Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Argentina: una forte diffida verso i ricercatori di bug. Ma la perdita è del governo stesso.

Redazione RHC : 31 Agosto 2021 10:19

Vari programmi di bug bounty gestiti dalle principali aziende e il progetto “Hack the Pentagon” hanno portato a una giusta percezione i ricercatori di bug indipendenti.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“L’adozione degli hacker da parte del Dipartimento della Difesa degli Stati Uniti è stato un importante passo avanti per la percezione di collaborazione tra il governo e l’industria privata e abbiamo visto molte più organizzazioni interessate a lavorare in modo produttivo con gli hacker. Ma ci sono ancora rischi legali”

ha detto Katie Moussouris, hacker e pioniera nella divulgazione delle vulnerabilità .

Ha lavorato con il Dipartimento della Difesa degli Stati Uniti al primo programma di bug bounty del governo chiamato “Hack the Pentagon”.

“Gli atteggiamenti sono cambiati, ma c’è ancora molto spazio per l’interpretazione su ciò che è consentito fare nel bug bounty e ciò che è accettabile nella ricerca sulla sicurezza”.

La situazione in america latina

La situazione in America Latina è molto più cupa. Access Now, un’organizzazione no-profit con la missione di difendere ed estendere i diritti civili digitali delle persone in tutto il mondo, sostiene che la persecuzione dei ricercatori e dei tirocinanti nel campo della sicurezza digitale è un serio problema globale.

Il loro lavoro di identificazione e segnalazione delle vulnerabilità o punti deboli nelle infrastrutture digitali, come Internet, codice software e sistemi informativi, avvantaggia tutti noi rendendo questi sistemi più sicuri.

“Nonostante il chiaro valore del loro lavoro, i governi di tutto il mondo non solo hanno denigrato i ricercatori di sicurezza delle informazioni, ma li hanno anche perseguitati per aver scoperto e segnalato vulnerabilità”

afferma Access Now.

L’organizzazione no-profit ha recentemente pubblicato un rapporto, La persecuzione della comunità della sicurezza informatica in America Latina, che fa luce sull’ambiente ostile per la ricerca sulla sicurezza in Argentina, Colombia, Ecuador e Messico.

“I ricercatori di sicurezza digitale stanno ancora rischiando la loro reputazione e si stanno aprendo alla possibilità di essere coinvolti in procedimenti legali per segnalare le vulnerabilità che trovano”

afferma Access Now.

La persecuzione ha un effetto agghiacciante

“Sembra esserci un fattore comune tra le autorità che criminalizzano a priori i ricercatori di information security: la mancanza di competenze tecniche per capire cosa fanno effettivamente, confondendoli con hacker malintenzionati, mentre di fatto cercano vulnerabilità nei sistemi digitali, spesso aiutando a proteggere i diritti umani”

hanno detto i ricercatori di Access Now a CyberNews via e-mail.

Oltre a ciò, alcune leggi utilizzate per criminalizzare la comunità infosec contengono concetti ampi che dipendono dall’interpretazione (come ciò che è illegittimo), che colpiscono ripetutamente i ricercatori della sicurezza digitale.

Molte delle leggi descritte nel rapporto contengono, secondo i ricercatori, termini e locuzioni mal definiti, come accesso “non autorizzato” e “illegittimo”, e “alterazione” o “modifica” del meccanismo di funzionamento, che non considerano l’intento dell’attore in modo adeguato e se l’Accesso ha provocato un danno oppure no.

“Sebbene molti reati non includano l’intento, questo elemento potrebbe anche essere complicato da dimostrare per i ricercatori di sicurezza. Spesso non hanno un vero scopo mentre indagano; l’accesso a un sistema potrebbe portarli a scoprire nuove reti, accedere a un’istituzione o all’altra e identificare nuove infrastrutture”

si legge nel rapporto.

Gli esempi di ricercatori di bug perseguitati scoraggiano altri ricercatori dalle indagini e quindi rallentano lo sviluppo di pratiche e strumenti di sicurezza informatica.

“La persecuzione produce un effetto raggelante nelle comunità colpite. Se gli attori statali non seguono le raccomandazioni stabilite nel rapporto, è probabile che si tradurrà in autocensura e dissuaderà i ricercatori a continuare a svolgere il proprio lavoro e, in definitiva, a mettere in pericolo un’attività che è preziosa per l’intera società”

ha detto Access Now a CyberNews.

Intimidazioni e invasioni della privacy

Il rapporto descrive gli esempi più recenti di ricercatori perseguitati, criminalmente o meno, in America Latina. I casi citati illustrano come i ricercatori di bug indipendenti mettono a rischio la propria reputazione per la segnalazione di vulnerabilità e come vengono concepiti come hacker criminali solo per la loro vasta esperienza tecnica.

In Argentina, Javier Smaldone è stato oggetto di intimidazioni e violazioni della sua privacy. Smaldone ha svolto ricerche sulla sicurezza sull’uso da parte dell’Argentina delle macchine per il voto elettronico e mantiene un blog personale critico nei confronti delle pratiche di sicurezza informatica del governo.

Nell’ottobre 2019, la polizia argentina ha arrestato Smaldone con l’accusa di pirateria informatica e divulgazione di dati dai sistemi governativi. Le autorità hanno anche fatto irruzione nella casa di Smaldone, sequestrando e perquisindo i suoi vari telefoni, computer e pen drive. Il ricercatore ha poi appreso che la principale “prova” utilizzata dalla polizia per ottenere un mandato erano i suoi Tweet che discutevano e analizzavano le fughe di dati.

“Sebbene Smaldone non sia mai stato formalmente incriminato ai sensi del codice penale, il suo caso esemplifica come qualcuno con una vasta conoscenza tecnica dei sistemi informatici, associato alla comunità infosec possa essere perseguito senza giusta causa”

si legge nel rapporto.

Anche se Smaldone continua il suo lavoro come programmatore e amministratore di sistema, ha condiviso nel suo blog di essere preoccupato per quello che potrebbe accadere a lui e ad altri ricercatori di infosec in Argentina in futuro.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009