Hacking Etico? No grazie, l’Italia non è pronta…

Indice

Diciamoci la verità: è diventata una moda parlare di hacking etico, oltre che una fonte di business. Molti realizzano corsi su come diventare hacker etico, come se fosse possibile effettuare attacchi degni di nota con un corso di 16/20 ore fatto su internet e poca esperienza. Non so cosa potrebbero pensarne gruppi come Anonymous, LulzSecITA o An0nPlu5 ma, sicuramente, la questione dell’hacking etico ci sta sfuggendo di mano e l’ultima iniziativa pubblicata da Francesco Boccia non è da meno.

L’antefatto

Poiché Dario Buonocore non sta mai fermo con quelle mani piene di dita, l’altro giorno ha twittato un post di Francesco Boccia che riporto di seguito. Chi è Francesco Boccia? Wikipedia dice, tra le altre cose interessanti, che è un politico ed un economista italiano. 

Ebbene questo signore ha scritto su internet di un’iniziativa che ha fatto molto discutere: ovverosia che il 15 dicembre ci sarà un incontro con un gruppo di hacker etici per “smontare” la piattaforma Rosseau del Movimento 5 Stelle e vorrei commentare con voi questo fatto e cogliere l’occasione di parlare ancora una volta dell’hacking etico.

Hacking etico: ma per piacere è roba da adulti

Quando ho letto il Tweet in cui scrivono che avrebbero “smontato” la piattaforma Rosseau ho pensato “ma come?! Ancora?!” Ebbene sì perché sapete che questa piattaforma (anche di recente) ha subito diversi attacchi portati a segno (potete approfondire qui). Non molti hanno accolto favorevolmente l’iniziativa di Boccia ma al di là delle legittime opinioni personali, questo dibattito sposta l’attenzione su un piano diverso secondo me: l’Italia può davvero gestire l’hacking etico?

A mio avviso no, o per lo meno finora ha dato prova di non poterlo fare. Non è un caso che nel post del Boccia ho aggiunto la riposta dell’utente Claudio Cosenza che, personalmente, trovo importante. Perché in effetti la piattaforma Rosseau, hackerata altre volte (non smontata…non è una macchina), fu oggetto di un’azione di hacking etico molto ben fatto da parte dell’utente Evaristegl0is. Questo utente, invece che rubare i dati e farci un business, segnalò la falla di sicurezza ai legittimi proprietari della piattaforma: fece, quindi, una vera azione di hacking etico come se ne vedono poche. Il risultato fu che venne denunciato. Atto dovuto? No, spiacente, si sarebbe potuto evitare anche perché la denuncia è arrivata a valle di un periodo di collaborazione con Evariste finalizzato a chiudere la falla. 

Quindi un utente normale sarebbe propenso a pensare fammi capire…io ti segnalo la falla, tu mi chiedi aiuto per chiuderla e una volta fatto mi denunci? Questo è un comportamento assolutamente: anti-etico. Avete notato il tono di questa mail? È orientato a far capire ogni aspetto della vulnerabilità, non vi è alcuna ostilità anzi…presso questo link potete trovare un’interessante ricostruzione degli eventi che vi invito a leggere.

Comprenderete bene quindi che la reazione di Claudio Cosenza è più che corretta… è doverosa. L’Italia non è pronta per l’hacking etico, trincerata dietro una mentalità basata sul lucro, la scarsa collaborazione o lo scarico di responsabilità. Per non parlare della costante negligenza di cui abbiamo evidenza ad ogni attacco portato a termine da Anonymous, LulzSecITA o qualunque altro soggetto ne sia in grado. Quando un portale è vecchio di anni, quando le password non vengono cifrate, a cosa serve “avvertire”? Diventa palese che si tratta di negligenza e ai negligenti non piace chi li va a svegliare.

L’hacking etico è roba da adulti, da persone e organizzazioni che lo sanno gestire e qui mi pare siano poche. Quello che ha fatto Evariste è vero hacking etico e non si impara con un corso di 16 ore su internet nei quali smanetti a malapena con Kali e SQLMap. Quello che ha fatto Evariste ha cambiato e reso più sicuro un portale (con finalità istituzionali) e, invece che una menzione e/o una ricompensa (come avviene in altri paesi), si è beccato una bella denuncia. Quindi sarebbe il caso di evitare di ridurre certe parole ad uno slogan pubblicitario fatto solo per attirare visitatori e like.

Quindi ringrazio innanzitutto Evariste per aver fatto qualcosa che in questo paese non è stato capito veramente e permettetemi di ringraziare anche Claudio Cosenza per aver ricordato l’accaduto: perché è giusto che venga ricordato.

Infine vorrei farvi notare un dettaglio (e come tutti i dettagli non è affatto trascurabile). Nessuno ha mai chiesto ad Evariste se fosse simpatizzante del Movimento 5 Stelle e quindi dobbiamo supporlo che lo sia e possa anche non esserlo. Immaginiamo che non lo sia: Evariste ha dimostrato una grande professionalità, effettuando il lavoro di analisi e risoluzione indipendentemente dal proprio credo politico. Questa “indipendenza mentale”, che personalmente non mi sento di dare per scontato, è un valore aggiunto che non tutti possiedono e denota un grande senso di etica e professionalità. Caratteristiche ormai rare soprattutto in un’epoca politica come la nostra, dove l’acredine e la rabbia regnano sovrane. 

In conclusione sarebbe il caso di rivedere il comportamento verso coloro che, indipendentemente dal credo politico, effettuano azioni di salvaguardia di servizi come quello della piattaforma Rosseau. Chissà che un’iniziativa del genere, oltre a farci crescere mentalmente, possa portare ai promotori molti più like.

Ah! Poiché avete trattato un hacker-etico (white-hat) alla stessa stregua di un hacker “normale” (black-hat), non ha senso fare la differenza terminologica e sostanziale: quindi il 15 dicembre la piattaforma Rosseau sarà, logicamente, oggetto di attacco da parte di hacker “normali”…e questo, a maggior ragione, sarebbe un reato.