Regno Unito, cacciatori di bug alla sbarra?

Gli esperti lanciano l'allarme: i legislatori britannici stanno per introdurre norme estremamente controverse per combattere il crimine informatico. Diffondere informazioni su falle e bug potrebbe presto costituire reato

Londra - Le camere del parlamento britannico stanno suscitando reazioni piccate da parte deiprofessionisti dell'IT , la cui libertà potrebbe essere messa a repentaglio dal processo di riforma del CMA, Computer Misuse Act, il corpo di norme che regola le procedure penali da adottare in caso dicrimine informatico : l'attuale bozza del CMA, come denunciano alcuni esperti intervistati da Silicon.com, criminalizza tutti coloro che mettono a nudobug e fallenei sistemi informatici.

Se i legislatori dovessero approvare l'attuale bozza del CMA, da quanto si legge nel testo della riforma, le autorità potrebbero arrestare i cosiddettibug hunterche "scrivono, adattano, diffondono oppure offrono qualsiasi tipo d'articolo" contenente informazioni utilizzabili per "l'abuso dei sistemi informatici". Una descrizione estremamente vaga che sembra proprio comprendere tutte le segnalazioni pubbliche sui malfunzionamenti informatici.

Malcolm Hutty, responsabile del London Internet Exchange, è preoccupato: "Queste disposizioni sono troppo generiche", ha dichiarato in un'intervista rilasciata a News.com, "e possono criminalizzare moltissime persone innocenti". I legislatori vorrebbero imbavagliare i professionisti dell'IT specializzati in sicurezza, poiché possono "scrivere e diffondere informazioni su una falla e dare modo a qualche malintenzionato di sfruttarla per i propri intenti criminali", spiega Hutty.
Per il dott. Richard Clayton della Cambridge University, specialista dell'Internet Crime Forum, la riforma del CMA "non è desiderabile". Il problema fondamentale, stando alle dichiarazioni di Clayton, è che i legislatori britannici non intendono criminalizzare soltanto i protagonisti della sicurezza informatica, ma persino glistrumenti utilizzati per testare i sistemi : dai semplici port-scanner fino ai complessi sistemi di auditing come nmap.

Gli effetti della legge potrebbero portare ad una conseguenza chiara ed estremamente rischiosa: "Le persone scaricheranno comunque gli strumenti di auditing", puntualizza Clayton, "ma invece di prenderli dal Regno Unito dovranno scaricarli dai siti dell'est Europa, dove è molto probabile che siano infestati di trojan: questa legge renderà Internet meno sicura".

La recente impennata di crimini tecnologici ed informatici ha spinto i legislatori britannici ad adottare una linea estremamente dura e forse persino controproducente, come fa notare Clayton. Uno dei provvedimenti più discussi, al centro di numerose polemiche, è l'introduzione del cosiddettoRegulation of Investigatory Powers Act : quando la legge entrerà in vigore, le aziende ed i privati nel mirino delle forze di polizia saranno obbligati a fornire le propriechiavi crittograficheper "favorire le investigazioni".

Tommaso Lombardi
27 Commenti alla Notizia Regno Unito, cacciatori di bug alla sbarra?
Ordina
  • Con tutto il bene che si puo' volere al Regno Unito, ma non sono mica il centro dell'universo informatico. Che senso avrebbe quindi una legge del genere quando tutto il resto del mondo la ignorerebbe e quando gli stessi inglesi potranno attingere alle informazioni da svariate altre fonti?
    non+autenticato
  • Un motivo su tutti: la responsabilta'giuridica.
    Attraverso una tecnologia e' possibile commettere dei reati per i quali si viene perseguiti penalmente e civilmente. Se un sistema che utilizziamo puo' venire usato a nostra insaputa per commettere un reato, a causa di un malfunzionamento, e' evidente che l'unica difesa che abbiamo e' quella che il malfunzionamento in questione sia pubblicamente conosciuto.

    un esempio:

    Alcuni cellulari che implementano il bluetooth sono risultati vulnerabili al call forwarding. Attraverso il bluetooth e' possibile cioe' effettuare da remoto una telefonata con il cellulare di un'altra persona. Se la conoscenza di questa vulnerabilita' rimane confinata nelle stanze dei bottoni dell'industria o peggio di pochi malintenzionati, le chences di chi sia rimasto vittima di un tale evento di dimostrare la propria estraneita' diventano pressoche' nulle. Pensate adesso voi a quanti errori giudiziari possono venir commessi per mancanza di conoscenza specifica.

    hola
    non+autenticato
  • Un conto avvertire che il tal soft è vulnerabile e comunicarlo allo sviluppatore.

