È stato considerato il più grande hacker della sua epoca, e anche un criminale: per questo è finito dietro le sbarre, ma ciò non ha impedito al Condor (al secolo Kevin Mitnick ) di rifarsi una vita una volta uscito di prigione. Da qualche tempo Mitnick è anche impegnato nell’attività di consulente per la sicurezza informatica: ora ha aggiunto un nuovo servizio al portafogli di quelli offerti dalla sua società, un borsino per la compravendita di vulnerabilità zero-day . Un mercato sulla cui eticità e legittimità da sempre il mondo dell’informatica è diviso.
Tecnicamente la decisione di commerciare in exploit, ovvero bug sfruttabili per forzare la mano a software commerciali o FOSS, non è necessariamente una mossa che trascina il business nell’illegalità: ipoteticamente potrebbero essere le stesse aziende che producono un’applicazione a rivolgersi a Mitnick per conoscere falle imponderabili del proprio software. In ogni caso si tratta di una zona grigia, che può garantire il proliferare di un certo tipo di hacker (non propriamente fedeli a un etica irreprensibile) e pure esporre software popolari e molti utenti a minacce ignote e persistenti : se un’organizzazione criminale si accaparrasse un metodo per penetrare in un sistema operativo di largo impiego, se un’agenzia (governativa o meno) ottenesse una backdoor per frugare nei dati dei privati, la faccenda potrebbe restare legale, sconfinare nell’illegalità o porre seri problemi sull’eticità del commercio.
Mitnick ha voluto chiarire un paio di punti di questa sua nuova impresa a Wired : innanzi tutto ha specificato che i prezzi per un exploit partono da 100.000 dollari (e crescono probabilmente in funzione della portata e della complessità degli stessi), e poi ha chiarito che lui e il suo team valutano i potenziali acquirenti per impedire che informazioni preziose finiscano nelle mani sbagliate (anche se sono mani governative: a sostegno di ciò, il Condor cita il suo non esattamente idilliaco rapporto con le forze dell’ordine). Messa così la faccenda potrebbe anche essere liquidata rapidamente, se non fosse che ciò non esclude che un concorrente possa decidere di ficcare il naso nelle attività di un’altra azienda, e che è ancora lo stesso Mitnick a dire che non va di certo a chiedere ai suoi clienti che cosa intendono fare con le informazioni per cui pagano.
Il celebre hacker, nonché reo-confesso di reati informatici, si muove dunque su un terreno scivoloso. Molte aziende che si occupano di sicurezza, gli stessi creatori degli antivirus che proprio Mitnick indica tra i suoi potenziali clienti, non hanno mai visto di buon occhio questo tipo di compravendita : più che un “Amazon degli exploit”, il programma Absolute di Mitnick rischia di trasformarsi in una spinta economica a cercare bug nel software altrui senza informare gli interessati e anzi mettendo all’asta la sicurezza collettiva. Ci sono persino due abbonamenti-sottoscrizione , uno con tanto di “lista dei desideri” per l’exploit di cui si è in cerca (e Mitnick si dice anche in grado di produrne o farne produrne uno), o con avvisi in tempo reale nel momento in cui uno nuovo si renda disponibile per l’acquisto.
Luca Annunziata
Ti potrebbe interessare
1 ott 2014