Del processo che si sta svolgendo a Perugia a carico di Federico Ramondino, esperto di sicurezza informatica, vi abbiamo raccontato tutto: i retroscena, le contraddizioni, i tecnicismi. Un processo che inizialmente sembrava dovesse armare una carica capace di far saltare pezzi grossi delle istituzioni ma che alla fine, come fosse un pacco ordinato su discutibili shop online, è arrivato in brutta copia. L’udienza dello scorso 24 aprile ha visto la testimonianza del Consulente Tecnico della parte civile, proprio quella parte civile che in aula non si è mai presentata se non attraverso il suo legale e che può guardare questa storia dai grattacieli di Abu Dhabi. Di cosa stiamo parlando? Ora ve lo rispieghiamo bene.
Eye Pyramid e l’inizio del processo
È il 2017 quando la Procura di Roma e il Cnaipic (il Centro anticrimine informatico per la protezione delle infrastrutture critiche), disarticolano la più grande operazione ad oggi nota in Italia di cyber spionaggio. L’indagine porta all’arresto dei fratelli Giulio e Francesca Maria Occhionero con l’accusa di aver esfiltrato un’enorme quantità di dati sensibili attraverso l’ormai famigerato malware Eyepyramid. Le vittime del malware sono sensibili per gli apparati dello Stato: non solo professionisti di vari settori, prelati ed esponenti della massoneria, ma anche le nostre infrastrutture critiche (come il Porto di Taranto e la Regione Lazio) e diversi ministeri (Affari esteri, Interno, Grazia e giustizia e altri).
Ben presto gli accusati passano al contrattacco. Giulio Occhionero, che attualmente risiede ad Abu Dhabi, denuncia alla Procura di Perugia il magistrato Eugenio Albamonte e gli allora vertici del Cnaipic. La Procura di Perugia, allora guidata dal procuratore capo Luigi De Ficchy, si muove e, dopo una breve parentesi iniziale, affida le indagini alla pm Gemma Miliani. Le indagini coinvolgono anche il consulente tecnico Federico Ramondino che, su mandato diretto della Procura di Roma e del Cnaipic, aveva aiutato gli inquirenti nell’analisi del malware.
È proprio questo il punto che rappresenta il nocciolo della questione. Sia Albamonte sia i vertici del Cnaipic escono di scena già nell’udienza preliminare, il 17 gennaio del 2020. L’unico a rimanere invischiato in questa faccenda è il Consulente informatico Ramondino. Per Giulio Occhionero stesso, che in questo processo è parte civile ma che non ha mai varcato la soglia dell’aula, il procedimento ha perso completamente di spessore. A dimostrarlo, una mail inviata alla Procura di Perugia in cui Giulio Occhionero afferma “il fatto che Ramondino sia rimasto ora il solo imputato in questo procedimento, non è dovuto alla mancanza di cooperazione da parte del sottoscritto, ma è dovuto alla forte carenza di impulso investigativo da parte della Procura di Perugia, oltre che all’evidente trattamento di favore di cui hanno goduto gli imputati nelle sedi giudiziarie” [il riferimento è al magistrato Albamonte e ai vertici del Cnaipic].
Non importa quante testimonianze ci siano state in favore del consulente Ramondino: dagli addetti alla sicurezza informatica di Eni ed Enav, al Cnaipic; dallo stesso dottor Eugenio Albamonte, ad alcuni dei più rinomati esperti del mondo cyber, tra cui l’ingegner Gianfranco Tonello, autore dell’unico antivirus italiano in commercio: Virit Explorer. Secondo l’accusa, bisogna proseguire per i reati come accesso abusivo a sistema informatico, danneggiamento di dati, detenzione e diffusione abusiva di dati d’accesso.
La relazione di Mattia Epifani
L’udienza del 24 aprile ha visto la testimonianza del Consulente Tecnico nominato da parte civile, dottor Mattia Epifani, noto professionista ed esperto del settore. Ma partiamo dall’inizio: Giulio Occhionero sostiene di essere vittima di un complotto volto a incastrarlo. La Procura di Perugia, che inizialmente indaga su questo presunto complotto, non ha poi proceduto in quella direzione (provocando lo scontento della parte civile), ma ha contestato a Ramondino l’accesso abusivo a sistemi che comunque non erano riferibili ai fratelli Occhionero e che durante le varie udienze è emerso essere di nessuna proprietà, in quanto abbandonati o non riferibili a persone fisiche. In questo contesto, la difesa dell’ingegner Occhionero ha continuato ad adombrare il sospetto che il ruolo di Ramondino sia stato ben più significativo in tutta la vicenda, instillando il dubbio che abbia fabbricato – insieme ad altri soggetti allo stato non identificati – alcune prove che hanno incastrato il loro assistito.