    Un altro è spiegare a tutti come localizzare la vulnerabilità, come sfruttarla e creare dei soft d'esempio facilmente 'personalizzabili'.

    Dal momento che il secondo caso è quello ricorrente è bene che si prendano dei rimedi.
  • > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.

    E se l'autore se ne sbatte? Che fai ti tieni il problema incroci le dita e speri che qualcun'altro non lo scopra?

    > Un altro è spiegare a tutti come localizzare la
    > vulnerabilità, come sfruttarla e creare dei soft
    > d'esempio facilmente
    > 'personalizzabili'.

    Mi sembra che l'attuale sistema di divulgazione ritardata funzioni benissimo!

    non+autenticato


  • > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.


    Io non lo comunicherei nemmeno a lui in caso entrasse in vigore una legge simile.

    Metti caso che dopo aver avvisato lo sviluppatore un hacker di parigi mette on-line un exploit per lo stesso bug e lo sviluppatore poi si vendica su di me ? (non importa che pensi io sia la stessa persona o meno l'importante e' avere qualcuno su cui rifarsi)
    non+autenticato
  • - Scritto da: Ubu re
    > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.
    >
    > Un altro è spiegare a tutti come localizzare la
    > vulnerabilità, come sfruttarla e creare dei soft
    > d'esempio facilmente
    > 'personalizzabili'.
    >
    > Dal momento che il secondo caso è quello
    > ricorrente è bene che si prendano dei
    > rimedi.

    Ma non capisci?

    Se le vulnerabilità vengono rese pubbliche, vengono subito corrette dagli sviluppatori, tenendo conto anche del fatto che ormai qualsiasi serio bug hunter comunica la falla prima agli sviluppatori e solo dopo che è stata corretta (o dopo un certo lasso di tempo in assenza di risposta) la rende pubblica. Il sistema funziona bene, se poi ci sono produttori reticenti a fixare le falle è un altro discorso.
    Inoltre, se sei un amministratore di sistema è molto meglio sapere quali sono le falle del tuo sistema, anche se non sono state corrette, per poter prendere i provvedimenti.

    Se invece fosse vietato divulgare i bug, ognuno potrebbe avere numerose falle aperte senza saperlo. I bug verrebbero scoperti comunque (stanne certo), e potrebbero essere più agevolmente sfruttati dai malintenzionati perché, non essendo stati divulgati, nessuno potrebbe prendere i provvedimenti.

    Questa legge, in realtà, diminuirebbe la sicurezza globale: come si fa a non capirlo? E' così ovvio!

    E' come se ti dicessero: guarda, vai pure in quel quartiere, ma attento perché all'angolo con la terza strada a destra c'è un criminale armato di bastone. Tu potresti cambiare strada o indossare un cascoSorride, ma se nessuno ti dicesse niente verresti irrimediabilmente rapinato.

    E chi saranno gli unici a guadagnarci? I grandi produttori di software, che potranno ridurre gli investimenti in sicurezza senza che ciò possa essere reso pubblico, e che sicuramente hanno svolto adeguata azione di lobbying confidando nella totale ignoranza e incompetenza dei politici e dei legislatori sull'argomento, ai quali avranno fatto credere che i bug hunter sono come i cracker eccetera eccetera.
    non+autenticato

  • - Scritto da: Ubu re
    > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.
    >
    > Un altro è spiegare a tutti come localizzare la
    > vulnerabilità, come sfruttarla e creare dei soft
    > d'esempio facilmente
    > 'personalizzabili'.

    ma se la societá che produce il software se ne sciacqua le parti basse per mesi dopo che la vulnerabilitá viene resa nota.. anche se migliaia di crackers, lamers e lusers fanno danno utilizzando quel codice di esempio..

    figuriamoci se questi danno non venissero fatti.. la medesima sarebbe ancora piú letargica..solo coloro che sono a conoscenza dell'exploit lo utilizzerebbero. o lo rivenderebbero. e farebbero danno maggiori. per un tempo piú lungo.. forse per sempre. Anonimo

    > Dal momento che il secondo caso è quello
    > ricorrente è bene che si prendano dei
    > rimedi.

    eh.. un rimedio sarebbe quello di obbligare la societá a reagire tempestivamente.

