Assumere hacker
Un’altra storia delle botnet che ha attirato la mia attenzione di recente riguarda anche l’etica nel settore della sicurezza IT: la vecchia battuta sull’opportunità o meno di assumere hacker condannati. Ora lasciatemi capire bene: alcuni dei migliori consulenti di sicurezza che conosco hanno avuto un passato un po' “colorato” – incluso perpetrare exploit di hacking – e a mio parere, tale esperienza li qualifica piuttosto che squalificarli da questo lavoro. Ci sono alcune persone, tuttavia, che non sono d'accordo con me e sostengono (con un certo merito) che buone capacità di hacking e buone capacità di sicurezza IT non sono in effetti sono del tutto uguali, insistendo sul fatto che per penetrare in una rete e per proteggere una rete sono necessarie due serie di tecniche completamente diverse titoli di studio. Alcuni anni fa ero anche a una conferenza sulla sicurezza quando un direttore della sicurezza di alto livello in una di queste le grandi aziende informatiche suggerivano che una scimmia potesse essere addestrata ad hackerare la maggior parte delle reti in poche ore. Questo, penso, non coglie il punto.
La sicurezza IT è il più delle volte una questione di mentalità e, sebbene possa essere appresa da un libro e insegnata, anche così un bracconiere diventato guardiacaccia avrà sempre un vantaggio rispetto a uno che ha imparato dai libri. Capiscono come funziona la mente dell'hacker, come pensano gli hacker, e questo è qualcosa che è molto più difficile da comprendere dalla teoria che dalla pratica sul campo di battaglia. Sono d'accordo sul fatto che la maggior parte degli ex hacker al giorno d'oggi tendono a non essere i membri più abili del gruppo professione, per il fatto stesso che sono stati catturati, il che suggerisce che non ne avevano il pieno controllo il gioco. Circa 20 anni fa, quando l’hacking richiedeva veramente un alto livello di know-how tecnico, le cose erano diverse, ma oggi la maggior parte degli ex hacker si autoproclamano e in realtà non sono altro che scimmiette con script per bambini che utilizzano programmi già pronti soluzioni.
La maggior parte degli hacker che conosco che sono passati dal lato oscuro alla luce lo hanno fatto con il passare del tempo e senza mai essere scoperti. ecco perché mi sono preoccupato quando ho letto che un creatore di botnet, debitamente condannato per aver diffuso malware a un quarto di milione di persone computer e inizierà la sua pena detentiva di quattro anni, avrà un lavoro che lo aspetta quando uscirà come consulente per la sicurezza per una grande ricerca azienda. Il suo capo non sapeva che questo costruttore di botnet si era già dichiarato colpevole dei suoi crimini nell'ambito dell'operazione Bot Roast dell'FBI nel 2007 ed era in attesa di sentenza quando ha fatto domanda per il lavoro, e ammette che non lo avrebbe assunto se lo avesse saputo, ma dice anche che l'autore è uno sviluppatore di talento che da giovane si è spinto troppo oltre e ha dichiarato pubblicamente che spera di offrirgli un lavoro quando rilasciato. Sentiti libero di esprimere la tua opinione su questo caso nei forum PC Pro (www.pcpro.co.uk/forum/), poiché sarei molto interessato a vedere in che modo affronterai questa questione morale piuttosto complicata.
