Il servizio postale tedesco premia con denaro gli hacker che riusciranno a migliorarlo.

Il servizio postale tedesco ha messo in palio la Security Cup, un premio in denaro destinato agli hacker che riusciranno a scoprire falle nella sicurezza del loro sistema. Le squadre sono state scelte dalla Detusche Post in base a valutazioni sulla "eticità" dei gruppi che hanno inviato domanda di iscrizione al concorso e le regole sono chiare: i dati dei clienti non possono essere toccati e nessun bug può essere reso pubblicamente noto prima del termine del concorso. Su un articolo di Forbes, l'autore Anthony Haywood confessa i suoi dubbi sulla scelta con l'ironica domanda "Sono sicuro che i correntisti tedeschi si sentiranno molto tranquilli!".

Cosa accadrebbe se un attacco combinato come un Denial Of Service (DOS) facesse cadere una applicazione? I costi dell'inattività potrebbero essere addirittura più alti di quelli che si dovrebbero sostenere per un trafugamento di dati. Ed inoltre chi assicura che gli hacker coinvolti nel concorso non decidano di non denunciare le loro scoperte bensì di utilizzarle per il loro profitto personale? L'articolo termina con una domanda che riassume la posizione del suo autore: "Puoi davvero fidarti di un hacker per aver conferma della bontà delle tue difese? L'unico modo per esser certi al 100% è quello di eseguire autonomamente i controlli con una buona regolarità".

E dunque "hacker" resta sinonimo di malfattore anche nell'immaginario di un professionista della sicurezza informatica come l'autore dell'articolo, mentre da sempre si sa che il vero pericolo generalmente viene dall'interno delle aziende. Ci si barrica da attacchi provenienti dall'esterno, si teme l'ingegno o a volte la semplice curiosità di sconosciuti e ci si dimentica che all'interno delle aziende c'è chi, poco previdente, appiccica codici con un postit sul monitor o usa il nome della fidanzata o del figlio come password per proteggere il proprio account.

Perchè fidarsi di un hacker sembra assurdo e fidarsi di un addetto ai lavori pare privo di rischi? In fondo l'hacker la maggior parte delle volte sfrutta le sue capacità per puro divertimento e l'idea di un premio come la Security Cup può essere un incentivo ulteriore al gioco, un professionista la maggior parte delle volte fa il suo mestiere solo per il denaro del compenso, senza il quale non sprecherebbe il suo prezioso tempo per trovar falle e bug. Ma essendo proprio quest'ultimo il più interessato al profitto, chi ci assicura che farà un lavoro etico e corretto e non approfitterà della sua posizione per trarne vantaggi illeciti?

L'hacker forse è più simile alle cinture nere di judo, potenzialmente in grado di far molto male ad un uomo ma nella stragrande maggioranza dei casi dotati di un'etica e di una correttezza al di sopra della norma. Il professionista invece a volte somiglia un po' più ad un mercenario, pronto a scegliere la strada più remunerativa. La fiducia andrebbe valutata nei singoli casi e non in base alla differenza che c'è tra una cravatta ed una felpa con il cappuccio.

  • shares
  • Mail
1 commenti Aggiorna
Ordina: