Nell’ultima settimana di giugno 2022, il Dipartimento di Giustizia degli Stati Uniti ha annunciato un drastico cambiamento di politica riguardo al trattamento degli hacker “white hat” che svolgono ricerche di vulnerabilità in buona fede.
Sebbene si tratti di un riallineamento davvero notevole nella percezione e nel trattamento di un sottoinsieme della cultura tecnologica – un riallineamento che, senza dubbio, si è fatto attendere a lungo – è tuttavia solo l’inizio di quello che sarà un viaggio arduo, complesso e cruciale verso l’adozione globale non solo di raccomandazioni politiche, ma anche di legislazioni integrate paese per paese.
Indice degli argomenti
Cosa ha spinto a questo cambiamento
Sono numerosi i fattori che hanno spinto a questo cambiamento, la maggior parte dei quali si fondono in un enigma apparentemente binario che vede da un lato il tasso di avanzamento tecnologico e l’adozione onnipresente, dall’altro la legislazione che gioca a rincorrere e adattarsi.
Nel caso degli hacker “white hat” – ponendo l’accento sulla componente “white hat” (cioè in buona fede/etica) – esiste ancora un divario abissale tra le buone intenzioni di un ricercatore che identifica una vulnerabilità e allerta un’entità e la risposta dell’entità che deve risolvere la vulnerabilità.
In genere, i fornitori dichiarano di accogliere con favore l’approccio dei ricercatori e molti di essi gestiscono programmi di bug bounty o iniziative formali di divulgazione per assicurarsi di poter gestire le segnalazioni di nuove falle con la dovuta rapidità.
Purtroppo, il problema rimane: molti altri fornitori non hanno ancora adottato nulla di simile agli approcci pragmatici e lungimiranti adottati dagli attori più maturi.
In sostanza, l’abuso di leggi rivolte agli aggressori criminali sta rallentando l’utile lavoro svolto dagli esperti in vulnerabilità informatiche. In effetti, in molti Paesi i ricercatori di sicurezza digitale possono incorrere in rischi legali significativi quando segnalano le vulnerabilità ai proprietari delle stesse.
I proprietari delle vulnerabilità possono minacciare i ricercatori di avviare procedimenti legali invece di accogliere le loro segnalazioni di vulnerabilità. Questo rischio legale, aggravato quando le parti interessate sono situate oltre confine, crea potenti disincentivi per la divulgazione coordinata delle vulnerabilità (Coordinated Vulnerability Disclosure, CVD), un modello concordato che meglio si adatta al processo di identificazione e notifica alle parti interessate delle vulnerabilità appena identificate.
Cosa sono la CVD e il Safe Harbour
Il processo di divulgazione coordinata delle vulnerabilità (più conosciuto tra gli addetti ai lavori attraverso l’acronimo inglese CVD) è ben definito da una norma internazionale, la ISO/IEC 29147.
Troviamo anche una definizione della CVD in un contesto di politiche pubbliche, nel glossario della recente strategia nazionale di cybersicurezza 2022-2026 pubblicata dall’Agenzia cyber italiana: “Processo strutturato da uno Stato, attraverso il quale le vulnerabilità informatiche non note, rilevate da ricercatori/ethical hacker, sono segnalate alle organizzazioni in modo tale da consentire a queste ultime di diagnosticarle ed eliminarle.La divulgazione coordinata delle vulnerabilità comprende anche il coordinamento tra il soggetto segnalante e l’organizzazione, relativamente ai tempi per la risoluzione e la pubblicazione delle vulnerabilità”.
A dimostrazione dell’importanza di questo tema, alcuni Stati europei come Francia, Belgio e Olanda hanno da anni adeguato il loro sistema giuridico per facilitare la comunicazione con la comunità dei ricercatori di vulnerabilità informatiche.
Ancora più importante, la volontà di questi Stati a disporre di un quadro giuridico (safe harbour) che protegga i ricercatori da ritorsioni legali che possono derivare non solo dall’applicazione del diritto civile e penale, ma anche dall’applicazione del diritto commerciale.
