Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCP. Amo spaccare e ricostruire il codice in maniera più robusta, cintura nera di taekwon-do, marito e papà. Ranger Caotico buono, scrivo su @codiceinsicuro e @the_armoredcode.

Etica-mentre

Etica-mentre
1219 parole - Lo leggerai in 6 minuti

La fine di agosto accompagna, fin dai tempi della scuola, verso un periodo carico di aspettative. Settembre è un nuovo inizio, un po’ come gennaio, appena dopo le feste di Natale.

L’estate finisce, le giornate si accorciano e ci troviamo a ripartire, chi nella scuola, chi nel lavoro, dedicando nuove energie nello sviluppo di sé stessi alla ricerca di un miglior posizionamento o di risultati più soddisfacenti.

Anche per me, questo 2019 non fa sconti. Agosto sta finendo e, mentre mi godo le ultime giornate di vacanza con la famiglia, cerco di capire dove mi porterà questa fine 2019 e di programmare un 2020 che sia professionalmente e personalmente migliore.

Fine? No.

Etica qui, etica là

Viviamo in un mondo strano, forse troppo influenzato dal nostro alter-ego social. Politicamente l’Italia sta affrontando una stagione fatta di affermazioni e smentite a giro di poche ore. Diciamo che vogliamo il voto subito ma che non vogliamo in realtà far finire il governo attuale.

Diciamo che il migrante è il problema quando in realtà corruzione e degrado sono alla base delle nostre città.

Diciamo che ora chi vive nel meridione d’Italia è l’amico, mentre prima speravamo che il fuoco del Vesuvio pensasse a lui per noi.

Etica. Zero. L’importante non è avere un pensiero coerente, esprimerlo e cercare di costruire una società migliore. Quello che conta è raccogliere consensi, magari divulgando notizie false o comunque rivisitate per accrescere il mancontento e quindi il dissenso. Verso cosa non si sa. Etica. Zero.

Così è anche per il dorato mondo della sicurezza informatica italiana che vive di pochi prodotti decenti ma tanti, tantissimi caciottari pronti a riempire i social di c@zz@t3 per posizionarsi e raccimolare feedback positivi dallo sprovveduto di turno.

Appaiono così post, proclami su Facebook e LinkedIN, annunci sulla stampa rimandati spesso da giornalisti amici ed ignari (a volte) complici, che raccontano cyberstorie basate su terrorismo psicologico al fine di vendere servizi e consulenza. Etica. Zero.

La gioia dello story telling

Un paio di mesi fa, su un magazine che parla di startup, appare un articolo che parla di una società italiana molto attiva nell’analisi di malware che sembra aver costruito una piattaforma innovativa, addirittura riconosciuta da Google e per questa inclusa tra le sandbox di VirusTotal, piattaforma di analisi di malware.

Faccio presente al giornalista che questa “startup” in realtà ha ripreso studi di altri e fatti suoi grazie ai suoi agganci con la stampa e che in realtà tutti possono farsi riconoscere su VirusTotal visto che la submission è pubblica. Feci notare inoltre che questa “piattaforma italiana di analisi malware”, altro non era che una sandbox opensource, italiana nelle origini tra l’altro e altri progetti opensource colllegati insieme.

La risposta fu che tuttavia era una bella storia italiana da raccontare, un po’ come a dire: non mi importa quanto sia vero quello che ho scritto, l’importante è che sia bello e che porti traffico al mio sito di storytelling. Mi fu anche detto che non mi faceva bene rosicare.

La realtà è che… etica: zero. Viviamo in un mondo dove ti devo vendere l’emozione pret-a-porter, a 5 centesimi a battuta per farti indignare o per farti sentire un patriota nel come riutilizzi un progetto opensource, magari cambiando l’interfaccia grafica e di come scrivi al tuo amico giornalista per farti sentire il nuovo Meucci. No, non hai inventanto il telefono. Hai fatto una figura di m3rd@ con chi ne sa qualcosa ed hai preso gli applausi di chi si sporca la bocca parlando di sicurezza informatica e forse non passerebbe neanche l’esame per l’ECDL.

