In America, un disegno di legge offre via libera alle aziende private per dare la caccia legale agli hacker su Internet.
di Martin Giles
A volte, quando i responsabili politici cercano di risolvere un problema, la loro medicina peggiora la situazione. Questo è certamente il caso della proposta di legge statunitense che offre alle vittime degli attacchi informatici la possibilità di andare a caccia dei loro presunti aggressori.
Conosciuto come Active Cyber Defense Certainty Act, o ACDC, il disegno di legge mira a permettere alle vittime di attuare operazioni di hacking e di infiltrazione per rintracciare gli aggressori, entrando nei sistemi delle organizzazioni che presumibilmente gli hacker hanno utilizzato per il loro attacco.
Spesso, però, queste organizzazioni non sono altro che aziende inconsapevoli delle manipolazioni subite dai loro computer. L’attuale legge statunitense vieta questo tipo di risposta, che è nota come “hacking back”. Solo poche agenzie governative, come l’FBI, hanno l’autorità di dare la caccia ai sospetti hacker in questo modo.
I sostenitori del disegno di legge, di cui si è recentemente discusso nel Congresso degli Stati Uniti, affermano che l’FBI e altre agenzie governative devono già contrastare continui attacchi informatici, tra cui il “ransomware” che ha paralizzato i sistemi informatici in città come Atlanta e Baltimora e massicci furti di dati a grandi aziende come la catena alberghiera Marriott. In teoria, dare a imprese e individui il diritto di farsi giustizia da soli renderebbe meno gravoso il lavoro delle agenzie.
Il governo degli Stati Uniti ha segnalato che sta già adottando misure preventive per scoraggiare le minacce informatiche. Ma due membri del Congresso che hanno presentato il progetto di legge, il repubblicano Tom Graves e il democratico Josh Gottheimer, sostengono che le aziende e altre organizzazioni del settore privato hanno bisogno di maggiore libertà per difendersi. Aggiungono inoltre che alcune aziende sono già impegnate in alcune forme di vigilanza digitale e che la loro proposta di legge vuole fare chiarezza sulle aree grigie legali.
Il disegno di legge dovrebbe modificare una legge statunitense esistente, la Computer Fraud and Abuse Act (CFAA), per consentire alle imprese e agli individui di violare network e dispositivi altrui per individuare gli aggressori, interromperne le operazioni e ottenere dietro i dati rubati. Nella proposta si afferma anche che questi nuovi poteri dovrebbero essere usati solo da “difensori qualificati” che hanno “una ragionevole certezza” sull’identità degli assalitori. E’ comunque necessario informare l’FBI e ascoltarne i consigli prima di intraprendere una qualsiasi iniziativa per evitare di danneggiare i sistemi di terze parti e innescare un’escalation di ostilità.
A una prima lettura la proposta sembra ragionevole, ma l’ACDC Act presenta una serie di problemi:
1. La maggior parte delle aziende non ha il personale esperto per difendersi
Il disegno di legge non dice quali sono le qualità che definiscono un’azienda o un individuo come un “difensore qualificato”. Questa vaghezza potrebbe far rientrare in questa categoria tutti i tipi di imprese. Ma mentre Google, per esempio, ha quasi certamente il know-how per farlo in modo efficace, molte altre aziende no.
Sean Weppner, ex funzionario esperto di cybersicurezza del Dipartimento della Difesa degli Stati Uniti che ora lavora presso l’azienda di sicurezza informatica Nisos, ritiene che l’hacking back sia campo d’intervento esclusivo dei governi. “Poche persone hanno la preparazione e l’esperienza necessarie per agire in questo campo in modo controllato”, dice Weppner.
2. È davvero difficile sapere con certezza chi c’è dietro un attacco informatico
Gli hacker sono maestri del depistaggio e in genere coprono le loro tracce usando tecniche come lo spoofing di indirizzi IP e strumenti di hacking sviluppati da altri. È anche molto difficile essere certi che un computer che sembra essere dietro un attacco non sia stato violato. Queste incertezze potrebbero facilmente portare a colpire il sistema sbagliato.
3. Il disegno di legge non garantisce alcuna protezione reale quando le cose vanno male
È molto facile causare danni non intenzionali ai computer delle terze parti innocenti. Anche gli hacker più sofisticati a volte estraggono codice con conseguenze indesiderate. Anne Toomey McKenna, docente della Penn State University, sottolinea che se la legge ACDC fosse approvata così com’è, addosserebbe alle imprese la responsabilità di costose cause civili sia a livello federale sia statale nel caso di danneggiamento di altri computer o di dati di altre imprese statunitensi. Inoltre, se colpissero i sistemi in paesi stranieri, le aziende potrebbero essere messe sotto accusa in base alle leggi anti-hackeraggio.
4. Il disegno di legge espone inevitabilmente a rappresaglie dannose
La bozza di legge dice che chi si difende dagli attacchi dovrebbe cercare di non favorire un’escalation delle ostilità. Ma di certo gli hacker non prenderanno alla leggera attacchi ai loro sistemi. Sfruttando i punti deboli delle difese digitali delle vittime, potrebbero colpire di nuovo.
5. Le aziende private potrebbero entrare in conflitto con gli stati nazionali
Se è vero che paesi come la Corea del Nord, la Russia e l’Iran sono dietro alcune delle più grandi minacce informatiche che fronteggiano le aziende oggi, sfidarli non sarebbe una mossa saggia per una singola azienda. Sandra Joyce, della azienda per la sicurezza informatica FireEye, è preoccupata che, se il disegno di legge ACDC verrà approvato, si possa costituire un precedente che incoraggia gli altri paesi ad allentare le proprie leggi anti-hacking.
Alcune nazioni potrebbero essere tentate di rendere molto più facile per le loro aziende intraprendere azioni di legittima difesa digitale. “Ciò creerebbe un rischio ancora più elevato di una catastrofe cibernetica”, avverte Joyce. Un approccio meno gravido di rischi potrebbe puntare sul fatto che le aziende si concentrino sul rafforzamento delle loro difese. Molte violazioni sono ancora il risultato di errori nella sicurezza di base, come password errate e mancati aggiornamenti del software.
Sul piano più strettamente politico, gli Stati Uniti dovrebbero collaborare di più con i propri alleati per promuovere norme internazionali che aiutino a disinnescare le tensioni nel cyberspazio. Il passaggio di una legislazione come l’ACDC Act aiuterebbe solo ad aumentare le tensioni.
(rp)
