Ciao Internet! Oggi affrontiamo un tema che mi sta particolarmente a cuore: la criminalizzazione dei ricercatori di sicurezza. Partiamo dal caso di Columbus, Ohio, dove nel luglio 2024 la città subisce un attacco ransomware da parte di un gruppo noto come Rishida. L'amministrazione cittadina, in un primo momento, minimizza l'accaduto dichiarando che i sistemi non sono stati criptati e che non ci sono state fughe di dati. Tuttavia, lo stesso giorno, il gruppo di hacker rivendica l'attacco, affermando di aver sottratto 6,5 terabyte di dati sensibili, compresi credenziali dei dipendenti e registrazioni delle videocamere della città.
Il caso diventa particolarmente interessante quando Connor Goodwolf, nome d'arte di David Leroy, decide di indagare ulteriormente. Dopo aver analizzato i dati pubblicati online dagli hacker, Goodwolf scopre che le dichiarazioni del sindaco sono fuorvianti. Condividendo un campione dei dati trafugati, dimostra che contengono informazioni personali non criptate, contrariamente a quanto affermato dalle autorità.
La reazione della città è sconcertante: invece di ammettere l'errore, cita Goodwolf in giudizio accusandolo di aver gestito i dati in modo negligente e di aver diffuso il panico nella comunità. Viene richiesto un ordine restrittivo per prevenire ulteriori diffusioni e si chiedono danni per 25 mila dollari. Questa mossa legale non solo aggrava la situazione, attirando l'attenzione internazionale, ma evidenzia un problema più ampio: il trattamento riservato ai ricercatori di sicurezza che, invece di essere apprezzati per il loro contributo cruciale, sono spesso trattati come criminali.
Questo approccio ha effetti devastanti sulla comunità della sicurezza informatica. Molti sono scoraggiati dal segnalare vulnerabilità per paura di ripercussioni legali, lasciando le falle aperte ai criminali. La discrepanza tra le dichiarazioni ufficiali e la realtà dei dati evidenzia un gap significativo nella comprensione e comunicazione degli incidenti di sicurezza. Il cittadino comune, alla fine, è colui che subisce maggiormente le conseguenze, con i propri dati esposti e senza la possibilità di proteggersi.
È necessario un cambiamento normativo per garantire che chi segnala un problema di sicurezza non sia perseguito, ma valorizzato. Sono in corso tentativi a livello europeo per modificare la normativa, ma c'è ancora molto da fare. La lezione principale da imparare è che citare in giudizio un ricercatore che espone una vulnerabilità non ridurrà i problemi di un'azienda, ma li amplificherà. Con questa riflessione, vi invito a unirvi al nostro gruppo su Whatsapp o Telegram per discutere ulteriormente di questi temi.
I contenuti dell'Episodio #1325
In questa puntata di Ciao Internet, esploro una tematica ricorrente e preoccupante: la criminalizzazione dei ricercatori di sicurezza. Attraverso il caso di Connor Goodwolf, un ricercatore citato in giudizio per aver sbugiardato il sindaco di Columbus dopo un attacco ransomware, discuto le implicazioni di questo approccio repressivo. Analizzo come la trasparenza e l'integrità nella gestione degli incidenti di sicurezza siano fondamentali, ma spesso trascurate, e rifletto su come queste dinamiche influenzino negativamente la comunità della sicurezza informatica.