Una serie di riflessioni a quattro mani, scaturite dal dialogo tra Fredi Ricchioni, giurista appassionato di informatica e hacking e Raoul Chiesa, uno dei primi ethical hacker italiani, sulle profonde differenze tra l'hacking - giunto ad punto cruciale della propria storia - e la criminalita' informatica. Il dialogo analizza anche la vigente legislazione italiana sui crimini informatici e le differenti visioni sul disclosure delle informazioni

Parte I - L'etica hacker, la criminalita' informatica e le attuali legislazioni

Oggigiorno sentiamo parlare sempre piu' di violazioni, danneggiamenti e truffe telematiche ai danni di sistemi informativi sparsi per il mondo. Il tema dominante e' quello della nuova criminalita'.
Della criminalita' "classica", attuata mediante i nuovi mezzi di manifestazione del pensiero, e di "nuova" criminalita' che si e' manifestata solo a partire dai primi anni settanta.
Nuovi comportamenti che, a seguito delle nuove opportunita' offerte dalla tecnologia informatica, minacciano sia i beni giuridici gia' esistenti, (si pensi al danneggiamento informatico in relazione alla tutela del patrimonio), sia i "nuovi" beni: privacy, domicilio informatico etc.
È lecito, quindi, chiedersi se la reazione del nostro ordinamento a tali aggressioni sia adatta ai tempi o se, come probabile, gli strumenti utilizzati siano inadeguati per non dire inutili.

Come gli altri paesi della famiglia romano-germanica, l'Italia per fronteggiare situazioni pericolose nuove ha infatti sempre fatto largo, per non dire esclusivo, uso dello strumento della sanzione penale.
A dispetto delle proclamazioni costituzionali l'attivita' "specialpreventiva" e' invece spesso rimasta argomento delle sole dispute dottrinali ed il legislatore, al limite, si e' affidato alla sanzione
amministrativa.
Quindi, anche in questo caso, ad un mezzo repressivo e (quasi) sempre dopo un periodo di "vigenza" penale (con la depenalizzazione).

La diffusione di tali strumenti alternativi alla pena e' stata sempre ostacolata dal pregiudizio sulla loro reale capacita' di essere alternative "valide".
Nel momento in cui, oggi, anche lo strumento "principe" incomincia ad evidenziare tutti i suoi limiti e' forse, pero', finalmente giunto il momento di abbandonare le ataviche diffidenze e mettere tutto il sistema pubblico di protezione dei beni giuridici in discussione. A partire proprio dal sistema penale. Iniziando col ricondurlo... nel suo alveo originario.

Non vi e' dubbio che il ricorso allo strumento della pena sia (o meglio) debba essere limitato in relazione a quelle lesioni cagionevoli di un danno tale da considerarsi intollerabile dal nostro ordinamento giuridico e vieppiu', incapaci da prevenirsi attraverso strumenti alternativi a quello della sanzione penale. (sanzioni amministrative, misure preventive, ecc.).

Degno di considerazione appare, allora, il ricorso alla pena nel caso in cui si sia svolta una attenta analisi del grado di lesivita' dei beni protetti dai comportamenti ritenuti devianti. Solo quando questi appaiono intollerabili ai piu', il ricorso alla sanzione penale appare giustificata. Sembrerebbe che o tale soggettivita' (la collettivita' sociale) si sia espressa esplicitamente in tal modo o che si possa, (e appare piu' consono al sistema della democrazia rappresentativa), ritenere che in tal senso sia manifestata, ma tacitamente, la sua volonta'.

Quindi appare evidente ricorrere alla pena solo nei casi in cui la lesione sia di tale gravita' e di tale portata per cui nulla e nessuno possa mettere in dubbio la necessita' di tale strumento. La extrema ratio della pena, (il fine giustifica i mezzi), ci appare consona solo in relazione al sistema (tempo, spazio, rapporti umani) in cui viene attuato.

L'insicurezza nel nostro sistema e dei valori che lo sorreggono impone una tutela rafforzata di beni (giuridici) che ne costituiscono il fondamento. All'aumentare pero' della loro sicurezza si impone una diminuzione delle misure atte a proteggerli. Non ha senso infatti tutelare cio' che si auto tutela. Da quanto detto, appare sempre piu' evidente che, alla luce delle profonde trasformazioni delle normative atte a tutelare quei beni (che oggi appaiono sempre piu' auto tutelati), non assume nessun rilievo una sanzione di tipo afflittivo come quella di natura penale.

