Andrew Auernheimer, alias weev, è un grey hat. Non veste il cappello nero dei cattivi né quello bianco dei buoni. Si dichiara Internet troll. Membro del gruppo GoatSec, è provocatorio, controverso e offensivo.
Weev è stato condannato per furto d’identità ed accesso non autorizzato ad un computer, come ha raccontato Wired. Un bell’articolo è stato pubblicato in tema da Robert David Graham sul suo blog Errata Security. Solo che stavolta @ErrataRob manca il bersaglio.
Quali sono i limiti dell’informazione implicita? Diciamo che leggete un sito su una pagina con l’indirizzo che termina in “articleId=31337”. Per vedere il prossimo articolo cambiate URL in “articleId=31338” e premete Invio. Siete andati oltre l’accesso autorizzato? È complicato. Se l’articolo “31337” è pubblico, perché “31338” non lo è?
Immaginate di essere un ricercatore (hacker?) che scopre una minaccia nuova. Se pubblicate l’informazione ed è sbagliata? Se pubblicate troppe informazioni collaterali insieme alla minaccia? Quale sia il ruolo del ricercatore e quale “protezione” dal punto di vista legale meriti è una questione non chiaramente risolta. I ricercatori con il cappello bianco si devono spesso interrogare su quale e quanta informazione divulgare “responsabilmente”, senza causare danni a terzi. I signori con il cappello nero non si fanno domande. Quelli con il cappello grigio ed i troll cercano il maggior vantaggio personale.
La questione sollevata da @ErrataRob è capziosa: state leggendo questo post? Allora violate la legge secondo la quale weev è stato condannato visto che io non vi autorizzo e voi lo state comunque leggendo. Eppure Errata Security è un blog pubblicato su un servizio Google i cui termini di servizio sono piuttosto espliciti. Dubito che l’argomento sia sostenibile! Vero è che, al di là del trucchetto retorico, le accuse di vaghezza mosse alla normativa americana non sono prive di fondamento.
Il mio blog personalissimo non è su un servizio pubblico e non contiene alcuna autorizzazione esplicita. Sarebbe un criminale lo sfortunato che lo consultasse per errore? È certo un sito pubblico, senza alcuna forma di protezione o limitazione dell’accesso, se non all’interfaccia di amministrazione. Il problema si porrebbe nel momento in cui un ricercatore decidesse di sperimentare e verificare l’esistenza di eventuali (e probabili) problemi di sicurezza. Qui il terreno si fa scivoloso ed un metro potrebbe essere quello relativo alle modalità di divulgazione dei risultati, quella responsible disclosure sempre al centro delle polemiche.
Immaginate ora che il problema di sicurezza venga riscontrato sul sito di un’azienda dotata di un potente ufficio legale. Nel caso in cui la divulgazione delle informazioni avvenga in modo ragionevole, non ci dovrebbero essere problemi a riconoscere professionalità e buona fede del ricercatore. Molte grandi aziende sono solite retribuire più o meno generosamente chi segnali bug nei loro prodotti.
Anche AT&T ha un programma simile; eppure ha denunciato e perseguito weev con ferrea determinazione. Difenderlo non è semplice. Lui e altri si accorgono di un problema abbastanza banale su un sito web AT&T: inserendo un codice arbitrario legato ad un iPad si ottengono informazioni collegate al dispositivo. A questo punto un ricercatore agirebbe diversamente: weev non contatta subito AT&T, ma prima raccoglie le informazioni e le pubblica su Gawker.
L’imbroglio retorico è alle porte: cambiare un carattere in una URL trasforma l’accesso da autorizzato a non autorizzato? Nel caso specifico parliamo di uno che ha acquisito tutte le informazioni disponibili (non volutamente pubblicate!). Se il comportamento fosse stato diverso (e soprattutto ragionevole), ci sarebbe stato spazio per una qualche forma di difesa di weev ma qui siamo davvero oltre il difendibile. La legislazione statunitense e le varie normative europee sono sicuramente carenti, ambigue e criticabili ma in questo caso non c’è molto spazio per argomentare.
Battezzarsi ricercatori piuttosto che hacker in tribunale non aiuta. Aiutano semmai i comportamenti responsabili.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
