Articolo pubblicato su Apogeonline
- 24 Maggio 2002
Una serie di riflessioni
a quattro mani, scaturite dal dialogo tra Fredi Ricchioni,
giurista appassionato di informatica e hacking e Raoul Chiesa,
uno dei primi ethical hacker italiani, sulle profonde differenze
tra l'hacking - giunto ad punto cruciale della propria storia
- e la criminalita' informatica. Il dialogo analizza anche
la vigente legislazione italiana sui crimini informatici
e le differenti visioni sul disclosure delle informazioni
Parte
I - L'etica hacker, la criminalita' informatica e le attuali
legislazioni
Oggigiorno sentiamo parlare
sempre piu' di violazioni, danneggiamenti e truffe telematiche
ai danni di sistemi informativi sparsi per il mondo. Il
tema dominante e' quello della nuova criminalita'.
Della criminalita' "classica", attuata mediante i nuovi
mezzi di manifestazione del pensiero, e di "nuova" criminalita'
che si e' manifestata solo a partire dai primi anni settanta.
Nuovi comportamenti che, a seguito delle nuove opportunita'
offerte dalla tecnologia informatica, minacciano sia i beni
giuridici gia' esistenti, (si pensi al danneggiamento informatico
in relazione alla tutela del patrimonio), sia i "nuovi"
beni: privacy, domicilio informatico etc.
Č lecito, quindi, chiedersi se la reazione del nostro ordinamento
a tali aggressioni sia adatta ai tempi o se, come probabile,
gli strumenti utilizzati siano inadeguati per non dire inutili.
Come gli altri paesi della
famiglia romano-germanica, l'Italia per fronteggiare situazioni
pericolose nuove ha infatti sempre fatto largo, per non
dire esclusivo, uso dello strumento della sanzione penale.
A dispetto delle proclamazioni costituzionali l'attivita'
"specialpreventiva" e' invece spesso rimasta argomento delle
sole dispute dottrinali ed il legislatore, al limite, si
e' affidato alla sanzione
amministrativa.
Quindi, anche in questo caso, ad un mezzo repressivo e (quasi)
sempre dopo un periodo di "vigenza" penale (con la depenalizzazione).
La diffusione di tali strumenti
alternativi alla pena e' stata sempre ostacolata dal pregiudizio
sulla loro reale capacita' di essere alternative "valide".
Nel momento in cui, oggi, anche lo strumento "principe"
incomincia ad evidenziare tutti i suoi limiti e' forse,
pero', finalmente giunto il momento di abbandonare le ataviche
diffidenze e mettere tutto il sistema pubblico di protezione
dei beni giuridici in discussione. A partire proprio dal
sistema penale. Iniziando col ricondurlo... nel suo alveo
originario.
Non vi e' dubbio che il
ricorso allo strumento della pena sia (o meglio) debba essere
limitato in relazione a quelle lesioni cagionevoli di un
danno tale da considerarsi intollerabile dal nostro ordinamento
giuridico e vieppiu', incapaci da prevenirsi attraverso
strumenti alternativi a quello della sanzione penale. (sanzioni
amministrative, misure preventive, ecc.).
Degno di considerazione
appare, allora, il ricorso alla pena nel caso in cui si
sia svolta una attenta analisi del grado di lesivita' dei
beni protetti dai comportamenti ritenuti devianti. Solo
quando questi appaiono intollerabili ai piu', il ricorso
alla sanzione penale appare giustificata. Sembrerebbe che
o tale soggettivita' (la collettivita' sociale) si sia espressa
esplicitamente in tal modo o che si possa, (e appare piu'
consono al sistema della democrazia rappresentativa), ritenere
che in tal senso sia manifestata, ma tacitamente, la sua
volonta'.
Quindi appare evidente
ricorrere alla pena solo nei casi in cui la lesione sia
di tale gravita' e di tale portata per cui nulla e nessuno
possa mettere in dubbio la necessita' di tale strumento.
La extrema ratio della pena, (il fine giustifica i mezzi),
ci appare consona solo in relazione al sistema (tempo, spazio,
rapporti umani) in cui viene attuato.
L'insicurezza nel nostro
sistema e dei valori che lo sorreggono impone una tutela
rafforzata di beni (giuridici) che ne costituiscono il fondamento.
All'aumentare pero' della loro sicurezza si impone una diminuzione
delle misure atte a proteggerli. Non ha senso infatti tutelare
cio' che si auto tutela. Da quanto detto, appare sempre
piu' evidente che, alla luce delle profonde trasformazioni
delle normative atte a tutelare quei beni (che oggi appaiono
sempre piu' auto tutelati), non assume nessun rilievo una
sanzione di tipo afflittivo come quella di natura penale.
