In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Strategikon

Quanto sono legali port scan e war driving? Ovvero: sono passati vent’anni, giriamo ancora in tondo

di Andrea Monti
Quanto sono legali port scan e war driving? Ovvero: sono passati vent’anni, giriamo ancora in tondo
(ansa)
Aggiornato alle 3 minuti di lettura

Di recente ha suscitato qualche polemica la risposta che l’Agenzia nazionale per la cybersecurity ha dato a uno spontaneo “segnalatore di vulnerabilità” al quale veniva evidenziato che il modo in cui era stato individuato il “buco” potrebbe avere violato delle norme penali (per di più, vista la natura pubblica della risorsa “attaccata”, anche perseguibili d’ufficio, vale a dire senza che la vittima si lamenti del fatto).

La risposta dell’ACN, giuridicamente rigorosa e frettolosamente criticata, è la prova che nella comunità degli “esperti di sicurezza” le vecchie abitudini sono dure a morire. Sono passati vent’anni da quando scrissi un articolo che affrontava l’argomento, ma nonostante il tempo, siamo ancora allo stesso punto: qualcuno (continua a) pensa(re) che la propria “superiore conoscenza” o un non meglio identificato “dovere morale” siano sufficienti a giustificare la commissione di un reato, cioè quello che, con un linguaggio già vecchio ai tempi, la legge sui reati informatici chiama “accesso abusivo a sistema telematico”.

In realtà, piaccia o no, se si commette un reato — e dimostrare, senza autorizzazione, che una vulnerabilità funziona su un sito specifico lo è [usando tecniche come "port scanning" e "war driving" ndr.] — si deve essere puniti. Al massimo, se effettivamente fossero dimostrate le “buone intenzioni” si potrebbe avere diritto a uno sconto di pena per avere agito, come dice il Codice penale, per “motivi di particolare valore morale o sociale”.

In altri termini, un conto è trovare una vulnerabilità in un software e segnalarla (ma anche in questo caso ci sono problemi relativi alla tutela della proprietà industriale e intellettuale dello sviluppatore); un altro conto è dire che il sistema raggiungibile tramite il dominio abc.xyz è vulnerabile da un particolare attacco perché lo si è effettivamente sferrato. Nel primo caso, al netto di altri potenziali problemi, non si starebbe commettendo direttamente un accesso abusivo; nel secondo sì. Simple as that come direbbero gli anglosassoni.

“Dovere morale” o “ricerca indipendente” sono giustificazioni molto praticate da chi esegue penetration test non autorizzati. A volte si tratta di persone effettivamente in buona fede, ma prive della consapevolezza giuridica di quello che stanno facendo. In altri casi, e non da oggi, siamo di fronte a soggetti che, avvolti nel mantello da hacker — o meglio, indossata la felpa con il cappuccio che nell’iconografia mainstream ha sostituito “l’adolescente con i brufoli che 'buca' la NASA o il Pentagono”— cercano visibilità, lavoro o, più banalmente, entrambe le cose.

A prescindere dalle motivazioni che riguardano casi specifici, il dibattito pubblico sui pen-test non autorizzati vede contrapposti i sostenitori della loro legalizzazione ai “rigoristi” che, invece, continuano a ritenere che una pratica del genere sia da scoraggiare e, anzi, da sanzionare. Purtroppo, ed è inevitabile, questo è un dialogo tra sordi perché le due posizioni sono basate su presupposti inconciliabili. Da un lato, anche prendendo per buona la loro buona fede, ci sono i sostenitori del hacking etico, dall’altro ci sono i “legisti” che pongono il “rule of law” — il primato della legge — al di sopra di ogni motivazione individuale.

Posto in questi termini, allora, il dibattito sui pen-test non è più su questioni tecniche o sul cavillare in definizioni giuridiche, ma riguarda un tema che da millenni occupa giuristi e filosofi: dobbiamo seguire l’etica oppure la legge? Abbiamo o meno il diritto di fare “ciò che è giusto”? Intuitivamente, anche per via della diffusa convinzione indotta dal finto egalitarismo da social network che le proprie idee abbiano un valore assoluto, la risposta propenderebbe per la superiorità dell’etica sulla legge. Poi, però, ci si dovrebbe chiedere di quale etica stiamo parlando, cioè se di quella individuale o quella di Stato.

La prima è irrilevante perché le convinzioni individuali valgono per sé e non per gli altri; mentre la seconda è incompatibile con un sistema democratico, perché l’etica di Stato è un attributo delle teocrazie anche laiche, come la Germania nazista o l’Unione Sovietica. Se vogliamo continuare a vivere in democrazia, quindi, non abbiamo alternative al rispettare la legge (non importa quanto imperfetta) e se la legge punisce i pen-test non autorizzati, allora cosi sia. Chi li esegue, sa cosa rischia.

Nulla vieta che, nella dimensione politica, si possa discutere se non sia il caso di legalizzare i pen-test abusivi e, anzi, vista la situazione sarebbe anche urgente affrontare il tema. Tuttavia, una riflessione del genere dovrebbe anche coinvolgere la irresponsabilità (nel senso di mancanza di una chiara responsabilità giuridica) delle software house e di chi utilizza i loro prodotti per fornire servizi al pubblico. È quello di cui si sta parlando, a livello comunitario, con il Cyber Resilience Act il regolamento che dovrebbe imporre ai produttori di hardware e software l’esecuzione di test di sicurezza come parte integrante della documentazione tecnica. Non è una soluzione perfetta, ma è un primo passo verso il traguardo della responsabilizzazione di tutti gli elementi della filiera. Altre possibilità immediatamente praticabili per regolamentare i pen-test sarebbero il recepimento attualmente in corso della Direttiva NIS2 e del secondo protocollo addizionale alla Convenzione di Budapest sul crimine informatico. Dunque, gli strumenti normativi ci sono tutti e sono già in corso di adozione. Serve dunque solo la volontà politica di affrontare la questione pen-test, non la “motivazione etica” soggettiva, quale che sia.

Leggi anche

© Riproduzione riservata