lauri love youtube
Sicurezza

Storia di Lauri Love, l’hacker che rischia 99 anni di carcere

Gli hacker non sono tutti uguali ma la legge USA mette alla pari hacktivisti e cybercriminali. Ecco i precedenti

A novembre si terrà l’ultimo appello utile a Lauri Love per evitare l’estradizione negli USA.

Il ragazzo è il principale accusato di una serie di azioni con cui avrebbe sottratto e diffuso, a partire dal 2013, informazioni segrete al governo degli Stati Uniti. Secondo le autorità, Love è parte di un network più ampio di hacker, le cui operazioni anti-sistema si sono moltiplicate a seguito dell’intensificarsi delle leggi repressive contro i crimini informatici.

Chi è Lauri Love

32 anni, residente a Stradishall nello Suffolk, all’estremo est dell’Inghilterra. I suoi genitori, Alexander Love e Sirkka-Liisa Love, lavorano nel carcere di HM Highpoint North. Dopo il classico percorso scolastico si trasferisce a Glasgow per studiare fisica e informatica.

Qui entra in contatto con il movimento Occupy (tra il 2011 e il 2012) e in seguito con Anonymous, per il quale marcia qualche anno dopo in occasione della #OpLastResort, una protesta locale e virtuale scaturita dopo la morte dell’attivista e fondatore di Reddit Aaron Swartz, suicida in attesa della sentenza per accusa di frode elettronica da parte del Dipartimento di Giustizia americano. Dopo soli sette mesi morirà anche Jack Barnaby, famoso hacker degli ATM.

Dentro e fuori dal carcere

Negli anni dell’anonimato in rete, Love non riuscì a nascondere totalmente la sua vera identità. Nel 2013 il primo arresto da parte della National Crime Agency per reati contro il Computer Misuse Act, norma del 1990 diretta contro le attività di hacking. L’indagine venne chiusa entro poco e il ragazzo rilasciato ma alcuni dei computer in possesso, tra cui un paio di portatili, sono ancora nelle mani degli inquirenti dal momento della cattura nella casa di Stradishall.

Due anni dopo di nuovo in prigione, questa volta sotto mandato del governo USA, che lo accusa di aver partecipato, e in parte diretto, gli attacchi cyber contro siti ufficiali, tra cui quelli della Federal Reserve, della Nasa e della US Army. Dalle intrusioni avrebbe ricavato una certa mole di informazioni sia su dipendenti e militari (oltre 100 mila) che operazioni interne. Il braccio di ferro comincia qua: cospirazione, frode e furto di identità i reati avanzati da Washington.

Da allora la situazione è questa: Lauri Love, a cui nel frattempo è stata diagnostica la sindrome di Asperger, tenta di evitare il trasferimento in America, dove lo attenderebbe un processo lungo e tedioso e potenzialmente lesivo delle sue condizioni di salute. Secondo gli esperti la pena per il ragazzo potrebbe essere esemplare: 99 anni di carcere.

Rischio estradizione

Nel giro degli hacktivisti il nome che viene in mente quando si parla di estradizione è Edward Snowden. L’ex dipendente della Booz Allen Hamilton, appaltatrice della NSA, è sempre in Russia grazie a un permesso temporaneo di asilo.

Washington ha un doppio motivo per riportare dentro i suoi confini Snowden: il ragazzo è americano e ha spifferato segreti e informazioni classificate del governo USA. Non vi è ragione, secondo i giudici, per cui debba starsene tranquillo tra i borghi di Mosca. Il rischio è ovviamente quello di un processo a senso unico, simile a quello che i conservatori sognano per Julian Assange e solo in parte soddisfatti dalla pena per Chelsea Manning (7 anni di carcere invece di 35).

2010 manning

Bradley Manning (2010). Si chiama “Collateral Murder” il famoso video risalente al 2007, in cui si vede un’unità dell’esercito americano sparare a vista su una serie di civili a Baghdad.

Love è però un cittadino inglese che tuttavia deve fronteggiare un’offesa nei confronti degli States. Da un lato c’è dunque la giustizia USA, dall’altro il tentativo della madrepatria di processarlo nel Regno, cercando di evitare uno scontro diplomatico.

