Incoraggiare i ricercatori di sicurezza a individuare bug e vulnerabilità e premiarli per degli exploit che potrebbero, pur diffusi in buona fede, essere assimilati a soluzioni per “permettere l’esecuzione di istruzioni fornite dall’esterno” o a software per sfuggire a strumenti di intrusione risulta sconveniente, a livello internazionale: le discusse modifiche recentemente apportate all’accordo globale di Wassenaar hanno mietuto una vittima, la manifestazione Pwn2Own in programma a Tokyo per il mese di novembre.
Il trattato internazionale che da anni regola l’esportazione di armi convenzionali e di beni o tecnologie neutrali che potrebbero essere impiegati per scopi non pacifici è stato rielaborato ad includere, dal 2014, delle categorie che potrebbero abbracciare l’operato dei ricercatori di sicurezza: se gli States, complice l’ allarme lanciato dall’industria IT, hanno di recente avviato un intenso dibattito per valutare l’opportunità del recepimento degli emendamenti, il Giappone ha scelto di abbracciare le modifiche. Modifiche che concretizzano i timori a cui hanno dato voce ricercatori e security company.
HP, dopo aver investito tempo e risorse nello studio delle previsioni e delle definizioni della più recente versione del trattato, ha scelto di revocare il proprio supporto all’evento Pwn2Own in programma a Tokyo per il mese di novembre, tradizionale manifestazione nel corso della quale hacker e ricercatori si sfidano nell’individuare vulnerabilità e nel dimostrare attacchi ai più noti software sulla piazza, premiati dalle aziende che grazie al loro operato possano risolvere i problemi riscontrati.
The first bona fide casualty of the Wassenaar changes: HP won’t be doing PWN2OWN Mobile in Japan due to new export restrictions. But…
– dragosr (@dragosr) 1 Settembre 2015
A dare notizia della defezione di HP è Dragos Ruiu, organizzatore dell’evento giapponese: ha spiegato ad Ars Technica che i legali di HP stanno da tempo studiando le implicazioni delle nuove regole implementate nel trattato sulle esportazioni e che hanno le ritenute troppo vaghe per correre il rischio di una violazione, ad esempio nell'”esportare” negli States del codice di un exploit illustrato dai ricercatori nel Sol Levante. L’evento è dunque stato cancellato per decisione di Zero Day Initiative, programma per premiare i cacciatori di bug sostenuto da Tipping Point, divisione di HP dedicata alla sicurezza.
C’è chi sospetta che la rinuncia del colosso statunitense abbia a che vedere con l’ intenzione di cedere Tipping Point, ma HP ha confermato la propria revoca del supporto alla manifestazione dichiarando che “a causa della complessità per gli organizzatori di ottenere in tempo reale delle licenze di import export per i paesi che partecipano all’intesa di Wassenaar, la Zero Day Initiative ha avvertito l’organizzatore della conferenza, Dragos Ruiu, che non sosterrà il contest Pwn2Own”.
Gaia Bottà