hit counter
Hackers o Crackers ? In Microsoft solo “%41%43%45%20%54%65%61%6d” - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Hackers o Crackers ? In Microsoft solo “%41%43%45%20%54%65%61%6d”

Hackers o Crackers ? In Microsoft solo “%41%43%45%20%54%65%61%6d”

  • Comments 2
  • Likes

Alla fine di agosto è nato un blog di Microsoft mooolto interessante per i veri appassionati di sicurezza (come me e voi), dal nome suggestivo: "Hackers @ Microsoft". L'ovvio intento è quello di condividere le esperienze più interessanti del team che supporta il processo del Security Development Lifecycle con le tecniche di penetration testing e security code review. Dopo il post di benvenuto il blog è andato in stand-by. Fortunatamente è riemerso in questi giorni, con una curiosa novità: il nome (non l'indirizzo, che rimane http://blogs.msdn.com/hackers) è cambiato, diventando un impronunciabile "%41%43%45%20%54%65%61%6d" (che dovrebbe essere la codifica di "ACE Team", il gruppo di Application Consulting & Engineering che si occupa di sicurezza applicativa, performance e privacy, dotato anche di blog). Motivo di tale modifica è il desiderio di (traduco liberamente) "attenuare le perplessità della media dei lettori che potrebbero non comprendere bene la differenza tra i gli ethical hackers e i cattivi, e inavvertitamente associare Microsoft alla connotazione negativa di tale termine...". Vi vedo che state sorridendo sotto i baffi, e vi capisco ... ma vi chiedo di essere indulgenti: questo atteggiamento che sembra una sorta di censura è in realtà solo il frutto della cultura anglosassone che ha un'attenzione spasmodica per le pubbliche relazioni. L'uomo anglosassone non riesce a vivere gli imprevisti, ha bisogno di essere sempre preparato a priori rispetto a quello che deve affrontare in pubblico, perché teme di non saper gestire al volo le situazioni.

Anche se sono convinto che il nome delle cose ricopre una parte fondamentale per la definizione delle stesse, rispetto al blog "Hackers @ Microsoft" sinceramente non credo che ci fosse bisogno di prendere le distanze dalla connotazione negativa del termine hacker, perché ritengo sia ovvio il contesto positivo nel quale lo si usa... ma, come detto, gli anglossassoni sono paranoici su queste cose. Personalmente non riesco facilmente a usare i due termini per distinguere i ricercatori di sicurezza buoni (hackers) da quelli cattivi (crackers), forse anche per l'assonanza del secondo termine con gli snack salati...  Io preferisco separare l'atteggiamento tecnico dall'intenzione con cui si operano certe azioni, e vedo nell'hacker la passione di non fermarsi di fronte all'evidenza e di andare oltre, cercando di conoscere a fondo un sistema, meglio di chiunque altro. Questo atteggiamento permette sì di individuare meccanismi per aggirare le limitazioni che un sistema di sicurezza intende imporre, ma il decidere di sfruttare questa conoscenza per danneggiare gli altri è un altra storia e va chiamato con il suo vero nome: è un crimine. Voi cosa ne pensate ?

In ogni caso, nome impronunciabile a parte, non mancate di aggiungere questo blog ai vostri feed, e non perdete di leggere il post dal titolo "The difference between pentesting and an application development security process Part I", dove si ribadisce l'importanza dell'adozione di un processo di sviluppo di codice sicuro (per indirizzare le "root cause" delle vulnerabilità e non solo gli effetti come fa il pentest), e la considerazione (che condivido appieno) di una sostanziale convergenza tra industry diverse nei confronti dell'approccio alla sicurezza: che siate un cliente bancario, manifatturiero o telecom, l'obiettivo è sempre quello di proteggere adeguatamente i dati dei clienti (ricordate la 16a perla di Security Governance ?).

Comments
  • Uno dei tuoi migliori post dall'inizio del blog, amico mio! Sia per i link molto utili, ma anche e soprattutto per i tuoi commenti ed elaborazioni personali. Mi trovi d'accordo su praticamente tutta la linea.

    Ma non sono solo gli anglosassoni ad essere paranoici. Purtroppo il termine hacker e' da tempo usato a sproposito anche da noi...

  • Ho appena assistito ad una breve sessione interna sui servizi di consulenza sulla sicurezza applicativa

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment