Open in app

Sign up

Sign in

Write

Sign up

Sign in

Mastodon

Etica nella sicurezza informatica

Andrea Lazzari
freeuser

--

Indegnamente sentiamo parlare sempre più spesso di “hacker”.

“Hacker” che violano i sistemi informatici degli utenti per rubare carte di credito, “hacker” che attentano all’immagine (defaciare) di questo o quel sito, “hacker” che rilasciano malware/scareware/ransomware (anche mia madre sa di CryptoLocker) o peggio un più generico “VIRUS P3R1C0L0S1SS1M0” associato a chissà quale fantomatico “h4ck3r”. (succederà sempre più spesso, do you know cybercrime or cyberwar? ndA)

hacaro anni ‘9X: Immagine stereotipata classica di un hacker con potentissimo portatile dell’epoca con vista su LPT e PCMICIA (Spero solo che quello che si vede a SX non sia un connettore AT per tastiera da 5 pin).

Al di là dei pessimi giornalisti, e del loro sensazionalismo a cui siamo oramai assuefatti nostro malgrado, le domande che, ipotizzo, l’ItalianoMedio(tm), un UberLoser qualsiasi o semplicemente io mi pongo tipicamente sono:

  • UL — Perché? Perché fanno queste cose? Non potrebbero andare a lavorare?
  • IO — Perché sono costretto a sentire camionate di fuffa?
  • IM — Quando comincia l’isola dei famosi/xfactor/”echo $QUIZACASO”
  • IO — Tu, giornalaio, vuoi che la gente si faccia un’opinione negativa sul tema?
  • IM — zZzZzZzZz (Idle cerebrale)
  • UL — Questa criminalità è dilagante (addendum per UL disfattista “stiamo andando allo sfascio”)
  • IM — “Internet è il maleeee” (brandendo un simbolo religioso a caso)

Fine dello sclero, ma:

  • se le loro azioni fossero giuste (hacktivismo)?
  • e se invece fossero sbagliate (terrorismo o spionaggio)?
  • bonus: e se Darwin avesse torto? NdA

Alla fine della giostra delle domande retoriche queste azioni sono accettabili ed etiche?

(non deludermi lettore, confido molto in te dimmi che almeno una di queste ti è mai balenata in testa e per la cronaca spero non siano né quelle dell’UL né quelle dell’IM — ndA)

Al 99,99% (tu sei lo 0,01) della popolazione non frega niente ed abbandonerà la lettura già ora, semmai fosse arrivata qui per errore, quindi ciao a chi abbandona e buona lettura a chi prosegue (molte grazie).

Dicevamo, a ecco, il pensiero comune che scaturisce dalle modalità con cui i fatti vengono riportati dai media converge inevitabilmente sull’inaccettabilità del gesto in sé, ma cosa dire di noi professionisti, consulenti e operatori dell’IT/ICT Security?

Qualcuno liquida la cosa con un: “Ma sono ragazzate”, altri con un più solidale “ecco bravi smontate quelle pattumiere di server/siti/sistemi così almeno li patchano”, altri ancora magari si soffermano sulle conseguenze di certi gesti con un terrorizzante “cavolo potevano essere i miei server

NB: il possessivo è d’obbligo perché, anche se sono dell’azienda e se non lesina strali di odio, il SysAdmin tipo li considera estensione del suo nucleo famigliare o più semplicemente “prole”.

Io vorrei invitarvi a riflettere su di una cosa: in che modo agisce sul nostro lavoro tutta questa mala pubblicità (per non dire camionata di letame)?

Come vengono percepire le nostre azioni quando, in difesa delle reti dei nostri clienti e/o in difesa delle nostre reti e infrastrutture, ci prodighiamo in azioni che possano essere considerate simili a quelle dei sopra menzionati “hacker”? Dove sta la differenza?

Durante il processo di certificazione CISSP uno dei requisiti principali per l’adesione all’(ISC)2 e per la certificazione stessa è la sottoscrizione e la conoscenza del codice etico i cui canoni recitano così:

  1. Proteggi la società, il bene comune e le infrastrutture.
  2. Agisci in modo onorabile, onesto, giusto, responsabile e seguendo le leggi
  3. Fornisci i tuoi servizi verso i clienti in modo diligente e con competenza
  4. Promuovi e proteggi la professione

NB: Faccio notare che l’ordine numerale dei canoni è significativo nel processo di “risoluzione” di una questione etica.

