Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Vari programmi di bug bounty gestiti dalle principali aziende e il progetto “Hack the Pentagon” hanno portato a una giusta percezione i ricercatori di bug indipendenti.
“L’adozione degli hacker da parte del Dipartimento della Difesa degli Stati Uniti è stato un importante passo avanti per la percezione di collaborazione tra il governo e l’industria privata e abbiamo visto molte più organizzazioni interessate a lavorare in modo produttivo con gli hacker. Ma ci sono ancora rischi legali”
ha detto Katie Moussouris, hacker e pioniera nella divulgazione delle vulnerabilità .
Ha lavorato con il Dipartimento della Difesa degli Stati Uniti al primo programma di bug bounty del governo chiamato “Hack the Pentagon”.
“Gli atteggiamenti sono cambiati, ma c’è ancora molto spazio per l’interpretazione su ciò che è consentito fare nel bug bounty e ciò che è accettabile nella ricerca sulla sicurezza”.
La situazione in America Latina è molto più cupa. Access Now, un’organizzazione no-profit con la missione di difendere ed estendere i diritti civili digitali delle persone in tutto il mondo, sostiene che la persecuzione dei ricercatori e dei tirocinanti nel campo della sicurezza digitale è un serio problema globale.
Il loro lavoro di identificazione e segnalazione delle vulnerabilità o punti deboli nelle infrastrutture digitali, come Internet, codice software e sistemi informativi, avvantaggia tutti noi rendendo questi sistemi più sicuri.
“Nonostante il chiaro valore del loro lavoro, i governi di tutto il mondo non solo hanno denigrato i ricercatori di sicurezza delle informazioni, ma li hanno anche perseguitati per aver scoperto e segnalato vulnerabilità”
afferma Access Now.
L’organizzazione no-profit ha recentemente pubblicato un rapporto, La persecuzione della comunità della sicurezza informatica in America Latina, che fa luce sull’ambiente ostile per la ricerca sulla sicurezza in Argentina, Colombia, Ecuador e Messico.
“I ricercatori di sicurezza digitale stanno ancora rischiando la loro reputazione e si stanno aprendo alla possibilità di essere coinvolti in procedimenti legali per segnalare le vulnerabilità che trovano”
afferma Access Now.
“Sembra esserci un fattore comune tra le autorità che criminalizzano a priori i ricercatori di information security: la mancanza di competenze tecniche per capire cosa fanno effettivamente, confondendoli con hacker malintenzionati, mentre di fatto cercano vulnerabilità nei sistemi digitali, spesso aiutando a proteggere i diritti umani”
hanno detto i ricercatori di Access Now a CyberNews via e-mail.
Oltre a ciò, alcune leggi utilizzate per criminalizzare la comunità infosec contengono concetti ampi che dipendono dall’interpretazione (come ciò che è illegittimo), che colpiscono ripetutamente i ricercatori della sicurezza digitale.
Molte delle leggi descritte nel rapporto contengono, secondo i ricercatori, termini e locuzioni mal definiti, come accesso “non autorizzato” e “illegittimo”, e “alterazione” o “modifica” del meccanismo di funzionamento, che non considerano l’intento dell’attore in modo adeguato e se l’Accesso ha provocato un danno oppure no.
“Sebbene molti reati non includano l’intento, questo elemento potrebbe anche essere complicato da dimostrare per i ricercatori di sicurezza. Spesso non hanno un vero scopo mentre indagano; l’accesso a un sistema potrebbe portarli a scoprire nuove reti, accedere a un’istituzione o all’altra e identificare nuove infrastrutture”
si legge nel rapporto.
Gli esempi di ricercatori di bug perseguitati scoraggiano altri ricercatori dalle indagini e quindi rallentano lo sviluppo di pratiche e strumenti di sicurezza informatica.
“La persecuzione produce un effetto raggelante nelle comunità colpite. Se gli attori statali non seguono le raccomandazioni stabilite nel rapporto, è probabile che si tradurrà in autocensura e dissuaderà i ricercatori a continuare a svolgere il proprio lavoro e, in definitiva, a mettere in pericolo un’attività che è preziosa per l’intera società”
ha detto Access Now a CyberNews.
Il rapporto descrive gli esempi più recenti di ricercatori perseguitati, criminalmente o meno, in America Latina. I casi citati illustrano come i ricercatori di bug indipendenti mettono a rischio la propria reputazione per la segnalazione di vulnerabilità e come vengono concepiti come hacker criminali solo per la loro vasta esperienza tecnica.
In Argentina, Javier Smaldone è stato oggetto di intimidazioni e violazioni della sua privacy. Smaldone ha svolto ricerche sulla sicurezza sull’uso da parte dell’Argentina delle macchine per il voto elettronico e mantiene un blog personale critico nei confronti delle pratiche di sicurezza informatica del governo.
Nell’ottobre 2019, la polizia argentina ha arrestato Smaldone con l’accusa di pirateria informatica e divulgazione di dati dai sistemi governativi. Le autorità hanno anche fatto irruzione nella casa di Smaldone, sequestrando e perquisindo i suoi vari telefoni, computer e pen drive. Il ricercatore ha poi appreso che la principale “prova” utilizzata dalla polizia per ottenere un mandato erano i suoi Tweet che discutevano e analizzavano le fughe di dati.
“Sebbene Smaldone non sia mai stato formalmente incriminato ai sensi del codice penale, il suo caso esemplifica come qualcuno con una vasta conoscenza tecnica dei sistemi informatici, associato alla comunità infosec possa essere perseguito senza giusta causa”
si legge nel rapporto.
Anche se Smaldone continua il suo lavoro come programmatore e amministratore di sistema, ha condiviso nel suo blog di essere preoccupato per quello che potrebbe accadere a lui e ad altri ricercatori di infosec in Argentina in futuro.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Le estensioni del browser sono da tempo un modo comune per velocizzare il lavoro e aggiungere funzionalità utili, ma un altro caso dimostra con quanta facilità questo comodo strumento possa trasform...
Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto ...
Questa non è la classica violazione fatta di password rubate e carte di credito clonate.È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno d...
Un recente studio condotto da SentinelLabs getta nuova luce sulle radici del gruppo di hacker noto come “Salt Typhoon“, artefice di una delle più audaci operazioni di spionaggio degli ultimi diec...
Con l’espansione dell’Internet of Things (IoT), il numero di dispositivi connessi alle reti wireless è in continua crescita, sia nelle case che nelle aziende . Questo scenario rende la sicurezza ...
