| 1. Il mito dell'Hacker Questo è un articolo sul destino dell'underground moderno. Non ci saranno la nostalgia, il melodramma, la retorica black hat o l'eccesso di analisi white hat che in genere accompagnano questo tipo di articoli. Sin dall'inizio degli anni sessanta c'è stata una sola e continua scena hacker. Dal phreaking all'hacking, le persone sono arrivate e sono andate via, ci sono state esplosioni di attività ediversi spostamenti geografici di influenze. Nonostante ciò, la scena sembrava ridefinirsicostantemente nel flusso e riflusso della tecnologia e ha avuto sempre un collegamento con il passato, con tradizioni, cultura e spirito analoghi. Negli scorsi anni questo collegamento è stato messo a dura prova. È inutile quindi parlare dell'underground che era; lasciamolo agli storici. Ed è poco utile parlare di cosa si dovrebbe fare per risollevare la situazione; lasciamolo ai sognatori e agli idealisti. Parlerò di com'è realmente la situazione ora e, soprattutto, com'è potuta diventare in questo modo. Questa è la storia di com'è morto l'underground. 2. L'Industria della sicurezza Si pensa che l'esplosione dell'industria della sicurezza sia direttamente collegata al declino della scena hacker. Gli hacker degli anni ottanta e novanta sono diventati i professionisti di sicurezzadel nuovo millennio, e la comunità ne ha sofferto. Il fatto è che gli hacker hanno deciso di usare la loro passione come fonte di guadagno. Se questosia giusto, sbagliato o solo pragmatico è totalmente irrilevante. Quasi tutti gli hacker hanno avutoun lavoro. Fu un esodo. Ciò che ha inciso non fu la perdita delle persone ma l'effetto che ha avuto sull'underground. Più hacker lasciavano l'underground, meno persone ci entravano. E quelli che cisono rimasti si sono trincerati e distaccati. La collaborazione in questa nuova era di hacker in carriera non è cessata. Le persone ora sono ossessionate dalla reputazione. Per le loro carriere, per la loro presenza nella comunità, deveessere assolutamente chiaro che tale ricerca, tale vulnerabilità o tale opinione appartenga a loro. Non c'è fiducia in questa comunità aziendale, è un problema underground esteso alle realtà aziendali. Una persona può stare mesi o anche anni senza dire a nessuno su cosa sta lavorando, e sarà sempre preoccupato del fatto che qualcuno possa pubblicare i risultati prima di lui. Non c'è rispetto per le informazioni che possiede, nessuna idea che l'informazione dovrebbe essere libera, nessun credo che la ricerca debba essere aperta. Ciò che conta è la reputazione; ciò che conta sonola notorietà e i soldi, la carriera. Tutto questo è solo colpa dell'industria della sicurezza, che ha sfruttato e coltivato quest'atteggiamento, modellandolo a suo piacimento. La triste verità è che il mondo della sicurezza non ha ancora realizzato che è in cima a una miniera d'oro, e che alla fine la miniera potrebbe crollare; e insieme alla miniera anche tutta l'industria. L'industria della sicurezza usa le informazioni a suo piacimento, le informazioni sull'insicurezza. Ciò che fa funzionare quest'economia è il fatto che alcuni hanno le informazioni, altri no. Inoltre, questa economia è stata fondata sugli studi di un piccolo numero di hacker. E per la maggior partedei casi, fondata su quegli hacker che sono usciti dalla scena underground. Ma questi hacker non produrranno risultati per sempre. Perderanno i loro tecnicismi, si butteranno su altre industrie, forse proveranno a diventare manager e infine andranno in pensione. Il problema è: cosa succederà poi? Toccherà alla nuova onda di giovani professionisti di sicurezza, le cui motivazioni sono per lo più economiche e non passionali. Immaginare che questi nuovi colletti bianchi, addestrati all'università e totalmente disinteressatipossano competere con hacker veri fa ridere. L'industria ristagnerà sotto queste condizioni. I rapidi sviluppi tecnici che abbiamo visto finora finiranno, non ci saranno nuove scoperte: nessunservizio o prodotto di sicurezza innovativo. Solo le solite vecchie tecniche rielaborate ancora e ancora fino a che il pozzo non sarà secco del tutto. Sto cercando di mostrarvi la natura simbiotica dell'industria della sicurezza e della scena hacker. L'industria ha bisogno d'insicurezza per sopravvivere, non c'è dubbio. Un Internet sicuro e stabilenon genera profitto nel lungo termine. Gli hacker forniscono instabilità, cambiamento, caos. L'industria quindi è parassita della scena hacker, tirando dentro persone senza restituire nulla in cambio, senza pensare a quando non ci saranno più hacker. Per questo motivo l'industria della sicurezza, così come l'underground, è condannata a fallire. Ma per ora, tutto ciò che conta è avere un'industria fiorente e... Un underground dichiarato morto. 