Seattle (USA) – Pare che in Microsoft il termine hacker non abbia necessariamente una connotazione negativa. In occasione della conferenza californiana ToorCon , BigM si è schierata pubblicamente a difesa di questa categoria, ammettendo che gli ethical hacker , ossia coloro che scoprono e divulgano le falle “in modo responsabile”, rappresentano spesso “una risorsa preziosa” nel migliorare la sicurezza dei servizi online.
Nel dizionario di Microsoft un ethical hacker è colui che segnala tempestivamente al produttore la falla appena scoperta, magari collaborando alla sua correzione, e ne rende pubblici i dettagli solo dopo che il problema è stato risolto. Ma come ammette Microsoft, oggi i ricercatori che testano la sicurezza dei servizi online corrono comunque dei rischi legali, e ciò anche quando seguono alla lettera la netiquette del “buon hacker”.
A differenza delle applicazioni tradizionali, che vengono testate dai ricercatori di sicurezza all’interno dei propri laboratori e sulle proprie macchine, i servizi online girano generalmente su server pubblici, ed espongono i bug hunter – anche quelli con buoni intenti – al rischio di essere tracciati e perseguiti legalmente. È già successo: alcuni hacker, anche molto giovani, in passato sono stati trascinati in tribunale per il solo fatto di aver segnalato pubblicamente la falla scoperta in una risorsa online, senza per altro averne divulgato i dettagli o pubblicato exploit dimostrativi.
“Tutto ciò non ha senso”, ha commentato Katie Moussouris, security strategist di Microsoft, durante il proprio intervento al ToorCon. “Quando ci imbattiamo in un hacker che agisce responsabilmente a costui noi dobbiamo un favore, e dovremmo ringraziarlo invece di definirlo un poco di buono e consegnarlo alla polizia”.
Moussouris afferma di essersi fatto promotore di una disposizione che, se verrà integrata in uno standard attualmente al vaglio dell’International Organization for Standardization ( ISO ), contribuirà a difendere gli ethical hacker che divulgheranno in modo responsabile le vulnerabilità scoperte nei servizi o nei siti Web di qualsiasi azienda.
Il manager di Microsoft non ha specificato quale sia lo standard a da lui citato, ma The Register ipotizza si tratti della specifica ISO/IEC NP 29147 .
“Non rivolgete il vostro odio verso lo scopritore, ma verso la falla”, ha dichiarato Moussouris rivolgendosi all’industria. “Non è davvero il caso di scoraggiare le persone che stanno tentando di aiutarci a migliorare la sicurezza dei nostri servizi”.