Molte delle lesioni che
anni fa apparivano intollerabili oggi assumono una lesivita'
tale da non destare alcun allarme sociale. L'informatizzazione
ha difatti posto una crescente attenzione da parte di tutti
su alcune tematiche (es: la tutela dei dati digitalizzati)
ed oggigiorno una tutela penale forte di tali beni appare
del tutto insensata. All'accelerazione del divenire della
societa' corrisponde un parallelo divenire dei beni posti
a suo fondamento. Appare quindi necessario sempre piu' una
rivisitazione dei sistemi di tutela degli stessi. I beni
informatici hanno una natura particolare e a differenza
di quelli "analogici" o "classici" mutano piu' velocemente
nel tempo. Il concetto stesso di beni quali il domicilio
informatico appare oggi alquanto indefinito, ed e' logico
che lo sia, se lo si pone in rapporto a quello della sfera
della personalita', che sempre piu' si realizza attraverso
nuove forme di manifestazione del pensiero. La suddetta
riflessione impone che si comprenda come l'hacking, o meglio
la nuova etica del pensiero ad essa sottostante (la necessita'
di cogliere la sostanza delle cose senza fermarsi alla sola
forma), si accinga a spiegare questi mutamenti sociali ritenuti
la base portante del sistema.
La nuova societa' che si
sta formando appare sempre piu' legata alla disponibilita'
del flusso di informazioni: ve ne sono di private e di pubbliche.
Il rapporto tra queste appare sempre piu' sbilanciato verso
le prime. Difatti cio' che e' pubblico puo' divenire privato
molto piu' facilmente del contrario.
Oggi e' questo che si avverte.
Molte delle informazioni pubbliche, (osservabili da tutti
in una relativa realta' fenomenica), vengono trasformate
da privati e distribuite al pubblico. Nel processo molte
di queste vengono privatizzate. La ricerca di cio' che accade,
nei punti piu' reconditi del sistema che ci circonda, appare
sempre piu' difficile. La rete telematica, per eccellenza,
appare in grado di ripristinare l'equilibrio. Sino ad ora
essa e' pubblica, non vi sono privati che possono reclamare
la integrale titolarita' dei contenuti o dei sistemi che
la compongono. La liberta' dell'informazione appare necessaria
per ristabilire un ordine sociale. Un ordine in cui ognuno
possa, in base alle proprie capacita' e nel pieno sviluppo
della propria personalita', partecipare per costituirlo.
Solo con il libero accesso alle informazioni ognuno di noi
puo' vivere liberamente in un mondo dove le diverse reti
di comunicazioni consentono a cose o a persone di transitare
da un luogo all'altro in poco tempo. Di questo discutono
gli hackers: della liberta' delle informazioni e della possibilita'
di utilizzare la rete a tal fine, della necessita' di una
miglior tutela della privacy e di una pubblicazione di quelle
informazioni (ora private) che sono ritenute essenziali
per una vita libera e dignitosa. Nel criminalizzare i comportamenti
di coloro che cercano di accedervi, molti media hanno mal
interpretato il loro operato definendoli criminali del cyberspazio
o piu' semplicemente pirati informatici.
Parte II - L'etica ed il mercato: Non-Disclosure
vs. Full-Disclosure (e semi-disclosure)
Secondo gli hacker e' necessario
che le informazioni siano rese pubbliche e che il pubblico
possa, cosi', partecipare attivamente alla vita sociale
senza che vi sia un disequilibrio all'interno della stessa
societa', che possa portare alla costituzione di gruppi
di potere di cui nulla e nessuno puo' controllare il relativo
operato. Il problema appare verosimilmente attuale se riferito
al dibattito sul non disclosure / full-disclosure
e di chi sostiene che si debba procedere secondo una via
di mezzo, il cosiddetto: semi-disclosure.
Per i primi la politica
migliore in tema di sicurezza informatica e' quella di non
fornire alcuna informazione sulle falle del software che
viene immesso in circolazione.
Per i secondi invece tale tesi appare insostenibile. Questi
a loro dire rivendicano il principio che solo una politica
di informazione puo' garantire la sicurezza dei sistemi
informatici e telematici. Solo chi sa di trovarsi di fronte
ad un sistema bacato e' in grado di provvedere a sistemarlo.
I cosiddetti exploit, (i programmi che sfruttano i bug dei
software), non fanno altro che rivelare a tutti (anche ai
meno esperti) la pericolosita' dei software "fallati".
Tra questi vi sono quelli
che sostengono in parte entrambi le tesi ricavandone quella
del semi-disclosure . Per quest'ultima appare corretto
rivelare le falle dei sistemi senza pero' creare e divulgare
alcun programma che ne sfrutti le insicurezze.
