Recentemente ho letto l'articolo del Belgio riguardo la legalizzazione dell'ethical hacking "libero". Riassunto in breve, sembrerebbe che se solo 2 condizioni si verifichino, l'ethical hacking diventi un'attività completamente legale (secondo loro):
1. Avere buone intenzioni (es. segnalare preventivamente, e senza "ricattare" ossia chiedere denaro in cambio di segnalare una vulnerabilità, o risolverla manualmente da remoto)
2. Sapere quello che si sta facendo (non causare danni involontari)
Nel resto del mondo, tuttavia, sembrerebbe che la questione dell'ethical hacking sia controversa e fonte di insicurezza, questo accade perché l'attività può esporre ad un rischio concreto la privacy e l'integrità dei dispositivi, due elementi delicati che non si possono ignorare in fase di dibattito. Non è possibile, secondo i nostri testi, garantire "fiducia sulla parola" ad un hacker etico, dal momento che questi rischi sussistono, ed è così che per ottenere un ottimo controllo della situazione, è necessario avere un consenso scritto dal target, regolamentato dalle prassi burocratiche.
Essendo l'attività diventata popolare in seguito ad atti che hanno causato perdite di milioni di dollari (atti volontari, compiuti da menti efferate), si è creato un enorme clima di sfiducia nei confronti della figura dell'hacker, che negli anni è stata per l'appunto declassata a quella di uno scassinatore, un ladro o un pagliaccio addirittura. Chi ha sfruttato quest'attività per scopi illeciti ha inculcato il seme della sfiducia e dell'insicurezza nelle persone. Basti vedere tutto quello che fanno alcuni russi sfruttando queste conoscenze, basti vedere le "ransomware gang", e la legge ha fornito una risposta decisa e secca a questa situazione, dicendo a chi vuole cimentarsi in quest'attività "O sei con noi, o sei contro di noi. Sei con noi solo se ottieni una licenza che approviamo". Ma sapete cos'è successo?
2 anni fa, ai tempi di quando la famiglia di exploit "Proxyshell e Proxylogon" ha minacciato i server exchange, l'FBI ha effettuato un'operazione speciale di hacking etico, per effettuare un pentest nei dispositivi vulnerabili e patchare la falla da remoto. L'operazione ha suscitato uno scandalo nella comunità, dal momento che le autorità addette alla sicurezza dovrebbero "dare il buon esempio" al popolo digitale, tuttavia l'operazione "illecita" è stata concessa da un Tribunale per un motivo ben preciso: il rischio di sfruttamento della falla da parte di menti efferate era concreto, e non c'era tempo per stare al passo lento delle procedure d'ufficio, bisognava prevenire invece che stare buoni ed intervenire più tardi per risolvere. Fu così che per salvare centinaia di aziende, l'FBI è autorizzato a un gesto eroico e "illecito", risolvendo da remoto Proxyshell e Proxylogon nei Server Exchange affetti dalla vulnerabilità, senza il consenso degli Amministratori. Questo ha impedito ai criminali di sfruttare l'head-start concesso involontariamente da tutte le pratiche legali che "rallentano" l'hacking etico (il mutuo consenso, le identificazioni, le misure di sicurezza ecc.), e la scelta fu vincente. Fonte: https://www.cpomagazine.com/cyber-s...xchange-servers-without-notifying-the-owners/
In seguito alla vicenda, mi viene da pensare: è davvero errata la decisione dei legali del Belgio? Mossa azzardata, o decisione geniale?
Si è trattata di una decisione difficile da prendere, una decisione evidentemente rischiosa, ma a volte dobbiamo prendere una decisione rischiosa, se non c'è tempo a disposizione. Stando ai dati, più fonti affermano che i criminali informatici sono quasi sempre un passo avanti, e questo lo dimostra il fatto che ci si ritrova più spesso a "risolvere" piuttosto che "prevenire". Risolvere, significa che stiamo aiutando una compagnia/o ente di altro tipo, che ha già subito un danno informatico responsabile di un'ingente perdita economica, prevenire vuol dire che si aiuta la medesima compagnia prima che il danno si verifichi. Ecco dov'è il pilastro di questa decisione rischiosa presa dal Belgio, sottoporsi al rischio di truffa da parte di "falsi hacker etici" o a danni involontari commessi da "dilettanti" a costo di prevenire piuttosto che risolvere, dando al contempo una possibilità ad esperti in buona fede per fornire tempestivamente le proprie skill, evitando le pratiche legali di altri paesi, che causano un rallentamento, un rallentamento che si traduce in "più tempo che può sfruttare un criminale informatico". Loro l'hanno capito, e non c'è altra scelta. Nei paesi dove vige la regolare pratica del "mutuo consenso", è spesso l'ente richiedente a fare il primo passo nei confronti dell'hacker etico, e se lo sta facendo significa che un danno è stato già arrecato, e si sta richiedendo aiuto per risolvere piuttosto che prevenire.