3. Black hat, due facce È facile dare la colpa solo all'industria della sicurezza. Tanta gente lo fa. Eppure non è solo così. Forse l'underground sarebbe sopravvissuto senza il richiamo dei posti di lavoro, ma c'è da dire una cosa. Il movimento black hat non ha fatto nulla. Diversi gruppi black hat dicono di essere la voce dell'underground, ma la scena black hat era solo una squallida imitazione del vero underground. L'underground non ha mai promosso l'autoaccrescimento, i black hat sì. Tutte le loro azioni e scappatelle hanno solo mostrato il loro bisogno di notorietà. Ma c'è di più. Quando fanno i loro discorsi grossi raramente hanno prove per supportarli. Questo fondamentalmente perché tali black hat si auto compiacciono, come i white hat che dicono di odiare. Con qualche eccezione. Quei black hat che non hanno ancora trovato un lavoro nell'industria della sicurezza sono quelli che probabilmente non hanno capacità adeguate. Tutto il movimento anti-security è semplicemente imbarazzante. Era solo il movimento black hat che aveva difficoltà a rappresentare un mondo tecnologicamente in crescita. Una volta le abilità hacker erano rispettate, ora i black hat diffondono disinformazione per fare in modo che i loro hack sianopiù facili. Non sono pronti alla competizione, non sanno superare i white hat che tanto detestano. Quest'inettitudine della scena black hat ha avuto un impatto negativo sull'underground. La vera voce dell'underground si è persa dietro i rumori e il dramma, finché non è diventata un sussurro. E probabilmente diventerà un silenzio. 4. Tecnologia La reale natura della tecnologia, una forza dinamica e inafferrabile, ha avuto un ruolo importante nella morte del mondo hacker. In molti casi, se un black hat è stato attivo 5 o 10 anni fa probabilmente era molto competente e ha dato un contributo importante. Questo perché, con il massimorispetto e mettendo da parte la nostalgia, gli hacker del passato erano facilitati. Negli anni scorsi, i problemi che gli hacker affrontavano erano principalmente relativi alla disponibilità delle informazioni. Gruppi isolati di persone avevano i loro trucchi e tecniche, e condividere tali informazioni era un problema. Questo è in netto contrasto con la situazione di oggi, dove c'è eccesso d'informazioni ma carenza di qualità. Come risultato dei vari fattori, il mondo sta cominciando a conoscere i rischi della mancanza di sicurezza. Quando ci sono soldi a rischio, si corre subito ai ripari. Vediamo che tanti meccanismidi sicurezza sono implementati come parte di strategie di difesa, e di conseguenza essere un hackeroggi richiede immense abilità tecniche in vari ambiti. Ci vogliono anni di studi per raggiungere questo livello. Sfortunatamente però poche persone hanno la voglia e le capacità di intraprendere questo percorso, l'obiettivo irraggiungibile della perfezione tecnica. Il trend invece è raggiungere l'obiettivo più facile, fare il minimo indispensabile per guadagnare notorietà, rispetto e soldi. C'è stato anche un grosso calo delle pubblicazioni. In parte dovuto alla mancanza di accessibilità a determinate tecnologie (vuoi tramite occultamento o perché hanno prezzo elevato), ma anche dovuto alla moda. Seguendo il desiderio di far parte della comunità, di essere accettato nelle conferenze, di fare le cose giuste nei posti giusti con le persone giuste, i ricercatori sono felicissimi di infilarsi in questo scenario di progresso ristretto. Inoltre, gli standard di qualità di una ricerca o di una vulnerabilità si abbassano di anno in anno. Il divario tra ricerca di nuovi attacchi e implementazione di tecniche di difesa continua acrescere, al punto che la ricerca di vulnerabilità è diventata una parodia di quella che era, una specie di barzelletta. Non c'è più creatività. 5. Criminali Dall'operazione Sundevil al cyber-terrorismo. La criminalizzazione dell'hacking e, di conseguenza, degli hacker ha avuto un impatto devastante sull'underground. L'hacking è stato criminalizzato in due modi: con l'uscita delle leggi contro i crimini tecnologici e con il nuovo trend di utilizzo ditecniche di hacking per fare frodi. Ci dovrebbe essere una chiara distinzione tra queste due cose. Il fatto che l'underground sia diventato un ambiente criminale per quello che è stato fatto al suo interno da anni. Il fatto è che nella percezione delle persone, anche tra professionisti che dovrebbero conoscere meglio il settore, c'è confusione tra un hacker autentico e i criminali che usano l'hacking come strumento di profitto. In ogni caso, poche cose che fanno i gruppi criminali e terroristici possono essere etichettate come "hacking". Fare questa semplificazione è solo per convenienza dei media e dell'industria. L'industria della sicurezza conosce le reali