============================================================================== -------------[ BFi numero 9, anno 3 - 03/11/2000 - file 5 di 21 ]------------- ============================================================================== -[ C0LUMNS ]------------------------------------------------------------------ ---[ SPAGHETTi CRACKER? -----[ Stefano Chiccarelli 26/06/2000 di ritorno dall'hm00 Dal momento in cui e' uscito Spaghetti Hacker non ho mai piu' scritto qualcosa di "pubblico" sull'argomento, ma in seguito al dibattito organizzato all'Hackmeeting 2000 "Seminario sull'etica hacker" moderato da T.H.E. Walrus, mi e' tornata una certa voglia di scrivere. E quale mezzo migliore per raggiungere la "scena italiana" (la definiamo cosi'?), se non BFi :) Dal 1997 anno in cui ho finito di scrivere il libro ad oggi ne sono successe veramente tante di cose. L'hack-it, BFi, gli exploit italiani, i giornali, l'e-commerce, le televisioni, i newbies e i nuovi gruppi (le 'crew'), le zine nate e morte, dislessici, s0ftpj, sikurezza.org, l'open source e le aziende open source italiane, il Costanzo show :), i DDoS... Ci sarebbe quasi il materiale per un altro libro. Signori miei, la situazione italiana e' cambiata. Moltissimo. Migliorata per alcuni versi e peggiorata per altri. I molti "nuovi" che si avvicinano all'argomento con una voglia piu' che legittima di imparare, rimangono imbrigliati nella logica di imparare solo a "bucare" con una ormai comune smania compulsiva di entrare e cambiare qualche home page. Questo lo possiamo considerare come parte del gioco, ma nello stesso tempo e' un gioco che rischia di spostare l'interesse di molte persone di talento dalle pratiche che personalmente ritengo piu' proficue per la 'cultura' hacker: la programmazione open source, il debuging dei SO, la stesura di documentazione pubblica, l'impegno a fare un'informazione piu' adatta a spiegare al grande pubblico cos'e' la cultura hacker. Tutti hanno avuto i loro periodi di "fase notte" in cui si buca di continuo e in effetti e' un momento di transizione importante che molti smanettoni italiani passano o hanno passato. Bucare... nuova cyberdrug per arrivare al "nirvana digitale" nel momento in cui il $ diventa #... Questa sensazione la conosciamo e la capiamo benissimo e non la condanniamo affatto, ma non possiamo fermarci qui, non piu'. Il cammino nel mondo dell'hacking per alcuni si potrebbe schematizzare in alcuni passaggi fondamentali: 1) vorrei ma non posso 2) conosco il mio "mentore" 3) imparo le tecniche e dove reperire 'sploit 4) buco buco buco 5) mi cago sotto per una situazione "delicata" 6) ribuco ribuco ribuco 7) che faccio?? ----> torno al punto 6 /* e qui il loop e' pericolosissimo */ 8) studio/programmo/studio/programmo 9) da qui in poi il talento fa la differenza :) -> Trovo un BUG e pubblico un exploit e divento famoso -> Lavoro nella sicurezza -> Mi aggancio ad un progetto open source esistente -> Lancio un mio progetto open source -> Inizio a non chiamarmi piu' "3l33t3 massacrator" ma Mario Rossi Molti si loopano al punto 7 e ripetono i soliti comportamenti all'infinito rischiando un segmentation fault :) Quando accade questo la situazione diventa preoccupante ed insieme al cervello dello sfortunato si freeza anche una pedina della scena hacker italiana che non progredisce come potrebbe. (NdR; non per tutti e' cosi', molti iniziano direttamente dal punto 8 per nostra fortuna). Inutile negare o sottolineare che siamo abbastanza indietro rispetto ad altri paesi e stiamo facendo un grande sforzo per rimetterci in linea. Ma se si disperdono tutte queste energie rimanendo nel famigerato loop (e questo sta accadendo a molti)? Semplicemente si rischia di rimanere una nazione di cracker che non produce nessun effetto sulla cultura "normale". L'influenza della cultura hacker nella cultura informatica "classica" non e' mai stata tanto forte come in questi ultimi due anni e noi, ripeto, non possiamo rimanere fermi ad osservare questo fenomeno. Ma veniamo all'argomento principale di questo articolo, la discussione sull'etica hacker avvenuta al Forte. T.H.E. Warlus ha portato come "testo base" lo jargon file (ottima scelta :) e in un passaggio si e' discusso di quanto segue: --- snip --- [tratto da jargon file, http://www.tuxedo.org/~esr/jargon/] hacker ethic n. 1. The belief that information-sharing is a powerful positive good, and that it is an ethical duty of hackers to share their expertise by writing open-source and facilitating access to information and to computing resources wherever possible. 