  • - Scritto da: Ubu re
    > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.
    >
    > Un altro è spiegare a tutti come localizzare la
    > vulnerabilità, come sfruttarla e creare dei soft
    > d'esempio facilmente
    > 'personalizzabili'.

    ma se la societá che produce il software se ne sciacqua le parti basse per mesi dopo che la vulnerabilitá viene resa nota.. anche se migliaia di crackers, lamers e lusers fanno danno utilizzando quel codice di esempio..

    figuriamoci se questi danno non venissero fatti.. la medesima sarebbe ancora piú letargica..solo coloro che sono a conoscenza dell'exploit lo utilizzerebbero. o lo rivenderebbero. e farebbero danno maggiori. per un tempo piú lungo.. forse per sempre. Anonimo

    > Dal momento che il secondo caso è quello
    > ricorrente è bene che si prendano dei
    > rimedi.

    eh.. un rimedio sarebbe quello di obbligare la societá a reagire tempestivamente.

  • - Scritto da: Ubu re
    > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.
    >
    > Un altro è spiegare a tutti come localizzare la
    > vulnerabilità, come sfruttarla e creare dei soft
    > d'esempio facilmente
    > 'personalizzabili'.
    >
    > Dal momento che il secondo caso è quello
    > ricorrente è bene che si prendano dei
    > rimedi.

    No. Una volta individuata la vulnerabilita' e' bene che i particolari siano resi noti. Non e' invece bene che si pubblichino exploit.
    La pubblicazione della vulnerabilita' e' l'unico modo per dare alla comunita' il modo di difendersi, nonche' stimolare lo sviluppatore a porre rimedio ai suoi errori. Troppo comodo svincolarsi con clausole contrattuali dalla responsabilita' di danni originati dal malfunzionamento, e pretendere anche che i malfunzionamenti non siano resi pubblici.

    hola
    non+autenticato
  • E' un bene che tutti sappiano le falle presenti sul proprio sistema, che vengano rese pubbliche e che vengano resi pubblici gli exploit.
    perchè solo così:

    1) Tutti possono rendersi conto delle vulnerabilità presenti (non solo chi ha € da spendere in consulenze)
    2) Le varie software house si svegliano a produrre patch
    3) I sysadmin pigri si svegliano ad aggiornare i sistemi.

    I veri problemi non li produce lo script kiddies che compila l'exploit e fa cazzate. I veri problemi vengono da quelli che, se avessero l'appannaggio di queste informazioni, potrebbero provocare danni serissimi e perdite di milioni di dollari. E nessuno saprebbe contrastarli.

    Sono molto democratico, ma questa non è un'opinione molto discutibile... è la dura realtà dei veri crimini informatici.

    Ma non c'è problema, per queste leggi: dopo i primi x milioni di € di danni da parte di qualche multinazionale le cose cambieranno in fretta.
    non+autenticato

  • - Scritto da: Ubu re
    > Un conto avvertire che il tal soft è vulnerabile
    > e comunicarlo allo
    > sviluppatore.
    >
    > Un altro è spiegare a tutti come localizzare la
    > vulnerabilità, come sfruttarla e creare dei soft
    > d'esempio facilmente
    > 'personalizzabili'.
    >
    > Dal momento che il secondo caso è quello
    > ricorrente è bene che si prendano dei
    > rimedi.

    Un conto è fornire informazioni sulla vulnerabilità, un conto è pubblicare un exploit.
  • si bravo... e chi è che ti stipendia per il lavoro da betatester che fai???

    almeno mi tolgo la soddisfazione di far vedere quanto disgraziato è il loro prodotto!!!!
    non+autenticato
  • A quando la legge per vietare di lamentarsi, di dire che alcuni politici hanno tubato i nostri soldi, ecc.

    Di questo passo sara' perfino, per fare un esempio, dire che se compri una certa automobile e' rumorosa. I diritti di "certi" vanno tutelati anche a discapito di quelli delgi "altri".

