Ricevo i due anziani signori, accompagnati da una ragazza, in un bar di via Borsieri gestito da un vecchietto simpatico.

È metà mattina, il barista ha già smaltito i clienti della colazione e sta aspettando quelli dell’aperitivo e del pranzo. Stuxnet si accomoda sotto il tavolo. Li osservo per un attimo. Al telefono ho parlato con la signora. È vestita in maniera semplice, di scuro. Il marito ha una giacca estiva e una camicia azzurra, senza cravatta. È lui a estrarre un computer portatile da una borsa di tela, più adatta a contenere dei libri. Ed è il primo a parlare. La ragazza, invece, ha il muso lungo, e tace.

«È tutto ciò che ci rimane di nostro figlio. È scomparso improvvisamente, dopo un viaggio a Cuba. Non riusciamo ad accedere al computer. E vorremmo che lo facesse lei. Vorremmo capire cosa è successo. Pensi che si doveva sposare il mese prossimo...»

Già conosco la storia, me l’hanno anticipata al telefono quando abbiamo preso l’appuntamento. Il ragazzo è partito per un viaggio a Cuba, otto settimane fa, per festeggiare l’addio al celibato, e da allora non ha più dato notizie. I genitori lo hanno cercato, hanno chiamano ambasciate e consolati, hanno parlato con i suoi amici, che non sanno o fingono di non sapere, sono persino andati a Cuba a setacciare vie e alberghi, ma nulla. Poi, frugando tra le sue cose, hanno trovato il computer portatile, riposto con cura in un doppio fondo ricavato in un armadio. E ora vogliono sapere, anche se forse non sono consapevoli del rischio che c’è sempre, in questi casi, di poter apprendere informazioni spiacevoli. Su questo punto, al telefono abbiamo raggiunto un accordo. Avrei provato a entrare nel computer, ma le informazioni le avrei prima vagliate e filtrate io e, poi, comunicate a loro. Questo per rispettare la privacy del ragazzo.

Non mi lasciano solo, e preferiscono stare a guardare come opero. Dico loro di bere qualcosa, offro io, e di mettersi comodi. Le operazioni di violazione del sistema probabilmente dureranno un po’. La signora accarezza Stuxnet. L’anziano beve un ginger. La ragazza continua a essere muta come una statua.

La prima password che ci blocca è quella di accesso al sistema operativo. Una classica maschera di autenticazione, con richiesta di un nome utente e di una password. Parlo con i genitori e con la ragazza, e cerco di ottenere informazioni utili che mi annoto su un taccuino e che vedrò di combinare tra loro. La password di accesso a un sistema è la parte più importante. Di solito blocca anche il sistema di cifratura. Prima di attaccare le password con programmi appositi, che provano tutte le combinazioni possibili di caratteri, mi piace fare alcuni tentativi cercando di indovinare. Uno dei primi fattori d’insicurezza della password di accesso ai dispositivi – che siano computer, telefoni o tablet – è la prevedibilità della stessa, la facilità con cui la password si può riferire al soggetto. Il nome del cane, del gatto, della fidanzata o del fidanzato, della squadra del cuore, il codice fiscale, la data di nascita. Oppure un bel 0000 come PIN. Ci vorrebbe, a volte, un bel corso di educazione alla scelta e alla gestione della password. Il livello generale di sicurezza aumenterebbe a dismisura.

Purtroppo non la riesco a indovinare, quindi attivo un password cracker, un programma che, semplicemente, prova tutte le combinazioni di caratteri. In tal caso, ciò che può far resistere la password è la lunghezza della stessa. Più è lunga, più ci vorrà tempo e più l’attacco è destinato a fallire.

Quando entro nel computer, superando la maschera di autenticazione, mantengo la calma e inizio a osservare in giro. Ora i due genitori sono più interessati, e la ragazza cerca di sbirciare verso lo schermo. Cambio subito la password d’ingresso e inizio ad aprire i primi documenti che mi sembrano interessanti. Trovo il piano di viaggio per Cuba, alcuni contatti in loco, ma niente di particolarmente significativo o sospetto. Non ha un client di posta elettronica sul computer, quindi per la corrispondenza dovrò andare a cercare sul web.

