Matthew J. Edman e il pallino dell’F.B.I. per il cracking.

(L’ antefatto: 7 maggio 2016. È un sabato mattina e… decido di contattarlo. Sì, è una di quelle idee bizzarre che possono facilmente balenare in testa il sabato mattina, almeno così capita a me, quando si ciondola per casa ancora in piagiama, mezzi addormentati e con la tazza gigante della colazione, tenuta mollemente fra le dita e traboccante di caffè bollente. L’idea è semplice: intervistarlo via mail. So già che al 99% non risponderà. Non sono una giornalista… ma tanto nemmeno risulta aver risposto ai giornalisti che volevano sentirlo. Ovviamente, ci provo ugualmente. Riceve la mail. Attendo tre settimane e non risponde. Va bene, fa lo stesso. Scriverò da me, raggruppando e rielaborando il materiale che troverò in Rete, per farlo mio).

*****

Questa è la storia di Matthew J. Edman e del suo malware Cornhusker (o Torsploit, che dir si voglia), compilato su commissione dell’FBI, per bucare TOR.

Matt Edman.

Con gli occhi grandi e vivaci  che spuntano sotto la fronte alta e larga e la barba rossiccia che gli incornicia il viso paffuto, Matt Edman è un giovane e promettente informatico specializzato in cybersecurity, impiegato part-time al progetto TOR, l’associazione no-profit responsabile dello sviluppo e del mantenimento di TOR stesso. (TOR, si sa, è universalmente riconosciuto come uno dei più importanti e potenti strumenti eretti a baluardo della privacy, che sia mai stato realizzato e che risulta esser stato finanziato, per la maggior parte, dal governo americano).

Matt sposa la causa TOR nel 2008, per supportare, in particolare, lo sviluppo e l’implementazione di Vidalia, la prima interfaccia grafica pensata per offrire agli utenti meno esperti una forma di supporto nell’utilizzo di TOR.

Ma solo un anno più tardi accade che un collaboratore della difesa americana e delle agenzie di intelligence, tra cui l’FBI, contatta Matt e gli fa una proposta: scrivere un malware anti-Tor. Lui accetta.

D’altronde quale metodo migliore poteva esserci per garantire una perfetta riuscita del piano volto rompere le maglie della Rete regina dei sistemi di anonimizzazione, se non ingaggiando un esperto che prima ci lavorava dietro? Sembra la storia uscita da una pellicola cinematografica, ma non lo è.

Facciamo un passo indietro, su quella che è la storia del giovane Matthew J.Edman.

Quando si avvicina a TOR, Matt è un brillante e ambizioso neolaureato sfornato dall’Università di Baylor, che punta dritto al dottorato in Informatica, titolo che infatti consegue nel 2011, presso l’Istituto Politecnico di Rensselaer.

Una buffa casualità vuole che Matt aderisca al progetto Tor proprio lo stesso giorno in cui entra a farne parte anche Jacob Appelbaum, l’hacker giornalista divenuto noto, in particolare, per il suo lavoro con WikiLeaks ed Edward Snowden. Da qui inizia l’ avventura di Matt: le sue giornate trascorrono intensamente, insieme agli altri sviluppatori di TOR, diviso fra una riunione e l’altra, mentre porta avanti il lavoro su Vidalia, l’incarico per cui è stato assunto. Inoltre, scrive e contribuisce ad alcuni paper di ricerca e non manca nemmeno di supportare gli altri membri della community, cooperando attivamente al disegno di tool per la privacy.

Nel 2013 TOR abbandona Vidalia, che viene rimpiazzato da altri strumenti software studiati sempre al fine di migliorare l’esperienza degli utenti. Ma che importa? Tanto Matt da un anno è già con la Mitre Corporation, in qualità d’ ingegnere senior della cybersecurity ed è assegnato alla “Remote Operation Unit” dell’FBI, una squadra interna dei G-men misconosciuta e utilizzata per creare e acquistare hack “ad hoc” e malware, per tallonare, in Rete, … in Quella Rete, i criminali.

Godendo di un impareggiabile curriculum costruito fra le fila del TOR project, Matt diviene a tutti gli effetti un collaboratore dell’FBI, incaricato di craccare TOR all’interno della celeberrima Operazione Torpedo, la missione cibernetica condotta sotto copertura e che porta allo smantellamento di tre siti pedoponografici della Dark Net. Ed è in questa occasione che vede la luce il suo “Cornhusker”, meglio conosciuto come “Torsploit”.

Da Cornhusker  al consolidamento delle “Network Investigative Techniques” il passo è breve.

Alla Mitre Matt lavora gomito a gomito con un agente speciale dell’F.B. I., tal Steven A. Smith. I due si dedicano alla customizzazione, alla configurazione, ai test e all’impiego “on the field” del malware Cornhusker (battezzato così in omaggio al nickname dell’Università del Nebraska, lo stato ospitante i server su cui giravano i 3 siti bersaglio dell’operazione Torpedo e su cui Cornhusker fu piazzato ). Il malware di Matt fu perciò compilato proprio per raccogliere le informazioni identificative degli utenti di TOR e smascherarli. Cornhusker, sfruttando all’interno del browser di TOR, le vulnerabilità di Adobe Flash Palyer, era infatti in grado di deanonimizzare gli IP degli utenti inviando alle macchine server dell’FBI fuori dalla rete TOR i veri indirizzi, con tanto di timestamp di accesso ai siti incriminati.
Se è vero che le prime notizie che sono circolate sulle NITs dell’FBI risalgono  al 2002, è anche vero che è proprio grazie all’operato di Matt Edman che tali sistemi d’investigazione raggiungono il loro consolidamento e, in particolare, nel momento in cui Matt diviene direttore del Gruppo di Ricerca presso l’università di Berkley, dove costituisce un team interdisciplinare di ricercatori per mettere a punto le NITs.

Dopo l’Operazione Torpedo, Cornhusker non fu più utilizzato, almeno così emerge da alcuni atti giudizari. Certo è che numerosi nuovi malware da allora hanno continuato ad essere confezionati per le esigenze investigative dell’FBI, suscitando enorme disappunto poiché carenti di qualsiasi forma di controllo.

Tant’è che più di una volta, diversi avvocati di utenti coinvolti in indagini di questo tipo, hanno contestato, chi in un modo, chi in un altro, l’impiego vago e generalizzato delle NITs dell’FBI, finendo logicamente anche col chiedere, ad esempio, che fosse fornito il codice sorgente dei software utilizzati per identificare gli utenti di TOR posti sotto accusa.

Colin  Fieman, un difensore d’ufficio di un soggetto coinvolto in uno di questi casi, ha espresso molto chiaramente il suo pensiero, che risulta essere più che condivisibile, descrivendo l’utilizzo di queste imprecisate  e polivalenti NITs come “an extraordinary expansion of government surveillance and its use of illegal search methods on a massive scale”.

C’è da chidersi se ora, oltre alle NITs sulla rete TOR, l’FBI non abbia partorito un’ idea del tutto simile per quel che riguarda gli smartphone,  quando pochi mesi fa, in seguito alla strage di San Bernardino, non riuscendo ad accedere ai dati contenuti nell’iPhone 5C di uno dei presunti attentatori, ha provato, in tutti i modi, a forzare Cupertino a sviluppare una versione di iOS ad hoc, che le consentisse di poter craccare il telefonino, in un contesto di clamore mediatico, paradossi e misteri senza precedenti e in cui la sicurezza e la privacy degli utenti si trovano, per tali ragioni, a vacillare come mai era accaduto prima d’ora…