Jim Stickley è appena entrato in una banca e ha rubato il contenuto dell'intero database dei suoi clienti.
Vestito da addetto alla manutenzione, ha aggirato la sicurezza, ha installato uno sniffer wireless in una porta libera del computer, è riuscito a fuggire e, usando un laptop nascosto in un furgone vicino, raccolti numeri di previdenza sociale, coordinate bancarie e password dei clienti della banca utilizzando strumenti personalizzati codice.
“A volte entro come ispettore fiscale o addetto alla salute e alla sicurezza. Quasi sempre installo uno sniffer di rete: raramente va male", ha detto Stickley. "Ma, sì, a volte le persone dell'organizzazione vengono arrestate."
Stickley ha il diritto di commettere queste rapine apparenti: in quanto tester di penetrazione professionista, viene pagato per quello che descrive come "il lavoro più eccitante del mondo, schivare guardie e firewall".
Tuttavia, il suo lavoro è legale solo perché ha il permesso delle società che hackera; senza di essa, sarebbe stato arrestato e imprigionato per crimini informatici, come un numero crescente di hacker, etici o meno.
Stare dalla parte giusta della legge non è così facile come potresti immaginare
Tuttavia, stare dalla parte giusta della legge non è così facile come potresti immaginare. Ha più a che fare con la corretta documentazione che con la motivazione: se hai il permesso, è legale. I funzionari di tutto il mondo potrebbero intensificare i propri sforzi di sicurezza informatica, ma hanno una visione negativa dei ricercatori di sicurezza che lavorano al di fuori della legge.
Confusione criminale
La ricerca sulla sicurezza non è chiara. Leggi deliberatamente vaghe che variano da paese a paese lasciano gli addetti alla sicurezza e gli hacker appassionati a rischio di azioni legali.
Prendiamo, ad esempio, il caso di Andrew Auernheimer (noto anche come "weev"), un hacker di 27 anni condannato a marzo a tre anni e cinque mesi di carcere per aver denunciato una debolezza della compagnia aerea statunitense AT&T, in quello che sostiene fosse uno sforzo per migliorare la compagnia sicurezza. È diventato un'improbabile cause célèbre tra gli addetti alla sicurezza perché le autorità hanno dovuto estendere i limiti delle leggi americane sull'hacking per metterlo dentro.
Anche se non è una figura che attira facilmente la simpatia, è noto per il comportamento odioso online e descrive se stesso come un troll: l'industria della sicurezza temeva che, facendo di Auernheimer un esempio, gli Stati Uniti avrebbero precedente.
La sua condanna era per un "exploit" che non comportava violazione di domicilio; il sistema AT&T era così insicuro che è stato in grado di raccogliere gli indirizzi e-mail dei proprietari di iPad senza impiegare arti oscure. Auernheimer e un complice hanno scoperto che AT&T ha rivelato gli indirizzi a chiunque inserisse un URL basato su un numero ICCID, che è univoco per ogni SIM iPad; semplicemente indovinare gli URL ha rivelato gli indirizzi.
Poiché questi numeri erano sequenziali, è stato facile raccoglierne 114.000 utilizzando uno script ampiamente disponibile. Tuttavia, non ha aiutato il caso di Auernheimer che ha raccolto dettagli sul sindaco di New York, il capo dello staff della Casa Bianca e diversi funzionari militari.
Auernheimer non ha pubblicato i dati, ma li ha passati a un blogger di Gawker che ha pubblicato una selezione con gran parte dei dettagli oscurati. Nonostante ciò, l'FBI si è subito occupata del caso, spingendo con forza per una condanna.
La comunità della sicurezza ha sostenuto che le azioni di Auernheimer non dovrebbero essere considerate hacking; se visitare una pagina Web e copiare un indirizzo e-mail conta come "accesso non autorizzato", molti di noi hanno commesso un reato.
“I dati raccolti da Weev erano indirizzi e-mail e nomi, assolutamente niente di sensibile. Tutto ciò che hanno raccolto è stato essenzialmente inviato in chiaro su Internet a un certo punto ", ha dichiarato all'epoca Dave Aitel, fondatore di Immunity ed ex ricercatore sulla sicurezza della NSA. "È ovvio per chiunque abbia un background tecnico che il caso che l'FBI ha intentato contro di lui è una farsa, e il fatto che abbiano vinto è ancora più folle."
