L’idea di uno “sportello hacker” non è nuova: ricordo di aver sentito in un video dell’ultimo CCC il Chaos Computer Club proporsi per un ruolo simile. Osservavano che, quando chiamano presso un’azienda, riescono sempre a farsi passare subito il responsabile dei sistemi informativi, senza nemmeno il bisogno di richiamare.
Ritengo sia una buon punto di partenza per tamponare un problema, ma non è una soluzione.
Qual’è il problema?
Per individuare una soluzione efficace, bisogna prima comprendere il problema.
Il problema qui è che il software utilizzato da un’organizzazione è insicuro e mette in pericolo gli utenti.
La soluzione è rendere il software più sicuro.
Per farlo si può rendere penalmente responsabili i CdA dei data leak, per esempio.
L’idea che il software che esegue input e produce output su un interfaccia di rete sia in qualche modo analogo ad un domicilio è ridicola. Sovvertendo le assunzioni sull’input di chi ha scelto di eseguire quel software non si sta penetrando in alcunché: si sta semplicemente comunicando con un sistema automatico. Ciò che il sistema automatico restituisce o le operazioni che questo compie a valle di questa comunicazione non comportano una responsabilità in chi ha prodotto l’input, ma in chi ne ha deciso l’interpretazione da parte dell’hardware.
Insomma, la responsabilità di un problema di sicurezza di un sistema va sempre ricondotta a chi è ultimamente responsabile dalla sua esecuzione.
L’hacking è sempre Etico
E’ l’esecuzione di sistemi insicuri per terze parti ad essere immorale.
L’unico modo veramente responsabile di effettuare una disclosure è quello di informare nel più breve tempo possibile il massimo numero di utenti sulla irresponsabilità di coloro di cui si stanno fidando.
La disclosure avviene sempre TROPPO TARDI
L’idea che chi effettua la disclosure sia il primo a notare il problema è RIDICOLA.
Ogni disclosure andrebbe considerata di default come la scoperta di attacchi precedenti passati inosservati. Se infatti un Gubello trova, con le proprie risorse personali, un baco in un sistema, è CERTO che quel baco è già stato scoperto e sfruttato da altri con maggiori risorse in precedenza.
Dunque la disclosure dovrebbe essere subito pubblica, per minimizzare il danno agli utenti.
E per incentivare le organizzazioni a prendere la sicurezza informatica sul serio.
Un premio a chi rivela le vulnerabilità
Sarebbe interessante proporre che, a valle di una disclosure di una vulnerabilità, l’hacker che la rivela debba ottenere dalle società vulnerabili una ricompensa proporzionale al numero di utenti.
Dover pagare 10€ ad utente del sistema coinvolto produrrebbe un altro ottimo incentivo per la sicurezza informatica.
Perseguire penalmente chi interagisce in modo inatteso con un software è mettere la testa sotto la sabbia.