Il secondo passaggio è l’attacco alle password dei suoi servizi di social network, un luogo dove, probabilmente, si trovano tracce interessanti. Ha sia un portachiavi per le password, sia un elenco, su un documento “.doc”, degli account dei vari servizi, ma senza l’indicazione della password. Purtroppo il password manager salva la password in modo cifrato. Provo ad attaccarlo, ma senza successo. Pur non essendo io un utilizzatore, né un ammiratore, di questi gestori di chiavi d’accesso, mi rendo conto che stanno riscuotendo un ottimo successo. In una società informatizzata dove ci dobbiamo districare tra decine di password, avere un “portafoglio” digitale che le raccolga tutte, con i rispettivi codici di accesso, e ci agevoli nel ricordarle, si sta rivelando un’ottima cosa, molto apprezzata dagli utenti.

Prima di accedere online, avvio un programma di data carving, ossia capace di recuperare, su un disco o altri supporti, dei file che sono stati cancellati male e le cui tracce sono ancora presenti sul computer. L’arte del data carving è una delle mie preferite. Il cancellare i dati realmente, e con efficacia, è un’operazione assai complessa, ed è incredibile quante informazioni si possano recuperare con questi software che, pian piano, scavano nelle informazioni fino a riportare a galla dati, sia parziali, sia completi.

Il software non mi delude, e mi restituisce una cartella cancellata di recente. La situazione si fa interessante. Inclino un po’ il display verso di me, per evitare che i miei clienti sbircino, apro la cartella e trovo delle fotografie di una ragazza bellissima in piedi davanti a una casa con i tipici colori cubani. È da sola, sorridente e con dei fiori nei capelli.

Mentre mi annoto questa cosa, senza comunicarla ai presenti, mi rendo conto che il ragazzo scomparso ha violato in sequenza, sul suo portatile, due delle prime regole basilari della sicurezza informatica: aveva una password debole, e facile da indovinare, e non aveva operato la cancellazione sicura delle informazioni che non avrebbe voluto far trovare. Se avesse usato un programma di wipingper cancellare i dati di quella cartella, non sarei mai riuscito a recuperarla. È noto che una cancellazione totale dei dati informatici è molto difficile da ottenere. Si può fare distruggendo il supporto, ad esempio, oppure smagnetizzandolo. Però esistono dei programmi che sovrascrivono diverse volte, con caratteri casuali, gli strati di dati, facendo così in modo che il recupero sia estremamente difficile. In questo caso, probabilmente, si era limitato a uno “sposta nel cestino” e, poi, “svuota il cestino” e i dati sono stati recuperati senza difficoltà.

Visto che il computer è abbastanza pulito, è venuto il momento di andare online e di verificare i suoi profili. Oggi la presenza sui social network delle persone rende assai facile il recupero di informazioni personali. Non mi voglio collegare al Wi-Fi del bar dei vecchietti, quindi appoggio sul tavolino il mio piccolo router wireless 4G e aspetto la connessione. Il mio livello di paranoia sta aumentando al punto tale che, da qualche mese, porto sempre con me, ovunque io vada, la mia piccola rete portatile, un router grande come un pacchetto di sigarette che mi permette in ogni luogo di collegarmi a una rete sicura – la mia – e dimenticare tutte le altre reti che ho attorno e di cui non conosco né i requisiti tecnici né i dispositivi di sicurezza.

I suoi profili Facebook, Twitter e Instagram sono puliti, non trovo informazioni interessanti, e non sono stati aggiornati da prima della partenza. Vedo però, nella cronologia del browser, il collegamento a Facebook con un secondo profilo, e dopo qualche tentativo riesco ad accedere. La password era molto semplice. E qui, all’interno del falso profilo, mi si apre un mondo nuovo.

