Corriere del Veneto (Vicenza e Bassano)
«Etici» e «neri» i pirati del web
Il confine sottile che divide i giovani geni del pc: «Ci sono regole»
La risposta non si è fatta attendere. La Comunità Hacker Italiana scende in campo in difesa di Luigi Gubello, alias «Evariste Gal0is», il 26enne veneziano che studia Matematica a Padova, indagato per aver violato la piattaforma Rousseau del Movimento 5 stelle. E lo fa con una petizione su Change.org che ha raccolto centinaia di firme in poche ore. «Riteniamo che Evariste Gal0is abbia agito in maniera etica e responsabile, limitandosi a segnalare ai gestori del sito le gravi falle di sicurezza che irresponsabilmente gli autori del sito hanno trascurato», scrivono gli autori. La petizione definisce Gubello un «hacker etico» (noto anche come «white hat»), che avrebbe meritato un ringraziamento pubblico per il contributo alla sicurezza di Rousseau, e punta il dito contro il comportamento del M5s, definito «irresponsabile e persecutorio» per averlo denunciato. Non solo: la petizione riporta anche gli interventi di alcuni esperti, tutti schierati dalla parte di Gubello. Stefano Zanero, docente di Sicurezza informatica al Politecnico di Milano e a sua volta hacker etico, giudica «ridicola» la denuncia e si offre pro bono come consulente tecnico di parte; David Puente, informatico e blogger con un passato tra le fila della Casaleggio Associati, se la prende con la campagna elettorale che «fa diventare esecutore materiale di non si sa quale mandante un ragazzo che voleva aiutare il M5s»; Matteo Flora, un altro hacker, parla di «oscurantismo digitale». Su Twitter, invece, si assiste a un botta e risposta tra favorevoli e contrari. Molti esprimono solidarietà a Gubello: «È come perseguire per violazione di domicilio chi ha visto una porta sfondata ed è entrato per lasciare un post-it e delle istruzioni su come ripararla», scrive Giuseppe. «Nessuno gli aveva chiesto di fare un test di vulnerabilità - ribatte un altro utente -. E se l’interessato non ti risponde, non sei autorizzato a farlo». Per Stefano Zanero, già citato nella petizione, l’etica dell’hacker si distingue in base all’intenzione: «Non mi pare che Evariste Gal0is abbia pubblicato dati, e se non capisco male ha informato prima di rendere pubblico». Insomma, la questione è delicata. Temi come questi sono all’ordine del giorno per Security and Privacy Research (Spritz), gruppo fondato nel 2011 all’Università di Padova dal professor Mauro Conti proprio per sviluppare la ricerca nell’ambito della pirateria informatica. Oggi Conti coordina una quarantina di informatici tra studenti, dottorandi e assegnisti di ricerca, che arrivano a Padova da tutto il mondo e sono richiestissimi da aziende, università ed enti governativi. Anche i ricercatori del gruppo Spritz hanno familiarità con le incursioni online: «Ma noi seguiamo il protocollo della responsible disclosure - spiega Conti -. Funziona così: chi scopre che un sistema è vulnerabile, non divulga nulla e avvisa subito l’azienda; se però l’azienda non risolve il problema entro una certa scadenza, allora l’hacker rende nota la scoperta. Ci sono grandi aziende che hanno anche introdotto il Bounty program, cioè dei premi per l’hacker che contatta l’azienda per informarla invece di rivendere i dati: la ricompensa può valere diverse migliaia di euro, dipende dall’entità della scoperta. È successo anche a noi». Insomma, il confine tra bene e male è estremamente labile e sta agli hacker decidere da che parte schierarsi, un po’ come avviene per gli agenti dei servizi segreti. Nel caso di Gubello, Conti aggiunge altri tasselli al puzzle. E prende le distanze dalla difesa della comunità hacker: «Se l’autore dell’incursione non fa danni e mette in evidenza un problema, la sua azione è da considerare eticamente corretta e utile. Se però entra in un sistema infrangendo le regole, commette un reato. In generale, è meglio fare questo tipo di azioni in un ambiente controllato; in caso contrario, si rischia di varcare il confine e di non rendersene conto. Nel caso specifico, invece di compromettere il sistema del M5s, l’hacker poteva installare il software che gestisce il sito e contattare l’azienda per denunciare il problema. Violare un sistema che comprende degli utenti non è corretto».