La mente degli uomini non è capace di tenere tutto sempre sotto controllo, per quanto essa si sforzi. Non possiamo badare alla quotidianità delle mansioni insormontabili da svolgere in ufficio, e allo stesso tempo pensare che qualcuno ci potrebbe inviare da un momento all'altro un'email di phishing che impersona alla perfezione l'Amministratore Delegato, ci ammaleremmo di stress. Tutto quello a cui si pensa in questi contesti dopo un certo periodo, è a sé stessi. A quando arrivano le ferie, a quando si ritorna a casa per rivedere moglie e figli, la routine ad un certo punto diventa così opprimente, che svolgi azioni automatiche mentre sei scollegato dalla realtà. E' così che il crimine informatico si insinua come una zanzara, e infatti ti accorgi del prurito solo a puntura fatta.
Per quanto ci si sforzi di trovare una soluzione ragionevole, non è possibile pretendere di trasformare ogni singolo membro di una compagnia in un "ethical hacker" in grado di tutelarsi autonomamente da questi rischi, come ad esempio l'abilità di riconoscere un'e-mail di phishing da micro-dettagli che saltano solo all'occhio di un hacker etico. Quindi subire il danno, sembra quasi inevitabile, a meno che non si prenda una decisione rischiosa, quella che ha adottato il Belgio. Funzionerà?
Prima di condannare il Belgio, io suggerisco di vedere come evolverà la situazione in merito alla sicurezza informatica "dalle loro zone", e provare a seguire la stessa strada, qualora il rischio dimostri di valere la pena.
1. Avere buone intenzioni (es. segnalare preventivamente, e senza "ricattare" ossia chiedere denaro in cambio di segnalare una vulnerabilità, o risolverla manualmente da remoto)
2. Sapere quello che si sta facendo (non causare danni involontari)
Nel resto del mondo, tuttavia, sembrerebbe che la questione dell'ethical hacking sia controversa e fonte di insicurezza, questo accade perché l'attività può esporre ad un rischio concreto la privacy e l'integrità dei dispositivi, due elementi delicati che non si possono ignorare in fase di dibattito. Non è possibile, secondo i nostri testi, garantire "fiducia sulla parola" ad un hacker etico, dal momento che questi rischi sussistono, ed è così che per ottenere un ottimo controllo della situazione, è necessario avere un consenso scritto dal target, regolamentato dalle prassi burocratiche.
Essendo l'attività diventata popolare in seguito ad atti che hanno causato perdite di milioni di dollari (atti volontari, compiuti da menti efferate), si è creato un enorme clima di sfiducia nei confronti della figura dell'hacker, che negli anni è stata per l'appunto declassata a quella di uno scassinatore, un ladro o un pagliaccio addirittura. Chi ha sfruttato quest'attività per scopi illeciti ha inculcato il seme della sfiducia e dell'insicurezza nelle persone. Basti vedere tutto quello che fanno alcuni russi sfruttando queste conoscenze, basti vedere le "ransomware gang", e la legge ha fornito una risposta decisa e secca a questa situazione, dicendo a chi vuole cimentarsi in quest'attività "O sei con noi, o sei contro di noi. Sei con noi solo se ottieni una licenza che approviamo". Ma sapete cos'è successo?