La situazione è abbastanza chiara, ma complessa da spiegare ai miei clienti. Il ragazzo è scappato prima del matrimonio ed è andato a vivere con una splendida ragazza cubana con cui è convolato a nozze proprio alcuni giorni fa. Vedo le foto con parenti e amici taggate nel profilo segreto. In pratica, il fuggitivo si è creato una seconda vita sui social assolutamente invisibile dall’Italia, una nuova identità digitale.

Sono imbarazzato, e non so cosa dire. Non ho tanto timore della reazione dei genitori, penso che la felicità di sapere il figlio in buona salute sarà, per loro, un grande sollievo. Penso, invece, alla promessa sposa, e alle sua possibili considerazioni. Stuxnet si è svegliato e mi sta osservando. Ha capito che siamo a un bivio.

Entro nella chat di Facebook del profilo falso, e noto che l’utente era attivo pochi minuti prima. Scrivo, allora, un messaggio dal mio telefono e dal mio profilo nel quale gli dico di mettersi subito in contatto con me e di non preoccuparsi. Voglio solo parlargli. Poi chiudo il computer con una certa urgenza, lo riconsegno ai genitori e rimango sul vago nel rispondere alle loro domande. Dico che ho trovato un altro indirizzo dove sembra che il ragazzo sia attivo, e che gli ho scritto un messaggio, ma ho bisogno di altro tempo e del mio laboratorio. Mi ringraziano con un velo di speranza in più, e io intanto mi sono preso un po’ di tempo per cercare di capire cosa fare.

Il messaggio da Cuba mi arriva dopo pochi minuti. Gli spiego la situazione, e mi promette che, nei prossimi giorni, contatterà i suoi genitori e la sua ex per spiegare loro i motivi della sua fuga. Mi dice che aveva timore che lo andassero a prendere e lo riportassero a casa, mentre a Cuba aveva trovato l’amore vero.

Mentre Stuxnet rincorre un gatto, per poi tornarsene da me spaventato per la sua reazione, rifletto sul fatto di quanto sia difficile far sparire le proprie tracce oggi. Come sia quasi impossibile “morire” in senso digitale. Ogni piccola mossa, anche effettuata su profili falsi, viene registrata. Ogni dato personale rischia di rimanere sul computer e rivelare tracce. Negli anni passati, un ragazzo scappato a Cuba non lo avremmo mai più individuato. Oggi sono bastate poche ore.

Mi stupisco ogni volta, poi, di quante informazioni possano essere contenute, oggi, in un computer portatile. È diventato molto spesso un’appendice – meglio, uno specchio – della vita della persona, e analizzarlo significa molto spesso fare una “radiografia” anche al suo proprietario.

Quando saliamo in casa, Stuxnet si precipita sul terrazzino al sesto piano e inizia a guardare in basso, mentre io preparo una e-mail molto semplice, ma precisa, per i miei clienti. Informo i due genitori che il loro figliolo mi ha risposto e sta bene, e che li contatterà presto. Li prego, come mi ha chiesto lui, di aspettare a riferire la cosa alla ex promessa sposa e di attendere, prima, il dialogo chiarificatore con lui.

Il cielo, a Milano, inizia a diventare grigio, e Stuxnet abbaia alle nuvole. Penso a Cuba, alla sua recente “apertura” politica e al disgelo con gli Stati Uniti d’America, e a come i dati digitali sfreccino da una parte all’altra del mondo e siano in grado di condizionare le vite umane. Chiedo a Stuxnet di andarmi a prendere una Coronadal frigo. Si aggrappa con i denti al pezzetto di fune che ho legato alla maniglia, apre lo sportello del frigo e prende, in basso a destra, una birra. Me la porta, va a chiudere il frigo e mi raggiunge sul terrazzo. Io penso a Cuba, mentre bevo. Probabilmente ci pensa anche Stuxnet, visto che adora il sole e i pesci.


Il presente racconto, nella sua versione embrionale e affiancato da un fumetto di Tommaso Milella, è stato pubblicato, per la prima volta, nel 2017 in "Non credevo fosse un virus" di Giuffrè Editore, un opuscolo gratuito distribuito ai professionisti del diritto al fine di responsabilizzarli con riferimento all'uso degli strumenti informatici.