DEF CON e Chaos Computer Club: i raduni dove nasce la cultura hacker

Ogni anno, a Las Vegas, migliaia di persone si ritrovano in un hotel del deserto del Nevada per quello che è, di fatto, il più grande raduno hacker del mondo. Pagano in contanti, usano nomi falsi, lasciano il telefono in camera (o meglio, a casa), e passano tre giorni a smontare, forzare e riprogrammare qualsiasi cosa. Dall’altra parte dell’Atlantico, ad Amburgo, un’associazione fondata nel 1981 fa più o meno la stessa cosa, ma con un’impronta più politica e un rapporto diverso con le istituzioni. DEF CON e il Chaos Computer Club: due facce della stessa cultura, due modi di intendere l’hacking.

DEF CON: il circo del deserto

DEF CON nacque nel 1993 per iniziativa di Jeff Moss, noto nella scena come Dark Tangent. Moss aveva diciotto anni e voleva organizzare una festa di addio per un amico che lasciava la scena hacker. La festa prese una piega diversa: si presentarono un centinaio di persone e qualcuno propose di rifarlo l’anno dopo. Trent’anni dopo, DEF CON attira oltre 30.000 partecipanti ed è diventato un evento che nemmeno il governo americano può ignorare — anzi, il Pentagono ci manda i suoi.

La cultura di DEF CON è unica. Si paga solo in contanti — niente carte di credito, niente tracce digitali. I badge non sono semplici pass plastificati: sono circuiti elettronici che contengono enigmi da risolvere. Hackare il badge è una tradizione, e ogni anno i partecipanti competono per essere i primi a decifrare i messaggi nascosti nell’hardware.

Ma il cuore di DEF CON sono i “village” — aree tematiche dove si può imparare (e praticare) di tutto:

• Lockpicking Village: qui si impara a scassinare serrature fisiche. Non è metaforico — ci sono tavoli pieni di lucchetti, grimaldelli e istruttori che ti insegnano a sentire i pistoncini con le dita. Il messaggio è chiaro: la sicurezza fisica è importante quanto quella digitale.
• Social Engineering Village: gare in cui i partecipanti chiamano aziende reali e cercano di ottenere informazioni usando solo la voce e la persuasione. Kevin Mitnick avrebbe apprezzato.
• Car Hacking Village: si smontano e si riprogrammano le centraline delle automobili. Da quando le auto sono diventate computer su ruote, questo village è diventato uno dei più frequentati.
• Voting Village: introdotto nel 2017, qui si attaccano le macchine per il voto elettronico. I risultati sono regolarmente inquietanti e hanno contribuito al dibattito pubblico sulla sicurezza delle elezioni americane.

Poi ci sono le CTF — Capture The Flag — le competizioni di hacking più prestigiose del mondo. Squadre da tutto il pianeta si sfidano per trovare vulnerabilità, sfruttarle e difendere i propri sistemi. Vincere una CTF a DEF CON è l’equivalente hacker di vincere le Olimpiadi.

Il Chaos Computer Club: hacking con coscienza politica

Se DEF CON è il circo, il Chaos Computer Club è il parlamento. Fondato ad Amburgo nel settembre 1981 da Wau Holland e altri, il CCC è la più grande associazione hacker d’Europa e probabilmente la più antica al mondo ancora attiva.

Holland aveva una visione precisa: l’hacking non era solo una competenza tecnica, era un atto politico. In un mondo dove governi e aziende controllavano le informazioni, la capacità di accedere ai sistemi informatici era un diritto civile. Il CCC non si limitava a trovare falle — le denunciava pubblicamente, costringendo le istituzioni a reagire.

L’hack del Bildschirmtext: 134.000 marchi per fare una dimostrazione

Il momento che rese il CCC famoso in tutta la Germania arrivò nel 1984. Il bersaglio era il Bildschirmtext (BTX), un servizio di videotex della Deutsche Bundespost — le poste tedesche — che permetteva agli utenti di accedere a servizi bancari e informativi dal televisore di casa.

La Bundespost sosteneva che il sistema era sicuro. Il CCC dimostrò il contrario. Sfruttando una vulnerabilità nel protocollo, i membri del club programmarono un sistema che effettuava ripetutamente transazioni di un marco verso il conto del CCC, usando le credenziali della Hamburger Sparkasse, una cassa di risparmio. In una notte, accumularono 134.000 marchi tedeschi (circa 68.000 euro).

La mattina dopo, il CCC chiamò la stampa, mostrò cosa aveva fatto, e restituì tutto il denaro. Il messaggio era semplice: “Avevamo detto che non era sicuro. Ecco la prova.” La Bundespost fu costretta a rivedere completamente il sistema. Il CCC era sulla prima pagina di ogni giornale tedesco.

I congressi: dal 1C3 al 37C3

Dal 1984, il CCC organizza un congresso annuale tra Natale e Capodanno. La nomenclatura segue un formato ormai iconico: il numero dell’edizione seguito da “C3” (Chaos Communication Congress). Il primo fu il 1C3, con poche decine di partecipanti in una sala ad Amburgo. Il 36C3, nel 2019 a Lipsia, ne attirò oltre 17.000. Dopo la pausa pandemica, i congressi sono ripresi attirando le stesse folle.

I talk ai congressi CCC coprono uno spettro vastissimo: dalla crittografia alla sorveglianza di massa, dal reverse engineering all’attivismo per i diritti digitali. A differenza di conferenze di sicurezza commerciali, il CCC mantiene un’impronta fortemente politica. Qui si parla di Snowden, di sorveglianza governativa, di diritti digitali, di privacy come diritto fondamentale.

Il ponte tra underground e mainstream

Sia DEF CON che il CCC occupano uno spazio strano: sono contemporaneamente underground e istituzionali. A DEF CON si incontrano hacker indipendenti e agenti dell’NSA nella stessa sala. Al CCC, parlamentari tedeschi vengono a chiedere consulenza sulle politiche digitali.

Questo dualismo non è un difetto, è una funzione. Questi eventi funzionano come zone franche dove la sicurezza informatica viene discussa senza le ipocrisie del mondo aziendale. Quando un ricercatore dimostra a DEF CON che un pacemaker può essere hackerato a distanza, la notizia arriva ai produttori molto più velocemente che attraverso un canale di “responsible disclosure” aziendale.

Nel mondo della sicurezza informatica, il sapere nasce spesso in questi raduni prima di arrivare nelle aziende. Le vulnerabilità presentate a DEF CON e ai congressi CCC diventano i CVE dell’anno successivo, le patch dei mesi seguenti, i titoli dei giornali della settimana dopo. È un ecosistema caotico, a volte scomodo, spesso rumoroso. Ma funziona.

E funziona proprio perché conserva, nel 2026, lo spirito di quei primi hacker del MIT: la convinzione che capire come funzionano le cose — e mostrare quando non funzionano — sia un servizio, non un crimine.

Fausto Pitzalis

Blogger dal 2001, Nativo Digitale, Developer.
Da 15 anni mi occupo di IT per una grande Azienda.
Lavoro per abbattere il Digital Divide.
Visita i miei altri progetti
sardiniamobility.com
www.cyberness.it