Marco e Giulio, che sono persone che conosco e stimo, hanno deciso di spostare l’infrastruttura tecnica della loro azienda in Islanda. In questa lettera spiegano perché:

Cari utenti di Clipperz,
la recente manutenzione natalizia è andata benone e ora Clipperz gira allegro su nuovi server … in Islanda!

In realtà sono alcuni mesi che stiamo discretamente spostando l’infrastruttura tecnica di Clipperz fuori dagli Stati Uniti ed il passo finale sarà l’abbandono del dominio .com in favore del nuovo.is. Dal 1 gennaio 2014 ogni accesso a clipperz.com verrà reindirizzato a **clipperz.is, la nostra nuova casa**.

Vi chiederete cosa c’era di sbagliata con la nostra configurazione precedente. Nulla. Eravamo completamente soddisfatti di tutti i nostri fornitori: Joyent per l’hosting in ambiente SmartOS, Dyn per la gestione del DNS, Amazon per i backup. Aziende rispettabilissime e con servizi di qualità assoluta.

Allora perchè traslocare? **Perchè c’è un attacco in corso!** Un attacco diretto alle persone di Marco e Giulio. Nè l’infrastruttura tecnica di Clipperz, nè i vostri dati che custodite criptati su Clipperz corrono alcun pericolo.

# L’attacco

E’ iniziato tutto lo scorso giugno, pochi giorni dopo il lancio del nuovo sito di Clipperz e l’annuncio che sarebbe diventato un servizio a pagamento, in soli Bitcoin.

Vengo convocato in caserma dai Carabinieri per informazioni in merito ad una denuncia per truffa. La denunciante dichiarava di aver bloccato un bonifico di oltre 10mila Euro fraudolentemente ordinato dal suo conto corrente online ed in cui il beneficiario era il conto corrente di Clipperz. Ho risposto che non avevo alcuna relazione con la querelante e che non vi era alcuna ragione per cui Clipperz dovesse ricevere un pagamento da lei, in particolare così cospicuo.

Nelle settimane successive, sono stato convocato presso Carabinieri e Polizia Postale per ulteriori 15 denunce, tutte pressochè identiche alla prima.

Per fortuna tutti i bonifici fraudolenti venivano bloccati prima della loro esecuzione e nessuno aveva mai raggiunto il nostro conto corrente.

Che stava succedendo? Non riuscivamo a capirlo.

Non c’era alcuna logica che spiegasse le ragioni per cui un attacco di hacker verso i clienti di alcune banche italiane dovesse generare bonifici diretti al nostro conto. Come pensavano di recuperare il denaro? Ma soprattutto perchè ordinare bonifici superiori ai 10mila euro, ovvero sopra il limite massimo per l’accettazione ed esecuzione automatica dei vari sistemi di online banking? Le possibilità che uno di questi bonifici fosse effettivamente eseguito erano veramente scarse.

Il solo effetto che questo attacco stava ottenendo era di attivare una dozzina di PM in giro per l’Italia da Torino a Palermo ad indagare su Clipperz.

Trascorsi alcuni mesi senza che venissimo formalmente accusati di alcun reato, iniziammo a pensare che la cosa si sarebbe risolta da sè. In fondo l’attacco sui conti correnti era stato concentrato in pochi giorni a cavallo tra maggio e giugno e non vi era più stati episodi successivi.

Purtroppo ad inizio novembre riceviamo la telefonata della nostra banca che ci chiede di stornare un bonifico di oltre 10mila euro appena giunto sul nostro conto e contestato dal mittente. Ovviamente autorizziamo lo storno, ma capiamo subito che era partita una nuova ondata di attacchi e che quindi sarebbero seguite nuove convocazioni
in caserma, nuove spese legali, …

Cosa possa succedere ora non lo sappiamo. Ma non possiamo escludere che qualcuno dei PM indaganti possa prendere iniziative potenzialmente in grado di causare disagio agli utenti di Clipperz, come ad esempio il sequestro dei server.

