Immagine in evidenza: Immagine dal gruppo hacker Guacamaya, i cui leak sono stati pubblicati su DDoSecrets
Fare informazione sulla base di documenti forniti dagli hacker sta diventando una pratica sempre più frequente per il giornalismo contemporaneo, come lo è la possibilità che informazioni di interesse pubblico e sottratte tramite attacchi informatici finiscano disponibili online perché pubblicate a scopi di attivismo da parte degli hacker stessi, diventando notizie. Se da un lato il fenomeno è un sintomo ulteriore della progressiva politicizzazione dell’hacking in ottica di hacktivismo, esso è anche il frutto dell’abbondanza di “occasioni” in cui organizzazioni di varia natura possono venire colpite da attacchi di questo tipo, complice la pressoché totale digitalizzazione (e conseguente archiviazione) di qualsiasi attività umana. Se un server esiste, insomma, questo può essere hackerato. Se quel server dovesse contenere informazioni in qualche modo “notiziabili”, è altrettanto possibile che queste finiscano online, nelle mani dei giornalisti e in ogni caso a disposizione del pubblico.
Hack (e leak) usati dal mondo dell’informazione
Governi, aziende e altri attori attivi nella sfera pubblica hanno subito negli ultimi dieci anni incursioni informatiche i cui obiettivi andavano oltre l’hacking per l’hacking, puntando invece alla divulgazione di informazioni “notiziabili” e alla loro “liberazione”. L’antropologa Gabriella Coleman, senza dubbio la più importante ricercatrice di questo settore, ora ad Harvard, ha chiamato questo fenomeno come “public interest hack” in un articolo del 2017, per sottolineare come queste operazioni abbiano una intrinseca connotazione “pubblica” perché si rivolgono, appunto, alla sfera pubblica, dove informazioni altrimenti inaccessibili vengono rese disponibili e fruibili al fine di “scoperchiare” le attività ritenute illegittime delle organizzazioni colpite. Come vedremo, le ragioni per le quali questo tipo di attacco può avvenire sono diverse e, in alcuni casi, queste possono anche differire radicalmente con gli interessi dei giornalisti o dell’informazione.
DDoSecrets, per alcuni la “nuova WikiLeaks”
Un’organizzazione si sta ritagliando un ruolo fondamentale in questo scenario e si sta progressivamente posizionando come destinazione di molti public interest hack e come destinazione per la loro pubblicazione. Distributed Denial of Secrets (DDoSecrets) è stata fondata nel 2018 e si presenta come un’organizzazione giornalistica non profit e collettivo per la trasparenza il cui obiettivo è “consentire la libera trasmissione dei dati nell’interesse pubblico”. Dalla sua fondazione, DDoSecrets ha avuto modo di pubblicare un numero impressionante di dataset, la maggior parte dei quali originati proprio da attacchi informatici. Il volto più pubblico dell’organizzazione è quello di Emma Best, giornalista e attivista per la trasparenza statunitense, mentre il team di DDoSecrets è composto attualmente da otto persone, come indicato sul sito dell’organizzazione. Negli ultimi 4 anni la visibilità di DDoSecrets è cresciuta esponenzialmente al punto che per alcuni si tratterebbe di una “nuova WikiLeaks”.
Parlando alla conferenza DEF CON lo scorso agosto, Emma Best ha raccontato come DDoSecrets abbia pubblicato nei suoi primi quattro anni di attività leak relativi a oltre 50 paesi e 200 organizzazioni diversissime tra di loro, impegnate in campi molto eterogenei, dall’intelligenza artificiale alla costruzione di impianti nucleari. DDoSecrets, ha detto Best, separa completamente l’ambito editoriale delle sue operazioni da quello più operazionale di protezione delle fonti, verifica e pubblicazione dei contenuti: DDoSecrets, infatti, si dà come obiettivo quello di essere un archivio di materiali altrimenti non accessibili, liberamente disponibili di esperti, giornalisti, attivisti per facilitare il loro lavoro su questi materiali. Nella maggior parte dei casi, i dati pubblicati da DDoSecrets provengono da public interest hack per i quali gli hacker responsabili hanno identificato nell’organizzazione la destinazione ideale per le loro operazioni e la conseguente pubblicazione su Internet. DDoSecrets vaglia quanto riceve, lo verifica e lo mette disponibile online.