Quelle elencate dall’(ISC)2 sono linee guida ad uso “professionale”, in tutto il codice etico viene implicitamente riconosciuto che il professionista è “chiamato a compiere delle scelte etiche spesso difficoltose, non tanto per discriminare il bene dal male, quanto per distinguere il maggior bene ed il minore dei mali.” Inoltre tali regole devono essere utilizzare come ausilio “nel compiere tali scelte; non devono invece essere utilizzate per commentare tali difficili scelte” quindi non possono essere utilizzare per giudicare ma questo è un altro film.

Tuttavia anche applicare questo semplice approccio su 4 punti non risulta facile visto che già nel primo canone si parla di “bene comune” ma cosa vuol dire? A quale accezione si fa riferimento? Una breve disamina per sviscerare alcuni punti a riguardo.

L’etica utilitaristica

Jeremy Bentham
Stuart Mill

Jeremy Bentham e John Stuart Mill “creano” l’Utilitarismo nel 19° secolo. La premessa fondamentale di tale dottrina consiste nell’idea che le azioni che forniscono la maggior “quantità di bene” sul male sono scelte etiche o morali. Ad esempio, se dici una bugia per proteggere la vita di qualcuno, possiamo considerare tale decisione una buona scelta etica nell’ambito del sistema dell’Utilitarismo, il danno minore è fatto dunque dalla menzogna piuttosto che dalla verità.

Attenzione! Se riflettiamo bene sul processo decisionale, questo sistema di etica conduce molto velocemente lungo la strada de “Il fine giustifica i mezzi”. C’è sempre un bene “superiore” cui si possa far riferimento (chi ha detto religione? Per altro terribilmente attuale oggigiorno).

Un successivo punto di vista dell’etica Utilitaristica, o una sua evoluzione se vogliamo, imporrebbe di prendere la propria scelta non soltanto in merito a quello che è il bene più grande per il singolo ma pensando al bene più grande in assoluto per tutta la società (non soltanto per quella in cui l’individuo vive, capito USA?. Tornando al nostro esempio della menzogna per salvare una vita, potremmo osservare che, in questa interpretazione alternativa, mentire potrebbe non essere la cosa migliore in assoluto, se perpetrando tale atto si difendesse un assassino condannabile ad esempio (poi c’è carcere e carcere per cui la cosa potrebbe essere rivalutata ndA).

L’approccio sui diritti

la fronte di Kant

Tale approccio si basa sul principio che gli individui hanno il diritto di fare sì le proprie scelte, ma nel rispetto di alcuni principi quali: il diritto alla verità, il diritto alla privacy, il diritto alla salute, il diritto al rispetto degli accordi. Per giudicare il bene o il male, ciò che è morale da ciò che non lo è, ci sarebbe da chiedersi come le nostre azioni influenzano i diritti di chi ci circonda.

Maggiore la riduzione dei diritti che il nostro operato provoca nei confronti delle persone che ci circondano più è immorale quell’azione. Immanuel Kant, nel 18° secolo, ha teorizzato questo approccio (basato sui diritti per l’appunto) sostenendo che le regole morali che ci diamo debbono essere necessariamente universali, ad esempio, se è immorale mentire allora non si dovrebbe mai mentire in nessuna circostanza.

Il bene comune

Platone
Aristotele
Cicerone

Veniamo dunque al “bene comune”.

Platone, Aristotele e Cicerone sono stati i precursori dell’approccio basato sul bene comune. Tale approccio propone l’idea che il bene comune è ciò che dà vantaggio alla comunità e che i singoli, come membri di un “corpo comune”, traggono beneficio da ciò che crea del bene a tutti. Questo tipo di sistema esiste e persiste nelle nazioni dove troviamo sistemi di assistenza sanitaria pubblica oppure dove esistono sane organizzazioni o programmi/norme che gestiscono “la cosa pubblica” per utilizzare un’accezione che siamo stati abituati ad utilizzare nel territorio italico. Applicando nel pratico quest’approccio, la persona si deve curare del risultato delle proprie azioni alla luce di come esse potrebbero influenzare il bene comune o la comunità stessa.

Per esempio, un furto non sarebbe mai etico, perché danneggerebbe la società o la comunità (sottraendo risorse).