Il 24 aprile scorso il CT Mattia Epifani ha esposto in aula le sue relazioni: una incentrata sull’operato della Mentat (azienda guidata da Ramondino all’epoca dei fatti) e una incentrata sull’intercettazione dati e sul materiale rinvenuto sui computer di Giulio Occhionero. A fronte delle anomalie che Epifani ritiene di aver riscontrato, con grande onestà intellettuale, ha anche chiarito diversi punti fondamentali di questa vicenda:
- Gli accessi abusivi contestati a Ramondino riguardano account le cui credenziali erano contenute nel malware e utilizzate dal malware per il suo funzionamento. Dunque, analizzando EyePyramid, Ramondino non poteva non entrare in contatto con queste credenziali, disponibili anche per altre aziende e ricercatori che hanno analizzato il virus (aspetto già precedentemente chiarito, ma il fatto che stavolta sia il consulente di parte civile a dirlo assume un valore diverso).
- Il fatto che Ramondino, durante l’analisi del malware, si sia spacciato per funzionario o agente di polizia, come sostenuto dalla difesa di Occhionero, è stato smentito dalla traduzione in aula della corrispondenza mail intercorsa tra la Mentat e la After Logic, azienda che aveva venduto un componente utilizzato dal malware.
- L’infrastruttura di EyePyramid non faceva riferimento a un unico server, ma a una serie di aree create appositamente dal malware. Questo aspetto è importante perché da una connotazione diversa agli accessi “abusivi” che si attribuiscono alla Mentat. Alcuni account venivano creati direttamente dal malware, altri venivano “colonizzati” e utilizzati in modo abusivo da EyePyramid.
- L’attività di analisi condotta da Mentat, per quanto molto complessa, è “determinata e ricostruibile” a differenza di quanto sostenuto dal consulente tecnico della pm.
- L’email inviata a Enav – che la difesa di Occhionero sostiene essere stata fabbricata – non è riconducibile a nessun soggetto, in quanto inviata tramite la rete Tor (il browser per navigare nel Darkweb).
- La modifica del numero di telefono che l’accusa ritiene essere stata effettuata su un account violato dal virus e che viene attribuita a Mentat è, come detto da Epifani, “improbabile”.
La relazione di Paolo Dal Checco
Nella stessa giornata, ha parlato anche il consulente tecnico della difesa: il dottor Paolo Dal Checco, stimato e riconosciuto professionista del settore, il quale oltre a ribadire e confermare alcune delle cose dette da Mattia Epifani – e che vanno a beneficio dell’imputato – ha confermato che l’accesso alle aree del virus era necessario non solo per poter seguire il percorso del malware e analizzarlo, ma per ricavarne anche gli indicatori utili per proteggere i sistemi e prevenire ulteriori infezioni. Tradotto: non poteva essere fatta un’analisi del malware senza accedere a quelle aree che l’accusa ritiene violate da Ramondino. Ma c’è di più: Ramondino non è il solo ad essere entrato in quelle aree. Tutte le vittime di EyePyramid, infatti, accedevano inconsapevolmente alle stesse aree che il virus utilizzava per il proprio funzionamento.
Nella relazione di Dal Checco viene anche spiegata un’altra questione dirimente: l’accusa sostiene infatti che la Mentat abbia diffuso i dati che il virus aveva sottratto alle vittime, distribuendoli a non si capisce bene chi, né per quali finalità. In realtà, la ricostruzione di Dal Checco ha evidenziato che solo un campione di dati è stato fornito alle autorità, nello specifico al Cnaipic. Come se qualcuno venisse accusato di ricettazione dopo aver riconsegnato in commissariato una borsetta scippata a qualcuno e ritrovata per strada.
Dal Checco, come precedentemente fatto anche da Epifani, ha poi fatto chiarezza su un termine che è stato spesso utilizzato in maniera errata nel corso delle udienze, a sottolineare l’estrema competenza necessaria a trattare una materia tanto specifica: parliamo del “Brute Force”, letteralmente la forza bruta. Con questo termine si è fin ora attribuito agli analisti di Mentat l’aver effettuato degli attacchi finalizzati a forzare degli account. In questa udienza si è finalmente chiarito il vero significato, in questo contesto, del termine che la stessa Mentat utilizza nel suo report: non un attacco contro un servizio o un soggetto, ma l’applicazione di un algoritmo che ha consentito di decifrare le parti del virus crittografate.
L’Italia a rischio ma anche chi la difende
Non è certo un segreto che l’Italia sia uno dei Paesi europei a ricevere più attacchi informatici. In quanto Paese sul mediterraneo e forza economica non da poco, l’Italia è al centro di una “guerra cyber” che non conosce confini. Uno dei motivi per il quale non smettiamo di raccontarvi questa storia è semplice: se prestare la propria competenza al Paese significa difendersi da pesanti accuse, affrontare anni di processi ed essere dimenticato dai media, su quante persone come Federico Ramondino potremo contare quando ne avremo bisogno?
Il verdetto
Il prossimo 19 giugno ci sarà la sentenza di assoluzione o di condanna per l’analista della Mentat e nel disinteresse generale continueremo a seguire questa vicenda. Nel frattempo, il nostro mondo continua a essere sempre più digitalizzato e per difendersi dal numero crescente di attacchi informatici la nostra intelligence ha aperto un bando per la ricerca di esperti dal mondo della società civile. Ma questo non vuol dire che possiamo dimenticarci di chi, nella trincea per difendere il sistema Paese, è già sceso rischiando di pagare un prezzo troppo alto.