L’archivio di leak: dalla polizia Usa al governo russo
Tra le tante pubblicazioni di DDoSecrets, alcune hanno fatto parlare molto di sé, sia per il contenuto dei dati che per l’impatto complessivo delle pubblicazioni. Uno di questi è stato certamente “BlueLeaks” risalente al 2020, un dataset di oltre 269 gigabyte proveniente da oltre 200 siti web di forze dell’ordine statunitensi. In particolare, una fetta importante dei dati proveniva dai fusion center, strutture dove confluiscono le informazioni delle forze di polizia su potenziali minacce raccolte a diversi livelli, per la loro analisi e raccolta. Questo attacco è stato “rivendicato” da Anonymous e ha rivelato numerosi dettagli sulle dinamiche interne della polizia americana e offerto, in particolare, uno spaccato sulle sue attività in un momento di forte contestazione negli Stati Uniti: numerosi documenti inclusi nel leak, infatti, riguardano il periodo in cui nelle strade americane si protestava contro le forze dell’ordine in seguito all’omicidio di George Floyd.
L’invasione russa dell’Ucraina si è dimostrata un contesto molto vivace per quanto riguarda i public interest hack e di nuovo DDoSecrets si è rivelata essere una risorsa importante. Già a marzo, ad esempio, Anonymous ha rilasciato all’organizzazione oltre 364,000 file provenienti da Roskomnadzor, l’agenzia russa che si occupa delle telecomunicazioni per conto del Cremlino ed è responsabile del controllo sui media nel paese e sulla rete. Già ad aprile erano una decina i dataset provenienti dalla Russia e generati da altrettanti attacchi sferrati nel contesto dell’invasione contro l’Ucraina. Nella maggior parte di questi casi, ha dichiarato Emma Best, i dataset provengono da persone che si dichiarano affiliate con Anonymous che, nel contesto di questo conflitto, è tornata a schierarsi apertamente e ha sferrato numerosi attacchi a sostegno di Kiev. Inevitabilmente, i public interest hack sono un elemento che contraddistingue anche i conflitti contemporanei nei loro aspetti più cyber. E la loro influenza è destinata a crescere.
DDoSecrets è parte di un trend più ampio
Inoltre, come testimonia l’ascesa e il successo di DDoSecrets, leaks e public interest hack sono diventati un fenomeno centrale per l’informazione contemporanea, nonché una delle modalità più frequenti con cui le fughe di dati possono avvenire ai danni delle organizzazioni più diverse ma, spesso, a beneficio dell’opinione pubblica e del giornalismo.
Negli ultimi anni sono cresciuti i consorzi giornalistici che hanno pubblicato inchieste basate su dati e documenti rilasciati sotto forma di leak, ottenuti da fonti interne a organizzazioni e industrie, ma anche da hack. Ad esempio, recentemente, il consorzio Forbidden Stories ha pubblicato l’inchiesta Mining Secrets – che indaga e porta avanti inchieste su crimini ambientali in America Latina – utilizzando il leak ricevuto direttamente dal collettivo di hacking Guacamaya (qui anche una intervista di Forbidden Stories a Guacamaya; alcuni leak conseguenti agli attacchi del collettivo sono stati anche pubblicati integralmente da DDoSecrets).
L’International Consortium of Investigative Journalists ha pubblicato molte inchieste massive basate su leak di varia natura, come i Pandora Papers o i FinCEN Files, questi ultimi ricevuti prima da Buzzfeed e poi condivisi con la rete globale di reporter. O ancora, nel 2016, l’European Investigative Collaborations, una rete di 12 importanti organizzazioni giornalistiche, ha ricevuto un dataset sugli affari nel mondo del calcio e si è messa a indagare utilizzando una massa di contenuti vari: caselle di posta elettronica, documenti PDF e Word, archivi zip e rar, conversazioni Whatsapp e comunicazioni hushmail criptate. Nella maggior parte dei casi i dataset sono pubblicati solo parzialmente o con delle parti nascoste per proteggere dati personali o informazioni che potrebbero essere un rischio di sicurezza.
