Lo studente che vendeva armi di contrabbando nella darknet

Sono le 9.30 del mattino a Schweinfurt, in Germania. È la fine del semestre e i futuri ingegneri meccanici, programmatori, e tecnici meccatronici formano dei gruppi nel campus per prepararsi per gli esami finali. Le panchine di legno affollate da studenti piegati sui loro appunti, simbolo di qualunque laurea in ingegneria. Poi d'improvviso, in questo giovedì 29 gennaio 2015, uno di questi studenti viene strappato dalla panchina e gettato a terra. Solo dopo che diversi poliziotti sotto copertura hanno cominciato a urlare "niente foto, niente video!" i restanti studenti hanno capito cosa stava davvero succedendo. Sono testimoni di un arresto meticolosamente pianificato da parte del SEK—l'equivalente tedesco degli SWAT—che ha accerchiato il campus da diversi lati.

L'obiettivo della Polizia di Stato Bavarese è uno studente venticinquenne, Stefan, accusato di contrabbandare armi in giro per l'Europa.

Durante lo stesso giorno la polizia ha perquisito 11 appartamenti a Schweinfurt e nell'area circostante, sequestrando 10 pistole e diverse migliaia di proiettili.

Se le accuse si rivelassero veritiere, le autorità tedesche riuscirebbero a chiudere un'indagine che è tanto strana quanto sorprendente. Il caso potrebbe anche offrire un esempio lampante di come la darknet, quella parte del web a cui vi si può avere accesso solo attraverso determinati strumenti, distorca il significato di 'crimine' e 'giustizia'—e di quanto facilmente uno studente bavarese venticinquenne possa essere definito un contrabbandiere internazionale di armi.

Negli ultimi tempi ci sembra di aver capito che i commercianti della darknet finiscono per farsi beccare solamente se commettono errori—sulla scia del caso di Ross Ulbricht, recentemente trovato colpevole di gestire il mercato nero digitale di Silk Road.

Alcuni dei compagni di classe di Stefan sapevano usasse il servizio di navigazione internet anonima Tor e che crittasse i propri hard disk. Alcuni di loro sapevano che amava andare in giro per il dark web. Qualche minuto prima di essere braccato dal team SWAT, si è scusato per aver bisogno di ancora qualche minuto prima di poter cominciare la sessione di studio con gli amici: "Qualcuno nella darknet ha ancora delle domande."

Non è una coincidenza che il laureando sia stato arrestato nel campus. Era tristemente famoso per essere quasi un abitante degli edifici del college. Spesso si lavava lì e portava coperte per schiacchiare dei pisolini a scuola.

Per i primi cinque semestri in cui è stato lì, Stefan ha spento la maggior parte del suo tempo nel campus—oltre che a frequentare i barbecue del college, era particolarmente studioso e si applicava. Ma la sua continua presenza all'interno delle strutture accademiche insospettiva i suoi compagni di classe, ma nessuno di loro avrebbe mai pensato che facesse ciò di cui stava venendo accusato.

Nemmeno i procuratori di Schweinfurt o la Polizia di Stato Bavarese hanno voluto confermare che il sospetto contrabbandava le armi che hanno trovato sulla darknet. In ogni caso, il venticinquenne sta rischiando fino a 15 anni in prigione per attività che hanno violento il War Weapons Control Act—e la polizia ha fermato altri quattro individui nel corso dell'indagine.

Il cosìddetto "edificio rosa" è proprio al centro di Schweinfurt, se il venticinquenne è detenuto lì, è probabilmente in questo edificio. Immagine: Max Hoppenstedt

Le autorità non hanno rivelato altre informazioni perché stanno ancora procedendo nell'indagine, ma hanno confermato la richiesta di assistenza amminstrativa ad altre agenzie di sicurezza europee. È stato anche confermato che questo caso non abbia rilevanza a livello terroristico. "Al momento son oin corso indagini internazionali, e ciò è un'ottima cosa," ha detto il procuratore capo Ursula Haderlein.

Karl-Heinz Segerer, della Polizia di Stato di Monaco, che indagava da diversi mesi prima dell'arresto, ha fatto riferimento anche ad altre indagini che rendevano difficile fornire informazioni certe. "Il nostro obiettivo ora è semplicemente prendere queste persone," ha detto.

Per ora l'unica cosa che è definitiva è che Stefan ha violato il codice di condotta studenti della sua scuola.

Spesso utilizzava più armadietti a scuola per lunghi periodi di tempo, mettendoci dentro oggetti innocui ma piuttosto strani, come piccoli forni da pizza, fornetti elettrici e scatole di quark (un prodotto ad alte proteine decisamente economico).

Anche una teiera elettrica e una macchina del caffè erano fondamentali per la sua presenza continua nell'edificio. Ma non sono state trovate armi di alcun tipo all'interno della struttura durante il raid. Da quando la polizia ha cominciato a sorvegliare il campus diverse settimane fa—si presume travestiti da addetti ai lavori—l'utilizzo degli armadietti non è passato inosservato. Ma da inizio 2015 alla biblioteca di Schweinfurt gli armadietti non possono essere utilizzati durante la notte, il che ha reso ancora più difficile l'uso prolungato degli armadietti per Stefan.

