Discussione Il Belgio legalizza l'Ethical Hacking! Opportunità o pericolo?

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,755
1,825
Ultima modifica:
In Belgio è entrata in vigore una nuova legge che legalizza l'attività di "hacking etico" anche in casi in cui l'entità "hackerata" non abbia dato il proprio consenso. In questo articolo approfondiremo i dettagli di tale legge e i vuoti normativi da essa introdotti.​
photo-1423592707957-3b212afa6733

Il Belgio legalizza l'Ethical Hacking! Opportunità o pericolo?​

Tempo di lettura: 3 min



Il 15 febbraio 2023 è stata introdotta in Belgio una nuova legge che consente l'attività di "ethical hacking" anche nei casi in cui l'entità "hackerata" non abbia dato il proprio consenso. L'hacking è definito etico quando, da parte del ricercatore, non c'è intenzione di arrecare danno (che sia esso finanziario, reputazionale o di altro genere) alla controparte impattata.

Ricadono sotto il cappello dell'ethical hacking, quindi, tutte le attività pre-concordate con aziende o clienti, le attività di bug hunting e bug bounty, e la comunicazione di vulnerabilità tramite un processo di coordinate vulnerability disclosure [1], aka responsible disclosure (per quanto quest'ultima non abbia mai garantito una reale tutela o protezione per ricercatore).


Prima della nuova legge (e ancora ora, al di fuori del Belgio), tutte le forme di hacking non autorizzato erano punibili ai sensi della legge, in alcuni casi addirittura con la reclusione (vedi il caso della legislatura italiana [2] ).

La nuova legge belga [3] ha rivoluzionato però un po' le cose: una persona fisica o giuridica è ora autorizzata ad indagare su eventuali vulnerabilità riguardanti la sicurezza informatica delle organizzazioni belghe, anche se queste non hanno dato il loro consenso a tali indagini. La tutela del ricercatore però è garantita solamente se egli rispetta i seguenti quattro punti:
  1. Non si possono/devono avere intenzioni malevole o cercare benefici illeciti tramite l'attività. Non è quindi permesso richiedere un pagamento per rivelare le eventuali vulnerabilità scoperte (a meno che ciò non sia stato concordato in anticipo). L'estorsione è espressamente vietata dalla legge.​
  2. E' necessario segnalare qualsiasi vulnerabilità scoperta il prima possibile al Centro per la Sicurezza Informatica Belgio (CCB) [4], il team nazionale di risposta agli incidenti di sicurezza informatica del Belgio. I ricercatori devono inoltre segnalare le loro scoperte all'organizzazione su cui stavano facendo ricerca, e non successivamente al momento in cui viene notificata la CCB.​
  3. I ricercatori non devono oltrepassare i limiti minimali necessari per scoprire le vulnerabilità informatiche. Essi devono evitare di effettuare attività che non siano strettamente necessarie per raggiungere l'obiettivo. Esempio: se si trova una remote code execution, è sufficiente dimostrare l'esecuzione di un paio di comandi comuni (whoami, hostname e simili); non si devono eseguire reverse shell o exfiltrare dati sensibili. Inoltre, è obbligatorio garantire che le attività non comprometteranno la disponibilità dei servizi dell'organizzazione "attaccata".​
  4. Non si possano divulgare informazioni sulla vulnerabilità scoperta a meno che non si abbia il consenso del CCB (anche a seguito della fix). La divulgazione pubblica delle informazioni, che sia essa tramite blogpost, tweets, video, o altro, previa autorizzazione è vietata e comprometterebbe la tutela del ricercatore.​

Tale legge, come detto sopra, si applica solo in Belgio e non è al momento estesa a tutta l'Unione Europea, i cui stati membri rimangono attualmente fedeli alle proprie leggi locali e alla Directive 2019/1937 [5][6]. Nonostante ciò, è molto probabile che in futuro ulteriori paesi europei si muovano in una direzione simile e che, la stessa UE, approvi dei decreti di maggiore tutela, in linea con quanto fatto dal Belgio.

Luci e ombre​

La nuova legge, per quanto lungimirante e di buone intenzioni, apre la pista ad alcuni vuoti normativi introdotti a causa dell'utilizzo di terminologie e descrizioni troppo poco dettagliate.​

[...]
The third condition requires ethical hackers to not go further in their hacking than necessary and proportionate in order to uncover a cybersecurity vulnerability​

Vengono usati i termini "necessari e proporzionati" per descrivere quali attività sono ora consentite, ma la necessità e la proporzionalità dipendono strettamente dalla situazione e dal contesto in cui ci si trova, e sono parametri difficili da stabilire anticipatamente.


