Può sembrare strano ma a seguito degli attacchi effettuati da LulzSecITA nelle scorse ore, molti commenti si affollano circa la liceità della pubblicazione dei dati. Alcuni di questi sono a mio avviso capziosi, altri completamente inutili ma alcuni meritano riflessioni.
Il commento di Arturo Di Corinto merita una riflessione perchè fondamentalmente le informazioni esposte riguardano terze parti che divengono necessariamente danni collaterali dell’attacco hacker.
La soluzione più opportuna potrebbe essere quella già adottata da LulzSecITA (e da molti altri soggetti): l’oscuramento parziale delle informazioni e la possibilità di dimostrare così il possesso dei dati trafugati senza esporre terze parti al problema.
D’altro canto, però, l’azione di un hacker (in questo caso) è dimostrare l’inefficacia delle misure di sicurezza e questo ci porta ad un secondo commento che mi ha interessato.
Il tweet di Francesco Ritrovato è chiaro: il fatto di avere una sicurezza ridicola non ti autorizza ad entrare senza permesso. Chiaramente applicare questo ad un hacker è un po’ un ossimoro. L’obiettivo di LulzSecITA era proprio dimostrare l’inefficacia delle misure di sicurezza (informatiche e non) trafugando dati ed esponendoli al pubblico. Dimostrando quanto possa esser stato semplice farlo.
C’è però qualcosa di più a mio avviso: non si tratta solo di dimostrare l’inefficacia delle misure di sicurezza. Si tratta di dimostrare che stai adottando misure di sicurezza non conformi ai dati che stai trattando. Questa sottile differenza nasconde un mondo. Potresti avere un computer nel quale non ci sono documenti e non proteggerlo da password e potresti avere dati sensibili o magari sottoposti a classifica, protetti con la semplice password “password“. Non è esattamente la stessa cosa: le informazioni denotano il livello di sicurezza da adottare (è il principio alla base della classificazione dei documenti militari), l’adozione di un livello di sicurezza basso (se non assente) è qualcosa di inaccettabile.
Hacking Etico?
Di ethical hacking ne sentiamo parlare tanto, troppo. Sembra il GDPR. Il punto è che la maggior parte delle volte ne sentiamo parlare male.
Forse potremmo considerare vero hacking etico l’oscuramento parziale dei dati da parte di un hacker. Perchè se lo scopo di un attacco è dimostrare l’inefficacia dei sistemi di protezione, la cosa migliore è sì dare la prova del possesso delle informazioni trafugate, ma ridurre al minimo i danni collaterali.
Di sicuro, comunque, tutte queste discussioni che si stanno svolgendo su Twitter hanno un grande beneficio: quello di animare interesse e attenzione non tanto sull’attacco in sé, quanto sulle modalità con cui strutture statali, para-statali e private detengono i dati dei cittadini e, a giudicare dai risultati, permettetemi di dire che li tengono male.