Vai al contenuto
Home » L’hacking è etico? E riempire l’ICT di fuffa?

L’hacking è etico? E riempire l’ICT di fuffa?

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie
e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato
interessato da una domanda amletica che ha movimentato un po’ il pomeriggio:
ma l’hacking può essere etico?

Premessa necessaria

Questo è un post con 1/3 di rant e 2/3 di filosofia. Ho cercato di mettere una
spruzzata di Martini e qualche fogliolina di menta. No, non arriverà nessuna
ricciolona rossa dagli occhi di ghiaccio gridando: spritz!

I fatti

Un collega del mondo ICT Security, o Cyber Security o Sicurezza Cibernetica,
esordisce con un quesito di quelli pesanti. Cose che ti aspetti in un tavolo
tra amici tra fiumi di birra ed alette di pollo. Una di quelle discussioni del
tipo meglio i nani o gli elfi a D&D?, meglio la Fender o la Gibson? oppure
l’immancabile discussione fiume su quale overdrive / distorsore scegliere in
funzione del suono che vogliamo.

Il collega, che poi è inesatto visto che lui è un senior manager in una nota
società di consulenza e parla con CEO, politici, gente dell’Unione Europea
mentre io solo una mente semplice che non riesce a capire i concetti che spiega
(sic?!?), riporta una discussione con un personaggio appartenente all’Unione
Europea. Si parlava di ethical hacking e il politico gli domanda: come può
essere etico l’hacking?

Il nostro Senior Manager, SM d’ora in poi, si lancia quindi in un post
strizza occhio dove chiosa dicendo che questa è una domanda profonda e dalle
risposte tutt’altro che scontate.

Analisi della frase

Come può essere etico l’hacking?

Prendete questa frase. Ci è stata riportata così, quindi estrapolata da un
eventuale contesto pieno di distinguo, ammesso ce ne siano. La frase, così
com’è, presuppone che l’hacking sia una cosa che stoni accanto al concetto di
etica.

Attenzione, perché SM mi ha bacchettato nel corso della discussione. Il suo
fine interlocutore non pensa che hacking sia penetrare nei sistemi altrui senza
autorizzazione.

Ho chiesto quale fosse la definizione di hacking che le due parti avevano
concordato. Nessuna risposta da SM. Peccato, perché questo è il punto. Se io
non definisco una cosa, come faccio a dare un giudizio di merito sulla stessa?

Non si può, ma tuttavia questo è un paese di banfe e sha7 quindi lanciamoci in
qualche meditazione.

Hacking: definizione

Tacciatemi di romanticismo o di essere retrò, ma a me piace l’etimologia delle
parole e non inizierò a scrivere perkè o a usare l’imperfetto al posto del
congiutivo, solo perché la lingua si evolve e la gente cambia e le benzine non
sono tutte uguali.

Hacking è quell’attitudine, quell’insieme di comportamenti che spinge un
individuo ad affrontare un problema nuovo e complesso con lo scopo di
risolverlo, andando a sviscerare ed analizzare tutti i sottoproblemi che si
pongono dall’inizio alla fine.

Volendo, mio figlio quando prende in mano un gioco con un meccanismo rotto e
prova a capire come aggiustrarlo o come modificare quel gioco variandone la
destinazione d’uso, sta facendo hacking.

Se io mi metto, nel campo ICT, a studiare un protocollo di rete facendo un po’
di fuzzing e vedendo come un servizio che devo identificare risponde alle mie
sollecitazioni, sto facendo hacking.

Questo è hacking.

Hacking: la definizione dei non addetti ai lavori ormai presa come standard de facto

Hacking è violare un sistema altrui senza autorizzazione. Si applica solo nel
campo ICT e chi lo fa ha necessariamente:

  • un laptop con su Kali Linux
  • una felpa nera con cappuccio tirato sulla testa
  • scarsa igene personale

Questo è il significato che ha assunto la parola hacking. Così è, se vi pare.

Analisi della frase

Assunta la seconda, come definizione di hacking, effettivamente una persona
può lecitamente domandarsi, dove sia l’etica in un reato da codice… penale o
civile, dopo le n riforme non ho capito se per noi c’è il gabbio o no.

Ma, c’è un ma. Il termine ethical hacking ha una definizione universalmente
nota nel campo ICT Security, o Cyber Security, o della Sicurezza Cibernetica.
L’ethical hacking è l’insieme di azioni, tecniche o no (social engineering,
threat model, …) che portano un team di specialisti di security a simulare un
attacco informatico ad un sistema di un cliente per verificarne il livello di
sicurezza.

