Venti di cambiamento per l’intreccio hacking-sicurezza?

The times they are a-changing. No, niente a che fare con l’ennesima versione, del tutto inedita e accidentalmente ritrovata in polverosi archivi, del noto pezzo di Bob Dylan. Stavolta titolo e definizione appaiono azzeccati per il binomio hacker e sicurezza, o quanto meno per una parte di questi contesti pur strettamente intrecciati.

La tipicità magmatica della scena digitale va rilanciando analoghi mutamenti altrove, giusti e forse anche necessari. Un trend in cui il movimento hacker si mostra più aperto e complessivo, con il superamento di approcci eccessivamente sotterranei o distruttivi per arrivare invece a forme di collaborazione con i vari livelli dell’industria informatica, da parte sua sempre alla ricerca di difese più adeguate e tempestive.

Sulla strada di tale cambiamento vanno quindi interpretate alcune notizie recenti riguardo la netta sterzata nelle attitudini personali del mitico ‘DVD Jon’ insieme al mutato approccio alla sicurezza che sembra maturare perfino in casa Microsoft.

Nel primo caso, va segnalata la scelta in senso chiaramente professionale operata dal ventunenne hacker norvegese dalla fulgida carriera, assurto alla notorietà nel 1999 quando il suo DeCSS fu il primo programma capace di scardinare la protezione del sistema CSS creato dalle major a tutela dei contenuti proprietari dei loro DVD.

Jon Lech Johansen si è appena trasferito a San Diego per collaborare con Michael Robertson, ideatore di MP3tunes (negozio online riservato a file MP3 legali buoni per ogni player e privi di sistemi di protezione DRM) oltre che in precedenza di Linspire (ex-Lindows) e SIPphone, standard aperto per il VoIP.

Una partnership decisamente promettente, pur se al momento non è chiaro cosa dovrà e potrà combinare DVD Jon, pur se si vocifera di suoi contributi, tanto sostanziali quanto stavolta del tutto legali, per la realizzazione di “una soluzione che porterà la musica digitale nel XXI secolo”.

Da notare che dopo quell’exploit di sei anni fa, reato per il Digital Millennium Copyright Act statunitense ma non per le norme norvegesi di allora, con conseguente assoluzione piena in aula, Johansen è riuscito a ‘hack’ prima il software di iTunes poi di Google Video, e più recentemente del Media Player di Microsoft, proseguendo nella pratica di attivare maggiori aperture e condivisioni di quanto prevedessero originariamente quei pacchetti proprietari.

In vista del suo trasferimento oltreoceano, due settimane fa il Wall Street Journal gli ha dedicato la prima pagina, con tanto di foto a colori che lo ritrae con un laptop il cui monitor ha la grossa scritta HACKER e con indosso una maglietta nera con il logo, altrettanto ben visibile, del magazine 2600.

Il lungo articolo ripercorre nei dettagli la vicenda che lo rese famoso, non mancando di calcare la mano sulla reputazione acquisita (soprattutto tra le autorità e l’industria USA) come principale artefice di quell’ondata di pirateria mondiale che starebbe costando miliardi di dollari agli studi di Hollywood.

Il padre, partner imprenditoriale, racconta poi delle sue gesta da ‘ragazzo-prodigio’ a scuola, quando risolveva in un attimo problemi difficili, scriveva programmi informatici fin dai 12 anni e ne “sapeva più dei suoi insegnanti in fatto di computer”. Senza dimenticare le sue scelte politiche, aperte e spesso impopolari, come la convinzione secondo cui la Norvegia avrebbe fatto meglio entrare a far parte dell’Unione Europea.

Chiusosi positivamente l’incubo legale connesso a quelle vicende ma proseguendo sulla strada di convinto hacker, “Johansen ora prevede di spostarsi in una diversa giurisdizione dotata di maggiori opportunità professionali e di un clima migliore, la California meridionale,” scrive il prestigioso quotidiano economico. Concludendo con una sagace battuta dello stesso Johansen: “Naturalmente quando sarò negli USA starò molto attento a non infrangere nessuna legge statunitense”.

In ogni caso, c’è da scommettere che le sue attività future non passeranno inosservate.

Come pure non è stata ignorata, per lo meno nelle comunità variamente legate alla sicurezza, la recente iniziativa di Microsoft, il secondo “Blue Hat briefing” svoltosi nel quartier generale di Redmond: una dozzina di hacker e specialisti a diretto confronto prima con i maggiori manager e poi con 500 dei circa 9.000 programmatori che lavorano per l’azienda.

L’iniziativa, avviata quattro anni fa da George Stathakopoulos, responsabile del settore sicurezza di Microsoft, è mirata proprio a modificare la tipica attitudine di noncuranza sulla sicurezza dei propri programmi e sistemi tramite il dialogo aperto con i critici più qualificati e accesi. Superando la comune distinzione tra hacker “black hat” e “white hat”, l’evento (seguito per la prima volta da un reporter del New York Times) ha ribadito l’urgenza di dover affrontare la questione, pena l’ulteriore decadere del software Microsoft presso l’utenza mondiale.

Di fronte alle motivate critiche di affermate società non solo statunitensi, i dirigenti locali hanno comunque citato la riduzione delle patch e dei “security bullettin” a conferma dell’effetto delle varie strigliate ricevute.

Il Windows XP Service Pack del 2004, ad esempio, avrebbe reso il sistema assai meno vulnerabile, mentre nel 2003 sono stati diffusi soltanto 41 bollettini per il Windows Server.

Ma non pochi tra i presenti hanno insistito sul fatto che Microsoft rimane comunque posizionata sull’orlo del burrone, riferendosi alle minacce sempre più serie veicolate della massiccia diffusione dei dispositivi mobili: “Stiamo assistendo all’emergere di designer malware, sorta di software malevolo – ha spiegato David Maynor, responsabile di Internet Security Systems -. Ci sarà un incremento esponenziale degli attacchi mirati”.

E ovviamente Microsoft rimane il target preferito per la sua ampia visibilità. In altri termini, in futuro risulterà assai più semplice superare i firewall e le altre difese tradizionali, che spesso arrivano in netto ritardo, per saltare da una rete all’altra fino a perforare l’obiettivo ultimo, i grandi corporate network.

Insomma, la sicurezza rimane tuttora un grosso problema per Microsoft, e non solo.