Perchè la vicenda Rousseau-Evariste GalOis non c’entra con l’hacking etico

La petizione lanciata dagli esperti

Subito ha preso il via la polemica con accuse di aver messo alla gogna un esperto, noto con il nick name Evariste GalOis. Che si è battuto per scovare una falla in un sistema importante per le vicende politiche del paese.

Immediatamente è stata lanciata una petizione all’insegna del motto seguente che suona come un anatema:
“Chi segnala vulnerabilità ad un’azienda non deve essere confuso ed attaccato come un criminale”.

Che cosa ha fatto Evariste

È davvero così? Cosa significa operare nel rispetto di un codice etico di comportamento quanto parliamo di hacker?
Senza inutili giri di parole, le autorità contestano a ragion veduta all’hacker Evariste l’accesso abusivo ad un sistema informatico o telematico, di cui all’art. 615 ter c.p.

“Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni”.
Evariste si è introdotto nel sistema senza alcuna autorizzazione in un sistema in cui erano in essere misure, evidentemente non efficaci, di protezione. L’esperto non ha agito con intenti criminali o con finalità distruttive, ma il suo operato avrebbe potuto avere impatto di varia natura su terze parti.

In un post pubblicato dopo l’hack da Evariste lo stesso esperto ammetteva l’uso del tool SQLmap per la verifica della vulnerabilità.
“Ho avuto conferma della sospetta vulnerabilità e impartendo pochi comandi è stato possibile avere accesso ai database. Non avevo i privilegi d’amministratore, ma ho avuto comunque accesso a numerose informazioni riservate.” Scriveva Evariste.
L’esperto ammetteva l’utilizzo del tool John di Ripper per craccare le password.

Sono bastate 21 ore per craccare 136 password

“Utilizzando John the Ripper e una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online”.

Pensate sia etico come comportamento non essendo stato autorizzato?
Resosi conto delle pesanti dichiarazioni, dopo poche ore i passaggi sopra riportati sono stati rimossi dal post, circostanza che suggerisce la consapevolezza del reato da parte del sospetto.
In questo processo l’hacker ha esposto i dati ed i legittimi proprietari a diversi rischi, pensate ad esempio cosa sarebbe potuto accadere se un altro hacker a sua volta avesse hackerato i sistemi di Evariste oppure sfruttato la conoscenza dell’esperto per muovere un suo attacco contro la medesima piattaforma.

Oggi discutiamo della piattaforma del movimento M5S, ma chiedere una sanatoria per comportamenti simili equivale ad esporre i sistemi nazionali a continui e pericolosi attacchi. Occorrono regole, non è pensabile scaricare dalla rete un software qualunque ed utilizzarlo per attaccare chiunque.
Il risultato di una intrusione non autorizzata in un sistema informatico può avere numerosi effetti, dal data breach all’interruzione accidentale delle operazioni di un sistema.

Siamo a conoscenza di numerosi sistemi industriali esposti in rete erroneamente, non per questo effettuiamo un accesso o tentiamo di alterarne il comportamento in nome dell’hacking etico.

Il dubbio sulla liceità dell’hacking etico

Non dobbiamo dimenticare mai che dietro un sistema informativo vi sono persone, dal suo funzionamento potrebbero dipendere attività critiche e non possiamo pensare di operare come hacker etici o vigilanti in rete senza essere autorizzati o quantomeno senza seguire delle norme di disclosure regolamentate.

Già, altra nota dolente è il disclosure delle vulnerabilità scoperte nel corso di attività di hacking etico.
A tal proposito molti si sono lanciati in commenti ed iniziative volte a promuovere programmi di bug bounty.
Ricorderete il mio invito al dialogo fatto alle istituzioni sul tema bug bounty in ambito pubblico, suggerimento che fu inizialmente accolto dal Team Digitale di Diego Piacentini. Nelle settimane seguenti fui convocato da una associazione privata, ho partecipato ad una sessione con un pool di esperti in cui si affrontavano le scottanti tematiche, ma poi non ne ho saputo più nulla ed ad un anno di distanza la situazione non è cambiata.