    Non sia mai detto che qualcuno rischi di perdere delle vendite, perche' viene diffuso in giro che c'e' un difetto (vi sono perfino dei reati specifici nel codice penale, come quello di boicottaggio). Chi se ne frega se vengano rifilate sole e non si azzardano a dire in giro che sono stati fregati, altrimenti altri non si faranno piu' fregare.

    I bug non sono per nulla differenti ai vizi di fabbricazione. Se un ventilatore ha un difetto e vi e' il rischio che la ventola si stacchi e vada addosso a qualcuno allora tutti i ventilatori di quel tipo vengono ritirati dal mercato. (lo stesso era perfino successo quando qualcuno aveva iniettato una sostanza tossica in un panettone: avevano ritirato tutti i panettoni simili).

    Per il software (e aper alcune altre cose) si ragiona, non si sa il perche', in maniera completamente opposta. Nessuno dica niente, cosi' i "certi" riescono a vendere lo stesso la cosa fatta male.

    Quello che piu' imbarazza, e' che al di la' del nome certi ed altri, in questo caso i "certi" sono sempre gli stessi e gli "altri" sempre gli stessi.
  • Una così rapida evoluzione nel mondo informatico è stata possibile solo grazie alla continua lotta tra hackers. Hackers che cercano di intrufolarsi, e hackers che cercano di difendersi.

    Questo ha portato un rapido evolversi delle tecnologie del software.

    Quando un nuovo baco viene scoperto non è forse meglio che TUTTI lo sappiano?

    Questa proposta di legge sembra fatta ad hoc per un manipolo di administrators svogliati che non hanno voglia di informarsi, di adeguarsi...insomma che non sanno amministrare. E danno la colpa all'hacking sano e genuino.

    Una legge del genere poterebbe solo ad un indebolimento delle infrastrutture inglesi.

    Se fosse presa di esempio dal resto del mondo, significherebbe METTERE UN FRENO ALL'EVOLUZIONE TECNOLOGICA.


    Quindi quele è il vero motivo di una proposta del genere?
    Sparo:
    FAR SI' CHE SOLO POCHI ELETTI POSSEGGANO LE CONOSCENZE PER INTRUFOLARSI NEI SISTEMI ??


    secondo voi?

    non+autenticato

  • >
    > Quindi quele è il vero motivo di una proposta del
    > genere?
    > Sparo:
    > FAR SI' CHE SOLO POCHI ELETTI POSSEGGANO LE
    > CONOSCENZE PER INTRUFOLARSI NEI SISTEMI
    > ??

    Certo. Così come solo una ristretta minoranza strettamente controllata dallo Stato deve poter avere accesso alle armi, disporre di poteri di arresto e quant'altro. Qual'é il tuo problema, THX-1138?
    non+autenticato
  • Il problema non lo vedo tanto nella ristretta o larga schiera dei "privilegiati", quanto piuttosto nel fatto che si passa la colpa da chi la caxxata la fa a chi la caxxata la scopre.

    Sarebbe come se avessero cacciato in galera quelli che hanno fatto il test dell'alce alla Mercedes Classe A scoprendo che capottava alla grande...
  • Hai pienamente ragione.

    Però mi chiedo:
    quali sono i VERI MOTIVI che possono spingere dei politici a proporre una legge del genere?
    non+autenticato

  • - Scritto da:
    > Hai pienamente ragione.
    >
    > Però mi chiedo:
    > quali sono i VERI MOTIVI che possono spingere dei
    > politici a proporre una legge del
    > genere?

    Credo che il discorso lo vedano in quest'ottica: "non bisogna dire a nessuno che una cassaforte si apre senza problemi premendo 1 e 6 insieme per 15 secondi, perchè altrimenti un qualunque ragazzino può diventare un rapinatore."
    E probabilmente pensano che un rapinatore questo non lo sappia già...

    Così alla fine la gente usa una cassaforte che si apre facilmente, i ragazzini non lo sanno, e i delinquenti ringraziano.
  • ottima spiegazione!
    non+autenticato

  • - Scritto da: Logan71

    > Sarebbe come se avessero cacciato in galera
    > quelli che hanno fatto il test dell'alce alla
    > Mercedes Classe A scoprendo che capottava alla
    > grande...

