Commento numero uno: “Server negli Usa, firma digitale lasciata nel malware… se la sono cercata porca puttana”. Commento numero due: “Devi farlo apposta a mettere i server nel posto peggiore che esista al mondo in quanto a hosting di qualsiasi cosa illegale”.

Chi parla fa parte del sottobosco dei piccoli cybercriminali che, nella parte di web più nascosta, commentano l’arresto dei due fratelli Occhionero. E per una volta, si tratta di osservazioni in linea con quelle di esperti e tecnici. Il concetto è uno: il cyberspione Giulio Occhionero è stato scoperto per una serie di ingenuità che ha permesso alla Polizia Postale di risalire direttamente alla sua identità. Errori da principiante, che non ci aspetterebbe da una figura che nel migliore dei casi è solo un hacker fai da te (anche in questo caso i manuali da autodidatta sono molto chiari su come garantirsi l’anonimato il più a lungo possibile), nel peggiore una spia internazionale, nel mezzo lo snodo di una rete più ampia su cui si sta indagando.

La patente di un hacker o di una cyberspia, comunque  è proprio la sua capacità di non farsi scoprire. E in questo caso, l’esame non è stato superato.

Primo problema: la mail. E’ forse l’automatismo innescato dal malware, il software malevolo (Eye Pyramid) che si infiltra nei computer e che ne ruba dati e informazioni, a fare in modo che le mail infettate e infettanti arrivino a destinatari più improbabili. Tra questi, l’addetto alla sicurezza dell’Enav da cui parte tutta l’indagine. La domanda: quale hacker con un briciolo di furbizia avrebbe inviato una mail infetta al responsabile della sicurezza di un’infrastruttura strategica?

Il software. Occhionero usa il suo vero nome per comprare una licenza. E’ quella di una libreria commerciale, MailBee.NET Objects library, che – per dirla nel modo più semplice possibile – serve a contenere una parte del codice che, secondo quanto si legge nell’ordinanza, userebbe per scrivere il suo software malevolo e per poi modificarlo nel tempo con nuove funzioni. Un paio su tutte: a luglio 2016, istruisce il suo malware affinché gli invii alert (avvisi) quando dovesse trovarsi di fronte a specifiche tipologie di documenti (visto che a un certo punto la mole di dati che accumula è troppo grande da poterla gestire direttamente). E un’altra che rende possibile capire, tramite indirizzi Ip, in quale parte del mondo si trovi il dispositivo intercettato (e quindi verosimilmente dove si trovi la persona che lo possiede).

Tutto molto avanzato e ingegnoso. Peccato che le basi siano compromesse. “Sarebbe servito un prestanome – commentano gli scafati del web – o un’identità fasulla”. “Avrebbe potuto usare un software open source”, dice qualcun altro riferendosi a uno di quelli già disponibili in rete. Oppure, semplicemente, quando ha iniziato Occhionero non aveva ancora ben chiaro dove sarebbe potuto arrivare.

Le mail. Come se non bastassero i dati personali associati alla licenza per una componente che è sempre la stessa dal 2008 e sempre riconducibile a Occhionero, il nostro lascia tracce del suo vero nome anche accanto ai domini delle mail dove si farebbe arrivare i dati rubati: secondo gli inquirenti è associato anche il dominio del sito www.occhionero.info. E tutti afferiscono agli stessi server di posta elettronica.

La sicurezza. Occhionero spia, ma non si accorge di essere spiato. Almeno per un po’. Anche se nell’ordinanza di custodia cautelare non si spiega quale tipo di intercettazione abbia usato la Polizia postale, alcuni elementi fanno pensare che si sia trattato di un trojan (ne parla qui anche Umberto Rapetto), ovvero di uno malware capace di controllare il pc di Occhionero, molto simile negli intenti ad Eye Pyramid. Tanto che, nell’ordinanza, diverse volte si fa riferimento agli screenshot (fermoimmagini dello schermo) del computer di Occhionero: un procedimento che implica il controllo di quel terminale da remoto. E che permette agli inquirenti anche di vedere tutto quello che Occhionero prova a cancellare. Inutilmente.