Inoltre, sempre a livello europeo, è da citare come la revisione della nuova direttiva “Network and Information System Security” ha introdotto l’importanza a livello europeo di stabilire politiche di CVD e processi di gestione/divulgazione delle vulnerabilità. L’Unione Europea invita così gli Stati membri ad adottare misure per facilitare la divulgazione coordinata delle vulnerabilità stabilendo una politica nazionale pertinente.
In questo contesto, è da salutare positivamente l’annuncio nella strategia italiana di cybersicurezza della misura volta a definire di una politica nazionale sulla divulgazione coordinata di vulnerabilità che si trova all’interno del primo obiettivo (Protezione) “definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente”.
Questo processo, certo non nasce dal nulla in Italia: nel 2018 un importante lavoro portato avanti dal Team per la Trasformazione Digitale presso la Presidenza del Consiglio dei Ministri ha redatto una policy CVD che mirava a essere generale e potenzialmente in grado di coprire sia il settore privato che quello pubblico.
Il lavoro è stato svolto in collaborazione con il CERT nazionale e un programma pilota volto a supportare le aziende private nell’implementazione di politiche di CVD era stato lanciato. Con la nuova strategia di cybersicurezza, l’Italia può adeguarsi agli standard dei paesi europei più maturi e alle nuovo misure previste dalla Direttiva NIS.
Cosa si sta facendo, da chi e su che scala
Come si evince dai citati riferimenti al DOJ statunitense e alla Strategia nazionale di cybersecurity italiana, le attuali inadeguatezze insite nei quadri legislativi del passato per quanto riguarda i rapporti con gli hacker in buona fede sono note e, ancora una volta, “a tip of the hat” ai due paesi di cui sopra, vengono prese sul serio.
Complimenti all’Italia per aver integrato questo aspetto come componente chiave della strategia nazionale di cybersecurity – prudente, pragmatico ed essenziale.
Tuttavia – ed è un “tuttavia” considerevole – una manciata di Paesi non costituisce una strategia efficace quando il nostro ecosistema tecnologico è così integrato e globale. Questo problema richiede un coordinamento globale per avere un ritorno positivo, coordinamento che, a sua volta, richiede un organismo unificato che riunisca i Paesi più influenti per adottare le politiche da adottare.
Il ruolo dell’OECD
Numerosi esperti in materia ed enti della società civile, del settore privato e del governo sono perfettamente a conoscenza dei problemi legati alla definizione inadeguata di CVD e “porto sicuro”. Tuttavia, molti degli sforzi compiuti da questi enti sono tipicamente limitati in virtù della loro limitata capacità di influenzare il cambiamento delle politiche a livello mondiale, ovvero hanno spesso una lente nazionale con cui guardare la legislazione.
L’Organizzazione per la Cooperazione e lo Sviluppo Economico (OECD in inglese), il cui Gruppo di Lavoro sulla Sicurezza nell’Economia Digitale (SDE) / Comitato per la Politica dell’Economia Digitale (CDEP) si è concentrato su questo argomento come area di ricerca politica chiave nell’ultimo mezzo decennio – vedi qui e qui.
Lo SDE sta sviluppando una bozza di raccomandazione del Consiglio dell’OCSE sul trattamento delle vulnerabilità della sicurezza digitale, con le seguenti tappe fondamentali:
- si prevede un documento di orientamento sulle buone pratiche basato sulle guide esistenti (ad es. CERTcc, NCSC-NL, ecc.) ma per informare i responsabili politici;
- bozze abbastanza mature al novembre 2021;
- una raccomandazione è uno strumento giuridico internazionale, adottato per consenso (“soft law”);
- si veda il database degli strumenti giuridici dell’OCSE: 173 quelli in vigore.
Degni di nota sono i successi storici e gli ambiti di lavoro adiacenti che richiedono una coesione globale e che l’OECD è riuscita a influenzare positivamente (sicurezza digitale delle attività critiche, sicurezza digitale dei prodotti e dei servizi, responsabilità degli operatori economici quando rispondono agli attacchi, ad esempio l’argomento “hack-back”, “risposta responsabile”, sicurezza delle reti di comunicazione, ad esempio infrastrutture, routing, DNS).