Optare per una delle tre tesi, (anzi per la migliore), e'
il punto principale che da qualche tempo assilla le menti
degli esperti di sicurezza informatica. Non e' facile dire
quale sia la scelta migliore se non la si pone in rapporto
al fine per cui si sceglie. Quest'ultimo spinge l'attore
ad un'analisi dei pro e dei contro di ogni via perseguibile.
Cio' che conta e' raccogliere
il piu' possibile dei punti favorevoli, (piu' pro che contro),
per la finalita' per cui si sceglie. Analizzando sotto tale
ottica le diverse possibilita' in rapporto al fine che qui
sembra essere la sicurezza dei sistemi informatici e telematici
possiamo dire quanto segue:
(tre sono le scelte perseguibili
da parte di chi scopre il difetto):
A0: Pubblicare tutte le
falle ed i programmi per sfruttarle.
B0: Pubblicare solo le falle.
C0: Non pubblicare nulla.
Il fine: la sicurezza dei
sistemi informatici e telematici.
A tali azioni corrisponderanno
delle reazioni da parte di coloro che penetrano nei sistemi
(cracker).
Le loro scelte sono:
A1: Scoprire il difetto
e fare un programma per sfruttarlo.
B1: Cercare di realizzare un programma utilizzando le informazioni
pubblicate.
C1: Utilizzare il Programma pubblicato.
Il fine: accedere facilmente
al sistema informatico - telematico.
Vi sono poi le software house (i vendor) che loro volta
reagiranno alle mosse dei primi e dei secondi.
Le loro scelte sono:
A2: Non fare nulla
B2: Creare una patch per risolvere il problema.
C2: Fornire informazioni al pubblico per risolvere il problema,
(o negando l'importanza del bug pubblicato ovvero fornendo
importanti informazioni per risolvere il problema).
Il fine: ottenere il massimo
guadagno col minimo costo.
Tutte le combinazioni sono:
Se 1 A0 allora 2 A1 e 3
quindi A2.
Se 1 A0 allora 2 A1 e 3 quindi B2.
Se 1 A0 allora 2 A1 e 3 quindi C2.
Se 1 A0 allora 2 B1 e 3 quindi A2.
Se 1 A0 allora 2 B1 e 3 quindi B2.
Se 1 A0 allora 2 B1 e 3 quindi C2.
Se 1 A0 allora 2 C1 e 3 quindi A2.
Se 1 A0 allora 2 C1 e 3 quindi B2.
Se 1 A0 allora 2 C1 e 3 quindi C2.
Se 1 B0 allora 2 A1 e 3 quindi A2.
Se 1 B0 allora 2 A1 e 3 quindi B2.
Se 1 B0 allora 2 A1 e 3 quindi C2.
Se 1 B0 allora 2 B1 e 3 quindi A2.
Se 1 B0 allora 2 B1 e 3 quindi B2.
Se 1 B0 allora 2 B1 e 3 quindi C2.
Se 1 B0 allora 2 C1 e 3 quindi A2.
Se 1 B0 allora 2 C1 e 3 quindi B2.
Se 1 B0 allora 2 C1 e 3 quindi C2.
Se 1 C0 allora 2 A1 e 3 quindi A2.
Se 1 C0 allora 2 A1 e 3 quindi B2.
Se 1 C0 allora 2 A1 e 3 quindi C2.
Se 1 C0 allora 2 B1 e 3 quindi A2.
Se 1 C0 allora 2 B1 e 3 quindi B2.
Se 1 C0 allora 2 B1 e 3 quindi C2.
Se 1 C0 allora 2 C1 e 3 quindi A2.
Se 1 C0 allora 2 C1 e 3 quindi B2.
Se 1 C0 allora 2 C1 e 3 quindi B2.
Da queste pero' bisogna
escludere quelle assurde: proviamo a vedere cosa succede.
Il primo gruppo (Se 1 A0
allora 2 A1 ecc.) e' da escludere: rappresenta il caso in
cui si pubblica il difetto e il programma ma il cracker
cerca solo di scoprire il difetto senza utilizzarli.
Il secondo gruppo (Se 1
A0 allora 2 B1 ecc.) e' da escludere: si pubblicano le informazioni
e il programma ma il cracker utilizza solo le informazioni
per fare il programma che gia' esiste.
Il terzo (Se 1 A0 allora
2 C1 ecc.) invece e' possibile: si pubblicano le informazioni
e il programma ed il cracker usa il programma pubblicato.
Il quarto (Se 1 B0 allora
2 A1) e' da escludere: si pubblicano solo le informazioni
ed il cracker decide di scoprire il difetto ed usa il programma.
Il quinto (Se 1 B0 allora
2 B1 ecc.) e' possibile: si pubblicano solo le info ed il
cracker decide di utilizzare il difetto per scrivere il
programma.
