È ora che cittadini, enti, istituzioni e organizzazioni e sopratutto la politica, capiscano l’importanza di una cultura della divulgazione delle vulnerabilità tecnologiche dei software e dei sistemi. A crederlo è il giornalista e saggista Arturo Di Corinto, che in una conversazione con Formiche.net spiega perché il botta e risposta tra Pd e Movimento 5 Stelle riguardo la piattaforma Rousseau potrebbe rappresentare l’occasione buona per discutere seriamente di come l’hacking etico possa operare al servizio della sicurezza del Paese. Ecco perché.

Di Corinto, è in atto sul web un botta e risposta tra il deputato dem Francesco Boccia, candidato alle primarie del Pd e ideatore della manifestazione DigithOn, e il Movimento 5 Stelle, riguardo un possibile “hackeraggio etico” della piattaforma Rousseau. Che cosa ne pensa?

Mettendo da parte la questione squisitamente politica, penso che Boccia, come altri, abbia ragione nel richiedere maggiore trasparenza rispetto al codice sorgente di una piattaforma che – pur appartenendo a un soggetto autonomo – serve anche ai suoi iscritti a esprimere opinioni che dovrebbero poi tradursi in azione legislativa. Non ritengo però adeguato il fatto che questo portale possa essere testato senza il previo consenso dei suoi proprietari e, soprattutto, in un contesto privo di regole ufficiali. Detto ciò, questo dibattito potrebbe trasformarsi, con la responsabilità di tutti, in un momento di riflessione sull’hacking etico, che da tempo viene richiesto dagli addetti ai lavori.

Su che cosa bisognerebbe riflettere?

Se c’è una cosa che appare evidente è che nessun Paese, anche quelli più ricchi e all’avanguardia, può difendere da solo il proprio perimetro informatico, che tra l’altro si allarga di giorno in giorno. Il caso del recente attacco alla Pec, ma anche episodi globali come WannaCry, lo dimostrano con chiarezza: il futuro sarà fatto di attacchi sempre più forti nell’intensità, grandi nel numero e complessi nella loro sofisticazione. Diversi attacchi sono stati portati a segno a causa di errori di progettazione di siti e database, da una cattiva implementazione del software, dall’uso di hardware obsoleto di firmware economico. Queste “falle” si trovano nei software e dei sistemi che usiamo ogni giorno per i nostri scopi: amministrativi, legali, finanziari, sanitari e professionali. La preoccupazione non è se verranno usate, ma quando. Tali vulnerabilità sono comuni e esisteranno sempre. Ciò non significa che si debba rinunciare a difendersi, ma servono dei cambiamenti perché l’importante è come rispondiamo quando le scopriamo. È ora che cittadini, enti, istituzioni e organizzazioni e sopratutto la politica, capiscano l’importanza di una cultura della divulgazione delle vulnerabilità tecnologiche, ovvero dei difetti nella progettazione tecnica o nell’implementazione di prodotti o sistemi informatici che può essere utilizzata per sfruttare, penetrare o manipolare un prodotto o un sistema, sia esso hardware o software.

Che cosa si dovrebbe fare?

Secondo Access now possiamo contribuire a arginare l’ondata di attacchi come questo solo se i governi si impegneranno a divulgare queste vulnerabilità per capire come possiamo difenderci meglio. La divulgazione coordinata delle vulnerabilità è un approccio sistemico al problema per creare un ambiente sicuro per tutti e include la divulgazione e l’applicazione di patch alle falle, evitando la criminalizzazione della ricerca sulla sicurezza e coordinandosi con la magistratura e gli altri organi preposti alla sicurezza.

Quale sarebbe il ruolo dei cosiddetti “white hat”, gli hacker etici?

Ci sono un sacco di cittadini che per professione, passione o divertimento si occupano – con svariate e spesso alte competenze – di programmazione informatica. Lo sforzo che dovrebbe fare ogni Paese è quello di coinvolgerli per dare vita a una vera “difesa collettiva”, a una sorta di Guardia Nazionale Informatica. Questo però può avvenire, com’è giusto che sia, solo in modo controllato. Il punto è che attualmente, in Italia come nella stragrande maggioranza dei Paesi del Vecchio continente, non è stato ancora definito un quadro legale nel quale i cosiddetti hacker etici possano operare. L’Europa non ha un processo uniforme di reporting per le vulnerabilità, né è disponibile un’adeguata protezione legale soprattutto per salvaguardare coloro che segnalano le vulnerabilità. Ci sono troppi “buchi” legislativi che di volta in volta li fanno considerare o dei delinquenti o danno loro mani troppo libere. Senza contare il fatto che quando i governi trovano difetti di software o hardware e li tengono segreti mettono a rischio la nostra sicurezza digitale globale.

In che modo viene messa a rischio la sicurezza degli utenti?

L’accumulo di vulnerabilità, sia da parte dei governi sia degli attori del mercato nero, aumenta il prezzo di mercato degli exploit, rendendo più difficile per i programmi di “bug bounty” – i programmi attraverso i quali le aziende offrono incentivi per le persone a segnalare loro vulnerabilità – per competere. I governi che scoprono o scoprono le vulnerabilità dovrebbero comunicarli tempestivamente allo sviluppatore/venditore. Qualsiasi ritardo nella divulgazione di una vulnerabilità dovrebbe essere limitato nel tempo, straordinario e consentito solo laddove la divulgazione immediata arrechi danno agli utenti. In questo senso, il dibattito in corso può essere una buona occasione per fare dei passi in avanti, soprattutto se unito a proposte concrete che arrivano dall’Europa.

Quali proposte sono al momento in campo?

Trovo di grande interesse un paper elaborato dal think tank europeo Ceps nell’ambito di una task force dedicata al tema della cyber security. Lo studio, reperibile online, è stato coordinato proprio da un associate senior research fellow italiano, Lorenzo Pupillo. Al suo interno si trovano analisi e raccomandazioni per la progettazione e l’attuazione di una politica sulla divulgazione delle vulnerabilità del software in Europa, frutto di una raccolta di best practice e di un lavoro di ascolto che ha visto coinvolti esperti del settore, rappresentanti di istituzioni europee e internazionali, accademici, organizzazioni della società civile e professionisti. Nel documento, che si rivolge agli Stati membri e alle istituzioni dell’Ue, si spiega bene quale siano i vantaggi derivanti da un quadro politico che introduca una divulgazione di vulnerabilità coordinata e aperta nel Vecchio continente. Da questi suggerimenti, e dalle conseguenti azioni, credo si debba ripartire.