Il codice etico di un hacker

Oltre dieci anni addietro mi certificai all’EC Council a Londra come Ethical Hacker, e ricordo che a suo tempo prima di iniziare le attività ci fecero spendere un bel po’ di tempo analizzando il Code of Ethics dell’ente, ritengo quindi che lo stesso possa ancora essere un valido punto di partenza per comprendere il caso.

Vi riporto di seguito alcune azioni previste dal codice etico:

1. Conservare le informazioni private e confidenziali acquisite nel proprio lavoro professionale (in particolare per quanto riguarda gli elenchi dei clienti e le informazioni personali dei clienti). Non raccogliere, fornire, vendere o trasferire alcuna informazione personale (come nome, indirizzo e-mail, numero di previdenza sociale o altro identificativo univoco) a terzi senza il preventivo consenso del cliente.

2. Proteggere la proprietà intellettuale degli altri assicurando che tutti i benefici siano attribuiti al suo ideatore.

3. Rivelare a persone o autorità appropriate i potenziali pericoli per i clienti e-commerce, la comunità Internet o il pubblico, che si ritiene ragionevolmente associati a un determinato set o tipo di transazioni elettroniche o software o hardware correlati.

4. Non utilizzare mai deliberatamente software o processi ottenuti o trattenuti illegalmente o non eticamente.

5. Utilizzare la proprietà di un cliente o datore di lavoro solo in modi debitamente autorizzati, e con la conoscenza e il consenso del proprietario.

6. Rivelare a tutte le parti interessate quei conflitti di interesse che non possono essere ragionevolmente evitati.

7. Garantire la condotta etica e l’assistenza professionale in ogni momento su tutti i compiti professionali, senza pregiudizio.

8. Non associarsi né con hacker malintenzionati né intraprendere attività dannose.

9. Non compromettere intenzionalmente o permettere che i sistemi dell’organizzazione cliente vengano compromessi nel corso dei tuoi rapporti professionali.

10. Assicurarsi che tutte le attività di test di penetrazione siano autorizzate ed avvengano entro i confini della legalità.

11. Non partecipare a nessuna attività black hat o essere associato a una comunità black hat che serve a mettere in pericolo le reti.

12. Non far parte di nessuna comunità di hacker clandestina allo scopo di predicare e ampliare le attività black hat.

13. L’hacker etico non deve essere stato condannato in alcun crimine, o violato alcuna legge del paese.

La contraddizione di Evariste

L’operato dell’esperto Evariste appare quindi in contraddizione con alcuni dei principi dell’hacking etico, soprattutto per quanto concerne il permesso esplicito ad attaccare la piattaforma.
Condizione necessaria, ma non sufficiente, per analizzare un sistema informativo in attività classificabili come etiche è ricevere un consenso esplicito alle operazioni. I test devono infatti essere condotti in accordo con i gestori del sistema al fine di limitare danni e disservizi alla piattaforma o ai relativi utenti.

In tal senso le attività di “bug bounty” rappresentano la massima espressione della regolamentazione delle attività di hacker etico. Gli esperti sono invitati a testare le piattaforme software e hardware alla ricerca di falle specifiche, la cui scoperta e divulgazione dei dettagli è appositamente regolamentata dal programma stesso.

I programmi bug bounty garantiscono i gestori dei sistemi oggetto di test e gli stessi hacker, la risultante è quella di sistemi più sicuri e una maggiore coesione tra comunità di hacking e la società.

Tuttavia l’hacking etico non si limita alle attività di bug bounty, un hacker etico nell’esercizio autorizzato delle proprie funzioni potrebbe trovare una falla in un sistema per cui non è stato incaricato.