Molte delle lesioni che anni fa apparivano intollerabili oggi assumono una lesivita' tale da non destare alcun allarme sociale. L'informatizzazione ha difatti posto una crescente attenzione da parte di tutti su alcune tematiche (es: la tutela dei dati digitalizzati) ed oggigiorno una tutela penale forte di tali beni appare del tutto insensata. All'accelerazione del divenire della societa' corrisponde un parallelo divenire dei beni posti a suo fondamento. Appare quindi necessario sempre piu' una rivisitazione dei sistemi di tutela degli stessi. I beni informatici hanno una natura particolare e a differenza di quelli "analogici" o "classici" mutano piu' velocemente nel tempo. Il concetto stesso di beni quali il domicilio informatico appare oggi alquanto indefinito, ed e' logico che lo sia, se lo si pone in rapporto a quello della sfera della personalita', che sempre piu' si realizza attraverso nuove forme di manifestazione del pensiero. La suddetta riflessione impone che si comprenda come l'hacking, o meglio la nuova etica del pensiero ad essa sottostante (la necessita' di cogliere la sostanza delle cose senza fermarsi alla sola forma), si accinga a spiegare questi mutamenti sociali ritenuti la base portante del sistema.

La nuova societa' che si sta formando appare sempre piu' legata alla disponibilita' del flusso di informazioni: ve ne sono di private e di pubbliche. Il rapporto tra queste appare sempre piu' sbilanciato verso le prime. Difatti cio' che e' pubblico puo' divenire privato molto piu' facilmente del contrario.

Oggi e' questo che si avverte. Molte delle informazioni pubbliche, (osservabili da tutti in una relativa realta' fenomenica), vengono trasformate da privati e distribuite al pubblico. Nel processo molte di queste vengono privatizzate. La ricerca di cio' che accade, nei punti piu' reconditi del sistema che ci circonda, appare sempre piu' difficile. La rete telematica, per eccellenza, appare in grado di ripristinare l'equilibrio. Sino ad ora essa e' pubblica, non vi sono privati che possono reclamare la integrale titolarita' dei contenuti o dei sistemi che la compongono. La liberta' dell'informazione appare necessaria per ristabilire un ordine sociale. Un ordine in cui ognuno possa, in base alle proprie capacita' e nel pieno sviluppo della propria personalita', partecipare per costituirlo. Solo con il libero accesso alle informazioni ognuno di noi puo' vivere liberamente in un mondo dove le diverse reti di comunicazioni consentono a cose o a persone di transitare da un luogo all'altro in poco tempo. Di questo discutono gli hackers: della liberta' delle informazioni e della possibilita' di utilizzare la rete a tal fine, della necessita' di una miglior tutela della privacy e di una pubblicazione di quelle informazioni (ora private) che sono ritenute essenziali per una vita libera e dignitosa. Nel criminalizzare i comportamenti di coloro che cercano di accedervi, molti media hanno mal interpretato il loro operato definendoli criminali del cyberspazio o piu' semplicemente pirati informatici.

Parte II - L'etica ed il mercato: Non-Disclosure vs. Full-Disclosure (e semi-disclosure)

Secondo gli hacker e' necessario che le informazioni siano rese pubbliche e che il pubblico possa, cosi', partecipare attivamente alla vita sociale senza che vi sia un disequilibrio all'interno della stessa societa', che possa portare alla costituzione di gruppi di potere di cui nulla e nessuno puo' controllare il relativo operato. Il problema appare verosimilmente attuale se riferito al dibattito sul non disclosure / full-disclosure e di chi sostiene che si debba procedere secondo una via di mezzo, il cosiddetto: semi-disclosure.

Per i primi la politica migliore in tema di sicurezza informatica e' quella di non fornire alcuna informazione sulle falle del software che viene immesso in circolazione.
Per i secondi invece tale tesi appare insostenibile. Questi a loro dire rivendicano il principio che solo una politica di informazione puo' garantire la sicurezza dei sistemi informatici e telematici. Solo chi sa di trovarsi di fronte ad un sistema bacato e' in grado di provvedere a sistemarlo. I cosiddetti exploit, (i programmi che sfruttano i bug dei software), non fanno altro che rivelare a tutti (anche ai meno esperti) la pericolosita' dei software "fallati".

Tra questi vi sono quelli che sostengono in parte entrambi le tesi ricavandone quella del semi-disclosure . Per quest'ultima appare corretto rivelare le falle dei sistemi senza pero' creare e divulgare alcun programma che ne sfrutti le insicurezze.
Optare per una delle tre tesi, (anzi per la migliore), e' il punto principale che da qualche tempo assilla le menti degli esperti di sicurezza informatica. Non e' facile dire quale sia la scelta migliore se non la si pone in rapporto al fine per cui si sceglie. Quest'ultimo spinge l'attore ad un'analisi dei pro e dei contro di ogni via perseguibile.