Il nostro primo obiettivo è quindi proteggere Clipperz, i suoi utenti ed i loro dati.

Abbiamo lavorato a Clipperz per 8 anni, guidati solo dalla passione e dalla volontà di offrire qualcosa di utile. Senza fare nulla di
illegale se non consentire a chiunque di proteggere al meglio i propri dati più preziosi.

Siamo quindi intenzionati a impedire a chiunque di distruggere quanto costruito sin qui. E faremo tutto quanto nelle nostre possibilità per prevenire accessi non autorizzati ai vostri dati criptati o interruzioni del servizio.

La nostra lotta inizia scegliendo il campo di battaglia: restare negli USA rende sin troppo facile ad un giudice italiano rimuovere Clipperz da Internet.

Joyent, il nostro precedente fornitore di hosting, ha un accordo di [“safe harbor”][SA] con l’UE e quindi le autorità europee possono disporre dei server di Clipperz come se si trovassero sul loro territorio. Oppure Joyent potrebbe trovarsi costretto ad eseguire un ordine della [FISC][FISC] americana e consegnare dati, modificare chiavi o codice
di Clipperz. O piu’ semplicemente le autorità USA potrebbero venire richieste di disporre il sequestro del dominio clipperz.com, e lo possono fare con un semplice ordine a Verisign (si veda questo [articolo su Wired][Wired]).

Quindi non avevamo altra scelta se non spostarci in un luogo in cui, se necessario, avere almeno la possibilità di iniziarla la nostra battaglia.

[Wired]: http://www.wired.com/threatlevel/2012/03/feds-seize-foreign-sites/).
[SA]: http://en.wikipedia.org/wiki/International_Safe_Harbor_Privacy_Principles
[FISC]: http://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

#Islanda

Abbiamo scelto l’Islanda perchè ci auguriamo che l’iniziativa denominata IMMI [Icelandic Modern Media Initiative][IMMI], che stabilisce fortissime garanzie per la libertà di espressione ed informazione, divenga presto legge e faccia scuola in altre parti del mondo. Il dominio Clipperz.is è stato registrato presso [1984.is][1984] che
gestisce da oggi anche i nostri DNS, mentre l’hosting è fornito da [Greeqloud][GQ].

[IMMI]: http://en.wikipedia.org/wiki/International_Modern_Media_Institute
[1984]: https://1984.is
[GQ]: https://greenqloud.is

#Il futuro

Fortunatamente in Italia non esiste nulla di paragonabile alla “US National Security Letter”, e quindi non possiamo essere costretti a fare qualcosa senza poi poterlo rivelare pubblicamente. Ovvero non può accaderci quanto successo a Lavabit. E quindi ci impegniamo a raccontarvi ogni ulteriore sviluppo di questa vicenda su tutti i canali a nostra disposizione.

Clipperz è una SRL italiana soggetta alle leggi italiane e così resterà. Non abbiamo in mente di spostarci all’esterno nè di trasferire gli asset (minimi) dell’azienda sotto altre giurisdizioni. Abbiamo semplicemente spostato l’infrastruttura tecnica in un posto dove alcuni diritti fondamentali godono di miglior protezione.

La trasparenza è uno dei valori chiave per Clipperz e non abbiamo intenzione di cambiare. Oggi potete accedere al nostro [codice][open], studiare [quanti soldi
ci arrivano e come li spendiamo][money], potete bussare ai nostri uffici e fare [due chiacchiere][chat] con noi. Potete addirittura lanciare un servizio in competizione con Clipperz usando il nostro stesso codice. Questo approccio non cambierà.

E quando tra poche settimane Clipperz diventerà un servizio a pagamento, la trasparenza resterà immutata. Abbiamo pagato le tasse sulle donazioni ricevute sin qui e pagheremo le tasse sui Bitcoin con cui (ci auguriamo) comprerete i nostri piani di abbonamento ed anche sugli eventuali guadagni da cambio EUR/XBT.

** Ma prima abbiamo bisogno di garantire la sopravvivenza di Clipperz.
Siamo pronti.**


15 commenti a “Chi attacca Clipperz?”

