Passa ai contenuti principali

Etica nella sicurezza informatica

Indegnamente sentiamo parlare sempre più spesso di “hacker”.

“Hacker” che violano i sistemi informatici degli utenti per rubare carte di credito, “hacker” che attentano all’immagine (defaciare) di questo o quel sito, “hacker” che rilasciano malware/scareware/ransomware (anche mia madre sa di CryptoLocker) o peggio un più generico “VIRUS P3R1C0L0S1SS1M0” associato a chissà quale fantomatico “h4ck3r”. (succederà sempre più spesso, do you know cybercrime or cyberwar? ndA)
hacaro anni ‘9X: Immagine stereotipata classica di un hacker con potentissimo portatile dell’epoca con vista su LPT e PCMICIA (Spero solo che quello che si vede a SX non sia un connettore AT per tastiera da 5 pin).
Al di là dei pessimi giornalisti, e del loro sensazionalismo a cui siamo oramai assuefatti nostro malgrado, le domande che, ipotizzo, l’ItalianoMedio(tm), un UberLoser qualsiasi o semplicemente io mi pongo tipicamente sono:
  • UL — Perché? Perché fanno queste cose? Non potrebbero andare a lavorare?
  • IO — Perché sono costretto a sentire camionate di fuffa?
  • IM — Quando comincia l’isola dei famosi/xfactor/”echo $QUIZACASO”
  • IO — Tu, giornalaio, vuoi che la gente si faccia un’opinione negativa sul tema?
  • IM — zZzZzZzZz (Idle cerebrale)
  • UL — Questa criminalità è dilagante (addendum per UL disfattista “stiamo andando allo sfascio”)
  • IM — “Internet è il maleeee” (brandendo un simbolo religioso a caso)
Fine dello sclero, ma:
  • se le loro azioni fossero giuste (hacktivismo)?
  • e se invece fossero sbagliate (terrorismo o spionaggio)?
  • bonus: e se Darwin avesse torto? NdA
Alla fine della giostra delle domande retoriche queste azioni sono accettabili ed etiche?
(non deludermi lettore, confido molto in te dimmi che almeno una di queste ti è mai balenata in testa e per la cronaca spero non siano né quelle dell’UL né quelle dell’IM — ndA)
Al 99,99% (tu sei lo 0,01) della popolazione non frega niente ed abbandonerà la lettura già ora, semmai fosse arrivata qui per errore, quindi ciao a chi abbandona e buona lettura a chi prosegue (molte grazie).
Dicevamo, a ecco, il pensiero comune che scaturisce dalle modalità con cui i fatti vengono riportati dai media converge inevitabilmente sull’inaccettabilità del gesto in sé, ma cosa dire di noi professionisti, consulenti e operatori dell’IT/ICT Security?
Qualcuno liquida la cosa con un: “Ma sono ragazzate”, altri con un più solidale “ecco bravi smontate quelle pattumiere di server/siti/sistemi così almeno li patchano”, altri ancora magari si soffermano sulle conseguenze di certi gesti con un terrorizzante “cavolo potevano essere i miei server
NB: il possessivo è d’obbligo perché, anche se sono dell’azienda e se non lesina strali di odio, il SysAdmin tipo li considera estensione del suo nucleo famigliare o più semplicemente “prole”.
Io vorrei invitarvi a riflettere su di una cosa: in che modo agisce sul nostro lavoro tutta questa mala pubblicità (per non dire camionata di letame)?
Come vengono percepire le nostre azioni quando, in difesa delle reti dei nostri clienti e/o in difesa delle nostre reti e infrastrutture, ci prodighiamo in azioni che possano essere considerate simili a quelle dei sopra menzionati “hacker”? Dove sta la differenza?
Durante il processo di certificazione CISSP uno dei requisiti principali per l’adesione all’(ISC)2 e per la certificazione stessa è la sottoscrizione e la conoscenza del codice etico i cui canoni recitano così:
  1. Proteggi la società, il bene comune e le infrastrutture.
  2. Agisci in modo onorabile, onesto, giusto, responsabile e seguendo le leggi
  3. Fornisci i tuoi servizi verso i clienti in modo diligente e con competenza
  4. Promuovi e proteggi la professione
NB: Faccio notare che l’ordine numerale dei canoni è significativo nel processo di “risoluzione” di una questione etica.
Quelle elencate dall’(ISC)2 sono linee guida ad uso “professionale”, in tutto il codice etico viene implicitamente riconosciuto che il professionista è “chiamato a compiere delle scelte etiche spesso difficoltose, non tanto per discriminare il bene dal male, quanto per distinguere il maggior bene ed il minore dei mali.” Inoltre tali regole devono essere utilizzare come ausilio “nel compiere tali scelte; non devono invece essere utilizzate per commentare tali difficili scelte” quindi non possono essere utilizzare per giudicare ma questo è un altro film.
Tuttavia anche applicare questo semplice approccio su 4 punti non risulta facile visto che già nel primo canone si parla di “bene comune” ma cosa vuol dire? A quale accezione si fa riferimento? Una breve disamina per sviscerare alcuni punti a riguardo.