2 anni fa, ai tempi di quando la famiglia di exploit "Proxyshell e Proxylogon" ha minacciato i server exchange, l'FBI ha effettuato un'operazione speciale di hacking etico, per effettuare un pentest nei dispositivi vulnerabili e patchare la falla da remoto. L'operazione ha suscitato uno scandalo nella comunità, dal momento che le autorità addette alla sicurezza dovrebbero "dare il buon esempio" al popolo digitale, tuttavia l'operazione "illecita" è stata concessa da un Tribunale per un motivo ben preciso: il rischio di sfruttamento della falla da parte di menti efferate era concreto, e non c'era tempo per stare al passo lento delle procedure d'ufficio, bisognava prevenire invece che stare buoni ed intervenire più tardi per risolvere. Fu così che per salvare centinaia di aziende, l'FBI è autorizzato a un gesto eroico e "illecito", risolvendo da remoto Proxyshell e Proxylogon nei Server Exchange affetti dalla vulnerabilità, senza il consenso degli Amministratori. Questo ha impedito ai criminali di sfruttare l'head-start concesso involontariamente da tutte le pratiche legali che "rallentano" l'hacking etico (il mutuo consenso, le identificazioni, le misure di sicurezza ecc.), e la scelta fu vincente. Fonte: https://www.cpomagazine.com/cyber-s...xchange-servers-without-notifying-the-owners/
In seguito alla vicenda, mi viene da pensare: è davvero errata la decisione dei legali del Belgio? Mossa azzardata, o decisione geniale?
Si è trattata di una decisione difficile da prendere, una decisione evidentemente rischiosa, ma a volte dobbiamo prendere una decisione rischiosa, se non c'è tempo a disposizione. Stando ai dati, più fonti affermano che i criminali informatici sono quasi sempre un passo avanti, e questo lo dimostra il fatto che ci si ritrova più spesso a "risolvere" piuttosto che "prevenire". Risolvere, significa che stiamo aiutando una compagnia/o ente di altro tipo, che ha già subito un danno informatico responsabile di un'ingente perdita economica, prevenire vuol dire che si aiuta la medesima compagnia prima che il danno si verifichi. Ecco dov'è il pilastro di questa decisione rischiosa presa dal Belgio, sottoporsi al rischio di truffa da parte di "falsi hacker etici" o a danni involontari commessi da "dilettanti" a costo di prevenire piuttosto che risolvere, dando al contempo una possibilità ad esperti in buona fede per fornire tempestivamente le proprie skill, evitando le pratiche legali di altri paesi, che causano un rallentamento, un rallentamento che si traduce in "più tempo che può sfruttare un criminale informatico". Loro l'hanno capito, e non c'è altra scelta. Nei paesi dove vige la regolare pratica del "mutuo consenso", è spesso l'ente richiedente a fare il primo passo nei confronti dell'hacker etico, e se lo sta facendo significa che un danno è stato già arrecato, e si sta richiedendo aiuto per risolvere piuttosto che prevenire.
La mente degli uomini non è capace di tenere tutto sempre sotto controllo, per quanto essa si sforzi. Non possiamo badare alla quotidianità delle mansioni insormontabili da svolgere in ufficio, e allo stesso tempo pensare che qualcuno ci potrebbe inviare da un momento all'altro un'email di phishing che impersona alla perfezione l'Amministratore Delegato, ci ammaleremmo di stress. Tutto quello a cui si pensa in questi contesti dopo un certo periodo, è a sé stessi. A quando arrivano le ferie, a quando si ritorna a casa per rivedere moglie e figli, la routine ad un certo punto diventa così opprimente, che svolgi azioni automatiche mentre sei scollegato dalla realtà. E' così che il crimine informatico si insinua come una zanzara, e infatti ti accorgi del prurito solo a puntura fatta.
Per quanto ci si sforzi di trovare una soluzione ragionevole, non è possibile pretendere di trasformare ogni singolo membro di una compagnia in un "ethical hacker" in grado di tutelarsi autonomamente da questi rischi, come ad esempio l'abilità di riconoscere un'e-mail di phishing da micro-dettagli che saltano solo all'occhio di un hacker etico. Quindi subire il danno, sembra quasi inevitabile, a meno che non si prenda una decisione rischiosa, quella che ha adottato il Belgio. Funzionerà?
Prima di condannare il Belgio, io suggerisco di vedere come evolverà la situazione in merito alla sicurezza informatica "dalle loro zone", e provare a seguire la stessa strada, qualora il rischio dimostri di valere la pena.