  1. Marco Barulli dice:

    Grazie Massimo!

  2. ArgiaSbolenfi dice:

    L’accordo “safe harbor” però mi sembra una delle poche cose sensate per garantire che i dati personali europei “esportati” negli USA siano trattati secondo norme europee. Credo che sia l’appiglio che consente ad aziende nostrane di usare servizi cloud USA (se erogati da aziende che aderiscono all’accordo) per la gestione di dati personali, senza incorrere in violazioni della normativa sulla privacy. Poi magari è tutto fumo e niente arrosto, non me ne intendo abbastanza, ma non mi sembra una cosa cattiva a priori..

  3. Theodore dice:

    Imho, ed a costo di risultare un gombloddisda e se è tutto quello che sanno e hanno scritto, il problema è da ricercarsi nelle filippine, provincia del davao del sur.

  4. Marco Barulli dice:

    @ArgiaSbolenfi verissimo, nulla di male nel safe harbor in sè, anzi spesso utile per consentire ad aziende UE di usare servizi USA. Ma potenzialmente negativo per noi in questo caso.

  5. daniele dice:

    come sono i costi in islanda della connettivita` etc? le macchine sono di vs proprieta`? complimenti ancora per il vs lavoro ed impegno!

  6. Marco Barulli dice:

    @Daniele sono server virtuali con caratteristiche assolutamente standard e prezzi in linea con quanto offerto da Amazon o Joyent.

  7. daniele dice:

    yep, comunque credo che per chi fa servizi IT di qualsiasi tipo sia davvero difficile rimanere in Italia, anche solo come azienda, vista l`incompetrnza normativa dello stato italiano, se i ragazzi avessero spostato la sede all`estero, oltre all`infrastruttura li avrei capiti benissimo!

  8. Marco Barulli dice:

    @Daniele grazie per i “ragazzi”! :)

  9. frank dice:

    molto interessante. grazie per aver condiviso queste problematiche. un primo passo. e grazie all’islanda

    “le ragioni per cui un attacco di hacker verso i clienti di alcune banche italiane dovesse generare bonifici diretti al nostro conto.”

    ma quindi, se ho capito bene, è un problema che riguarda prima di tutto la sicurezza di alcune banche italiane.

    gli amministratori di queste banche sono stati chiamati in causa da Carabinieri, Polizia Postale e PM?

  10. Marco Barulli dice:

    @frank purtroppo non abbiamo alcuna visibilità sulle indagini in corso, mi auguro che siano state allertate

  11. frank dice:

    il parallelo è forse un po’ azzardato, ma forse no, a proposito di ‘distruzione’ e ‘battaglia’: mi ha ricordato per certi aspetti la genesi di tangentopoli. Tutto partiva dalle denunce di alcuni imprenditori verso alcuni partiti, ma solo alcuni imprenditori e alcuni partiti, come ricordava Gherardo Colombo, ex del pool di Mani Pulite

  12. Leo dice:

    Ma chiudere subito quel contocorrente non avrebbe bloccato queste richieste fraudolente di bonifici? Oppure, se esiste, dire alla vostra banca di bloccare qualsiasi accredito sopra tot euro

  13. Marco Barulli dice:

    Il conto corrente e’ pubblicato nella pagina che elenca i canali su cui possiamo ricevere donazioni. (https://clipperz.is/donations) E chiudendo un conto dovremmo comunque dotarci di un altro conto.

    Il problema non sono i soldi che arrivano sul conto, ma la truffa a danno di ignari correntisti che poi sporgono denuncia contro di noi.

  14. /V dice:

    Marco, ti consiglierei di contattare il nucleo anti frodi telematiche della finanza (http://www.gdf.gov.it/gdf/it/archivio/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407533033.html), che io sappia si occupano di questo genere di problemi (leggasi: bonifici fraudolenti su conti terzi).

  15. Marco Barulli dice:

    @/V

    Grazie per il momento abbiamo presentato denuncia alla Polizia Postale e aspettiamo fiduciosi. :)