L’etica utilitaristica

Jeremy Bentham
Stuart Mill
Jeremy Bentham e John Stuart Mill “creano” l’Utilitarismo nel 19° secolo. La premessa fondamentale di tale dottrina consiste nell’idea che le azioni che forniscono la maggior “quantità di bene” sul male sono scelte etiche o morali. Ad esempio, se dici una bugia per proteggere la vita di qualcuno, possiamo considerare tale decisione una buona scelta etica nell’ambito del sistema dell’Utilitarismo, il danno minore è fatto dunque dalla menzogna piuttosto che dalla verità.
Attenzione! Se riflettiamo bene sul processo decisionale, questo sistema di etica conduce molto velocemente lungo la strada de “Il fine giustifica i mezzi”. C’è sempre un bene “superiore” cui si possa far riferimento (chi ha detto religione? Per altro terribilmente attuale oggigiorno).
Un successivo punto di vista dell’etica Utilitaristica, o una sua evoluzione se vogliamo, imporrebbe di prendere la propria scelta non soltanto in merito a quello che è il bene più grande per il singolo ma pensando al bene più grande in assoluto per tutta la società (non soltanto per quella in cui l’individuo vive, capito USA?. Tornando al nostro esempio della menzogna per salvare una vita, potremmo osservare che, in questa interpretazione alternativa, mentire potrebbe non essere la cosa migliore in assoluto, se perpetrando tale atto si difendesse un assassino condannabile ad esempio (poi c’è carcere e carcere per cui la cosa potrebbe essere rivalutata ndA).

L’approccio sui diritti

la fronte di Kant
Tale approccio si basa sul principio che gli individui hanno il diritto di fare sì le proprie scelte, ma nel rispetto di alcuni principi quali: il diritto alla verità, il diritto alla privacy, il diritto alla salute, il diritto al rispetto degli accordi. Per giudicare il bene o il male, ciò che è morale da ciò che non lo è, ci sarebbe da chiedersi come le nostre azioni influenzano i diritti di chi ci circonda.
Maggiore la riduzione dei diritti che il nostro operato provoca nei confronti delle persone che ci circondano più è immorale quell’azione. Immanuel Kant, nel 18° secolo, ha teorizzato questo approccio (basato sui diritti per l’appunto) sostenendo che le regole morali che ci diamo debbono essere necessariamente universali, ad esempio, se è immorale mentire allora non si dovrebbe mai mentire in nessuna circostanza.

