La mail? È lo strumento più usato, per scambiare messaggi, e insieme il più insicuro. A far scricchiolare una delle certezze della stragrande maggioranza degli utilizzatori di un computer è un veneziano, Filippo Cavallarin.
Veneziano di via Garibaldi, 36 anni, una grande vocazione fin da ragazzino per metter mano alle tecnologie informatiche. Un anno fa, per lui, un momento di grande notorietà: Cavallarin ha infatti rifiutato un’offerta molto cospicua fattagli affinché vendesse la scoperta appena fatta nella rete Tor.
Tor, una rete per la Guerra fredda. Tor è la rete parallela di internet, quella nascosta e che garantisce l’anonimato a chi naviga. Inventata su input del governo degli Stati Uniti, era stata pensata come strumento da usare nella Guerra fredda.
Nasceva per consentire al Governo Usa di rimanere anonimo in caso di conflitto. «Ma Tor è stato aperto al mondo – spiega il giovane ricercatore – per evitare agli Stati Uniti di essere gli unici ad usarlo, venendo alla fine scoperti proprio per questo. Oggi è un software gratuito che consente a tutti di essere anonimi».
Cavallarin, che guida la società Segment, con sede in via Miranese a Mestre, lo dice schiettamente: «Ho scoperto il bug di Tor per caso. Ceravo vulnerabilità su altri prodotti: è una cosa che mi diverte, che mi aiuta a rimanere aggiornato e mi permette di dimostrare il mio valore. Lo faccio da quando avevo 12 anni, mi rilassa. Ma in quel caso la scoperta è stata del tutto casuale: ho unito due cose e mi si è aperto il cielo».
Black and white market. La falla nella rete nascosta è una scoperta che ha valore economico. C’è un mercato attorno a queste conoscenze: «E c’è anche un mercato nero», aggiunge l’informatico veneziano: «Ma io ho contattato le aziende che si presentano in chiaro, su internet, con tanto di partita Iva».
Il motivo del mercato è questo: c’è chi compra problemi di sicurezza appena scoperti per rivenderli a propri clienti affinché preparino sistemi di sicurezza che tappino le falle, prima che le informazioni sul bug diventino pubbliche. Perché è evidente che le vulnerabilità hanno valore finché non diventano pubbliche. Cavallarin fa esattamente questo, contatta chi può comprargli la sua scoperta, ma riceve l’interessamento di una società che, pur essendo ufficiale, gli fa un ragionamento strano. Prosegue l’informatico veneziano: «Quando ho chiesto: come pensate di divulgare al mondo questa scoperta?, mi è stato risposto: “Non la divulghiamo; te la compriamo e tu ti dimentichi di chi siamo”. Così ho risposto: ma vi rendete conto che anteponete un affare economico alla vita delle persone? La risposta del potenziale acquirente è stata: “Questo è il business”, più faccetta sorridente. Allora ho chiuso le comunicazioni».
«Ho rinunciato a tanti soldi, ma voglio dornire tranquillo». Così facendo e pubblicando in rete il software della falla in Tor, Cavallarin ha rinunciato ad una cifra di qualche centinaio di migliaia di euro: «In quel momento – ricorda – sono talmente stato preso dallo sconforto che non sono neanche andato da altri clienti, che reputavo buoni e non malintenzionati, perché ho percepito talmente tanto pericolo in quello che mi era stato proposto che ho preferito metterci subito una pietra sopra. Voglio dormire tranquillo…».
«La mail, il protocollo più vecchio e inaffidabile che esista». Ed è perciò che allo scopritore del bug di Tor, che ha fatto una scelta etica, viene da credere ancora di più quando lancia un allarme: «Il concetto di mail è dieci anni più vecchio della prima serie di Star Trek; quindi siamo agli anni ’60. Eppure ad oggi la mail è lo strumento più utilizzato anche per comunicare dati personali, per esempio password. Ed è il protocollo più vecchio e inaffidabile che esista. Il mittente della mail, tanto per dirne una, non è verificabile. Io posso mandare una mail dicendo di essere Donald Trump e chi la riceve non ha modo di verificarlo. Lo spamming, l’invio massiccio e indiscriminato di messaggi via posta elettronica, è un altro esito della diffusione della mail».
Ma visto che la mail è lo strumento di scambio più diffuso tra milioni di persone, che si può fare ora, per cambiare? «Bisognerebbe percepirne il rischio», conclude Filippo Cavallarin:
Cosa usare di più sicuro. «Oggi, invece, questa percezione è di pochi. Ed è sovrastata dalla valutazione di quanto costerebbe – in termini economici e di cambio di abitudini informatiche – l’eventuale passaggio ad un altro sistema. Ad ogni modo, si tenga presente che altri protocolli, come Whatsapp, Signal, Messenger, Skype… sono cento volte più sicuri di mail».
Giorgio Malavasi
