Vita dura per i cappelli grigi


L’Electronic Frontier Foundation ha pubblicato un’interessante guida relativa alla segnalazione di vulnerabilità scoperte da cosiddetti “grey hat”, hacker senza intenti particolarmente maliziosi che si imbattono in bug nei software e intendono notificare i produttori.

Il paper è incentrato sul panorama legislativo americano, ma alcune annotazioni sono interessanti anche per noi che stiamo di qua dell’Oceano.

Per esempio è molto importante tenere conto del fatto che i grossi vendor (Microsoft, Red Hat, SuSE, IBM, HP, etc) sono in un certo senso “abituati” a trattare con le vulnerabilità e con chi le notifica, dispongono di strutture e procedure adeguate alla gestione delle segnalazioni e degli incidenti di sicurezza e, soprattutto, non desiderano affatto avere a che fare con la pubblicità negativa derivante da denunce a ethical hackers.

D’altra parte, la stragrande maggioranza dei software non sono prodotti da big del settore, ma sono soluzioni proposte da aziende più piccole, che spesso non dispongono di una struttura e di un know-how adeguati alla gestione delle segnalazioni e potrebbero andare in panico e reagire nel peggiore dei modi, denunciando il “cappello grigio” e mettendolo nei guai.

Rimane, quindi, il dilemma per il ricercatore: rischiare e segnalare la vulnerabilità, oppure lasciare tutto com’è, sapendo che prima o poi qualcuno, magari con intenti malevoli, la scoprirà?