Argentina: una forte diffida verso i ricercatori di bug. Ma la perdita è del governo stesso.


Vari programmi di bug bounty gestiti dalle principali aziende e il progetto "Hack the Pentagon" hanno portato a una giusta percezione i ricercatori di bug indipendenti.



“L'adozione degli hacker da parte del Dipartimento della Difesa degli Stati Uniti è stato un importante passo avanti per la percezione di collaborazione tra il governo e l'industria privata e abbiamo visto molte più organizzazioni interessate a lavorare in modo produttivo con gli hacker. Ma ci sono ancora rischi legali"

ha detto Katie Moussouris, hacker e pioniera nella divulgazione delle vulnerabilità .



Ha lavorato con il Dipartimento della Difesa degli Stati Uniti al primo programma di bug bounty del governo chiamato "Hack the Pentagon".

"Gli atteggiamenti sono cambiati, ma c'è ancora molto spazio per l'interpretazione su ciò che è consentito fare nel bug bounty e ciò che è accettabile nella ricerca sulla sicurezza".

La situazione in america latina

La situazione in America Latina è molto più cupa. Access Now, un'organizzazione no-profit con la missione di difendere ed estendere i diritti civili digitali delle persone in tutto il mondo, sostiene che la persecuzione dei ricercatori e dei tirocinanti nel campo della sicurezza digitale è un serio problema globale.



Il loro lavoro di identificazione e segnalazione delle vulnerabilità o punti deboli nelle infrastrutture digitali, come Internet, codice software e sistemi informativi, avvantaggia tutti noi rendendo questi sistemi più sicuri.

"Nonostante il chiaro valore del loro lavoro, i governi di tutto il mondo non solo hanno denigrato i ricercatori di sicurezza delle informazioni, ma li hanno anche perseguitati per aver scoperto e segnalato vulnerabilità"

afferma Access Now.


L'organizzazione no-profit ha recentemente pubblicato un rapporto, La persecuzione della comunità della sicurezza informatica in America Latina, che fa luce sull'ambiente ostile per la ricerca sulla sicurezza in Argentina, Colombia, Ecuador e Messico.



"I ricercatori di sicurezza digitale stanno ancora rischiando la loro reputazione e si stanno aprendo alla possibilità di essere coinvolti in procedimenti legali per segnalare le vulnerabilità che trovano"

afferma Access Now.


La persecuzione ha un effetto agghiacciante

“Sembra esserci un fattore comune tra le autorità che criminalizzano a priori i ricercatori di information security: la mancanza di competenze tecniche per capire cosa fanno effettivamente, confondendoli con hacker malintenzionati, mentre di fatto cercano vulnerabilità nei sistemi digitali, spesso aiutando a proteggere i diritti umani"



hanno detto i ricercatori di Access Now a CyberNews via e-mail.


Oltre a ciò, alcune leggi utilizzate per criminalizzare la comunità infosec contengono concetti ampi che dipendono dall'interpretazione (come ciò che è illegittimo), che colpiscono ripetutamente i ricercatori della sicurezza digitale.


Molte delle leggi descritte nel rapporto contengono, secondo i ricercatori, termini e locuzioni mal definiti, come accesso “non autorizzato” e “illegittimo”, e “alterazione” o “modifica” del meccanismo di funzionamento, che non considerano l'intento dell'attore in modo adeguato e se l'Accesso ha provocato un danno oppure no.

“Sebbene molti reati non includano l'intento, questo elemento potrebbe anche essere complicato da dimostrare per i ricercatori di sicurezza. Spesso non hanno un vero scopo mentre indagano; l'accesso a un sistema potrebbe portarli a scoprire nuove reti, accedere a un'istituzione o all'altra e identificare nuove infrastrutture"

si legge nel rapporto.



Gli esempi di ricercatori di bug perseguitati scoraggiano altri ricercatori dalle indagini e quindi rallentano lo sviluppo di pratiche e strumenti di sicurezza informatica.

“La persecuzione produce un effetto raggelante nelle comunità colpite. Se gli attori statali non seguono le raccomandazioni stabilite nel rapporto, è probabile che si tradurrà in autocensura e dissuaderà i ricercatori a continuare a svolgere il proprio lavoro e, in definitiva, a mettere in peri