Il dottor Robert Grebner, presidente della Fachhochschule Würzburg-Schweinfurt, mentre mi spiegava che il college "non aveva idea delle attività del sospetto" durante la sua permanenza nella scuola. Inoltre il college ha saputo dell'indagine solo recentemente. "Abbiamo supportato gli investigatori in ogni maniera possibile," ha detto.

Gli armadietti nella biblioteca del campus di Schweinfurt dove Stefan metteva i propri oggetti per vivere. Immagine: Max Hoppenstedt

L'ultimo poliziotto ha abbandonato il campus dopo oltre due ore. Hanno fallito in un obiettivo durante il raid, alla fine: non sono riusciti a recuperare il laptop di Stefan prima che lo spegnesse. Mentre veniva scaraventato giù dalla panchina è riuscito in qualche maniera a rimuovere il cavo di alimentazione dal suo portatile, che era privo di batteria. Anche dopo un riavvio del pc da parte della polizia, i suoi hard disk crittati sono protetti da password.

Quando le autorità si sono rese conte che il computer di Stefan non avrebbe offerto facilmente valanghe di prove non l'hanno presa bene. Quando il fondatore di Silk Road, Ross Ulbricht, è stato arrestato in una biblioteca pubblica di San Francisco, il suo laptop è diventato una prova chiave del processo. Il fatto che in quel momento fosse connesso alla pagina di amministrazione del mercato nero ha reso piuttosto difficile, per la difesa, la messa in discussione del ruolo di Ulbricht.

Gli amici di Stefan sono rimasti decisamente sorpresi dal suo arresto. "Prendeva un sacco di appunti," dice un compagno di corso, che ha studiato con Stefan per diversi esami. "Il suo aiuto potrebbe essere davvero utile ora, e ci manca già."

La vicenda di Stefan non ha generato conseguenze solo per i suoi compagni di corso; Stefan è rimasto fermo in un centro di detenzione per settimane.

Inoltre, il ventitre-enne Jens è stato arrestato nello stesso giorno, sospettato di essere un complice. Viene rilasciato solo 13 giorni dopo—anche se nel frattempo non sembra che gli investigatori sian ostati capaci di provare il suo coinvolgimento nel commercio di armi.

Gli investigatori stavano utilizzando una conversazione su WhatsApp con Stefan contro di lui, affermando che un messaggio che Jens gli aveva mandato la sera prima del raid—che diceva semplicemente 'wtf'—doveva essere un codice per avvertire Stefan. In ogni caso, Jens sembra più un compagno di classe stizzito da una richiesta dell'ultimo minuto più che un contrabbandiere di armi: il "wtf" era dovuto ad un messaggio in cui Stefan chiedeva a Jens di portare una lampada da scrivania per una sessione di studio nottura, perché al campus di notte le luci si spengono automaticamente.

Un altro studente, Peter*, che viene descritto dai compagni come assolutamente innocuo, è stato beccato vicino a Schweinfurt e fermato per un breve periodo dalla polizia.

Nel frattempo, altri studenti a Schweinfurt sono piuttosto preoccupati che la sorveglianza torni ad essere presente entro qualche settimana o mese—in particolare per quanto riguarda i controlli sui telefoni, e questo è il motivo per cui nessuno ha voluto usare il proprio nome reale in questo articolo.

Molti degli studenti sono convinti che né Jens né Peter abbiano nulla a che vedere col contrabbando internazionale di armi. Non sono esattamenti certi di ciò quando si tratta di Stefan, anche se non lo vedevano come qualucno di pericoloso. "Al massimo era un po' strano, ma chiunque studi questa roba con impegno lo è," dice uno studente.

Nonostante tutto, lo spettacolare raid ha distratto gli studenti dagli esami che stavano per dare. L'irruzione diurna di un team di SWAT non aiuta a concentrarti su argomenti come, per esempio, i fondamenti dell'ingegneria elettrica.

La procura non ha voluto commentare le accuse, appellandosi di nuovo al fatto che le indagini sono ancora in corso. Non si sa nemmeno se ci siano ulteriori accuse che possano giustificare la prolungata detenzione di Jens.

Come ha fatto la polizia di stato bavarese, che doveva star sorvegliando il college da settimane, anche solo a mettersi sulle tracce di Stefan. Questo arresto significa che le autorità tedesche hanno trovato un modo efficiente per effettuare indagini sulla darknet?

A inizio novembre 2014 l'FBI, l'Europol e altre agenzie di sicurezza internazionali sono riuscite nell'incredibile impresa di mandare offline 27 host della darknet. Nel corso di "Operation Onymous," che aveva come obiettivo questi servizi nascosti, la seconda versione di Silk Road e molti altri mercati neri del deep web sono stati sequestrati e messi offline.

