Hacking ed Eterotelia

Di fronte ad un evento o a una situazione che pare senza via d’uscita o senza soluzione, bisognerebbe sempre tenere presente l’eterotelia, ovvero il fatto che non necessariamente le idee producono i risultati attesi.

Facciamo un passo indietro e andiamo del ‘700. All’inizio del XVIII secolo le monarchie, per rafforzare le proprie capacità militari e quindi di dominio, iniziarono a valorizzare gli studi dei matematici. Accanto agli studiosi degli astri in grado di interpretare i segni celesti, erano sempre più numerosi gli scienziati in grado sfruttare i numeri per intervenire sulla realtà e dominarla.

In un primo momento questi studiosi contribuirono sicuramente a rafforzare le monarchie assolute: ma contribuirono anche a sviluppare un nuovo modo di pensare:l’Illuminismo, che nel giro di alcuni decenni portò al crollo delle aristocrazie e al trionfo della democrazia. Questo mi sembra un buon esempio dieterotelia.

Dopo aver spiegato cos’è l’eterotelia torniamo al tema dell’articolo: il rapporto tra l’eterotelia stessa e l’hacking.

Per fugare i mille dubbi sul significato del termine hacking: per hacking intendo la capacità di entrare in un sistema aggirando i dispositivi di sicurezza. Altre accezioni del termine qui non interessano.

Un clamoroso esempio di eterotelia nel mondo dell’hacking che mi viene in mente è quello dell’attacco a rootshell una decina di anni fa.

All’epoca roothsell era un sito su cui si trovavano gli exploit più recenti ed efficaci, era un punto di riferimento per chi era a cerca di munizioni digitali.

Roothsell era forse ingenuamente mitizzato: si pensava a chi gestiva (ma chi lo gestiva?) quel sito come all’elite dell’hacking, in grado di proteggere in modo magistrale qualsiasi sistema.
A dar forza a questa idea rootshell fu forse uno dei primi siti ad impiegare un sicurissimo server ssh al posto del “pericolosissimo” telnet.

Ebbene, questione di poco tempo roothsell venne bucato, e naturalmente gli autori dell’attacco presero il posto nell’immaginario del super hacker d’elite.
La cosa divertente fu scoprire che l’attacco andò a buon fine grazie ad un bug che si annidava proprio nel server ssh, che in teoria avrebbe dovuto rendere inviolabile il sistema.

In quel caso l’idea era quella di sostituire un sistema pericoloso (telnet) con u no più sicuro: ma l’idea non produsse il risultato atteso.

La capacità di considerare l’eterotelia e includerla nelle analisi di un penetration test può essere una capacità determinante.

La lezione da trarre è quindi che una situazione senza scampo potrebbe avere sbocchi imprevedibili (e imprevisti anche da chi ha in mano l’iniziativa) che potremmo volgere a nostro vantaggio.
E guardando il risvolto negativo dobbiamo sapere che il controllo su una situazione può andare perduto a causa di un’azione avventata o non necessaria.

E’ proprio necessario accrescere la sicurezza di un sistema che non ha mai dato problemi aggiungendo una contromisura di cui non sappiamo nulla?