Tutti hacker etici, con l’etica degli altri

Adesso poi c’è questa grande novità dell’ethical hacker. Esiste da decenni ma il giornalaio italiano l’ha scoperto da poco quindi lo vuole raccontare in pompa magna e, visto che viviamo un nuovo medioevo culturale dove tutti i termini devono essere di italica forgia, si parla di hacker etico.

Parliamo quindi di fabbro etico, meccanico etico, idraulico etico, filosofo etico, inventore etico? Perché hacker etico? Ci sono anche hacker non etici? Mi piacerebbe domandare a quei professionisti che impestano LinkedIN con post dove paventano vulnerabilità su dispositivi o su grandi software retail, salvo poi sparire alla richiesta di approfondimento se non previo “se vuoi un preventivo contattami”, se forse la tanto sventolata etica è quella da loro propinata.

Avete rotto il c@zz0. Ma non poco, tanto. Infangate una professionalità ed una scienza che dite di amare tanto, per vendere 200 euro di consulenza giornaliera su micro progetti. Mi fate una tristezza infinita e, se aveste un briciolo di coscienza, guardandovi allo specchio, dovreste sentirvi un minimo responsabili dello stato di arretratezza del nostro paese su certi temi.

Battaglioni di persone in giacca e cravatta intente a tenere security manager nell’ignoranza più becera al fine di vendere giornate, spargendo al vendo notizie false e commenti denigrativi su professionisti aventi opinioni dissonanti. Etica. Zero.

L’effetto ruspa

Tuttavia, come dicevo prima, viviamo in un periodo storico dove queste nullità di cantastorie riescono ad avere qualche vittoria di Pirro ed avere qualche comparsata in TV o sulla stampa.

Rosico? Sì certo. Mi piacerebbe vedere il merito premiato e non vedere sciocchi cantastorie riempire l’aria di ballate come medievali giullari. Mi piacerebbe che l’etica nella scienza del nostro campo predomini sulla vendita al dettaglio di penetration test o giornate di consulenza owasp compliant.

Purtroppo la colpa è anche di chi ha messo nei posti di decisione, security manager che pensano che sia adeguato chi non conosce il significato della parola VLAN o che pensano di sapere tutto solo perché leggono il blog dove indiani traducono in inglese le notizie provenienti dal mondo. Dicevamo, etica. Zero.

Off by one

In questo caldo agosto, abbiamo quindi un mercato che è invaso da venditori di fumo senza scrupoli che cercano di avvelenarlo vendendo quantità indicibile di m3rd@ mentre quello di cui avremmo veramente bisogno è di un ecosistema di società di sicurezza informatica, ricercatori o chiamiamoli hacker, che di definirsi etici se ne sbattono altamente, perché si lasciano guidare da una passione che non lascia dubbi rispetto alla loro onestà intellettuale.

Per quanto mi riguarda, avere una certa etica mi ha dato problemi da quando:

  • non ho voluto taroccare dei report
  • ho detto quello che pensavo circa fornitori parenti di un superiore
  • ho voluto difendere il mio team da richieste insensate
  • mi sono difeso, da solo, da offese di fornitori stranieri che si conquistavano i boss a colpi di ristorante

Di tutto questo però, ne vado fiero. Aver mantenuto la mia etica e non essermi piegato al prepotente di turno, mi ha fatto fare una carriera sicuramente più lenta di altri, ma che mi ha portato ad essere a 43 anni, il security manager di una delle più importanti realtà fintech italiane e, sinceramente, la cosa mi inorgoglisce anche un po’.

Quindi, a te caro lettore, se sei arrivato fin qui e ti stai domandando se conviene avere un’etica o se convenga invece abbandonarsi alla strada facile e rapida dello story telling, io ti posso dire che… se sopporterai di aver un po’ di fegato amaro, le soddisfazioni non ti mancheranno, non abbandonando i tuoi principi alla ricerca di una vittoria veloce.

In più, avrai il grande bonus di riuscire ancora a guardarti allo specchio.

(eticamente) enjoy it!

(Updated: )

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list