differenze, ma non ha interesse economico a fare chiarezza. All'industria interessano solo le azioni di hacking che possono utilizzare per aumentare i loro profitti. Nell'underground questi problemi hanno colpito soprattutto i singoli individui e non l'insieme. Ognuno doveva fare una scelta: 1) essere visto come un fuorilegge e 2) essere visto come un criminale nella percezione pubblica. Perché un hacker dovrebbe affrontare questa decisione se c'è la scappatoia facile, sicura e rispettabile dell'industria della sicurezza? Anche il termine black hat è stato sovvertito in qualcosa di più adatto al crimine organizzato. Leloro azioni in realtà però non sono mai state motivate dai soldi. C'è quindi una popolazione di hacker che sta invecchiando, che sceglie di sistemarsi con le loro famiglie, le loro proprietà, le loro carriere. Nessuno dice che c'è qualcosa di sbagliato in tuttoquesto. La verità è che questi hacker hanno abbandonato la scena. Lasciando un vuoto troppo grande perché sia colmato. 6. Gioventù bruciata L'aspetto dimenticato di tutta la storia è, senza dubbio, l'importanza di nuovi talenti nel mondodell'hacking. Storicamente, l'hacking è appartenuto alla gioventù. Man mano che gli anni passano, l'età media degli hacker aumenta. Qualcuno potrà dire che è un segno di una disciplina che richiedematurità. Come potrebbero contribuire i giovani? Li chiamano ragazzi, sono irrilevanti. Malgrado tutti i problemi riguardo l'underground, se gli hacker avessero gestito questo problema, se avessero riconosciuto l'importanza di chi fosse venuto dopo di loro, se avessero dato loro qualcosaa cui aspirare, se avessero insegnato loro, direttamente o indirettamente, la saggezza checontraddistingue gli hacker dalle persone comuni, forse ci sarebbe ancora una scena underground. Quasi tutte le situazioni riguardanti il decadimento dell'underground sono state circostanziali, nonc'è nessuno da accusare e niente che può essere fatto. Tutto tranne l'obbligo dell'underground verso i giovani hacker. Un'intera generazione di hacker talentuosi ha perso l'opportunità di diventareparte di qualcosa di più grande di loro partecipando ad una comunità hacker funzionante, solo perchéi vecchi hacker erano troppo egocentrici. Il declino della scena underground è avvenuto molto velocemente e altrettanto silenziosamente. L'hacker che ha lasciato l'underground non riusciva a giustificare le sue scelte. Infatti per lui è come se non fosse cambiato niente, ha continuato ad avere contatti con i suoi amici hacker. Questo ha solo aiutato a oscurare cosa stava realmente succedendo. La gioventù di oggi, nella maggior parte dei casi, non ha idea di cosa significhino le parole hackere hacking. Non conoscono la storia, spesso non sanno nemmeno dell'esistenza della stessa. Il loro hacker è l'hacker dei media, il cyber-terrorista, quello della mafia Russa. È triste, ma i veri problemi cominciano quando qualcuno vuole andare più a fondo. Una persona media ha bisogno di un modello da seguire, qualcosa cui aspirare, da imitare e, in un certo senso, da idolatrare. Oggi come oggi, i modelli da seguire sono i ricercatori white hat, l'orda black hat o qualche altro inetto che si autodefinisce "esperto". Ci sono così pochi stimoli, sia in ambito di ricerca sia in ambito di hacking, che tutti i neofiti hanno una visione distorta delle cose. In realtà, per tanti giovani che vogliono acquisire la necessaria base tecnica, l'hacking è vistosolo come un'interessante carriera lavorativa. Non c'è passione, non c'è motivazione. Si punta a diventare un impiegato professionale, competente e stimato. Ma non un hacker. 7. Il collegamento in avanti L'underground è stato sistematicamente smantellato, una vittima delle circostanze. Non c'è stata unaragione, né una cospirazione, né un vincitore. Persone conquistate ma nessun conquistatore, nessun nemico da combattere. Nessuna speranza di ribellione. Conquistato dalle circostanze, se non daldestino. All'inizio questo potrebbe sembrare un messaggio triste. A che serve provare ancora? Perché praticare un'arte morta? La verità è che l'arte non è morta, è morto solo il circolo degli artisti. L'underground è scomparso, ma non gli hacker. I problemi sono stati tanti, ma esistono ancora gli hacker. Gli hacker, non i white hat né i black hat, non i professionisti nè gli amatori, sono ancora vivi in questo mondo, e hanno ancora il potenziale per fare qualcosa di buono. Il problema non è come raggruppare queste persone in un nuovo movimento underground. Il problema non è rimpiangere i giorni d'oro. Non ci sono problemi di questo tipo, non ci sono problemi che possonoessere risolti da azioni individuali. |
Fonte:
Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Commentate.
P.S. Leggete prima di commentare.
