Re: DENUNCIARE O NO in caso di intrusione?

On Sun, Jun 10, 2001 at 01:46:45AM +0200, andrea@linux.it wrote:

> Domanda molto provocatoria (un po' OT, quindi non e' detto che arrivi): 

cio' la faccia di quello che censura? cio' la faccia di quello che censura?
:PPPPPP

> > 2. Secondo motivo, non per importanza. Questi atti vanno assolutamente
> > denunciati perchè  non devono rimanere impuniti. Già la legge italiana è
> > quanto di più sommario in materia, se non ci preserviamo anche noi rimaniamo
> > in questo stato di anarchia e questo a me non va assolutamente. Inoltre c'è
> > anche una "causale" morale, sinceramente mi sono rotto di vedere i log dei
> > miei firewalls pieni zeppi di 15enni che giocano... è ora di finirla!
> > 
> 
> Quindi tu sporgeresti denuncia contro un 15enne italiano, rovinandogli
> vita, carriera, lavoro, famiglia etc etc ? 

Io penso che il problema sia un po' piu' complicato. Certamente non e'
carino rovinare un 15enne perche' ti ha defaciato il sito (tantopiu' che se
il sito lo tenevi bene, probabilmente, salvo non sia un mostro e/o non sia
particolarmente ben introdotto negli ambienti dove circolano exploit
piu/meno/pseudo ureleased, il sito non te lo defaciava) o addirittura solo
perche' ha provato a farlo, visto che - essendo bene o male ancora agli
inizi - la legislazione non e' ancora ben chiara, o forse meglio, non e' ben
chiaro come applicarla (pesi, misure, etc.) e rischi sul serio di rovinargli
la vita.

Il problema pero' c'e'... se domani un ragazzino ti brucia l'automobile, non
penso che tu ti ponga tutti questi problemi morali, scommetto che lo denunci
e amen, etichettandolo come vandalo e maledicendo lui la sua famiglia e un
numero x di generazioni di suoi parenti (x proprozionale al valore dell'auto
di solito :)

Il problema e' che attualmente non c'e' per niente la cultura del rispetto
del lavoro altrui, su Internet. Da ragazzino non mi e' mai passato per la
mente di bruciare la macchina a qualcun'altro, forse perche' i miei/la
scuola/quelchee' mi han fornito la cultura/gli strumenti/la paura per capire
che non e' bene/non si fa/e' una cosa cattiva.

Ora, io posso anche rendermi conto che bruciare un automobile (e ho
volutamente utilizzato un esempio che coinvolge dei beni materiali, non ho
parlato di sparare a qualcuno o simile) e un defacement possono avere un
valore diverso, pero' stiamo parlando di un mondo (Internet) dove ormai si
fa business (e non voglio entrare nel merito del fatto che sia bene/male
etico/non etico.. lo do' come dato di fatto.. ci sono un sacco di soldi che
girano e un sacco di gente che lavora su/per/grazie/tramite Internet) e dove
un defacement, un ddos, un attacco, un quelchee' hanno _pesanti_ ricadute in
termini economici su chi li subisce (e tutta un'altra serie di persone, tra
cui provider, gente nel mezzo, macchine usate come bouncer, etc. etc. etc. e
piu' in generale tutti - se un ragazzino 13n che ha 8 milioni di Gb di shell
da usare per spegnere un utente italiano che gli ha fatto "buh" su irc in un
colore che non gli piaceva, si mette all'opera, probabilmente ne risente
anche la mia di banda, la tua banda e la banda della nazione intera).

Posso anche rendermi benissimo conto che se i tuoi clienti invece che vedere
il tuo sito vedono un teschio con sotto scritto "0wn3d by SuperHacker - 13
years old" magari domani prima di comprare qualcosa da te lo fanno dal tuo
concorrente preferito.(*)

Ora, si puo' obbiettare che il sito era poco protetto, era un colabrodo,
etc. etc. etc., cio' non toglie che hai causato un danno non indifferente,
di cui, anche se hai 13 anni, devi incominciare a renderti conto (o meglio,
quelli che ti stanno intorno (i famosi tuoi/la scuola/quelchee') devono
incominciare a fornirti la cultura/gli strumenti/la paura per capire che non
e' bene/non si fa/e' una cosa cattiva).

Non mi sembra che bruciare una macchina sia una cosa complicata, eppure non
mi sembra neanche che le strade siano piene di automobili che bruciano con
cartelli con su scritto "hey ciccio, la tua macchina non ha dei sistemi di
sicurezza fatti bene, guarda come gli ho dato fuoco facilmente". Se per
strada non e' necessario girare con automobili tipo quelle di "Nirvana", in
cui se ti avvicini troppo ti sparano, un minimo di maggior rispetto verso
gli affari altrui non guasterebbe neppure in rete.

[*]: e' ovvio che sarei contendo di sapere che un sito in cui stavo per
immettere il mio preziosissimo numero di carta di credito e' un colabrodo,
pero' credo sia arrivato il momento di trovare dei sistemi piu' indolore per
questo tipo di verifiche - o con un sistema che permetta, lameraggine o no
dell'admin del sito di e-commerce, di evitare perdita di informazioni vitali
- o con un sistema di rating o quel che e' (verifiche di sicurezza
obbligatorie? :PPPP). Non mi sembra che per testare la sicurezza dei
giubbotti antiproiettili si vada in giro a sparare a poliziotti e guardie
giurate, giusto per fare l'ennesimo esempio di vita concreta.

"Hey admin ti ho bucato il sito per fare vedere al mondo quanto e' poco
sicuro il tuo sito" mi sembra sempre piu' una scusa e una giustificazione e
sempre meno (se mai mi era sembrato cosi' e non mi sembra di ricordarmi una
cosa simile :) un favore all'umanita'.

bye
Koba (moderatore)

-- 

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List