La legge, inoltre, omette di fornire dettagli per quanto riguarda la notifica al pubblico da parte del ricercatore delle vulnerabilità identificate. Come specificato nel quarto punto, i ricercatori possono pubblicare le loro scoperte solo previa autorizzazione da parte del CCB, ma non ci sono regole aggiuntive su come e quando il CCB debba dare tale autorizzazione.

Molto probabilmente queste regole verranno dichiarate successivamente e, nel rispetto del lavoro svolto dai ricercatori, verrà data loro la possibilità di pubblicare i dettagli della propria ricerca a seguito dell'applicazione delle fix di sicurezza, ma tutto questo ancora non è scritto nero su bianco e non bisogna darlo quindi per scontato.

Conclusioni​

Cosa ne pensate a riguardo? Credete che anche gli altri stati europei (e l'Italia, soprattutto) si muoveranno a loro volta tenendo a mente quanto fatto dal Belgio? E soprattutto, siete d'accordo con questa nuova legge? Cambiereste qualcosa?



Fatemi sapere, sono curioso :) Vi leggo molto volentieri!​


Made with ❤ for Inforge


  1. https://en.wikipedia.org/wiki/Coordinated_vulnerability_disclosure
  2. https://www.inforge.net/forum/threads/tutte-le-informazioni-sullhacking-e-la-legge-italiana.542670/
  3. https://www.ejustice.just.fgov.be/mopdf/2022/12/15_1.pdf
  4. https://ccb.belgium.be/nl/bekendmaking-van-kwetsbaarheden-aan-het-ccb
  5. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937
  6. https://www.integrityline.com/expertise/white-paper/eu-whistleblowing-directive/
 
Ultima modifica da un moderatore:
Cosa ne pensate a riguardo?
Argomento molto delicato da normare.
Credete che anche gli altri stati europei (e l'Italia, soprattutto) si muoveranno a loro volta tenendo a mente quanto fatto dal Belgio?
Non credo.
E soprattutto, siete d'accordo con questa nuova legge? Cambiereste qualcosa?
si ma ho un dubbio: se un falso ethical hacker dichiara solo una falla minore di un sistema nascondendone altre più gravi e importanti potrebbe sfruttare quest'ultime per ricattare economicamente l'organizzazione o l'azienda?
Questa situazione non ho capito se è regolamentata.
Magari potrebbe essere istituito un albo o un registro per tenere traccia di chi fa le segnalazioni per avere la massima trasparenza.
Altra preoccupazione è che questa legge possa sminuire il lavoro di chi fa il pentester di professione.​
 
se un falso ethical hacker dichiara solo una falla minore di un sistema nascondendone altre più gravi e importanti potrebbe sfruttare quest'ultime per ricattare economicamente l'organizzazione o l'azienda
Lo potrebbe fare, ma sarebbe un atto illegale e non verrebbe tutelato (e anzi, trattandosi di ricatto verrebbe pure indagato)

Altra preoccupazione è che questa legge possa sminuire il lavoro di chi fa il pentester di professione.
Questa cosa non mi preoccupa più tanto, alla fine è assodato che fare penetration testing sia una mezza arte e che non sempre vengano individuate tutte le vulnerabilità di un sistema, sia a causa delle tempistiche, sia a causa della diversificazione delle skills dei vari pentester. Ci sarà sempre qualcuno più bravo di me che magari è in grado di trovare (grazie a skills, grazie al pensiero creativo o ad altro) falle che io non ho visto, e ben venga che questi ora possa procedere alla segnalazione senza paura di eventuali ripercussioni. 4 occhi sono meglio di 2, e 8 meglio di 4.
 