Come spesso accade, però, “life happens”, la memoria può essere corta con l’ultima tragedia e mantenere l’entusiasmo e la consapevolezza di un’agenda importante può essere importante quanto l’agenda stessa.
Bona Fide Digital Security Researcher Coalition
La Bona Fide Digital Security Researcher Coalition è stata creata con l’intento specifico di sostenere l’OECD nel raggiungimento dei suoi obiettivi politici, allineando un gruppo di stakeholder chiave (elencati di seguito), tra cui aziende, ONG e altre iniziative, che condividono obiettivi e valori comuni.
Si tratta, in sostanza, di un archivio e di una comunità di riferimento per le migliori pratiche in materia di CVD e Safe Harbour, con raccomandazioni e consigli generati all’interno della comunità che potrebbero influenzare la legislazione in materia di CVD in tutto il mondo.
A tal fine, l’intento è quello di promuovere l’impegno e il flusso di informazioni tra le entità che hanno una buona conoscenza della CVD e della gestione delle vulnerabilità, ossia i CERT, le piattaforme di bug bounty, i singoli ricercatori e gli enti governativi competenti eccetera.
La coalizione internazionale sosterrà la modifica delle leggi per garantire che i ricercatori di sicurezza digitale che agiscono in buona fede non temano più risposte legali punitive da parte delle aziende che cercano di aiutare facendo luce sulle vulnerabilità trovate nelle suite tecnologiche.
Il Progetto lavorerà per definire leggi modello che proteggano i ricercatori di minacce e poi incoraggerà i membri di tutto il mondo a fare pressione per la loro introduzione in diverse giurisdizioni.
Come dimostrano i nomi dei sostenitori elencati di seguito, questo è considerato un tema critico da tutti i lati della barricata della gestione delle vulnerabilità. Per gli hacker che agiscono in buona fede e cercano di fare la differenza nel mondo, sappiate che molti sono dalla vostra parte.
Name | Entity |
Bruce Schneier | Bruce Schneier |
John Salomon | Cybersecurity Advisors Network (CyAN) |
Pierre Noel | Cybersecurity Advisors Network (CyAN) |
Arnaud Coustilliere | Cybersecurity Advisors Network (CyAN) |
Stéphane Duguin | Cyber Peace Institute |
Klara Jordan | Cyber Peace Institute |
Katharina Sommer | CyberUp UK (NCC Group) |
Verona Hulse | CyberUp UK (NCC Group) |
Tom Darling | CyberUp UK (Tendo Consulting) |
Michael Daniel | Cyber Threat Alliance |
Casey Ellis | Disclose / Bugcrowd |
David Hoffman | Duke University |
Keith Gross | ENISA FI |
Amélie Rives | FIC (International Cybersecurity Forum) |
Guillaume Tissier | FIC (International Cybersecurity Forum) |
Chris Painter | GFCE |
Kazuo Noguchi | Incs-Coe |
Inti De Cekeulaire | Intigriti |
Koichiro Komiyama | JPCERT/CC |
Cherry Wong | Keio University |
David Farber | Keio University |
Michał Rekowski | Kosciuszko Institute |
Samuel Dralet | Lexfo |
Katie Moussouris | Luta Security |
Edward Farrell | Mercury ISS |
Amanda Craig | Microsoft |
Chelsea Smethurst | Microsoft |
William Bartholomew | Microsoft |
Ciaran Martin | Oxford University |
Oliver Rochford | Securonix |
Stefan Jost-Dummer | Siemens |
Maxence Bobin | Squad (CyAN Member) |
Renaud Feil | Synacktiv |
Guillaume Vassault-Houlière | YesWeHack |
Danilo D’Elia | YesWeHack |
Ari Schwartz | Venable Law |
Bri Law | Venable Law |
Alexander Botting | Venable Law |
Yassir Kazar | Yogosha |
Per avere maggiori informazioni su come partecipare, è possibile contattate Nick Kelly o Danilo D’Elia.