Queste agenzie di sicurezza sono state capaci di localizzare Blake Benthall, l'amministatore di Silk Road 2.0, grazie a errori da principiante da lui commessi e a una OpSec (operational security) insufficiente. La paura era che gli investigatori avessero trovato modo di sfruttare degli exploit nel network Tor, che permette agli utenti di visitare anonimamente la darknet.

Continuiamo a non sapere come l'FBI sia riuscita a effettuare quelle identificazioni nel corso di Operation Onymous.

Da quella operazione, il team di sviluppo dietro al Tor Project, che mantiene il browser Tor, si è dedicata completamente al cercare di riparare ogni eventuale punto debole. (Gli utenti di Tor includono anche attivisti in quelle nazioni in cui la libertà di espressione è limitata, oltre che potenziali contrabbandieri di armi.

Moritz Bartl, del Zwiebelfreunde, un gruppo che opera nei nodi Tor, commenta l'idea che le autorità tedesche possano aver trovato un modo per tracciare utenti nelle infrastrutture Tor. "Non penso che le autorità tedesche siano abbastanza competenti da infiltrarsi in questi servizi."

Non è comunque inconcepibile che la polizia locale stia utilizzando qualche rimasuglio di dati provenienti dal fallout di Operation Onymous per ulteriori indagini. Nel novembre 2014, assieme a Operation onymous, la polizia di Stato a Hessen, in Germania, ha condotto un'indagine che ha portato all'arresti di un presunto capo di un negozio di droghe sulla darknet, che lo ha portato ad avere sulle spalle 12 accuse di spaccio.

Cosa oggi è certo è che, solo qualche giorno dopo che l'FBI aveva mandato offline alcuni server, tre exit node internazionali, che Moritz bartl e il Zwiebelfreunde gestivano, sono stati sequestrati dalla polizia.

Per ora sono solo alcuni i casi confermati in cui la polizia tedesca sia riuscita a indagare con successo su attività che si svolgono sulla darknet. Uno di questi si è consumato nel marzo 2013, per esempio, quando lo spacciatore 'Pfandleieher' è stato arrestato in una zona rurale della Bavaria. La polizia di stato bavarese ha istituito una task force speciale per l'operazione e con grande originalità l'ha denominata "Seidenstraße" (Silk Road).

Ma in ogni caso, la polizia l'ha beccato solo grazie ad un pacchetto arrivato nel posto sbagliato.

Tutti i casi finora conosciuti di arresti per crimini commessi sulla darknet hanno a che fare con droghe, come nel caso di Silk Road. Il mondo del commercio digitale di armi sembra di dimensioni più modeste, se paragonato. Globalmente questo settore—che non è nemmeno autorizzato in tutte le piattaforme darknet—consiste solo in una porzione infinitesimale del commercio che avviene sulla darknet.

Dopo numerose richieste, né la polizia di stato bavarese né la polizia federale tedesca possono darmi infomrazioni più precise sulle loro conoscenze e le loro competenze per quanto riguarda la diffusione del fenomeno darknet in Germani. "Si chiama darknet mica per nulla," ha commentato un portavoce della polizia federale.

Nello stesso tempo, questo caso ci ricorda uno dei grandi rischi di Tor: utilizzare Tor non assicura un anonimato completo. Per una vera e propria OpSec bisogna impostare diverse precauzioni, cosa che per esempio Stefan non ha fatto. Per esempio, spesso entrava su Facebook con Tor, e poi di nuovo attraverso altri browser.

In questo modo si può tranquillamente identificare quale exit node (il server Tor che inviava i dati richiesti all'utente) utilizzasse. Non vengono rivelati i contenuti della connessione, ma le autorità possono evincerli attraverso queste informazioni.

Karsten Nohl, un esperto di crittografia, spiega che le autorità tedesche "non si sono ancora distinte per essere particolarmente brave o efficienti nelle indagini sulla darknet."

Nohl pensa che in questo caso siano stati aiutati da metodi di investigazione più convenzionali. "Un'arma non è come due grammi di coca—non puoi nasconderla facilmente," ha detto.

Aldilà dei dettagli di questo singlo caso, Nohl dice semplicemente che non esiste una strategia base per affrontare i casi sulla darknet. "Non abbiamo notato tatiche o metodi ragionati per questo tipo di indagini, e Operation Onymous ne è il migliore esempio," ha detto.

"Queste operazioni spingono i mercati neri in regioni in cui è più difficile che le autorità occidentali li raggiungano," ha detto. "in questo momento la maggior parte di questi servizi sono ospitati in farm in Russia o nell'Europa dell'Est. I servizi di sicurezza conoscono i dettagli, ma non possono estradare chi li gestisce."​

Sembra probabile che un telefono intercettato abbia giocato un ruolo chiave per gli investigatori nel caso di Stefan, visto che ha portato poi ad altri arresti. Solo un procedimento penale e un processo potranno determinare quanto serie siano le accuse a Stefan, e in che maniera lui avesse a che fare con la darknet.

Il college non lo minaccia di espulsione in questo momento, mi ha detto il preside, il professore Dr. Grebner. Al contrario, la scuola lo sta aiutando permettendogli di fare due dei suoi esami nel centro di detenzione.