Abbiamo ancora bisogno degli hacker nella “cybersecurity”?

Cercare di far capire ai media generalisti la differenza che passa fra “hacker” da un lato e criminali comuni, operatori di intelligence e militari, ed esperti di sicurezza dall’altro è una battaglia persa. In tanti, nel corso degli anni, ci hanno provato ma senza successo. Dunque, dal cliché del quindicenne con l’acne che “buca” la Nasa o il Pentagono si è passati a quello del ‘sociopatico incappucciato’ iconizzato da Mr Robot. In realtà ci sono molte variazioni sul tema perché il fenomeno è reso ancora più complesso da una certa spregiudicatezza di chi opera nel mercato che oggi si chiama “cybersecurity”.

Partiamo dalle basi. La migliore, anche se non l’unica, definizione di cosa sia lo hacking è stata proposta da Richard Stallman, il creatore del Progetto Gnu. In sintesi, lo hacking è uno stato mentale. Significa pensare fuori dagli schemi, essere intelligenti e divertirsi nel farlo. Gli hacker di solito hanno poco rispetto per le sciocche regole che gli amministratori amano imporre, così cercano di aggirarle. Dunque, esiste una distinzione tra hacking e violazione della sicurezza che Stallman definisce “cracking”. Egli scrive ancora: le persone che lo fanno sono “cracker”. Alcuni di loro possono essere anche hacker, così come alcuni di loro possono essere giocatori di scacchi o di golf; la maggior parte di loro non lo sono.

Per quanto essenzialmente condivisibile, questa definizione si presta a qualche rilievo critico. Per esempio, è basata su un sostanziale disinteresse per le regole costituite e sul “diritto” di decidere cosa sia corretto oppure no. Un esempio, è l’autoassoluzione intellettuale dell’accesso non autorizzato: se una violazione di sicurezza è sbagliata dipende da quello che chi la ha commessa fa dell’accesso “proibito” che si è procurato. Fare del male alle persone è male, divertire la comunità è bene. Si può essere critici per molte (e fondate) ragioni sulle normative che si occupano di computer crime, ma confondere l’etica ragionando in termini di “bene” e “male” quando si parla di norme è un errore.  Persino in una democrazia occidentale, lo scopo delle norme è limitare i comportamenti delle persone per consentire una convivenza pacifica – ne cives ad arma ruant (per evitare che la gente impugni le armi) – si dice nel mondo del diritto. Dunque, se si ritiene che una legge non va la si cambia con i metodi democratici (impegno politico o referendum) e non violandola in nome delle proprie convizioni. O, meglio, come insegnano le battaglie politiche degli anni ’70, lo si fa essendo disposti a subire le conseguenze dei propri gesti come testimonianza dell’impegno. A chi non lo ricorda, è opportuno suggerire di leggere la biografia di Marco Pannella.

Comè è facile notare, tuttavia, non c’è alcuna relazione necessaria fra il concetto di hacking come rivendicazione culturale e intellettuale con il profilo di un operatore di cybersecurity. Come scrive Stallman a proposito dei cracker, gli esperti di sicurezza possono anche essere hacker, ma non c’è equivalenza biunivoca. Tutto questo ha poco a che fare il con il significato della parola hacker e molto con il modo in cui si sta sviluppando il mercato della cybersecurity.

Non c’è bisogno di spiegare quanto influisca in termini di ruolo o e visibilità costruire attorno a sé stessi un’immagine quasi mistica di “entità” dotata di poteri sovrannaturali che appartiene a una misteriosa ed elitaria comunità. La realtà è molto meno affascinante e spesso chi si autoproclama – o lascia che altri lo chiamino – “hacker” ha poco titolo per farlo. Magari si è in possesso di una buona competenza tecnica costruita sul “fai date” o da piccoli si preferiva una console al pallone. Nei casi peggiori, si è soltanto leggiucchiato qualcosa in ordine sparso, per presentarsi come uno di “quelli che sanno”, ripetendo sempre le stesse cose, in ogni occasione.

Non c’è niente di male nel non avere vissuto l’epoca d’oro del microcomputing, dei Bbs e degli albori dell’internet. Si può essere hacker anche se il primo computer è stato un Pentium II, come si può diventare un validissimo professionista nel settore senza dover necessariamente sposare una determinata filosofia. Per quanto la cybersecurity abbia evidentemente bisogno di persone geniali in grado di trovare soluzioni non convenzionali a problemi apparentemente irrisolvibili, ha ancora più bisogno di professionisti competenti e preparati, in grado di operare in organizzazioni complesse.

Una forza armata è composta sia da militari implotonati che devono seguire gli ordini senza discutere, sia da persone che hanno un elevatissimo grado di preparazione ed autonomia (Reggimenti e corpi speciali). Se i secondi sono (straordinariamente) meno rispetto ai primi, un motivo ci sarà. Ma questo non significa sminuire il ruolo di chi non fa parte di realtà più esclusive.  L’importante, tuttavia, è avere chiaro quale sia il proprio status perché anche nella cybersecurity la confusione provoca danni spesso irreparabili.

Fonte : Repubblica