Ultima modifica:
In Belgio è entrata in vigore una nuova legge che legalizza l'attività di "hacking etico" anche in casi in cui l'entità "hackerata" non abbia dato il proprio consenso. In questo articolo approfondiremo i dettagli di tale legge e i vuoti normativi da essa introdotti.
Il Belgio legalizza l'Ethical Hacking! Opportunità o pericolo?
Tempo di lettura: 3 minIl 15 febbraio 2023 è stata introdotta in Belgio una nuova legge che consente l'attività di "ethical hacking" anche nei casi in cui l'entità "hackerata" non abbia dato il proprio consenso. L'hacking è definito etico quando, da parte del ricercatore, non c'è intenzione di arrecare danno (che sia esso finanziario, reputazionale o di altro genere) alla controparte impattata.
Ricadono sotto il cappello dell'ethical hacking, quindi, tutte le attività pre-concordate con aziende o clienti, le attività di bug hunting e bug bounty, e la comunicazione di vulnerabilità tramite un processo di coordinate vulnerability disclosure [1], aka responsible disclosure (per quanto quest'ultima non abbia mai garantito una reale tutela o protezione per ricercatore).
Ricadono sotto il cappello dell'ethical hacking, quindi, tutte le attività pre-concordate con aziende o clienti, le attività di bug hunting e bug bounty, e la comunicazione di vulnerabilità tramite un processo di coordinate vulnerability disclosure [1], aka responsible disclosure (per quanto quest'ultima non abbia mai garantito una reale tutela o protezione per ricercatore).
Prima della nuova legge (e ancora ora, al di fuori del Belgio), tutte le forme di hacking non autorizzato erano punibili ai sensi della legge, in alcuni casi addirittura con la reclusione (vedi il caso della legislatura italiana [2] ).
La nuova legge belga [3] ha rivoluzionato però un po' le cose: una persona fisica o giuridica è ora autorizzata ad indagare su eventuali vulnerabilità riguardanti la sicurezza informatica delle organizzazioni belghe, anche se queste non hanno dato il loro consenso a tali indagini. La tutela del ricercatore però è garantita solamente se egli rispetta i seguenti quattro punti:
La nuova legge belga [3] ha rivoluzionato però un po' le cose: una persona fisica o giuridica è ora autorizzata ad indagare su eventuali vulnerabilità riguardanti la sicurezza informatica delle organizzazioni belghe, anche se queste non hanno dato il loro consenso a tali indagini. La tutela del ricercatore però è garantita solamente se egli rispetta i seguenti quattro punti:
- Non si possono/devono avere intenzioni malevole o cercare benefici illeciti tramite l'attività. Non è quindi permesso richiedere un pagamento per rivelare le eventuali vulnerabilità scoperte (a meno che ciò non sia stato concordato in anticipo). L'estorsione è espressamente vietata dalla legge.
- E' necessario segnalare qualsiasi vulnerabilità scoperta il prima possibile al Centro per la Sicurezza Informatica Belgio (CCB) [4], il team nazionale di risposta agli incidenti di sicurezza informatica del Belgio. I ricercatori devono inoltre segnalare le loro scoperte all'organizzazione su cui stavano facendo ricerca, e non successivamente al momento in cui viene notificata la CCB.
- I ricercatori non devono oltrepassare i limiti minimali necessari per scoprire le vulnerabilità informatiche. Essi devono evitare di effettuare attività che non siano strettamente necessarie per raggiungere l'obiettivo. Esempio: se si trova una remote code execution, è sufficiente dimostrare l'esecuzione di un paio di comandi comuni (
whoami
,hostname
e simili); non si devono eseguire reverse shell o exfiltrare dati sensibili. Inoltre, è obbligatorio garantire che le attività non comprometteranno la disponibilità dei servizi dell'organizzazione "attaccata". - Non si possano divulgare informazioni sulla vulnerabilità scoperta a meno che non si abbia il consenso del CCB (anche a seguito della fix). La divulgazione pubblica delle informazioni, che sia essa tramite blogpost, tweets, video, o altro, previa autorizzazione è vietata e comprometterebbe la tutela del ricercatore.
Tale legge, come detto sopra, si applica solo in Belgio e non è al momento estesa a tutta l'Unione Europea, i cui stati membri rimangono attualmente fedeli alle proprie leggi locali e alla Directive 2019/1937 [5][6]. Nonostante ciò, è molto probabile che in futuro ulteriori paesi europei si muovano in una direzione simile e che, la stessa UE, approvi dei decreti di maggiore tutela, in linea con quanto fatto dal Belgio.
Luci e ombre
La nuova legge, per quanto lungimirante e di buone intenzioni, apre la pista ad alcuni vuoti normativi introdotti a causa dell'utilizzo di terminologie e descrizioni troppo poco dettagliate.
[...]
The third condition requires ethical hackers to not go further in their hacking than necessary and proportionate in order to uncover a cybersecurity vulnerability
Vengono usati i termini "necessari e proporzionati" per descrivere quali attività sono ora consentite, ma la necessità e la proporzionalità dipendono strettamente dalla situazione e dal contesto in cui ci si trova, e sono parametri difficili da stabilire anticipatamente.
La legge, inoltre, omette di fornire dettagli per quanto riguarda la notifica al pubblico da parte del ricercatore delle vulnerabilità identificate. Come specificato nel quarto punto, i ricercatori possono pubblicare le loro scoperte solo previa autorizzazione da parte del CCB, ma non ci sono regole aggiuntive su come e quando il CCB debba dare tale autorizzazione.
Molto probabilmente queste regole verranno dichiarate successivamente e, nel rispetto del lavoro svolto dai ricercatori, verrà data loro la possibilità di pubblicare i dettagli della propria ricerca a seguito dell'applicazione delle fix di sicurezza, ma tutto questo ancora non è scritto nero su bianco e non bisogna darlo quindi per scontato.
La legge, inoltre, omette di fornire dettagli per quanto riguarda la notifica al pubblico da parte del ricercatore delle vulnerabilità identificate. Come specificato nel quarto punto, i ricercatori possono pubblicare le loro scoperte solo previa autorizzazione da parte del CCB, ma non ci sono regole aggiuntive su come e quando il CCB debba dare tale autorizzazione.
Molto probabilmente queste regole verranno dichiarate successivamente e, nel rispetto del lavoro svolto dai ricercatori, verrà data loro la possibilità di pubblicare i dettagli della propria ricerca a seguito dell'applicazione delle fix di sicurezza, ma tutto questo ancora non è scritto nero su bianco e non bisogna darlo quindi per scontato.
Conclusioni
Cosa ne pensate a riguardo? Credete che anche gli altri stati europei (e l'Italia, soprattutto) si muoveranno a loro volta tenendo a mente quanto fatto dal Belgio? E soprattutto, siete d'accordo con questa nuova legge? Cambiereste qualcosa?
Fatemi sapere, sono curioso
Vi leggo molto volentieri!

Made with ❤ for Inforge
- https://en.wikipedia.org/wiki/Coordinated_vulnerability_disclosure
- https://www.inforge.net/forum/threads/tutte-le-informazioni-sullhacking-e-la-legge-italiana.542670/
- https://www.ejustice.just.fgov.be/mopdf/2022/12/15_1.pdf
- https://ccb.belgium.be/nl/bekendmaking-van-kwetsbaarheden-aan-het-ccb
- https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32019L1937
- https://www.integrityline.com/expertise/white-paper/eu-whistleblowing-directive/