Il sesto (Se 1 B0 allora
2 C1 ecc.) e' da escludere: si pubblicano solo le info e
il cracker decide di usare il programma. (che non c'e')
Il settimo (Se 1 C0 allora
2 A1) e' possibile: non viene pubblicato nulla ed il cracker
decide di scoprire il difetto e scrivere il programma.
L'ottavo (Se1 C0 allora
2 B1 ecc.) e' da escludere: non viene pubblicato nulla ed
il cracker decide di utilizzare il difetto e scrivere il
programma.
Infine, il nono (Se 1 C0
allora 2 C1 ecc.) gruppo e' da escludere: non viene pubblicato
nulla ed il cracker decide di utilizzare il programma (che
non c'e').
Rimangono quindi solo tre
gruppi di possibilita':
il terzo:
Se 1 A0 allora 2 C1 e 3
quindi A2.
Se 1 A0 allora 2 C1 e 3 quindi B2.
Se 1 A0 allora 2 C1 e 3 quindi C2.
La migliore sembra essere
la seconda scelta:
Se 1 A0 allora 2 C1 e 3
quindi B2.
Il quinto:
Se 1 B0 allora 2 B1 e 3
quindi A2.
Se 1 B0 allora 2 B1 e 3 quindi B2.
Se 1 B0 allora 2 B1 e 3 quindi C2.
La migliore sembra la terza
scelta:
Se 1 B0 allora 2 B1 e 3 quindi C2.
E il settimo:
Se 1 C0 allora 2 A1 e 3
quindi A2.
Se 1 C0 allora 2 A1 e 3 quindi B2.
Se 1 C0 allora 2 A1 e 3 quindi C2.
La migliore sembra la prima
scelta:
Se 1 C0 allora 2 A1 e 3
quindi A2.
Tra queste le scelte migliori sono:
Se 1 A0 allora 2 C1 e 3
quindi B2.
Se 1 B0 allora 2 B1 e 3 quindi C2.
Se 1 C0 allora 2 A1 e 3 quindi A2.
Se consideriamo che la
scelta migliore e':
per il primo soggetto quella di pubblicizzare sia il difetto
che il programma che ne sfrutta le caratteristiche per incrementare
la sicurezza dei sistemi.
Per il secondo soggetto,
quella di utilizzare le informazioni e il programma per
accedere ai sistemi.
Per il terzo soggetto quella
di non dover fare nulla (cosi' da non aumentare i propri
costi di produzione).
Si avra' che la scelta
migliore per la maggioranza dei soggetti e' quella data
da:
Se 1 A0 allora 2 C1 e 3
quindi B2 (la prima).
Lo scopritore del difetto
pubblica le informazione e il programma e il cracker le
usa e la software house e' costretta a produrre la patch,
per eliminare il problema.
Nel secondo caso invece:
Se 1 B0 allora 2 B1 e 3
quindi C2.
Se si pubblica solo il
problema, il cracker deve realizzare il programma e la software
house fara' affidamento sul fatto che nessuno sia in grado
di realizzarlo a breve limitandosi ad indicare solo le informazioni
necessarie per farvi fronte.
Nell'ultimo caso invece:
Se 1 C0 allora 2 A1 e 3
quindi A2.
Se lo scopritore decide
di non pubblicare il problema, il cracker dovra' scoprirlo
e creare il programma per sfruttare la falla. In questo
caso, la software house potra' ben decidere di non fare
nulla ritenendo che non esista alcun problema.
Sia nel secondo che nel
terzo caso, invece, le scelte non sono le migliori per la
maggior parte dei soggetti.
Nel secondo e nel terzo
non vi sara' alcun programma per sfruttare il bug e la casa
produttrice sara' tenuta, per ridurre i costi di produzione,
a sottovalutare il problema non facendo nulla, ovvero, solo
il minimo indispensabile. La software house otterra' cosi'
cio' che desidera. Il cracker pero' rimarra' insoddisfatto
perche' dovra' creare il suo programma. Idem per chi ha
scoperto il problema che non lo vedra' risolto.
Appare quindi, in conclusione,
evidente che la scelta migliore sia quella di spingere le
software house a produrre una patch per il difetto riscontrato
onde evitare che il tema della sicurezza informatica rimanga
solo un punto di discussione per gli addetti al settore.
Ci auguriamo che queste
nostre riflessioni invitino i lettori a riflettere a loro
volta su queste delicate problematiche.
Gli autori desiderano
ringraziare per la collaborazione l'Avv. Lorenzo Lanzo.
Copyright (c) 2001 (GNU/FDL License)
This article is under the GNU
Free Documentation License.
Verbatim copying and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
|