Cio' che conta e' raccogliere il piu' possibile dei punti favorevoli, (piu' pro che contro), per la finalita' per cui si sceglie. Analizzando sotto tale ottica le diverse possibilita' in rapporto al fine che qui sembra essere la sicurezza dei sistemi informatici e telematici possiamo dire quanto segue:

(tre sono le scelte perseguibili da parte di chi scopre il difetto):

A0: Pubblicare tutte le falle ed i programmi per sfruttarle.
B0: Pubblicare solo le falle.
C0: Non pubblicare nulla.

Il fine: la sicurezza dei sistemi informatici e telematici.

A tali azioni corrisponderanno delle reazioni da parte di coloro che penetrano nei sistemi (cracker).

Le loro scelte sono:

A1: Scoprire il difetto e fare un programma per sfruttarlo.
B1: Cercare di realizzare un programma utilizzando le informazioni pubblicate.
C1: Utilizzare il Programma pubblicato.

Il fine: accedere facilmente al sistema informatico - telematico.

Vi sono poi le software house (i vendor) che loro volta reagiranno alle mosse dei primi e dei secondi.

Le loro scelte sono:

A2: Non fare nulla
B2: Creare una patch per risolvere il problema.
C2: Fornire informazioni al pubblico per risolvere il problema, (o negando l'importanza del bug pubblicato ovvero fornendo importanti informazioni per risolvere il problema).

Il fine: ottenere il massimo guadagno col minimo costo.

Tutte le combinazioni sono:

Se 1 A0 allora 2 A1 e 3 quindi A2.
Se 1 A0 allora 2 A1 e 3 quindi B2.
Se 1 A0 allora 2 A1 e 3 quindi C2.
Se 1 A0 allora 2 B1 e 3 quindi A2.
Se 1 A0 allora 2 B1 e 3 quindi B2.
Se 1 A0 allora 2 B1 e 3 quindi C2.
Se 1 A0 allora 2 C1 e 3 quindi A2.
Se 1 A0 allora 2 C1 e 3 quindi B2.
Se 1 A0 allora 2 C1 e 3 quindi C2.
Se 1 B0 allora 2 A1 e 3 quindi A2.
Se 1 B0 allora 2 A1 e 3 quindi B2.
Se 1 B0 allora 2 A1 e 3 quindi C2.
Se 1 B0 allora 2 B1 e 3 quindi A2.
Se 1 B0 allora 2 B1 e 3 quindi B2.
Se 1 B0 allora 2 B1 e 3 quindi C2.
Se 1 B0 allora 2 C1 e 3 quindi A2.
Se 1 B0 allora 2 C1 e 3 quindi B2.
Se 1 B0 allora 2 C1 e 3 quindi C2.
Se 1 C0 allora 2 A1 e 3 quindi A2.
Se 1 C0 allora 2 A1 e 3 quindi B2.
Se 1 C0 allora 2 A1 e 3 quindi C2.
Se 1 C0 allora 2 B1 e 3 quindi A2.
Se 1 C0 allora 2 B1 e 3 quindi B2.
Se 1 C0 allora 2 B1 e 3 quindi C2.
Se 1 C0 allora 2 C1 e 3 quindi A2.
Se 1 C0 allora 2 C1 e 3 quindi B2.
Se 1 C0 allora 2 C1 e 3 quindi B2.

Da queste pero' bisogna escludere quelle assurde: proviamo a vedere cosa succede.

Il primo gruppo (Se 1 A0 allora 2 A1 ecc.) e' da escludere: rappresenta il caso in cui si pubblica il difetto e il programma ma il cracker cerca solo di scoprire il difetto senza utilizzarli.

Il secondo gruppo (Se 1 A0 allora 2 B1 ecc.) e' da escludere: si pubblicano le informazioni e il programma ma il cracker utilizza solo le informazioni per fare il programma che gia' esiste.

Il terzo (Se 1 A0 allora 2 C1 ecc.) invece e' possibile: si pubblicano le informazioni e il programma ed il cracker usa il programma pubblicato.

Il quarto (Se 1 B0 allora 2 A1) e' da escludere: si pubblicano solo le informazioni ed il cracker decide di scoprire il difetto ed usa il programma.

Il quinto (Se 1 B0 allora 2 B1 ecc.) e' possibile: si pubblicano solo le info ed il cracker decide di utilizzare il difetto per scrivere il programma.

