“Un segnale devastante per il mondo dell'hacking”. Che fa confusione tra “bianco” e “nero”. E che racconta quanto ancora siano lontani dall'Italia soluzioni evolute come i bug bounty program, cioè quei piani che ricompensano economicamente chi scopre vulnerabilità senza sfruttarle. Stefano Zanero, professore del Politecnico di Milano e tra i massimi esperti italiani di cybersecurity, fotografa così la storia di Evariste Galois, il “white hat” (cappello bianco, cioè un hacker buono) denunciato dal Movimento 5 Stelle per aver violato la piattaforma Rousseau.
“Si confonde – afferma Zanero - un hacking etico che (magari senza rispettare tutte le norme) cerca una vulnerabilità per portare un contributo positivo con chi commette azioni che hanno la violazione come unico obiettivo”.
Zanero, che in questi giorni è general chair di Itasec18, evento organizzato dal Cini e dal Laboratorio Nazionale di Cybersecurity, definisce la vicenda “un passo indietro” anche sul piano della comunicazione, perché “mescola due figure che hanno fatto due cose ben diverse”. Da una parte Evariste Galois, indagato per aver segnalato una vulnerabilità; dall'altra R0gue0, un hacker “nero” (non ancora identificato) che, dopo essersi intrufolato in Rousseau, ha rivelato documenti e dati sensibili.
Zanero definisce “ridicola” la denuncia e conferma quanto scritto su Twitter: “Mi offro pro bono come consulente tecnico di parte” per sostenere Luigi Gubello (il nome offline di Evariste Galois). “E come me ci sono tanti altri colleghi pronti a farlo”. “Spero che a livello giudiziario si risolverà in una bolla di sapone - continua - ma il danno è già fatto. Di Maio ha dichiarato di aver identificato l'hacker e ha accusato un ragazzo di avere dei mandanti”.
Alla base c'è “un problema culturale”: “Dovremmo trasmettere l'idea che chi scopre vulnerabilità e le segnala, anche usando metodi non ortodossi, non è un criminale. È un dibattito che va avanti da troppo tempo. Servirebbe un chiarimento a livello normativo” che definisca una volta per tutte cosa sia l'hacking etico. Il timore riguarda, a questo punto, le possibili conseguenze. Non solo per Evariste Galois: “Vedere che anche con le migliori intenzioni si può finire nei guai è un disincentivo” per altri hacker.
La vicenda Galois-M5S sarebbe, secondo Zanero, anche l'indice di quanto sia lontana l'ipotesi che aziende, partiti e pubblica amministrazione italiani si aprano ai “bug bounty program”, cioè a quei programmi che ricompensano gli hacker se individuno falle senza sfruttarle. Una taglia sui bug che potrebbero attrarre ottimi giocatori nella squadre dei “bianchi”.
“Non credo ci siano le condizioni, né nel mondo privato né nel pubblico. Perché l'incentivo economico segue un riconoscimento dell'hacking etico, che ancora non c'è. In un bug bounty program ti dovrebbero pagare. Qui sarebbe già un passo avanti essere ringraziati invece che denunciati”.