In seguito ai fatti relativi alla vicenda "hack5stelle" e all'identificazione del responsabile, tra i tanti articoli scritti in proposito siamo rimasti colpiti (in negativo) da "L'Amaca" di Michele Serra, su Repubblica, che generalizzando attacca tutta la disciplina, la professione, e la scienza della cybersecurity. Questa è la risposta che abbiamo inviato a Repubblica.
Stimato Direttore,
Stimata Redazione di Repubblica e Michele Serra,
Siamo ricercatori nel campo della sicurezza informatica. Dedichiamo le nostre giornate e i nostri sforzi a cercare di creare un mondo digitale più sicuro per il beneficio di tutti, in un'era in cui l'informatica è parte integrante della nostra vita quotidiana e delle istituzioni. Siamo rimasti sorpresi dal contenuto de "L'amaca di Michele Serra" dell'8 febbraio 2018, scritto in risposta ai recenti fatti che vedono un giovane universitario indagato per l'accesso non autorizzato alla piattaforma Rousseau del MoVimento 5 Stelle.
La cybersecurity non è un gioco, non è destrezza fine a se stessa, ma una vera professione. Riguarda il progettare sistemi sicuri, e lo scoprire le vulnerabilità di quelli esistenti per proteggerli da malintenzionati. È una scienza, al pari delle altre branche dell'informatica, al pari della chimica e della medicina, che ha professori ed interi centri di ricerca in tutte le università del mondo. Una disciplina difficile, soprattutto oggi che i furti di dati sono all’ordine del giorno, una delle discipline più rilevanti. In questi giorni si è svolta ITASEC, la principale conferenza accademica di cybersecurity italiana, con centinaia di ricercatori dalle principali università del nostro Paese. In questa sede è stato presentato il libro bianco della cybersecurity italiana, "Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici" a firma di 140 ricercatori e con il supporto del Sistema di informazione per la sicurezza della Repubblica, dove un capitolo è dedicato al "white-hat" hacking etico - a Gal0is e "quelli come lui" che scoprono vulnerabilità nei sistemi e le segnalano per migliorarne la sicurezza. L’auspicio dei docenti e ricercatori è che in Italia le tutele per tutte le parti in causa, inclusi gli hacker "etici", diventino leggi il prima possibile.
Ci dispiace quindi vedere la nostra area di ricerca, la professione di tanti, denigrata da Serra come mero virtuosismo per soli maschi. Gli attaccanti, quelli veri, effettuano questi "virtuosismi" quotidianamente, per i loro scopi economici e politici. Le ultime elezioni Americane ne sono un chiaro esempio. È per questo che, per permetterci di costruire sistemi veramente sicuri, ci vengono insegnate anche le tecniche di attacco. Invece che i videogame, ci viene insegnato a pensare come attaccanti - solo così possiamo dimostrare la sicurezza di un sistema, non certo costruendolo e illudendoci che sia sicuro. Ed in un sistema, insieme di più parti, ogni meccanismo deve essere analizzato, e provato sicuro. La verifica della sicurezza di un sistema, d’altra parte, è spesso e volentieri dimenticata in progettazione, e riservata ad "audit" successivi. Ma se nel mentre ci accorgiamo di una vulnerabilità, di una "brutta crepa" ben visibile, è probabile che anche "i cattivi" se ne accorgano. Perché non ci accontentiamo dei videogame? Perché nel frattempo i veri attaccanti non giocano ai videogame! Meno male quindi che esistono queste segnalazioni disinteressate, perché non vengono certo da malintenzionati interessati a sfruttare più a lungo possibile la falla. Vengono da persone come noi, come Evariste Gal0is, lo pseudonimo usato dal ragazzo indagato. Infatti il suo nome è elencato tra i ringraziamenti ufficiali del "Computer Emergency Response Team" europeo. Il motivo? Una segnalazione che ha reso i sistemi informatici dell’UE più sicuri. Un comportamento non dissimile da quello tenuto nel caso di Rousseau, ma con esito drasticamente diverso.
Siamo però d’accordo su una cosa: il gesto in questione è di natura politica. Una politica super partes dedicata al prendersi cura della cosa pubblica (soprattutto considerata l’importanza di Rousseau). I fatti risalgono ad inizio Agosto dello scorso anno, ben prima dell'attuale periodo di campagna elettorale. Se l'atto di Gal0is fosse stato "partitico", l’hacker non avrebbe certamente aiutato i gestori di Rousseau a risolvere il problema. Al contrario, avrebbe usato le sue capacità in maniera distruttiva: modificando i risultati delle votazioni online su Rousseau, o rivendendo le informazioni sensibili contenute nel database della piattaforma. Invece ha fatto l’unica scelta giusta - segnalare prontamente quanto trovato. E per questo è stato punito. L’altro hacker, invece, quello malintenzionato che ha pubblicato i dati rubati dal sito del MoVimento, se la ride su Twitter mentre è ancora a piede libero. E pare che tutti se ne siano dimenticati. Lui sì che non è di "quelli come noi".
Daniele Lain - Dottorando, Informatica
Paolo Montesel - Ingegnere Informatico
Carlo Maragno - Studente, Ingegneria dell’Informazione
Andrea Biondo - Studente, Informatica
Riccardo Bonafede - Studente, Ingegneria Informatica
Leonardo Nodari - Studente, Informatica
Francesco Soncina - Informatico, InfoSec Enthusiast
(Per aggiungere la tua firma, mandaci una pull request su GitHub)