L’ethical hacking è un servizio venduto da tutte le società di ICT Security,
o Cyber Security o Sicurezza Cibernetica, compresa quella del nostro SM che,
tra l’altro in passato è stato anche istruttore di Ethical Hacking.

Il duetto

La ragione per cui non farò mai carriera in Italia è che non so stare zitto,
neanche di fronte ad ua persona potente o comunque che ha un posizione
superiore alla mia, soprattutto se dice una fesseria.

Nonostante cerchi di esprimermi argomentando e con educazione, il potente
italiano non ama essere contraddetto. Ecco perché quando ho iniziato la
discussione con la domanda “ah no?”, riferito al fatto che fosse difficile
stabilire se l’hacking possa essere etico, la risposta “dipende dalla tua
definizione di etica”
, ha fatto andare il mio banf-o-meter a fondo scala.

Ho argomentato dicendo che non era la mia definizione di etica ad avere un
problema ma la sua definizione di hacking e gli ho spiegato cos’è ethical
hacking per me, praticamente quello che scrivevo sopra. Anche perché per tutto
il mondo, anche per i non addetti ai lavori, quando si parla di ethical hacking
si parla di un servizio professionale / di qualcosa di lecito ed autorizzato.

Sono stato fatto vittima, in quel thread di supercazzole allucinanti, culminate
con la frase che il politico di cui sopra è colto e intelligentissimo ed
evidentemente SM non riesce a spiegarmi il suo concetto.

No, non è che non riesci a spiegarmi, non riesci a convincermi che quello che
hai detto non sia una cazzata.

E’ stato poi affermato da SM, che l’ethical hacking porta con se enormi
problemi etici
. Non qualche… non piccoli… ma enormi problemi etici,
talmente enormi che, più volte sollecitato ad elencarli, il SM non si è mai
espresso. Forse perché la mia limitata intelligenza non avrebbe colto, il
dilemma etico che gli rodeva nel petto quando lui faceva il trainer di ethical
hacking e prendeva un compenso per insegnare queste pratiche così… bleah,
perverse!?!

L’unico esempio portato da SM è stato quello dei ricercatori che hanno scoperto
la possibilità di fare hacking delle centraline di alcuni SUV dell’ex FIAT, ora
FCA. “Pratiche come queste hanno portato danni economici a FCA e suoi
fornitori”
, ah… ecco l’anima del commercio che parla. Il problema quindi non
è che FCA nella smania di rendere tutto cyber ed interconnesso ha studiato una
centralina con le pezze al culo, il problema è che qualcuno lo ha scoperto.

Vista la portata dell’hack ed il time-to-fix, non mi sorprende che la normale
procedura di disclosure responsabile abbia governato il tutto.

Il risultato di tanta non eticità? FCA rilascia una fix per le auto di milioni
di persone ed aumenta la sicurezza dei propri veicoli. Magari imparando, la
prossima volta, che dovrebbe spendere qualche soldino nella progettazione delle
proprie centraline anche mettendo la sicurezza informatica, o cibernetica come
tanto amano i fuffasellers.

Off by one

Oggi si è persa un’occasione secondo me. Quella di spiegare bene che hacking
non è solo qualcosa che c’entra con l’informatica ma è un’attitudine personale
a non prendere un problema solamente come una serie di passi che portano alla
soluzione, quando ad un’occasione di crescitau, un’opportunità per creare.

Si è perso anche molto tempo e molte energie. Siamo ancora qui a cavillare sul
termine hacking, filosofeggiando e supercazzolando e non ci indignamo che nelle
aziende mancano dei centri di competenza (tranne rare eccezioni) interni di
sicurezza informatica.

All’estero il mercato è in fermento, le aziende cercano ed assumono specialisti
in campo ICT Security e anche se vuoi fare il freelance hai molta richiesta.
Qui in Italia, tutto stantio ucciso da figure il cui interesse è forse tenere
la gente nell’ignoranza, in modo da vendere giornate su giornate di servizi
inutili.

La domanda che mi pongo io ora è… se è lecito chiedersi “come può essere
etico l’hacking?”, allora è lecito chiedersi “come può essere etico non fare
test di security prima dell’online?”, oppure “come può essere etico lasciare
tutta questa fuffa nell’aria?”.

Il thread è disponibile qui

Enjoy it!

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.