Penso possa essere di interesse condividere questo intervenuto tenuto dal docente Andrea Rossetti ad IHC 2018 dove vengono sollevate riflessioni in merito alle segnalazioni di vulnerabilità informatiche, e alle problematiche giuridiche che potrebbero comportare. Trovo attuale l’ipotesi di proporre uno sportello di supporto hacker.
torify youtube-dl https://www.youtube.com/watch?v=6AYBTKcnyUo
L’idea di uno “sportello hacker” non è nuova: ricordo di aver sentito in un video dell’ultimo CCC il Chaos Computer Club proporsi per un ruolo simile. Osservavano che, quando chiamano presso un’azienda, riescono sempre a farsi passare subito il responsabile dei sistemi informativi, senza nemmeno il bisogno di richiamare. 
Ritengo sia una buon punto di partenza per tamponare un problema, ma non è una soluzione.
Per individuare una soluzione efficace, bisogna prima comprendere il problema.
Il problema qui è che il software utilizzato da un’organizzazione è insicuro e mette in pericolo gli utenti. La soluzione è rendere il software più sicuro.
Per farlo si può rendere penalmente responsabili i CdA dei data leak, per esempio.
L’idea che il software che esegue input e produce output su un interfaccia di rete sia in qualche modo analogo ad un domicilio è ridicola. Sovvertendo le assunzioni sull’input di chi ha scelto di eseguire quel software non si sta penetrando in alcunché: si sta semplicemente comunicando con un sistema automatico. Ciò che il sistema automatico restituisce o le operazioni che questo compie a valle di questa comunicazione non comportano una responsabilità in chi ha prodotto l’input, ma in chi ne ha deciso l’interpretazione da parte dell’hardware.
Insomma, la responsabilità di un problema di sicurezza di un sistema va sempre ricondotta a chi è ultimamente responsabile dalla sua esecuzione.
E’ l’esecuzione di sistemi insicuri per terze parti ad essere immorale.
L’unico modo veramente responsabile di effettuare una disclosure è quello di informare nel più breve tempo possibile il massimo numero di utenti sulla irresponsabilità di coloro di cui si stanno fidando.
L’idea che chi effettua la disclosure sia il primo a notare il problema è RIDICOLA.
Ogni disclosure andrebbe considerata di default come la scoperta di attacchi precedenti passati inosservati. Se infatti un Gubello trova, con le proprie risorse personali, un baco in un sistema, è CERTO che quel baco è già stato scoperto e sfruttato da altri con maggiori risorse in precedenza.
Dunque la disclosure dovrebbe essere subito pubblica, per minimizzare il danno agli utenti. E per incentivare le organizzazioni a prendere la sicurezza informatica sul serio.
Sarebbe interessante proporre che, a valle di una disclosure di una vulnerabilità, l’hacker che la rivela debba ottenere dalle società vulnerabili una ricompensa proporzionale al numero di utenti.
Dover pagare 10€ ad utente del sistema coinvolto produrrebbe un altro ottimo incentivo per la sicurezza informatica.
Perseguire penalmente chi interagisce in modo inatteso con un software è mettere la testa sotto la sabbia.
Vabbè, ha soltanto detto che l’hacking etico non esiste perché è illegale. Io avrei detto che l’hacking etico non esiste perché gli hacker sono tanti, diversi, e ognuno con la sua etica, e parlare di hacking etico è un tentativo di imporgli una morale diversa dalla loro.
La sua proposta di sportello hacker può ispirare cose interessanti, ma il consiglio mi pare “fai fare le disclosure al tuo avvocato”, quindi più che uno sportello a proxare richieste serve una clinica legale hacker.
(Volevo sentire anche le domande ma il microfono è impazzito a metà video, quindi addio)
In realtà vi sono molti modi di pubblicare una disclosure in modo anonimo e dunque privo di rischi legali.
Il problema è questa malintesa responsabilità: se un sistema è vulnerabile, è stato compromesso. E’ inutile chiudere la finestra della stalla dopo che i buoi sono fuggiti.
Verso chi deve essere responsabile un hacker? Verso gli utenti i cui dati sono stati compromessi o verso l’organizzazione che li ha messi in pericolo?
In questo momento risponde alle aziende semplicemente perché gli utenti sono così indifesi e culturalmente inermi da non sapere cosa chiedere.
No, not really. Puoi aggirare i rischi legali non facendoti trovare, ma non puoi evitarli e basta.
Poi sul punto della responsabilità siamo d’accordo sì e no: imho un hacker è responsabile solo nei confronti di sé stesso, e deve decidere per sé qual è l’azione responsabile.
Hai ragione, il rischio di essere identificati esiste sempre, ma diciamo che può essere veramente minimizzato, almeno contro avversari privati.
Sulla responsabilità non sono molto convinto.
Che differenza c’è fra chi non risponde affatto (irresponsabile) e chi risponde solo alle proprie domande?
La responsabilità è un concetto sociale.
Poi siamo d’accordo che, prima di rispondere alla società, dobbiamo rispondere alla nostra Coscienza. Ma questa è etica, non responsabilità.
Come si può avere dubbi in merito?
Il CCC ha svolto questo ruolo durante il NASA Hack del 1987, e da allora tradizionalmente fa quel servizio a tutti i white hat che si rivolgono ad esso.