Il bene comune

Platone
Aristotele
Cicerone
Veniamo dunque al “bene comune”.
Platone, Aristotele e Cicerone sono stati i precursori dell’approccio basato sul bene comune. Tale approccio propone l’idea che il bene comune è ciò che dà vantaggio alla comunità e che i singoli, come membri di un “corpo comune”, traggono beneficio da ciò che crea del bene a tutti. Questo tipo di sistema esiste e persiste nelle nazioni dove troviamo sistemi di assistenza sanitaria pubblica oppure dove esistono sane organizzazioni o programmi/norme che gestiscono “la cosa pubblica” per utilizzare un’accezione che siamo stati abituati ad utilizzare nel territorio italico. Applicando nel pratico quest’approccio, la persona si deve curare del risultato delle proprie azioni alla luce di come esse potrebbero influenzare il bene comune o la comunità stessa.
Per esempio, un furto non sarebbe mai etico, perché danneggerebbe la società o la comunità (sottraendo risorse).
Nota interessante: analizzando il furto utilizzando il metro dell’etica utilitarista e introducendo il concetto di comunità espressa in senso non assoluto, ci accorgeremmo che, in alcune situazioni, rubare sarebbe la cosa etica da fare (v. Robin Hood).

Quindi quali conclusioni?

Se non l’abbiamo ancora notato, l’analisi assoluta dell’etica non ci dà una chiara visione tra ciò che è bianco e ciò che è nero e, ancor più come consulenti o professionisti della security, non ci aiuta a distinguere in maniera netta ed inequivocabile tra questi due aspetti. E’ chiaro che la risposta alla domanda su cos’è giusto e cos’è sbagliato dipende fortemente dal sistema etico che scegliamo d’adottare. Addirittura, pur rimanendo all’interno di uno stesso sistema di regole etiche, la risposta potrebbe cambiare a seconda della situazione. Ne consegue che, ciò che il singolo può considerare etico potrebbe non esserlo per un’altra persona che determina la propria risposta su una questione etica utilizzando un framework decisionale diverso dal suo. Altra conseguenza è l’importanza di utilizzare un codice etico comune al fine di guidare le nostre scelte durante l’esercizio della professione in maniera omogenea e condivisibile.

Codice Etico

Personalmente penso che l’Etica, con la ‘e’ maiuscola, dovrebbe essere composta da fondamentali determinati ed immutabili, e qui il condizionale è d’obbligo, ma è altrettanto vero che l’etica è, a mio avviso, quanto di più personale ci possa essere e che per vivere in armonia anche con altri individui tali fondamentali devono essere condivisi.
Attenzione! Anche i criminali hanno un’etica.
La “A Guide to Forensic Testimony”, in un ambito non propriamente IT, recita quanto segue:
  • La tecnologia è importante per la società moderna.
  • I tecnologi devono fare attenzione a non mettere in pericolo la vita, la salute, la sicurezza e il benessere della popolazione.
  • I tecnologi dovrebbero dimostrare competenza e diligenza nei loro compiti.
  • I tecnologi devono mantenere e aggiornare le loro competenze tecniche.
  • I tecnologi devono evitare conflitti di interesse.
  • I tecnologi dovrebbero essere onesti e sinceri nei loro rapporti con gli altri.
  • I tecnologi dovrebbero essere onesti circa i loro limiti, riconoscere gli errori e correggerli.
  • I tecnologi dovrebbero astenersi da discriminazioni contro gli individui in base a razza, religione, età, sesso, orientamento sessuale o nazionalità.
  • I tecnologi dovrebbero dare il giusto credito agli altri per il loro lavoro e rispettare i diritti di proprietà, compresi i diritti d’autore e la proprietà intellettuale.
  • I tecnologi dovrebbero aiutare il pubblico a capire la tecnologia e sostenere lo sviluppo professionale dei propri pari.
I “dieci comandamenti dell’informatica etica” redatti dal “Washington Consulting Group” e dal “Computer Ethics Institute”, in un ambito propriamente IT, recitano:
  • Non utilizzare un computer per danneggiare altre persone.
  • Non interferire con il lavoro al computer degli altri.
  • Non curiosare nei file degli altri.
  • Non utilizzare un computer per rubare.
  • Non utilizzare un computer per ingannare.
  • Non utilizzare o copiare software che non hai pagato.
  • Non utilizzare le risorse dei computer di altri senza autorizzazione.
  • Non appropriarti della produzione intellettuale degli altri.
  • Pensa alle conseguenze sociali dei programmi che scrivi.
  • Usa il computer in modo da mostrare considerazione e rispetto.
Effettuare un mix di questi due insiemi di consigli e di divieti permetterebbero, oltre che di scardinare il numerale 10 per questo genere di cose, di avete un elenco di regole utili per dirimere una questione etica.
Ma cosa succede in un contesto reale? Ci penso su e, nel caso, vi faccio sapere.
(Se non mi stufo prima questa potremmo considerarla come la prima parte)

