nascosto ma, mi spiega, “in questo contesto non è una cosa che viene fuori”. Entriamo in una sala illuminata da luci rosse soffuse. Alex, l’istruttore, disinvolto nei suoi pantaloncini aderenti, per scaldarci ci fa fare dei movimenti circolari con il collo, capelli al vento. “Muovetevi finché non sentite le ossa!”. Poi, a turno, saliamo sul palo.
Sandvik rotea con destrezza felina, arcuando la schiena e accucciandosi a terra a tempo di musica. Alex ci dice di mettere in moto le nostre “braccia da Beyoncé”; guardo allo specchio il mio corpo rigido mentre Sandvik flette i polsi e gira intorno al palo, piedi e braccia in aria. È la prima e unica volta che la vedo rilassarsi e lasciarsi andare. È come se in questa sala, scollegata da internet, riuscisse finalmente a liberarsi dei fardelli della mente.
Una volta Sandvik è stata vittima di un furto di dati. Era il 2015 e le era arrivata un’email da Twitter con l’oggetto: “Informazioni importanti sulla sicurezza”. “Per precauzione”, c’era scritto nell’email, “ti stiamo avvisando che il tuo account su Twitter fa parte di un gruppo ristretto di account che potrebbe essere stato preso di mira da soggetti affiliati a stati”. Qualche tempo dopo ha scoperto attraverso un giornalista del New York Times che il colpevole era un ingegnere di Twitter che lavorava in segreto come agente per il governo saudita e monitorava gli account dei dissidenti. Alla fine l’uomo è stato denunciato per spionaggio. L’episodio ha continuato a tormentarla. “Non so a cosa hanno avuto accesso né per quanto tempo”, dice. “Forse hanno semplicemente controllato quale indirizzo ip stavo usando in quel momento. O forse hanno scaricato tutti i miei messaggi privati. Non lo so, perché Twitter non me l’ha detto”.
Nessuno più di Sandvik è consapevole dei rischi rappresentati dal semplice fatto di esistere online eppure, nonostante tutte le sue conoscenze nel campo della sicurezza informatica, non è riuscita a immunizzarsi. Dice sempre che essere attaccati dagli hacker non è una possibilità, ma una probabilità: la maggior parte delle persone, spiega, è troppo ingenua e fiduciosa quando si tratta di comunicazioni digitali. Governi e istituzioni – spie in varie forme – sono sempre in agguato. Nel 2020, dopo l’inizio della pandemia, ha cominciato a collezionare biografie di spie sotto copertura che lavoravano nei mezzi d’informazione, come il suo hacker. L’anno scorso ha creato un account su Substack, Journalist and spy, per pubblicare le cose che ha scoperto. “Sono sempre stata molto affascinata dalle storie di cappa e spada, spie e misteri”, dice. “Continuavo a imbattermi in casi di spie che usavano il giornalismo come copertura. Così mi sono incuriosita”.
Ci sono sempre cose nuove di cui preoccuparsi. Sandvik mi ha parlato di un altro “spyware mercenario” che è appena arrivato sul mercato. È stato sviluppato dalla Candiru, un’azienda israeliana che vende solo ai governi. Lo spyware della Candiru, che la Microsoft chiama DevilsTongue (lingua del diavolo) è stato già rilevato su più di settecentocinquanta siti; secondo CitizenLab, molti dei domini infettati si spacciavano per siti di organizzazioni come Amnesty international e Black lives matter. Ci sono state almeno centocinquanta persone colpite, tra cui molti giornalisti, in almeno dieci paesi. Sandvik dice che è solo l’inizio. “Penso che stiamo assistendo a una corsa agli armamenti tra aziende come la Apple e la Nso”, dice. “La Nso trova un modo per installare Pegasus su un telefono senza che l’utente clicchi su un link. A quel punto la Apple capisce che c’è un bug da sanare. E la Nso ne trova un altro”.
Gli hacker al soldo dei governi sono costantemente alla ricerca di modi per eludere le misure di sicurezza sviluppate dalle grandi aziende tecnologiche, che a loro volta hanno continuamente bisogno di nuove protezioni. Questa dinamica si fonda sul presupposto che i codici delle grandi aziende avranno sempre delle falle. E il lavoro di Sandvik si basa sul fatto che ci sarà sempre una corsa agli armamenti e che i leader autoritari continueranno a spiare i giornalisti in cerca di materiale sensibile. Il suo lavoro, quindi, sembra al sicuro. Da più di dieci anni l’organizzazione non profit Freedom House pubblica un indice della libertà globale su internet: secondo le sue stime, questo è il dodicesimo anno consecutivo di declino, come una foglia che gira in un vortice vista al rallentatore. E in paesi come la Russia e la Cina, in cui internet è già controllata dallo stato, i progressi della tecnologia – Pegasus, lo spyware della Candiru, qualsiasi cosa verrà dopo – andranno solo a vantaggio dei governi.
Ma, almeno per il momento, la partita è ancora aperta. “Siamo arrivati a un punto in cui gli hacker devono essere super-qualificati, avere un sacco di tempo e pazienza ed essere molto intraprendenti per avere una possibilità”, dice Sandvik. “Quando si trovano a corto di opportunità, ecco che le minacce passano dalla sfera digitale a quella fisica e legale”. Quando è diventato presidente degli Stati Uniti, Joe Biden ha inserito la Nso Group nella lista nera delle aziende a cui è vietato operare sul suolo statunitense. Ma l’ambito di applicazione del divieto era ambiguo, e appena cinque giorni dopo il New York Times ha scritto che il governo si è accordato in segreto con la Nso attraverso una società di facciata, la Cleopatra Holdings. Ma la Nso non è la sola protagonista nel campo degli attacchi informatici. Secondo Sandvik, un giorno i malware saranno in grado d’installarsi di nascosto su un telefono e rubare tutti i dati – magari registrando le conversazioni o girando video – per poi disinstallarsi senza lasciare traccia. È un pensiero agghiacciante. “Gli spyware che prendono di mira attivisti e giornalisti continueranno a esistere, non ce ne libereremo”, dice.
Una sera, alla fine di febbraio, mi vedo con Sandvik per una pizza. Mi racconta che ha passato tutta la giornata a creare un database simile a quello che aveva compilato su Pegasus per tenere traccia di chi è stato infettato dallo spyware della Candiru. È un’attività che porta via un sacco di tempo, perché bisogna passare al setaccio i siti d’informazione e poi scaricare i dati su Excel. Il problema non è solo che il lavoro è farraginoso: secondo la sua logica, una volta che un database è finito bisogna cominciare a crearne un altro, e poi un altro ancora, perché gli spyware si evolvono.
Ma non le importa. Per come la vede lei, è il massimo che si può fare di fronte a una minaccia digitale sempre più schiacciante. “Nessuno può garantire che non saremo spiati”, dice. “La domanda è solo: quanto riusciremo a rendere la vita difficile agli hacker?”. A volte, la sicurezza informatica si riduce a tenere un registro di piccoli aggiustamenti tecnici. “È la cosa giusta da fare”, dice, scrollando le spalle. “E poi, non lo fa nessun altro”. ◆ fas
Maddy Crowell è una giornalista freelance statunitense. Vive a New York. Questo articolo è uscito sulla rivista statunitense Columbia Journalism Review con il titolo The hacker.
Internazionale pubblica ogni settimana una pagina di lettere. Ci piacerebbe sapere cosa pensi di questo articolo. Scrivici a: posta@internazionale.it
Questo articolo è uscito sul numero 1516 di Internazionale, a pagina 100. Compra questo numero | Abbonati