Come anticipato in precedenza, e di nuovo seguendo la definizione teorica data da Gabriella Coleman, i public interest hack comprendono due elementi che li contraddistinguono. In primis, hanno origine in un attacco informatico che prevede un’intrusione non autorizzata all’interno di account o server. L’obiettivo di questi attacchi, però, non si limita all’irruzione cyber in sé, ma all’estrazione di informazione di varia natura e per via del suo intrinseco valore informazionale. Per questa ragione, all’intrusione informatica segue sempre il rilascio (il leak vero e proprio) di quanto ottenuto e da parte degli stessi attori responsabili dell’attacco. In sostanza, gli hacker responsabili del bucare le organizzazioni messe sotto bersaglio, sono anche coloro i quali “liberano” i documenti ottenuti seguendo varie strategie di diffusione. Negli ultimi anni si sono visti leak avvenire in modi diversi. In certi casi, gli hacker hanno rilasciato tutto quanto in loro possesso direttamente online, come è stato, ad esempio, per l’attacco sferrato contro l’azienda di spyware italiana Hacking Team nel 2015.
In altri casi, gli hacker hanno bussato direttamente alla porta (virtuale) delle redazioni, consegnando ai giornalisti e alle giornaliste i materiali, affinché potesse partire un’inchiesta. In questi casi, in sostanza, gli hacker diventano direttamente fonti dei giornalisti da loro interpellati. Questo approccio è emerso, tra gli altri, in occasione del leak delle aziende USA produttrici di “stalkerware” Retina e FlexiSpy, i cui materiali interni furono recapitati a Motherboard, che pubblicò un’inchiesta nel 2017. Più di recente, invece, di nuovo The Intercept – un’altra testata di taglio investigativo con un’attenzione forte per i temi di security e digitali – ha pubblicato un’inchiesta sugli strumenti di sorveglianza nelle mani del regime di Teheran proprio nel contesto delle proteste di questi mesi. Il lavoro dei giornalisti Sam Biddle e Murtaza Hussain è stato possibile grazie al materiale fornito da “un individuo che sostiene di aver hackerato Ariantel”, un provider mobile iraniano coinvolto in alcune operazioni di monitoraggio del governo.
In altri casi ancora, come quelli che hanno coinvolto DDoSecrets e che abbiamo discusso in questo articolo, i materiali ottenuti con gli hackeraggi vengono pubblicati da organizzazioni terze (similmente ai casi che riguardano i giornalisti) che, però, non sono redazioni a tutti gli effetti, almeno non in senso tradizionalmente inteso. Se, come abbiamo visto, DDoSecrets è progressivamente diventata l’organizzazione centrale per questi casi, un ruolo simile è stato svolto (e in parte lo è ancora) da WikiLeaks. Agli albori dei public interest hack – che è sempre Gabriella Coleman a collocare tra la fine degli anni 2000 e i primi 2010 – l’organizzazione di Julian Assange ha infatti pubblicato alcuni leak forniti da Anonymous o altri gruppi di hacktivisti affini. Tra questi vale la pena citare, ad esempio, i 5 milioni di email interne sottratte dai server di Stratfor, un’azienda privata di intelligence statunitense, e pubblicati da WikiLeaks nel 2012, previo recapito di Anonymous. Lo stesso anno fu sempre WikiLeaks a rilasciare circa 2,5 milioni di email provenienti da persone del governo siriano o organizzazioni a esso vicine. In questo caso le mail dei “Syria Files” furono “fornite” da RevoluSec, un gruppo hacker vicino ad Anonymous, come ammesso dagli stessi responsabili dell’attacco. Impossibile poi non citare l’eclatante leak delle mail interne del partito democratico USA e della campagna Clinton in occasione delle elezioni presidenziali del 2016. In quel caso, le mail furono sottratte con un attacco informatico da parte di hacker che la giustizia statunitense ha connesso all’intelligence russa. Quelle pubblicazioni furono l’inizio dell’intricato Russiagate e rappresentano, senza dubbio, il caso di hack e leak più controverso degli ultimi anni, nonché quello di più altro profilo geopolitico.
I problemi etici per il giornalismo
I public interest hack hanno certamente qualche punto di contatto con il whistleblowing, soprattutto quando gli hacker si rivolgono direttamente ai giornalisti per la “consegna” dei materiali. Oltre a questo aspetto, però, i punti di contatto sono estremamente limitati. Il whistleblowing è una pratica che prevede la presenza di un insider che, dall’interno di una organizzazione, decide di rivelare all’esterno di essa informazioni altrimenti inaccessibili. In certe giurisdizioni e modalità questa pratica gode di alcune protezioni legali, ed è persino incoraggiata.
