ICT-Security n.ro 11 del 07-03-03
di Andrea Monti
La sperimentazione sul campo e la disponiblità di dati attendibili sono elementi essenziali per qualsiasi ricerca scientifica e in particolare per quanto riguarda la sicurezza informatica. Un settore nel quale non si può (o non si dovrebbe) correre il rischio di basare le proprie scelte su dati parziali e privi di valore statistico a prescindere dall’autorevolezza dell loro fonte.
In questa prospettiva, l’internet offre notevoli possibilità per la raccolta e la classificazione di informazioni sulla distribuzione e tipologia delle vulnerabilità dei sistemi informativi effettuando portscan e wardriving.
Ci sono tuttavia delle “precauzioni” di natura legale che dovrebbero necessariamente essere adottate per evitare conseguenze spiacevoli ai ricercatori in buona fede. Che potrebbero trovarsi denunciati a piede libero per una serie non banale di reati. Purtroppo non soccorre la normativa vigente (e quella sui reati informatici, in particolare)che nella migliore delle tradizioni è vaga e imprecisa.
La legge infatti non punisce l’esecuzione di un portscan, in sè. In altri termini, non esiste, nel codice penale, una norma che dice “è vietato fare portscan”. Ciò non toglie che un’azione del genere diventerebbe sanzionabile penalmente se fosse diretta a compiere un reato (per esempio, un accesso abusivo, punito dall’art.615 ter del codice penale). In questo caso, anche se l’accesso abusivo non dovesse verificarsi per fatti indipendenti dalla volontà dell’agente, saremmo nell’ipotesi del delitto tentato. Che punisce chi compie atti idonei e inequivocamente volti alla commissione di un reato.
Ma come si decide se il portscan è eseguito a scopo illecito o in buona fede?
Il problema si pose già all’indomani dell’emanazione della l.547/93 nei confronti di chi studia i virus e realizza le contromisure. E’ evidente che per scrivere un antivirus bisogna procurarsi almeno un esemplare dell’agente patogeno, ed eventualmente scambiarlo con la comunità dei ricercatori per aumentare le probabilità di trovare il rimedio in tempi brevissimi. Bene, stando alla lettera della legge anche chi produce antivirus commetterebbe il reato di detenzione di programmi diretti a danneggiare un sistema informatico o telematico.
La soluzione a un simile paradosso – dovuto, ripeto, alla pochezza tecnica del legislatore – venne fornita in base a una sofisticata alchimia interpretativa secondo la quale essendo la detenzione dei virus da parte dei ricercatori non diretta alla commissione di illeciti, questa sarebbe priva del requisito della antigiuridicità. E dunque pur astrattamente rientrando il comportamento in questione nella lettera della legge, in realtà non sarebbe illecito.
Ma se questo ragionamento è stato considerato applicabile all’attività di chi realizza antivirus, perchè non dovrebbe funzionare anche per il portscan e il wardriving?
In effetti non sembrano esserci ragioni teoriche tali da differenziare le due situazioni. In entrambe c’è un problema di sicurezza che può essere risolto solo mediante l’accesso a informazioni di un certo tipo e dunque non può essere considerato antigiuridico il comportamento di chi se le procura.
Bisogna, però, essere chiari su un punto e non nascondersi dietro un dito: portscan e wardriving sono azioni che possono consentire di raccogliere informazioni estremamente delicate e dunque, per invocare la buona fede, devono essere eseguite con estrema trasparenza. In altri termini, sarebbe troppo comodo, per chi fosse trovato a eseguire queste azioni, difendersi con la scusa di “fare ricerca”. Un po’ come quei soggetti (sempre più numerosi, purtroppo) che prima accedono a contenuti pornografici prodotti mediante lo sfruttamento sessuale dei minori e poi si recano presso l’autorità giudiziaria per “fare il loro dovere” denunciando di avere “scoperto” i pedofili e “mettendo le mani avanti” nel caso dovessero avere lasciato tracce che li rendano identificabili.
E allora, tornando a portscan e wardriving, una linea di azione che potrebbe ridurne la potenziale illegalità dovrebbe innanzi tutto definire in modo chiaro i contenuti della rilevazione. E dunque specificare:
– l’arco temporale di esecuzione delle rilevazioni
– l’obiettivo perseguito
– le modalità tecniche adottate
– l’identità delle persone incaricate di eseguire i rilevamenti
Sarebbe inoltre necessario definire un protocollo per la raccolta e classificazione delle informazioni, innanzi tutto, per quanto possibile, anonimizzandole alla fonte. Evitando, cioè di tenere traccia del collegamento fra la localizzazione di una rete e le informazioni reperite grazie all’attività di scansione. Mentre le informazioni che non possono essere anonimizzate dovrebbero essere custodite con estrema cautela, in particolare evitando che possano essere a disposizione di chiunque.
Tutto questo dovrebbe essere comunicato preventivamente alle forze di polizia (preferibilmente ai reparti specializzati come il GAT della Guardia di Finanza o l’UACI della Polizia di Stato). Oltre che ai “soggetti passivi” della ricerca. Questo per ridurre il rischio di subire una denuncia da parte di quesi ultimi che, rilevando attività anomale sui propri server, potrebbero immaginare di essere vittime di un vero e proprio attacco.
Possibly Related Posts:
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Chi vince e chi perde nella vicenda di Julian Assange
- Il duello tra Usa e Cina sui processori va oltre l’autonomia tecnologica