Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

L'hacking è etico? E riempire l'ICT di fuffa?

L'hacking è etico? E riempire l'ICT di fuffa? Photo by on Unsplash
1388 parole - Lo leggerai in 7 minuti

Sono le settimane dell’inserimento a scuola. Questo ha tolto un po’ di energie e, come prima conseguenza, ho scritto un po’ meno. Ieri il mio Facebook è stato interessato da una domanda amletica che ha movimentato un po’ il pomeriggio: ma l’hacking può essere etico?

Premessa necessaria

Questo è un post con 1/3 di rant e 2/3 di filosofia. Ho cercato di mettere una spruzzata di Martini e qualche fogliolina di menta. No, non arriverà nessuna ricciolona rossa dagli occhi di ghiaccio gridando: spritz!

I fatti

Un collega del mondo ICT Security, o Cyber Security o Sicurezza Cibernetica, esordisce con un quesito di quelli pesanti. Cose che ti aspetti in un tavolo tra amici tra fiumi di birra ed alette di pollo. Una di quelle discussioni del tipo meglio i nani o gli elfi a D&D?, meglio la Fender o la Gibson? oppure l’immancabile discussione fiume su quale overdrive / distorsore scegliere in funzione del suono che vogliamo.

Il collega, che poi è inesatto visto che lui è un senior manager in una nota società di consulenza e parla con CEO, politici, gente dell’Unione Europea mentre io solo una mente semplice che non riesce a capire i concetti che spiega (sic?!?), riporta una discussione con un personaggio appartenente all’Unione Europea. Si parlava di ethical hacking e il politico gli domanda: come può essere etico l’hacking?

Il nostro Senior Manager, SM d’ora in poi, si lancia quindi in un post strizza occhio dove chiosa dicendo che questa è una domanda profonda e dalle risposte tutt’altro che scontate.

Analisi della frase

Come può essere etico l’hacking?

Prendete questa frase. Ci è stata riportata così, quindi estrapolata da un eventuale contesto pieno di distinguo, ammesso ce ne siano. La frase, così com’è, presuppone che l’hacking sia una cosa che stoni accanto al concetto di etica.

Attenzione, perché SM mi ha bacchettato nel corso della discussione. Il suo fine interlocutore non pensa che hacking sia penetrare nei sistemi altrui senza autorizzazione.

Ho chiesto quale fosse la definizione di hacking che le due parti avevano concordato. Nessuna risposta da SM. Peccato, perché questo è il punto. Se io non definisco una cosa, come faccio a dare un giudizio di merito sulla stessa?

Non si può, ma tuttavia questo è un paese di banfe e sha7 quindi lanciamoci in qualche meditazione.

Hacking: definizione

Tacciatemi di romanticismo o di essere retrò, ma a me piace l’etimologia delle parole e non inizierò a scrivere perkè o a usare l’imperfetto al posto del congiutivo, solo perché la lingua si evolve e la gente cambia e le benzine non sono tutte uguali.

Hacking è quell’attitudine, quell’insieme di comportamenti che spinge un individuo ad affrontare un problema nuovo e complesso con lo scopo di risolverlo, andando a sviscerare ed analizzare tutti i sottoproblemi che si pongono dall’inizio alla fine.

Volendo, mio figlio quando prende in mano un gioco con un meccanismo rotto e prova a capire come aggiustrarlo o come modificare quel gioco variandone la destinazione d’uso, sta facendo hacking.

Se io mi metto, nel campo ICT, a studiare un protocollo di rete facendo un po’ di fuzzing e vedendo come un servizio che devo identificare risponde alle mie sollecitazioni, sto facendo hacking.

Questo è hacking.

Hacking: la definizione dei non addetti ai lavori ormai presa come standard de facto

Hacking è violare un sistema altrui senza autorizzazione. Si applica solo nel campo ICT e chi lo fa ha necessariamente:

  • un laptop con su Kali Linux
  • una felpa nera con cappuccio tirato sulla testa
  • scarsa igene personale

Questo è il significato che ha assunto la parola hacking. Così è, se vi pare.

Analisi della frase

Assunta la seconda, come definizione di hacking, effettivamente una persona può lecitamente domandarsi, dove sia l’etica in un reato da codice… penale o civile, dopo le n riforme non ho capito se per noi c’è il gabbio o no.