Il termine deriva dall’espressione inglese “to blow the whistle”, ovvero soffiare nel fischietto, e si riferisce all’atto di segnalare (pubblicamente o ai proprio superiori) un’attività illegale di un’azienda, un’organizzazione o una struttura governativa. Chi segnala la malversazione, l’illecito o l’abuso è in genere qualcuno di interno (o che è stato interno) alla stessa organizzazione, il whistleblower. Daniel Ellsberg, la fonte dei Pentagon Papers degli ann’ 70, e Edward Snowden, la fonte delle rivelazioni sui programmi di sorveglianza Usa, sono considerati due whistleblower. In mezzo c’è la Rete, che ha permesso anche di digitalizzare le attività di whistleblowing, facendole crescere in quantità e scala e fornendo piattaforme per segnalazioni anonime.
Gli hacker responsabili degli attacchi e dei leak, al contrario, sono degli outsider, o attori terzi che, forzatamente, ottengono accesso alle informazioni dall’esterno e, per di più, tramite operazioni che risulterebbero illegali in qualsiasi giurisdizione. Anche per questa ragione, i public interest hack rappresentano un punto di forte tensione per l’etica del giornalismo. Se è vero, infatti, che alcuni degli hacker responsabili di queste azioni potrebbero agire perché mossi da motivazioni in qualche modo “etiche” o simili a quelle dei whistleblower attenti all’interesse pubblico, è altrettanto vero che le motivazioni di questi individui potrebbero divergere sensibilmente e lambire il cybercrime o le sfere di interesse di Stati e intelligence. Come scriveva il reporter di Motherboard Joseph Cox qualche anno fa, quando si fa giornalismo sulla base di dati forniti dagli hacker – specialmente quando si tratta di hacker la cui agenda è controversa – occorre prendere numerosi accorgimenti per evitare che il lavoro giornalistico diventi un burattino nella mani delle fonti e dei loro interessi.
Alcune pubblicazioni di DDoSecrets sono state quantomeno controverse. Nel 2021, ad esempio, l’organizzazione ha messo a disposizione oltre 1 terabyte di dati relativi a diversi attacchi ransomware compiuti contro varie aziende, inclusi email e dettagli personali dei dipendenti. Questi dati erano originariamente disponibili sul dark web, dove i cybercriminali li avevano originariamente riversati come rappresaglia contro le vittime che non avevano pagato il riscatto richiesto, e DDoSecret li ha archiviati e messi a disposizione in modo più organizzato. Parlando con Andy Greenberg di Wired, Emma Best ha difeso la pubblicazione dicendo che i dati potrebbero comunque contenere informazioni relative a potenziali azioni illegittime da parte delle aziende (alcune di queste operano in settori sensibili) e in quanto tali meriterebbero di essere diffusi, affinché si possano compiere delle ricerche o analisi al loro interno. Inoltre, sostiene sempre Best, si tratta di dati già pubblici altrove e non ottenuti direttamente da DDoSecrets. La giustificazione data in nome della trasparenza non ha convinto però vari ricercatori di sicurezza: amplificare i leak dei gruppi ransomware incoraggia queste gang a usare quei leak per minacciare le vittime, ha commentato sempre su Wired Allan Liska, analista della società Recorded Future e autore del libro Ransomware.
Sia la crescita di DDoSecrets che quello dei public interest hack nel complesso sono infine un ulteriore sintomo della crescente ibridizzazione delle pratiche e dei contesti dell’informazione contemporanea. In questo contesto teorico, campi differenti come quello del giornalismo e dell’attivismo si avvicinano, in molti casi si mischiano, influenzandosi a vicenda. Questo si vede, ad esempio, nei tratti specifici di una organizzazione come DDoSecrets che mischia elementi puramente giornalistici con altri che hanno più a che vedere con l’attivismo. Lo si vede, anche, nel modo in cui i public interest hack diventano potenziali fonti accettabili nel giornalismo: pratiche totalmente hacktiviste che, nelle mani dei giornalisti, possono diventare strumenti e pratiche di informazione. Il giornalismo si sta progressivamente hackerando. E, complessivamente, è una buona notizia.