    Dovrebbero. Sai quandi soldi hanno fatto perdere alla Mercedes?
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da: Logan71
    >
    > > Sarebbe come se avessero cacciato in galera
    > > quelli che hanno fatto il test dell'alce alla
    > > Mercedes Classe A scoprendo che capottava alla
    > > grande...
    >
    > Dovrebbero. Sai quandi soldi hanno fatto perdere
    > alla
    > Mercedes?

    Troll da due soldi
    non+autenticato

  • - Scritto da:
    > Una così rapida evoluzione nel mondo informatico
    > è stata possibile solo grazie alla continua lotta
    > tra hackers. Hackers che cercano di intrufolarsi,
    > e hackers che cercano di
    > difendersi.


    ? Faccio presente che l'informatica si occupa di altro, e che i problemi sulla sicurezza dei software, pur rilevanti, sono un corollario.


    > Questo ha portato un rapido evolversi delle
    > tecnologie del
    > software.

    Hacker e' colui che trova modi nuovi per utilizzare una tecnologia, e secondo questa accezione concordo che lo strumento dell'hacking sia un elemento fondante dell'evoluzione tecnologica. Anzi direi umana in generale.

    > Quando un nuovo baco viene scoperto non è forse
    > meglio che TUTTI lo
    > sappiano?

    Assolutamente si. Questo non vale solo per i bug (sdi sicurezza o meno) ma sopratutto per la conoscenza di come "REALMENTE" funzioni una tecnologia. Il divario tra conoscenza della massa e complessita' delle tecnologie e' tale che l'esistenza di una "comunita" di persone con competenze tecniche adeguate, che informano in modo indipendente l'opinione pubblica e'non solo auspicabile ma necessaria. L'analogia (anzi omologia) con il giornalismo mi sembra corretta


    > Questa proposta di legge sembra fatta ad hoc per
    > un manipolo di administrators svogliati che non
    > hanno voglia di informarsi, di
    > adeguarsi...insomma che non sanno amministrare. E
    > danno la colpa all'hacking sano e
    > genuino.

    Ricordiamoci comunque che ad utilizzare le tecnologie informatiche non ci sono solo i professionisti dell'IT


    > Una legge del genere poterebbe solo ad un
    > indebolimento delle infrastrutture
    > inglesi.

    In assoluto si, no fintanto che la legge rimane una singolarita' inglese


    > Se fosse presa di esempio dal resto del mondo,
    > significherebbe METTERE UN FRENO ALL'EVOLUZIONE
    > TECNOLOGICA.

    Se ci si limita ad impedire la pubblicazione specifica dei particolaroi di una vulnerabilita' software la tua rimane un esagerazione. Se si estende il concetto allora hai ragione. Del resto gia' le leggi sui brevetti stanno dando enormi problemi all'evoluzione tecnologica, e scientifica.

    > Quindi quele è il vero motivo di una proposta del
    > genere?
    > Sparo:
    > FAR SI' CHE SOLO POCHI ELETTI POSSEGGANO LE
    > CONOSCENZE PER INTRUFOLARSI NEI SISTEMI
    > ??
    >
    >
    > secondo voi?
    >
    Dubito. Il problema e' di ordine commerciale. L'imperativo e' convincere le persone ad utilizzare le tecnologie informatiche con tranquillita' e "naturalezza". Primo perche' e' il presupposto fondante del commercio elettronico, secondo perche' le tecnologie informatiche sono uno strumento straordinario per il controllo, sia questo finalizzato al marketing commerciale, che al "plasmaggio" dell'opinione pubblica.

    hola
    non+autenticato


  • > Dubito. Il problema e' di ordine commerciale.
    > L'imperativo e' convincere le persone ad
    > utilizzare le tecnologie informatiche con
    > tranquillita' e "naturalezza". Primo perche' e'
    > il presupposto fondante del commercio
    > elettronico, secondo perche' le tecnologie
    > informatiche sono uno strumento straordinario per
    > il controllo, sia questo finalizzato al marketing
    > commerciale, che al "plasmaggio" dell'opinione
    > pubblica.
    >
    > hola



    Credo che siano solo gli hackers ad utilizzare le tecnologie informatiche con tranquillità e naturalezza.
    Tutte le altre persone lo vedranno sempre come una cosa non troppo naturale!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)