Come? Immaginate di essere stati autorizzati ad analizzare un sistema A e che questo scambi informazioni con un secondo sistema fuori dal vostro ambito di studio. Immaginate che alcuni test del sistema A possano interferire con tale comunicazione ed in caso estremo innescare una falla nel sistema B. Avremmo scoperto quindi una falla in un sistema che non stiamo testando e che necessita di essere segnalata.

Responsible Disclosure e Voluntary Disclosure

Dobbiamo affrontare quindi concetti di “Responsible Disclosure” e “Voluntary Disclosure”. Come andranno segnalate queste attività? Quali sono i passi da seguire in queste situazioni per non incorrere in fastidiosi problemi?

Queste sono solo alcune delle questioni da affrontare in un contesto istituzionale che non può prescindere da un contributo allargato dagli esponenti della comunità di cyber security … lasciatemi sperare che non si ripercorra la strada intrapresa nei tavoli di lavoro a cui ho partecipato e che sono spariti nel nulla.

Abbiamo un colpevole, ma quale è il movente e chi sono le vittime reali?

Ritengo che Evariste abbia agito spinto dalla volontà di dimostrare le proprie capacità. Più postava, più era incitato da molti utenti interessati. Evariste ignorava di esser finito in un gioco più grande di lui che non ha regole etiche, quello della propaganda politica.

A molti di quelli che ritwittavano i post del giovane hacker non interessavano le sue capacità, né tantomeno i dati in suo possesso. L’obiettivo era purtroppo fare politica, persino dopo l’individuazione del ragazzo da parte delle autorità, qualcuno ha pensato di cavalcare la notizia per uscire sulla stampa.

Mi spiace per l’accaduto, ma invocare l’hacking etico per proteggere il ragazzo è divenuto il pretesto.

Evariste ha sbagliato, così come hanno sbagliato coloro che hanno gestito mediaticamente il caso tuffandosi sulla notizia alla ricerca dello scoop.
La realtà è che abbiamo bisogno degli hacker “etici,” ma non di giustizieri solitari, bisogna sdoganare l’idea romantica dell’Ethical Hacker.

Istituzioni ed imprese necessitano del loro coinvolgimento per rendere il sistema paese più sicuro per quanto concerne gli aspetti di cyber security. Il bug bounty potrebbe essere sicuramente un’opportunità, ma vanno sicuramente coltivate le competenze specifiche in materia ad ogni livello.

Serve una nuova generazione di esperti in sicurezza

Direi … “andiamoli a prendere nelle scuole”, anzi facciamo si che i nuovi programmi formativi nazionali tengano conto delle esigenze del Paese per formare nuovi generazioni di esperti di sicurezza, trasferendo loro un codice etico che dovremo necessariamente partorire.

Il commento di Odisseus

Concludo con un l’opinione di Odisseus, un noto hacker della comunità italiana e membro del Team MalwareMustDie, al quale ho chiesto un commento.
“Nella discussione che ho avuto con vari attori del giornalismo, dell’università dell’attivismo è sembrato anche a me che si diffondesse un messaggio distorto, ripreso equivocamente anche da figure istituzionali che forse, non hanno giudicato gli eventi di cronaca tenendo conto di tutti i fattori in gioco.

Evariste, al di là della simpatia che può suscitare, non può essere considerato un hacker bianco, per le ragioni che descrivevi tu egregiamente. Affermare invece che nelle fila dei giovani hacker ci sia un forte malumore per come sono trattati perché in alcuni casi sono criminalizzati e perseguiti è una versione fuorviante.

Quando l’ethical hacker è sottomesso a direttive ben chiare certo non rischia di essere né criminalizzato né perseguito: è quando invece agisce fuori dalla legge che diventa un rischio per tutti. Come dicevo pubblicamente, mi auguro che i prossimi passi delle Istituzioni, in particolare di chi ha la delega alla cybersecurity, siano mossi per convogliare le capacità dei giovani talenti in soluzioni operative che li valorizzino adeguatamente a beneficio dell’intero ecosistema della sicurezza italiana.”