Ma, c’è un ma. Il termine ethical hacking ha una definizione universalmente nota nel campo ICT Security, o Cyber Security, o della Sicurezza Cibernetica. L’ethical hacking è l’insieme di azioni, tecniche o no (social engineering, threat model, …) che portano un team di specialisti di security a simulare un attacco informatico ad un sistema di un cliente per verificarne il livello di sicurezza.

L’ethical hacking è un servizio venduto da tutte le società di ICT Security, o Cyber Security o Sicurezza Cibernetica, compresa quella del nostro SM che, tra l’altro in passato è stato anche istruttore di Ethical Hacking.

Il duetto

La ragione per cui non farò mai carriera in Italia è che non so stare zitto, neanche di fronte ad ua persona potente o comunque che ha un posizione superiore alla mia, soprattutto se dice una fesseria.

Nonostante cerchi di esprimermi argomentando e con educazione, il potente italiano non ama essere contraddetto. Ecco perché quando ho iniziato la discussione con la domanda “ah no?”, riferito al fatto che fosse difficile stabilire se l’hacking possa essere etico, la risposta “dipende dalla tua definizione di etica”, ha fatto andare il mio banf-o-meter a fondo scala.

Ho argomentato dicendo che non era la mia definizione di etica ad avere un problema ma la sua definizione di hacking e gli ho spiegato cos’è ethical hacking per me, praticamente quello che scrivevo sopra. Anche perché per tutto il mondo, anche per i non addetti ai lavori, quando si parla di ethical hacking si parla di un servizio professionale / di qualcosa di lecito ed autorizzato.

Sono stato fatto vittima, in quel thread di supercazzole allucinanti, culminate con la frase che il politico di cui sopra è colto e intelligentissimo ed evidentemente SM non riesce a spiegarmi il suo concetto.

No, non è che non riesci a spiegarmi, non riesci a convincermi che quello che hai detto non sia una cazzata.

E’ stato poi affermato da SM, che l’ethical hacking porta con se enormi problemi etici. Non qualche… non piccoli… ma enormi problemi etici, talmente enormi che, più volte sollecitato ad elencarli, il SM non si è mai espresso. Forse perché la mia limitata intelligenza non avrebbe colto, il dilemma etico che gli rodeva nel petto quando lui faceva il trainer di ethical hacking e prendeva un compenso per insegnare queste pratiche così… bleah, perverse!?!

L’unico esempio portato da SM è stato quello dei ricercatori che hanno scoperto la possibilità di fare hacking delle centraline di alcuni SUV dell’ex FIAT, ora FCA. “Pratiche come queste hanno portato danni economici a FCA e suoi fornitori”, ah… ecco l’anima del commercio che parla. Il problema quindi non è che FCA nella smania di rendere tutto cyber ed interconnesso ha studiato una centralina con le pezze al culo, il problema è che qualcuno lo ha scoperto.

Vista la portata dell’hack ed il time-to-fix, non mi sorprende che la normale procedura di disclosure responsabile abbia governato il tutto.

Il risultato di tanta non eticità? FCA rilascia una fix per le auto di milioni di persone ed aumenta la sicurezza dei propri veicoli. Magari imparando, la prossima volta, che dovrebbe spendere qualche soldino nella progettazione delle proprie centraline anche mettendo la sicurezza informatica, o cibernetica come tanto amano i fuffasellers.

Off by one

Oggi si è persa un’occasione secondo me. Quella di spiegare bene che hacking non è solo qualcosa che c’entra con l’informatica ma è un’attitudine personale a non prendere un problema solamente come una serie di passi che portano alla soluzione, quando ad un’occasione di crescitau, un’opportunità per creare.

Si è perso anche molto tempo e molte energie. Siamo ancora qui a cavillare sul termine hacking, filosofeggiando e supercazzolando e non ci indignamo che nelle aziende mancano dei centri di competenza (tranne rare eccezioni) interni di sicurezza informatica.

All’estero il mercato è in fermento, le aziende cercano ed assumono specialisti in campo ICT Security e anche se vuoi fare il freelance hai molta richiesta. Qui in Italia, tutto stantio ucciso da figure il cui interesse è forse tenere la gente nell’ignoranza, in modo da vendere giornate su giornate di servizi inutili.

La domanda che mi pongo io ora è… se è lecito chiedersi “come può essere etico l’hacking?”, allora è lecito chiedersi “come può essere etico non fare test di security prima dell’online?”, oppure “come può essere etico lasciare tutta questa fuffa nell’aria?”.

Il thread è disponibile qui

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list