L’FBI ha arrestato Marcus Hitchins alla DefCon a Las Vegas

L’arresto da parte dell’FBI di Marcus Hutchins, durante la conferenza sulla cybersecutiry DefCon a Las Vegas pone una questione estremamente importante. Quella di quale sia il limite invalicabile che i White Hat hacker non debbano superare. Il giovane ricercatore fu infatti quello che riuscì a bloccare la diffusione della campagna ransomware/ransomworm WannaCry. Lo fece trovando una falla e un sinkhole che fecero rallentare drasticamente la pandemia, dando il tempo a mezzo  mondo di incrementare le difese e stopparlo. Il dipartimento della Giustizia Usa, però, lo ha accusato di aver creato altri malware 3 anni fa, tra cui un trojan bancario chiamato Kronos, che cercò di vendere al cybercrime. Non si conoscono altri dettagli sul caso, né se sia colpevole o meno delle accuse. Ma una cosa è certa. Se non ci fosse stato Hutchins, i danni di WannaCry a livello globale sarebbero stati ben peggiori.

I White Hat hacker devono percorrere zone grigie, che la legge considera comportamenti criminali, per contrastare le cyber minacce. Qual è il limite invalicabile?

L’arresto di Hutchins ha destato molto scalpore nella  comunità hacker globale e non solo. Sia perché è avvenuto durante un evento ufficiale sia perché il giovane ricercatore è considerato un eroe per l’episodio WannaCry. Inoltre, è noto che i White Hat per proteggere i sistemi da malware e cyber attacchi, spesso debbano navigare in aree grigie, che la legge considera comportamenti criminali. Per esempio, per sviluppare software o condurre indagini bisogna studiare il codice sorgente malevolo. Questo, però, (se si trova) è disponibile solo nel Deep o nel Dark Web. In particolare quando si affrontano servizi come ransomware o attacchi DDoS in affitto. A volte è anche necessario sviluppare virus o malware che simulino certi percorsi per capire come bloccarli ed è sempre bene avere un dialogo con il cybercrime per tenersi aggiornati sulle tendenze nelle cyber minacce.

I White Hat sono essenziali: le risorse ufficiali sono insufficienti per gestire tutti i pericoli e difficilmente si riesce ad attribuire paternità certa dei cyber attacchi

I White Hat hacker, peraltro, sono essenziali per proteggere i sistemi e le infrastrutture critiche da cyber attacchi e campagne ransomware. Le risorse ufficiali disponibili a livello nazionale sono, infatti, insufficienti. Lo dimostra il mercato del lavoro dell’IT, sempre in cerca di specialisti e analisti nella cybersecurity. Il settore, a differenza di tutti gli altri tradizionali, è perciò a tasso di disoccupazione Zero. A seguito di ciò sono estremamente preziose gli “esterni” che si impegnano sul singolo problema o pericolo e non costano nulla. Inoltre, è molto difficile attribuire una paternità definitiva all’uso di tool o malware in generale. Lo conferma il Russiagate, sulla quasi certa ingerenza cyber – ma non ancora identificata con massimo grado di certezza – di Mosca nelle presidenziali Usa del 2016. Senza contare che c’è un esercito di hacker, che quotidianamente si impegnano per testare le difese delle reti con metodi più o meno legali.

Le proposte per “regolarizzare” i White Hat hacker

Di conseguenza, i White Hat hacker rappresentano una risorsa che però a oggi è anche potenzialmente un problema. Ciò a causa dei loro comportamenti e metodi, in alcuni casi assimilabili a quelli del cybercrime o di attori ostili. Cosa fare allora? La soluzione più gettonata di cui si discute al momento è quella di creare elenchi di professionisti o dotarli di una specie di “patentino”. In questo modo sarebbero identificati e autorizzati perciò a operare, anche in ambienti grigi. Chi dovrebbe rilasciarli però? Molti hacker sono allergici ai controlli dei governi, che considerano una gabbia o un pericolo per la loro libertà e autonomia. Inoltre, compilarli richiederebbe tempo e fino all’inserimento ufficiale c’è il rischio di perdere risorse decisive nel caso di un cyber attacco in corso. Cosa sarebbe successo se Hutchins avesse avuto le mani legate durante l’offensiva di WannaCry?

Bisogna trovare presto una soluzione, altrimenti c’è il rischio che non ci saranno più Hutchins in futuro

Altri, invece, ritengono che i White Hat hacker dovrebbero essere lasciati liberi come lo sono stati finora. Ma ciò comporta l’assenza di protezioni e il sobbarcarsi di tutti i rischi del caso, come avvenuto con Hutchins. Una terza alternativa, infine, sarebbe trovare una via di mezzo tra le due ipotesi. Dovrebbe avvenire soprattutto a livello normativo, per fornire le garanzie legali senza però “ingabbiare” gli hacker che per definizione sono esploratori liberi. Ciò richiederà, però, uno sforzo giuridico e diplomatico a livello internazionale per firmare nuovi accordi e stabilire paletti invalicabili, in quanto internet stesso è globale. La soluzione, peraltro, va trovata in tempi brevi. Anche perché episodi come l’arresto del ricercatore, effettuato in pompa magna, “spaventano” la comunità e la allontanando ulteriormente dalle istituzioni. Di conseguenza, c’è il rischio che in una futura cyber offensiva non ci sia nessun “autonomo” che la studi e trovi il modo di bloccarla.