Cos'è: il Computer Fraud and Abuse Act

La norma su cui gli USA si basano per giustificare le imputazioni contro Lauri Love è il Computer Fraud and Abuse Act.  Nata per punire gli hacker, è stata introdotta nel 1986. Già tre anni dopo venne utilizzata per emettere una sentenza contro Robert Morris Jr, figlio dell’allora capo del National Computer Security Center della NSA, che aveva sviluppato e diffuso il Morris Worm, un virus che era in grado di rallentare i PC fino a farli diventare inutilizzabili. La sentenza fu particolarmente dura per quei tempi: tre anni di libertà vigilata e 400 ore di servizi sociali. Oggi Robert Morris Jr è professore di ruolo al MIT.

Il problema di una legge unica

Il fatto è che l’atto abusato dalle forze dell’ordine non prevede differenze di sorta: un crimine informatico è un crimine informatico, punto. Le organizzazioni per i diritti civili hanno spesso dibattuto su tale unilateralità: porre sullo stesso piano un cyber-terrorista, che dalla Russia colpisce le centrali nucleari in Kansas, e un rivoluzionario teenager, che si intrufola in server governativi solo per far vedere quanto è bravo, non è eticamente accettabile. La legge è uguale per tutti ma va specificata e distinta.

25 anni per un titolo di troppo

Un esempio? Nel 2013 il giornalista del Los Angeles Times, Matthew Keys, venne accusato di aver concesso le password di accesso al sito a un membro degli Anonymous, dopo che un estraneo (ricondotto poi al gruppo di hacker) aveva cambiato il titolo di un articolo, repentinamente corretto.

Keys rischiò 25 anni di carcere poi scesi a 2. Tor Ekeland, l’avvocato che rappresenta Love e già al fianco di Keys descrive così il Computer Fraud: “Un atto scritto male, che non circoscrive chiaramente ciò che vieta. C’è un tale grado di ambiguità da permettere ai pubblici ministeri di allargare e stringere le maglie del significato a proprio piacimento per rendere illegale un po’ tutto ciò che riguarda la sicurezza informatica”.

Il paradosso dei programmi bug bounty

Eppure l’azione degli hacker è spesso un favore a tutti noi, soprattutto quando pone in evidenza difetti di software e sistemi che dovrebbero proteggere la privacy dei cittadini. Un gesto del genere è comparabile a quello dei bug bounty.

Si tratta di progetti che le multinazionali avviano per chiedere a esperti, giovani o meno, di individuare buchi di sicurezza nei loro programmi. Negli anni hanno avviato operazioni simili Microsoft, Google, Facebook e di recente anche Samsung, per capire come migliorare i sistemi degli smartphone della serie Galaxy, come S8 e Note8.

Il paradosso? Invece di puntare tutto su iniziative così, pur sempre lodevoli ma che costano parecchio in termini di ricompense, aziende e governi potrebbero semplicemente ascoltare la voce degli hacker, che nel 99% dei casi violano i software semplicemente per dire “Hey siamo qui, forse è il caso che aggiustiate qualcosa in questo preciso punto”.

Love e il team di smanettoni al suo servizio hanno agito un po’ per questo e un po’ per mostrare quanto inefficienti siano le infrastrutture informatiche degli USA. Invece di combatterli sarebbe il caso di ragionare con loro.

assange

4 ottobre 2016: Julian Assange durante la conferenza via Web per il 10° anniversario di WikiLeaks. – Credits: STEFFI LOOS/AFP/Getty Images

Legge arcaica

È un po’ il cane che si morde la coda: gli hacker bucano le reti governative per esibire le capacità tecniche e le debolezze strutturali di server e data center, le autorità si appellano alle leggi per metterli in prigione e poi processarli. Oppure: gli hacktivisti rubano e diffondono le evidenze di soprusi da parte dei militari (come è il caso di Manning e WikiLeaks) per promuovere la trasparenza ma vengono fermati e rinchiusi. Non è semplice dire chi siano i buoni e chi i cattivi.

Avanzamento tecnologico

Love nella sua presunta ingenuità non sembra pentirsi di quanto fatto anzi rincara la dose nelle piccole audizioni permesse in attesa dell’appello di novembre. Non ricorre quasi mai il termine ethical hacking ma è quello che meglio riassume la sua giovane esistenza: “Essere hackerati è una gran cosa per lo sviluppo della società”. Il riferimento è a una passata intrusione nei sistemi del Dipartimento dell’Energia USA. “Avevano tutto il necessario per chiudere le falle dieci anni fa e non lo hanno mai fatto”. Adesso quei server sono più sicuri.

Per saperne di più

© Riproduzione Riservata

Commenti