Il sesto (Se 1 B0 allora 2 C1 ecc.) e' da escludere: si pubblicano solo le info e il cracker decide di usare il programma. (che non c'e')

Il settimo (Se 1 C0 allora 2 A1) e' possibile: non viene pubblicato nulla ed il cracker decide di scoprire il difetto e scrivere il programma.

L'ottavo (Se1 C0 allora 2 B1 ecc.) e' da escludere: non viene pubblicato nulla ed il cracker decide di utilizzare il difetto e scrivere il programma.

Infine, il nono (Se 1 C0 allora 2 C1 ecc.) gruppo e' da escludere: non viene pubblicato nulla ed il cracker decide di utilizzare il programma (che non c'e').

Rimangono quindi solo tre gruppi di possibilita':

il terzo:

Se 1 A0 allora 2 C1 e 3 quindi A2.
Se 1 A0 allora 2 C1 e 3 quindi B2.
Se 1 A0 allora 2 C1 e 3 quindi C2.

La migliore sembra essere la seconda scelta:

Se 1 A0 allora 2 C1 e 3 quindi B2.

Il quinto:

Se 1 B0 allora 2 B1 e 3 quindi A2.
Se 1 B0 allora 2 B1 e 3 quindi B2.
Se 1 B0 allora 2 B1 e 3 quindi C2.

La migliore sembra la terza scelta:
Se 1 B0 allora 2 B1 e 3 quindi C2.

E il settimo:

Se 1 C0 allora 2 A1 e 3 quindi A2.
Se 1 C0 allora 2 A1 e 3 quindi B2.
Se 1 C0 allora 2 A1 e 3 quindi C2.

La migliore sembra la prima scelta:

Se 1 C0 allora 2 A1 e 3 quindi A2.

Tra queste le scelte migliori sono:

Se 1 A0 allora 2 C1 e 3 quindi B2.
Se 1 B0 allora 2 B1 e 3 quindi C2.
Se 1 C0 allora 2 A1 e 3 quindi A2.

Se consideriamo che la scelta migliore e':
per il primo soggetto quella di pubblicizzare sia il difetto che il programma che ne sfrutta le caratteristiche per incrementare la sicurezza dei sistemi.

Per il secondo soggetto, quella di utilizzare le informazioni e il programma per accedere ai sistemi.

Per il terzo soggetto quella di non dover fare nulla (cosi' da non aumentare i propri costi di produzione).

Si avra' che la scelta migliore per la maggioranza dei soggetti e' quella data da:

Se 1 A0 allora 2 C1 e 3 quindi B2 (la prima).

Lo scopritore del difetto pubblica le informazione e il programma e il cracker le usa e la software house e' costretta a produrre la patch, per eliminare il problema.

Nel secondo caso invece:

Se 1 B0 allora 2 B1 e 3 quindi C2.

Se si pubblica solo il problema, il cracker deve realizzare il programma e la software house fara' affidamento sul fatto che nessuno sia in grado di realizzarlo a breve limitandosi ad indicare solo le informazioni necessarie per farvi fronte.

Nell'ultimo caso invece:

Se 1 C0 allora 2 A1 e 3 quindi A2.

Se lo scopritore decide di non pubblicare il problema, il cracker dovra' scoprirlo e creare il programma per sfruttare la falla. In questo caso, la software house potra' ben decidere di non fare nulla ritenendo che non esista alcun problema.

Sia nel secondo che nel terzo caso, invece, le scelte non sono le migliori per la maggior parte dei soggetti.

Nel secondo e nel terzo non vi sara' alcun programma per sfruttare il bug e la casa produttrice sara' tenuta, per ridurre i costi di produzione, a sottovalutare il problema non facendo nulla, ovvero, solo il minimo indispensabile. La software house otterra' cosi' cio' che desidera. Il cracker pero' rimarra' insoddisfatto perche' dovra' creare il suo programma. Idem per chi ha scoperto il problema che non lo vedra' risolto.

Appare quindi, in conclusione, evidente che la scelta migliore sia quella di spingere le software house a produrre una patch per il difetto riscontrato onde evitare che il tema della sicurezza informatica rimanga solo un punto di discussione per gli addetti al settore.

Ci auguriamo che queste nostre riflessioni invitino i lettori a riflettere a loro volta su queste delicate problematiche.

Gli autori desiderano ringraziare per la collaborazione l'Avv. Lorenzo Lanzo.

Copyright (c) 2001 (GNU/FDL License)
This article is under the GNU Free Documentation License.
Verbatim copying and distribution of this entire article is permitted in any medium, provided this notice is preserved.