Near a tree

Stasera sono ancora in una delle sale della conferenza, visto che il programma prevede seminari fino all’una di notte (partendo dalle 11:30 del mattino: si dà per scontato che ci sia vita notturna, direi). Eppure, rispetto alle conferenze di hacker italiane, il clima è decisamente diverso; è tutto molto organizzato, con tanto di microfoni e presentazioni, e, nonostante la fauna sia prevalentemente composta da nerd, non si vedono nè ubriachi nè fumati.

I seminari sono davvero interessanti, e valevano il viaggio. Io ho seguito principalmente quelli sulla privacy e la data retention, di cui uno era tenuto da Ralf Bendrath, uno dei miei colleghi dei forum delle Nazioni Unite; si occupava del problema dei meccanismi di identificazione centralizzata degli utenti su Internet, e dei relativi rischi per la privacy, e alla fine ho pure raccolto l’applauso con un intervento dalla platea.

Poi ce ne sono stati alcuni più tipicamente hacker: ad esempio, sono ora l’orgoglioso possessore di uno Sputnik, una tag RFID attiva (che quindi io posso spegnere a piacimento) che permette all’organizzazione di tracciarmi e mostrare i miei movimenti su una mappa 3D, ma anche che fa parte di un progetto completamente libero per cui io potrei provare a scrivere del software.

Inoltre, c’è stato un interessante seminario in cui è stato raccontato per filo e per segno come clonare un bancomat delle Poste Svizzere; pare che questi geni non solo abbiano ancora il sistema adottato nel 1983 – e che, in Francia, fu craccato già nel 1989 – ma persino che, nonostante avvertiti già nel 2003, non abbiano mai provveduto a cambiare il sistema… un sistema che peraltro è molto semplice, essendo stato concepito per funzionare offline, senza alcuna verifica su server centrali (nel 1983 la rete ubiqua era di là da venire).

In pratica, il chip sulla card è costituito di due parti, una ROM e una scrivibile. La ROM contiene gli stessi dati (tra cui il numero di conto) scritti sia in chiaro che cifrati con una chiave privata appartenente alla banca, senza alcun meccanismo di crittografia sulla carta stessa (quello che hanno, per dire, le smart card di Sky); la verifica è solo sul fatto che la decodifica della parte cifrata corrisponda con quella in chiaro; basta quindi clonarle pari pari da un bancomat qualsiasi per ottenere una carta valida. E il PIN? Tristemente, il PIN viene utilizzato solo per autorizzare la scrittura sulla parte scrivibile della memoria di un log delle transazioni; basta modificare il firmware della card in modo che accetti la scrittura con qualsiasi PIN per ottenere un bancomat valido. In più, anche se non si dispone di un bancomat da clonare, la chiave privata usata dalla banca è una RSA a 320 bit, che al giorno d’oggi si può craccare a forza bruta in 24 ore con qualsiasi PC… dopodichè, vi basta un numero di conto valido per creare da zero un bancomat ad esso corrispondente.

Bene, dopo queste notizie preoccupanti – e dopo una lauta cena a base di bistecche – vi lascio, per assistere al seminario del responsabile Microsoft per le policy sull’identificazione digitale. Se dal programma vedete talk interessanti per i prossimi giorni, segnalateli pure…

“Let’s talk about viruses… I have a Mac, but I have many friends who live in the semi-illuminated world of Windows…” (risata in sala) “Ok, I guess most of you here are Linux weenies… but don’t laugh, you got your own problems! I mean, who needs viruses when you can have Debian install?”

(John Perry Barlow, parlando al 23C3)

Ebbene sì, sono di nuovo a Berlino, questa volta per assistere al 23C3, il ventitreesimo Chaos Communications Congress. (Per chi non lo sapesse, il Chaos Computer Club è la principale associazione di hacker tedesca, e direi anche d’Europa; organizza due volte l’anno la più grande conferenza di hacker del continente, e una delle due è tradizionalmente tra Natale e Capodanno.)

La sorpresa principale è stato il mio primo volo da Bergamo, e il mio primo volo con Air Berlin; se Bergamo come aeroporto è comodo (in auto) ma orribilmente sovraffollato, Air Berlin si è rivelata essere una linea aerea full service al costo quasi di un low cost; ci hanno preassegnato i posti, abbiamo volato su un nuovissimo Airbus 320 con tanto di schermini e proiezione di Mr. Bean, e a bordo ci hanno persino offerto un panino e una bevanda, incredibile… ancora una volta, ++ per i tedeschi.

Berlino è… beh, gelida e nebbiosa, ma l’atmosfera di Alexanderplatz immersa nella nebbia notturna è secondo me impagabile. Il convegno è molto cool, e magari bloggherò un po’ in proposito tra qualche tempo; ho già incrociato Thomas (che in questo momento sta cazziando in tedesco stretto il relatore del seminario su GnuPG per le sue ripetute inesattezze: mai fare una conferenza sulla crittografia di fronte a un matematico tedesco) e ho il sospetto che incrocerò parecchia altra gente del giro tedesco di ICANN / IGF; in compenso ancora nessuna traccia della autoproclamatasi “it.militia“.

Ora vi lascio, ma bloggherò ancora una battuta che ha fatto stamattina John Perry Barlow – uno dei padri della cybercultura e fondatore di EFF – nel discorso di apertura, dedicandola a tutti i nerd in sala e altrove!