Commenti

Post popolari in questo blog

Hack WhatsApp - Un'applicazione vulnerabile by design

Premetto, amo WhatsApp, adoro il fatto che permetta di trasferire messaggi e brevi informazioni ad un costo equo (cioè quasi gratuitamente) rompendo le logiche delle telco che lucrano paurosamente su SMS ed affini (lucravano spero).

Va ricordato, per la cronaca, che WhatsApp è un giocattolo capace di muovere 1 miliardo di messaggi al giorno, ma proprio per questa popolarità è giusto che, in quanto utenti, impariamo a porci alcune domande in merito alla sua affidabilità (questo vale anche per molte altre app a dire il vero).

La prima, da buon paranoico è: Ma quant'è sicuro? Quanto è preservata la riservatezza dei messaggi che girano su quest'app? Poco veramente poco.

Distinguiamo ora due scenari di utilizzo: 1) Rete cellulare 2) Rete wifi

Rete cellulare
E' sicuramente l'approccio più comune per coloro che sono in mobilità. Avrete già intuito che WhatsApp non sia sicura come applicazione. Partendo da quest'assunto (che andremo a sviscerare) possiamo affermare che la …

Digital footprint - La nostra ombra digitale

Un venerdì qualunque, oppure una domenica. Cosa cambia? Di fatto un giorno come tanti altri nelle nostre vite. La necessità di viaggiare per lavoro, la comodità di prenotare il viaggio in ogni sua parte, sprofondati nell'ozio del proprio divano casalingo.
La destinazione la conosciamo già ma, al netto delle nostre competenze in geografia, una sbirciatina a Google Maps la diamo sempre prima di partire, anche solo per avere un'idea di quale possa essere il mezzo migliore per raggiungere la nostra meta.
Accendiamo il nostro portatile (o afferriamo lo smart-coso di turno), accediamo a Google Maps e il browser ci suggerisce di consentirgli l'accesso alla nostra posizione.

Ma come sul portatile c'è il GPS? No, o almeno non nel senso stretto del termine.

Il wifi non serve solo per la connettività, la buona Google Car, oltre alle foto delle nostre strade, con Street View,  ha anche preso nota degli SSID delle wifi che incontrava sul suo cammino così che, oggi, WiFi possa fare rim…

Salvaguardare la propria privacy su Facebook

Facebook è di sicuro il social network più diffuso in Italia (sonoinmoltiadirlo) e quasi tutti noi lo percepiamo viste le conversazioni quotidiane che possiamo avere con i nostri "vicini di casa": "Hai visto tizio, si è lasciato con la ragazza", "Sentito che Sempronia vuole cambiare lavoro? Si lamenta sempre ultimamente"... (se non vi ritrovate in questa descrizione sarete presto minoranza).


Popolarità fa rima con diffusione e più tempo trascorriamo su questo social network (mediamente 8 ore al mese vale la pena ricordarlo) più informazioni lui fagocita, vista anche l'avidità con cui lo imbocchiamo di informazioni.
Siamo in vetrina come i manichini dei saldi col cartellino attaccato all'alluce, e a qualcuno piace anche. Inconsciamente ingrossiamo la nostra "ombra digitale" convinti che le 2574 foto in cui siamo stati taggati non "facciano poi così male" ignari del fatto che molti dei selezionatori di risorse aziendali utilizzan…