Ethical hacking non richiesto: frontiera civile o tecnica commerciale scorretta
12/03/2019
Ethical hacking non richiesto: frontiera civile o tecnica commerciale scorretta
È lecito che i sistemi informatici di un’azienda vengono sottoposti a test di sicurezza senza autorizzazione?
Per testare la sicurezza di un sistema informatico le aziende scelgono periodicamente di far svolgere da esperti informatici delle attività tecniche denominate “vulnerability assessment”.
Il risultato è un report che evidenzia le vulnerabilità classificate per gravità, con l’indicazione di come porvi rimedio. Solo attraverso attività successive di analisi o penetration test si potrà eventualmente accertare se tali vulnerabilità siano effettivamente sfruttabili a danno del sistema.
ETHICAL HACKING E BUSINESS
Il mercato italiano della cybersecurity è in crescita grazie a normative (GDPR e NIS in primis) che, pur lasciando ampio margine di discrezionalità, segnalano la necessità di scegliere adeguate misure di sicurezza e protezione delle informazioni. Allo stesso tempo l’AGID ha fornito delle linee guida minime, standard o avanzate che contemplano controlli periodici da svolgere sulle reti informatiche.
Svolgere vulnerability assessment è un business redditizio e, nonostante le best practice suggerirebbero di cambiare fornitore ogni due/tre anni, garantisce alle aziende operanti nel settore una certa continuità e possibilità di programmazione.
L’ethical hacker, solitamente un esperto e appassionato di informatica, trova il modo di penetrare in sistemi protetti identificandone le vulnerabilità, esattamente come un hacker. Al contrario di un hacker mette però a disposizione queste capacità in modo legale ed etico.
HACKERARE UN SISTEMA IN MODO ETICO
L’ethical haking è considerato accettabile, e legale, se richiesto. Svolto in modo corretto porta beneficio sia alle aziende che ai consumatori. Più incerta è la posizione di chi svolge attività non richieste pur se con buone intenzioni.
Gli ethical hacker possono infatti monetizzare le proprie capacità grazie ai “bug bounty” ovvero accordi secondo i quali si ricevono ricompense in denaro per la segnalazione di vulnerabilità. In questo caso è la stessa azienda che si inserisce in tali circuiti per “sfidare” gli hacker e ricompensarli in caso di successo, al fine di migliorare continuamente il proprio prodotto.
Vi sentireste invece di considerare “ethical hacker” qualcuno che assieme alle vulnerabilità riscontrate nel vostro sistema si mettesse a disposizione, a pagamento, segnalandovi però che in caso contrario renderà pubbliche le vulnerabilità riscontrate? Noi la chiameremmo estorsione.
ACCESSO ABUSIVO A SISTEMA INFORMATICO
Lo svolgimento di un Vulnerability assessment su un sito internet, portale o applicazione può essere svolto in modo più o meno approfondito. Si possono ad esempio inserire in modo automatico e ripetuto credenziali diverse e sollecitare il sistema per ottenere risposte circa l’architettura e le componenti software in uso.
Tali attività non rientrano in un uso “normale” dell’applicazione e di fatto sono accessi in un perimetro riservato, non raggiungibile dall’utente comune. È come se ci fossimo dimenticati il cancello aperto e qualcuno sia entrato nel nostro giardino e giri intorno a casa cercando il modo di entrare. Tale similitudine ci ricorda che il diritto di proprietà prevede per il proprietario lo "jus escludendi", ovvero il diritto di negare pretese di terzi, come ad esempio l’accesso. Se tale concetto è applicabile anche all’ethical hacking lo scopriremo grazie alla giurisprudenza nei prossimi anni.
DANNI E DISAGI PER L’AZIENDA TARGET
I sistemi oggetto di vulnerability assessment vengono solitamente “stressati” con richieste anomale per tipologia e volume e solitamente vengono programmati in orari in cui il traffico è minore (orari notturni ad esempio) o su sistemi di test appositi, non contenenti dati reali e in uso dagli utenti.
Nei casi più sfortunati i sistemi “cedono” e il target (software, applicazione o sito web…) viene rallentato in modo sensibile e reso inutilizzabiletemporaneamente. In questo caso potrebbe configurarsi la fattispecie prevista dall’Art. 635 quater del codice penale, il danneggiamento di sistemi informatici o telematici.
Le Piattaforme in Cloud più note solitamente richiedono di essere avvertite prima dello svolgimento di un vulnerability assessment per evitare che i sistemi di protezione entrino in azione in modo drastico creando disservizi o il blocco totale dei sistemi.
CONCLUSIONE: ETHICAL HACKING E NORMATIVA
La normativa sia in Italia che all’estero è al momento assolutamente impreparata a gestire questa fattispecie e a nostro avviso dovrebbe rispondere alle seguenti domande:
• Definizione di Ethical Hacking
• L’ethical hacking dovrebbe essere svolto soltanto se richiesto formalmente? Nei casi in cui l’attività sia svolta senza richiesta come dovrebbe essere inquadrata e con che limiti?
• Come e con che caratteristiche formalizzare un contratto di ethical hacking?
• Gli ethical hacker che svolgano attività non richieste possono segnalare le loro scoperte in modo diffuso sul web?
• Che pene sono previste per chi svolge attività di ethical hacking non richieste e diffonde online dati relative alle vulnerabilità di una azienda?
L’ethical hacking ha un grande potenziale positivo per la tutela dei consumatori e delle aziende, se usato in modo corretto. Allo stato attuale le controversie sono da gestire caso per caso, con interpretazioni soggettive, ma contestualizzate.
Hai degli asset di valore della tua azienda? Noi possiamo aiutarti a proteggerli.