Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Vari programmi di bug bounty gestiti dalle principali aziende e il progetto “Hack the Pentagon” hanno portato a una giusta percezione i ricercatori di bug indipendenti.
“L’adozione degli hacker da parte del Dipartimento della Difesa degli Stati Uniti è stato un importante passo avanti per la percezione di collaborazione tra il governo e l’industria privata e abbiamo visto molte più organizzazioni interessate a lavorare in modo produttivo con gli hacker. Ma ci sono ancora rischi legali”
ha detto Katie Moussouris, hacker e pioniera nella divulgazione delle vulnerabilità .
Ha lavorato con il Dipartimento della Difesa degli Stati Uniti al primo programma di bug bounty del governo chiamato “Hack the Pentagon”.
“Gli atteggiamenti sono cambiati, ma c’è ancora molto spazio per l’interpretazione su ciò che è consentito fare nel bug bounty e ciò che è accettabile nella ricerca sulla sicurezza”.
La situazione in America Latina è molto più cupa. Access Now, un’organizzazione no-profit con la missione di difendere ed estendere i diritti civili digitali delle persone in tutto il mondo, sostiene che la persecuzione dei ricercatori e dei tirocinanti nel campo della sicurezza digitale è un serio problema globale.
Il loro lavoro di identificazione e segnalazione delle vulnerabilità o punti deboli nelle infrastrutture digitali, come Internet, codice software e sistemi informativi, avvantaggia tutti noi rendendo questi sistemi più sicuri.
“Nonostante il chiaro valore del loro lavoro, i governi di tutto il mondo non solo hanno denigrato i ricercatori di sicurezza delle informazioni, ma li hanno anche perseguitati per aver scoperto e segnalato vulnerabilità”
afferma Access Now.
L’organizzazione no-profit ha recentemente pubblicato un rapporto, La persecuzione della comunità della sicurezza informatica in America Latina, che fa luce sull’ambiente ostile per la ricerca sulla sicurezza in Argentina, Colombia, Ecuador e Messico.
“I ricercatori di sicurezza digitale stanno ancora rischiando la loro reputazione e si stanno aprendo alla possibilità di essere coinvolti in procedimenti legali per segnalare le vulnerabilità che trovano”
afferma Access Now.
“Sembra esserci un fattore comune tra le autorità che criminalizzano a priori i ricercatori di information security: la mancanza di competenze tecniche per capire cosa fanno effettivamente, confondendoli con hacker malintenzionati, mentre di fatto cercano vulnerabilità nei sistemi digitali, spesso aiutando a proteggere i diritti umani”
hanno detto i ricercatori di Access Now a CyberNews via e-mail.
Oltre a ciò, alcune leggi utilizzate per criminalizzare la comunità infosec contengono concetti ampi che dipendono dall’interpretazione (come ciò che è illegittimo), che colpiscono ripetutamente i ricercatori della sicurezza digitale.
Molte delle leggi descritte nel rapporto contengono, secondo i ricercatori, termini e locuzioni mal definiti, come accesso “non autorizzato” e “illegittimo”, e “alterazione” o “modifica” del meccanismo di funzionamento, che non considerano l’intento dell’attore in modo adeguato e se l’Accesso ha provocato un danno oppure no.
“Sebbene molti reati non includano l’intento, questo elemento potrebbe anche essere complicato da dimostrare per i ricercatori di sicurezza. Spesso non hanno un vero scopo mentre indagano; l’accesso a un sistema potrebbe portarli a scoprire nuove reti, accedere a un’istituzione o all’altra e identificare nuove infrastrutture”
si legge nel rapporto.
Gli esempi di ricercatori di bug perseguitati scoraggiano altri ricercatori dalle indagini e quindi rallentano lo sviluppo di pratiche e strumenti di sicurezza informatica.
“La persecuzione produce un effetto raggelante nelle comunità colpite. Se gli attori statali non seguono le raccomandazioni stabilite nel rapporto, è probabile che si tradurrà in autocensura e dissuaderà i ricercatori a continuare a svolgere il proprio lavoro e, in definitiva, a mettere in pericolo un’attività che è preziosa per l’intera società”
ha detto Access Now a CyberNews.
Il rapporto descrive gli esempi più recenti di ricercatori perseguitati, criminalmente o meno, in America Latina. I casi citati illustrano come i ricercatori di bug indipendenti mettono a rischio la propria reputazione per la segnalazione di vulnerabilità e come vengono concepiti come hacker criminali solo per la loro vasta esperienza tecnica.
In Argentina, Javier Smaldone è stato oggetto di intimidazioni e violazioni della sua privacy. Smaldone ha svolto ricerche sulla sicurezza sull’uso da parte dell’Argentina delle macchine per il voto elettronico e mantiene un blog personale critico nei confronti delle pratiche di sicurezza informatica del governo.
Nell’ottobre 2019, la polizia argentina ha arrestato Smaldone con l’accusa di pirateria informatica e divulgazione di dati dai sistemi governativi. Le autorità hanno anche fatto irruzione nella casa di Smaldone, sequestrando e perquisindo i suoi vari telefoni, computer e pen drive. Il ricercatore ha poi appreso che la principale “prova” utilizzata dalla polizia per ottenere un mandato erano i suoi Tweet che discutevano e analizzavano le fughe di dati.
“Sebbene Smaldone non sia mai stato formalmente incriminato ai sensi del codice penale, il suo caso esemplifica come qualcuno con una vasta conoscenza tecnica dei sistemi informatici, associato alla comunità infosec possa essere perseguito senza giusta causa”
si legge nel rapporto.
Anche se Smaldone continua il suo lavoro come programmatore e amministratore di sistema, ha condiviso nel suo blog di essere preoccupato per quello che potrebbe accadere a lui e ad altri ricercatori di infosec in Argentina in futuro.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia