Articoli

Hacking e criminalità

di Raoul Chiesa

Fredi Ricchioni 24Mag2002 Una serie di riflessioni a quattro mani, scaturite dal dialogo tra Fredi Ricchioni, giurista appassionato di informatica e hacking e Raoul Chiesa, uno dei primi ethical hacker italiani, sulle profonde differenze tra l'hacking - giunto ad punto cruciale della propria storia - e la criminalit Parte I - L'etica hacker, la criminalit Oggigiorno sentiamo parlare sempre pi Della criminalit Nuovi comportamenti che, a seguito delle nuove opportunit Come gli altri paesi della famiglia romano-germanica, l'Italia per fronteggiare situazioni pericolose nuove ha infatti sempre fatto largo, per non dire esclusivo, uso dello strumento della sanzione penale. A dispetto delle proclamazioni costituzionali l'attivit amministrativa. Quindi, anche in questo caso, ad un mezzo repressivo e (quasi) sempre dopo un periodo di "vigenza" penale (con la depenalizzazione). La diffusione di tali strumenti alternativi alla pena Nel momento in cui, oggi, anche lo strumento "principe" incomincia ad evidenziare tutti i suoi limiti Non vi Degno di considerazione appare, allora, il ricorso alla pena nel caso in cui si sia svolta una attenta analisi del grado di lesivit Quindi appare evidente ricorrere alla pena solo nei casi in cui la lesione sia di tale gravit L'insicurezza nel nostro sistema e dei valori che lo sorreggono impone una tutela rafforzata di beni (giuridici) che ne costituiscono il fondamento. All'aumentare per Molte delle lesioni che anni fa apparivano intollerabili oggi assumono una lesivit La nuova societ Oggi Parte II - L'etica ed il mercato: Non-Disclosure vs. Full-Disclosure (e semi-disclosure) Secondo gli hacker non disclosure / full-disclosure e di chi sostiene che si debba procedere secondo una via di mezzo, il cosiddetto: semi-disclosure. Per i primi la politica migliore in tema di sicurezza informatica Per i secondi invece tale tesi appare insostenibile. Questi a loro dire rivendicano il principio che solo una politica di informazione pu Tra questi vi sono quelli che sostengono in parte entrambi le tesi ricavandone quella del semi-disclosure. Per quest'ultima appare corretto rivelare le falle dei sistemi senza per Optare per una delle tre tesi, (anzi per la migliore), Ci (tre sono le scelte perseguibili da parte di chi scopre il difetto): A0: Pubblicare tutte le falle ed i programmi per sfruttarle. B0: Pubblicare solo le falle. C0: Non pubblicare nulla. Il fine: la sicurezza dei sistemi informatici e telematici. A tali azioni corrisponderanno delle reazioni da parte di coloro che penetrano nei sistemi (cracker). Le loro scelte sono: A1: Scoprire il difetto e fare un programma per sfruttarlo. B1: Cercare di realizzare un programma utilizzando le informazioni pubblicate. C1: Utilizzare il Programma pubblicato. Il fine: accedere facilmente al sistema informatico - telematico. Vi sono poi le software house (i vendor) che loro volta reagiranno alle mosse dei primi e dei secondi. Le loro scelte sono : A2: Non fare nulla B2: Creare una patch per risolvere il problema. C2: Fornire informazioni al pubblico per risolvere il problema, (o negando l'importanza del bug pubblicato ovvero fornendo importanti informazioni per risolvere il problema). Il fine: ottenere il massimo guadagno col minimo costo. Tutte le combinazioni sono : Se 1 A0 allora 2 A1 e 3 quindi A2. Se 1 A0 allora 2 A1 e 3 quindi B2. Se 1 A0 allora 2 A1 e 3 quindi C2. Se 1 A0 allora 2 B1 e 3 quindi A2. Se 1 A0 allora 2 B1 e 3 quindi B2. Se 1 A0 allora 2 B1 e 3 quindi C2. Se 1 A0 allora 2 C1 e 3 quindi A2. Se 1 A0 allora 2 C1 e 3 quindi B2. Se 1 A0 allora 2 C1 e 3 quindi C2. Se 1 B0 allora 2 A1 e 3 quindi A2. Se 1 B0 allora 2 A1 e 3 quindi B2. Se 1 B0 allora 2 A1 e 3 quindi C2. Se 1 B0 allora 2 B1 e 3 quindi A2. Se 1 B0 allora 2 B1 e 3 quindi B2. Se 1 B0 allora 2 B1 e 3 quindi C2. Se 1 B0 allora 2 C1 e 3 quindi A2. Se 1 B0 allora 2 C1 e 3 quindi B2. Se 1 B0 allora 2 C1 e 3 quindi C2. Se 1 C0 allora 2 A1 e 3 quindi A2. Se 1 C0 allora 2 A1 e 3 quindi B2. Se 1 C0 allora 2 A1 e 3 quindi C2. Se 1 C0 allora 2 B1 e 3 quindi A2. Se 1 C0 allora 2 B1 e 3 quindi B2. Se 1 C0 allora 2 B1 e 3 quindi C2. Se 1 C0 allora 2 C1 e 3 quindi A2. Se 1 C0 allora 2 C1 e 3 quindi B2. Se 1 C0 allora 2 C1 e 3 quindi B2. Da queste per Il primo gruppo (Se 1 A0 allora 2 A1 ecc.) Il secondo gruppo (Se 1 A0 allora 2 B1 ecc.) Il terzo (Se 1 A0 allora 2 C1 ecc.) invece Il quarto (Se 1 B0 allora 2 A1) Il quinto (Se 1 B0 allora 2 B1 ecc.) Il sesto (Se 1 B0 allora 2 C1 ecc.) Il settimo (Se 1 C0 allora 2 A1) L'ottavo (Se1 C0 allora 2 B1 ecc.) Infine, il nono (Se 1 C0 allora 2 C1 ecc.) gruppo Rimangono quindi solo tre gruppi di possibilit il terzo : Se 1 A0 allora 2 C1 e 3 quindi A2. Se 1 A0 allora 2 C1 e 3 quindi B2. Se 1 A0 allora 2 C1 e 3 quindi C2. La migliore sembra essere la seconda scelta: Se 1 A0 allora 2 C1 e 3 quindi B2. Il quinto: Se 1 B0 allora 2 B1 e 3 quindi A2. Se 1 B0 allora 2 B1 e 3 quindi B2. Se 1 B0 allora 2 B1 e 3 quindi C2. La migliore sembra la terza scelta: Se 1 B0 allora 2 B1 e 3 quindi C2. E il settimo: Se 1 C0 allora 2 A1 e 3 quindi A2. Se 1 C0 allora 2 A1 e 3 quindi B2. Se 1 C0 allora 2 A1 e 3 quindi C2. La migliore sembra la prima scelta: Se 1 C0 allora 2 A1 e 3 quindi A2. Tra queste le scelte migliori sono : Se 1 A0 allora 2 C1 e 3 quindi B2. Se 1 B0 allora 2 B1 e 3 quindi C2. Se 1 C0 allora 2 A1 e 3 quindi A2. Se consideriamo che la scelta migliore per il primo soggetto quella di pubblicizzare sia il difetto che il programma che ne sfrutta le caratteristiche per incrementare la sicurezza dei sistemi. Per il secondo soggetto, quella di utilizzare le informazioni e il programma per accedere ai sistemi. Per il terzo soggetto quella di non dover fare nulla (cos Si avr Se 1 A0 allora 2 C1 e 3 quindi B2 ( la prima). Lo scopritore del difetto pubblica le informazione e il programma e il cracker le usa e la software house Nel secondo caso invece: Se 1 B0 allora 2 B1 e 3 quindi C2. Se si pubblica solo il problema, il cracker deve realizzare il programma e la software house far Nell'ultimo caso invece : Se 1 C0 allora 2 A1 e 3 quindi A2. Se lo scopritore decide di non pubblicare il problema, il cracker dovr Sia nel secondo che nel terzo caso, invece, le scelte non sono le migliori per la maggior parte dei soggetti. Nel secondo e nel terzo non vi sar Appare quindi, in conclusione, evidente che la scelta migliore sia quella di spingere le software house a produrre una patch per il difetto riscontrato onde evitare che il tema della sicurezza informatica rimanga solo un punto di discussione per gli addetti al settore. Ci auguriamo che queste nostre riflessioni invitino i lettori a riflettere a loro volta su queste delicate problematiche. Gli autori desiderano ringraziare per la collaborazione l'Avv. Lorenzo Lanzo. Copyright (c) 2001 (GNU/FDL License) This article is under the GNU Free Documentation License www.gnu.org/copyleft/fdl.html. Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.