  • Mi piace
Reazioni: OnionTool
Pare che il punto nevralgico per la tutela delle organizzazioni sia il terzo: come dimostrare che l'attaccante non abbia esfilltrato/copiato dati prima di segnalare diligentemente la falla? Non essendoci contratti o rules of engagement fra professionisti, se uno sconosciuto segnala all'azienda che la sua rete ha una vulnerabilità e lo dimostra con qualche innocuo screenshot, come può garantire all'azienda che non abbia anche curiosato fra documenti d'identità, progetti di ricerca, mail, etc. per venderli nel darkweb o alla concorrenza? La presenza stessa della falla nella rete potrebbe concorrere a scagionare il tester: prima che lui la segnalasse non si può escludere che altri l'abbiano sfruttata per trafugare materiale importante. Lo so, faccio l'avvocato del diavolo, ma credo sia una questione da considerare, se ci si mette nei panni dell'azienda che riceve un penetration test tanto gratuito quanto non richiesto né concordato.
In fondo è un po' come se qualcuno, a sorpresa, mi mostrasse le foto del mio ufficio casalingo assicurandomi che non ha preso nulla, segnalandomi "a fin di bene" che il mio allarme e la sicurezza della casa sono facilmente aggirabili; come essere certi che non abbia fotografato anche i documenti riservati che erano nei cassetti (che magari, essendo questo il suo lavoro, è stato in grado di aprire e richiudere nonostante il lucchetto)? Se ci fossero solo white hacker non ci sarebbe troppo bisogno di loro, giusto?
 
  • Mi piace
Reazioni: TheWorm91 e 0xbro
Pare che il punto nevralgico per la tutela delle organizzazioni sia il terzo: come dimostrare che l'attaccante non abbia esfilltrato/copiato dati prima di segnalare diligentemente la falla? Non essendoci contratti o rules of engagement fra professionisti, se uno sconosciuto segnala all'azienda che la sua rete ha una vulnerabilità e lo dimostra con qualche innocuo screenshot, come può garantire all'azienda che non abbia anche curiosato fra documenti d'identità, progetti di ricerca, mail, etc. per venderli nel darkweb o alla concorrenza? La presenza stessa della falla nella rete potrebbe concorrere a scagionare il tester: prima che lui la segnalasse non si può escludere che altri l'abbiano sfruttata per trafugare materiale importante. Lo so, faccio l'avvocato del diavolo, ma credo sia una questione da considerare, se ci si mette nei panni dell'azienda che riceve un penetration test tanto gratuito quanto non richiesto né concordato.
In fondo è un po' come se qualcuno, a sorpresa, mi mostrasse le foto del mio ufficio casalingo assicurandomi che non ha preso nulla, segnalandomi "a fin di bene" che il mio allarme e la sicurezza della casa sono facilmente aggirabili; come essere certi che non abbia fotografato anche i documenti riservati che erano nei cassetti (che magari, essendo questo il suo lavoro, è stato in grado di aprire e richiudere nonostante il lucchetto)? Se ci fossero solo white hacker non ci sarebbe troppo bisogno di loro, giusto?
Quello che hai evidenziato è un ottimo punto e credo che chi ha scritto la norma debba propriamente approfondito.

Così come è stato definito ora, il meccanismo si potrebbe dividere in due "rami":
  • in caso l'azienda non voglia dare premi o ricompense per il lavoro svolto, questa dovrebbe armarsi di qualche analista che verifichi da log, eventi, offense, traffico dati, etc. che effettivamente non è stato trafugato alcun dato e non sono stati recati danni... Sarebbe però un processo molto costoso, soggetto ad errori e che molte aziende non possono nemmeno permettersi - vuoi perchè non hanno log o SOC di alcun genere, vuoi per altri motivi - per cui alla fine dei conti si ricade quasi sempre sul secondo ramo
  • si crea una specie di "tacito accordo" tra azienda e ricercatore in cui l'azienda offre un premio al ricercatore pari o superiore al danno che questa avrebbe potuto subire in caso la falla (o i dati accessibili tramite la falla) fosse stata utilizzata per azioni malevole. Che poi se uno ci pensa è proprio il funzionamento dei bug bounty: un accordo (non tacito in questo caso) per cui il ricercatore viene pagato per non divulgare ad altri il segreto che ha scoperto. E' un po' una bilancia, in cui l'azienda deve cercare in qualche modo di far pendere l'asta verso di sè, proprio perchè sennò non ci sarebbero modi per contrastare un eventuale leak
 
  • Mi piace
Reazioni: dosxpana
Sinceramente approvo al 100% la decisione del Belgio in quanto rispecchia in pieno la mia ideologia, spesso richiedere il consenso del target comporta l'adempimento ad una serie di pratiche che allungano i tempi. Quello che conta nell'hacking per me è l'etica (scopi costruttivi e altruistici) e non la burocrazia. Viviamo in un mondo dove le carte vengono prima delle persone, ricordatevelo.
 
Stato
Discussione chiusa ad ulteriori risposte.