Nota interessante: analizzando il furto utilizzando il metro dell’etica utilitarista e introducendo il concetto di comunità espressa in senso non assoluto, ci accorgeremmo che, in alcune situazioni, rubare sarebbe la cosa etica da fare (v. Robin Hood).

Quindi quali conclusioni?

Se non l’abbiamo ancora notato, l’analisi assoluta dell’etica non ci dà una chiara visione tra ciò che è bianco e ciò che è nero e, ancor più come consulenti o professionisti della security, non ci aiuta a distinguere in maniera netta ed inequivocabile tra questi due aspetti. E’ chiaro che la risposta alla domanda su cos’è giusto e cos’è sbagliato dipende fortemente dal sistema etico che scegliamo d’adottare. Addirittura, pur rimanendo all’interno di uno stesso sistema di regole etiche, la risposta potrebbe cambiare a seconda della situazione. Ne consegue che, ciò che il singolo può considerare etico potrebbe non esserlo per un’altra persona che determina la propria risposta su una questione etica utilizzando un framework decisionale diverso dal suo. Altra conseguenza è l’importanza di utilizzare un codice etico comune al fine di guidare le nostre scelte durante l’esercizio della professione in maniera omogenea e condivisibile.

Codice Etico

Personalmente penso che l’Etica, con la ‘e’ maiuscola, dovrebbe essere composta da fondamentali determinati ed immutabili, e qui il condizionale è d’obbligo, ma è altrettanto vero che l’etica è, a mio avviso, quanto di più personale ci possa essere e che per vivere in armonia anche con altri individui tali fondamentali devono essere condivisi.

Attenzione! Anche i criminali hanno un’etica.

La “A Guide to Forensic Testimony”, in un ambito non propriamente IT, recita quanto segue:

  • La tecnologia è importante per la società moderna.
  • I tecnologi devono fare attenzione a non mettere in pericolo la vita, la salute, la sicurezza e il benessere della popolazione.
  • I tecnologi dovrebbero dimostrare competenza e diligenza nei loro compiti.
  • I tecnologi devono mantenere e aggiornare le loro competenze tecniche.
  • I tecnologi devono evitare conflitti di interesse.
  • I tecnologi dovrebbero essere onesti e sinceri nei loro rapporti con gli altri.
  • I tecnologi dovrebbero essere onesti circa i loro limiti, riconoscere gli errori e correggerli.
  • I tecnologi dovrebbero astenersi da discriminazioni contro gli individui in base a razza, religione, età, sesso, orientamento sessuale o nazionalità.
  • I tecnologi dovrebbero dare il giusto credito agli altri per il loro lavoro e rispettare i diritti di proprietà, compresi i diritti d’autore e la proprietà intellettuale.
  • I tecnologi dovrebbero aiutare il pubblico a capire la tecnologia e sostenere lo sviluppo professionale dei propri pari.

I “dieci comandamenti dell’informatica etica” redatti dal “Washington Consulting Group” e dal “Computer Ethics Institute”, in un ambito propriamente IT, recitano:

  • Non utilizzare un computer per danneggiare altre persone.
  • Non interferire con il lavoro al computer degli altri.
  • Non curiosare nei file degli altri.
  • Non utilizzare un computer per rubare.
  • Non utilizzare un computer per ingannare.
  • Non utilizzare o copiare software che non hai pagato.
  • Non utilizzare le risorse dei computer di altri senza autorizzazione.
  • Non appropriarti della produzione intellettuale degli altri.
  • Pensa alle conseguenze sociali dei programmi che scrivi.
  • Usa il computer in modo da mostrare considerazione e rispetto.

Effettuare un mix di questi due insiemi di consigli e di divieti permetterebbero, oltre che di scardinare il numerale 10 per questo genere di cose, di avete un elenco di regole utili per dirimere una questione etica.

Ma cosa succede in un contesto reale? Ci penso su e, nel caso, vi faccio sapere.
(Se non mi stufo prima questa potremmo considerarla come la prima parte)

Originally published at freeuser.org on February 21, 2015.

Italia
Etica
Hacking

--

--

Andrea Lazzari
freeuser
Follow

Written by Andrea Lazzari

119 Followers
Editor for

I'm interested in cybersecurity, computer forensics, ethical hacking and web technology! MOTD: Paranoia is a virtue!

Follow

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams