Ti ringrazio per la ottima rassegna (come sempre). Per la maggioranza del pianeta, più che "too big to blame" direi "too far to persecute", o più semplicemente "Americani". Per gli Stati Uniti invece è semplice "business as usual". "It’s Easier To Ask Forgiveness Than To Get Permission", direbbero. Non condivido invece questa nota: Il August 7, 2020 9:12:24 AM UTC, Giovanni Biscuolo <giovanni@biscuolo.net> ha scritto:
[2] almeno quanto è offensivo chiamarlo hack e chiamare gli infiltrati hackers
Io non lo trovo offensivo. Al di là delle competenze tecniche impiegate, ciò che distingue l'hack da una truffa cibernetica è il movente dell'hacker, ovvero acquisire e diffondere conoscenza. Ora, in questo caso, si è trattato di un hack o no? Gli hacker hanno semplicemente ignorato i tabù cui era affidata la sicurezza di un sistema. Il fatto che tali tabù riguardassero elaboratori biologici (gli impiegati) invece che elettronici (i computer) è del tutto irrilevante. Ignorando questi tabù, hanno avuto accesso ad informazioni che erano pubbliche, perché ogni informazione che è disponibile a chiunque possieda informazioni pubbliche è pubblica essa stessa. In questo caso, attraverso informazioni pubbliche (come condurre un social engineering), gli hacker hanno ottenuto informazioni che Twitter credeva private (le credenziali di accesso), ma che erano in effetti pubbliche perché accessibili attraverso informazioni pubbliche. Se avessero utilizzato uno zero day, potremmo ragionare sulla peculiarità del tabù che lo zero day costituisce, ma in questo caso no: le credenziali in questione erano accessibili a chiunque sapesse come accedervi. Tant'è che dei ragazzini le hanno usate. A questo punto, per capire se si tratta di un hack vero e proprio o di un gretto attacco finalizzato a tirar su qualche soldo, dobbiamo chiederci: 1) a che domande volevano rispondere gli hacker? 2) abbiamo imparato qualcosa dall'attacco? Infatti, l'hack è un atto creativo di Curiosità e sottende sempre almeno una domanda cui l'hacker vuole dare una risposta chiara, inequivocabile e possibilmente definitiva. La prima domanda cui questo hack risponde, la più evidente, è: - quanto sono sicuri i colossi della Silicon Valley? Ma potremmo riformularla in questo modo: - dei ragazzini possono scatenare la terza guerra mondiale? - dei ragazzini possono scrivere su Twitter al posto di capi di stato, giornalisti o politici? - dei ragazzini possono ridicolizzare una delle più grandi aziende Americane del pianeta? Ora questi hacker avrebbero potuto usare le credenziali che avevano ottenuto per anni, senza farsi notare, come hanno fatto tutti quelli che li hanno preceduti. (perché chiunque crede davvero che questo sia stato un incidente isolato, verificatosi per la prima volta, è uno sciocco ignorante) Ma in quanto hacker hanno deciso, secondo i propri valori, di condividere questa conoscenza, nel modo più giocoso e plateale possibile, in modo che raggiungesse tutti e non potesse poi essere inquinata da dichiarazioni opposte di Twitter. Hanno dunque fatto una VERA Responsible Disclosure! Hanno informato TUTTI dell'enorme problema che la ignoranza^W cieca fiducia nei colossi della Silicon Valley costituisce. E mentre che c'erano, come ciliegina sulla torta, si saranno chiesti: quanto capiscono di informatica le vittime di Bitcoin? E hanno risposto anche a questa domanda. Ora, sono d'accordo che la risposta alla seconda domanda era piuttosto scontata, nota a tutti gli informatici competenti, ma loro l'hanno dimostrato a TUTTI in modo chiaro ed inequivocabile. Quanto alla prima domanda, in Italia potremmo FORSE parlare di abuso della credulità popolare, ma questo hack ha dimostrato fini molto nobili: - svelare la fragilità dei sistemi cibernetici americani - svelare l'ignoranza diffusa di chi gli affida informazioni sensibili - rompere PUBBLICAMENTE un tabù, svelando ciò che altri facevano già in segreto Dunque dall'esterno il comportamento di questi hacker è stato estremamente etico: hanno arricchito rapidamente le conoscenze dell'umanità. E l'hanno fatto da veri hacker, scatenando tutta una serie di altre domande che meritano risposte urgenti ed importanti. Peccato che pochissimi le colgano. Da hacker, io li riconosco come miei pari. E trovo offensivo che li si sminuisca o criminalizzi Dovremmo premiarli, non punirli. Hanno mostrato che il re è nudo E che il popolo è credulone. Preferite i criminali che li hanno preceduti? Giacomo PS: a causa di alcuni problemi tecnici, alcune mie email potrebbero non essere giunte alla mailing list, o essere giunte duplicate. Ad esempio questa è l'email cui ha risposto Giovanni qui https://server-nexa.polito.it/pipermail/nexa/2020-August/018424.html