2. The belief that system-cracking for fun and exploration is ethically OK as long as the cracker commits no theft, vandalism, or breach of confidentiality. --- snip --- Questo frammento che nello jargon file si trova immediatamente dopo questi due punti dell'etica, suppongo non sia stato riportato per motivi di spazio, ma e' MOLTO esplicativo di quanto andro' a discutere nell'articolo. --- snip --- [tratto da jargon file, http://www.tuxedo.org/~esr/jargon/] Both of these normative ethical principles are widely, but by no means universally, accepted among hackers. Most hackers subscribe to the hacker ethic in sense 1, and many act on it by writing and giving away open-source software. A few go further and assert that all information should be free and any proprietary control of it is bad; this is the philosophy behind the GNU project. Sense 2 is more controversial: some people consider the act of cracking itself to be unethical, like breaking and entering. But the belief that `ethical' cracking excludes destruction at least moderates the behavior of people who see themselves as `benign' crackers (see also samurai). On this view, it may be one of the highest forms of hackerly courtesy to (a) break into a system, and then (b)explain to the sysop, preferably by email from a superuser account, exactly how it was done and how the hole can be plugged -- acting as an unpaid (and unsolicited) tiger team. The most reliable manifestation of either version of the hacker ethic is that almost all hackers are actively willing to share technical tricks, software, and (where possible) computing resources with other hackers. Huge cooperative networks such as Usenet, FidoNet and Internet (see Internet address) can function without central control because of this trait; they both rely on and reinforce a sense of community that may be hackerdom's most valuable intangible asset. --- snip --- Il punto due sopra citato stabilisce che la pratica di cracking dei sistemi e' eticamente OK se viene perpetrata per divertimento ed esplorazione astenendosi da provocare danni, furto di dati o violazione della privacy e questo punto l'ho sempre sostenuto anche all'interno di Spaghetti Hacker. Da qualche tempo pero' (circa 2 anni) sto iniziando ad avere seri dubbi su questo punto. In effetti come dice lo stesso jargon file la cosa e' molto dibattuta fra tolleranti e contrari. Personalmente credo (come ho espresso pubblicamente all'hm00) che questo punto poteva avere senso qualche anno fa quando per vedere un sistema UNIX-like o accedere all'Internet l'unico modo era quello di "bucare" qualcosa se non si aveva a disposizione un accesso a qualche centro di calcolo universitario. Ma oggi? Il 2000 con Linux, *BSD, le schede di rete a 20k lire, Internet gratis (diciamo cosi' :), le free shell... Cosa dobbiamo esplorare, quali segreti tecnici dobbiamo carpire? Si', forse c'e' ancora qualche network device non facilmente accessibile per chi non lavora direttamente nel campo del networking, ma questo non mi convince a giustificare le intrusioni o almeno non mi elimina del tutto questo dubbio "etico". A questa mia affermazione le reazioni sono state diverse. Molti dicono che chi si e'avvicinato all'hacking da poco ha bisogno di "esplorare" e di provare certe "sensazioni" come abbiamo fatto noi, altri invece mi hanno dato ragione, ma il mio interesse non e' avere ragione o farmi 'guru' della scena italiana. Il mio e' squisitamente un dubbio etico e penso di non essere il solo ad averlo. Io continuo solo a vedere 'flotte' di ragazzi che si buttano sull'argomento senza avere le conoscenze tecniche e culturali di quello che stanno facendo, li sento muoversi e comportarsi come 'l33t' il tutto per uno spirito di emulazione ormai dilagante. Da qualcuno l'avranno visto e quel qualcuno (magari nella scena da anni) ha fatto circolare questo messaggio. Mi dispiace, ma non possiamo dare sempre la colpa ai media "lamer" se la scena viene vista in un certo modo. Da questo punto di vista la responsabilita' in parte sara' anche della scena stessa che ha dato questa come immagine pubblica. Non ci lamentiamo se ircnet e' diventata insopportabile, se i nostri canali che un tempo erano un luogo FONDAMENTALE per il lavoro e per l'apprendimento sono diventati luoghi di conquista per ircwarrior incazzati. Penso sia ora di fare un minimo di autocritica e di capire che tipo di messaggio stiamo facendo passare all'esterno. Hacker = colui che buca e ribuca Hacker = "l'antagonista", colui che che fa la controrivoluzione Questo e' quello che filtra verso i non addetti ai lavori. Ergo questa e' la scena hacker italiana. Io non so cosa sia un hacker e penso che 'nessuno' lo possa definire, ma l'open source? Il C? L'aspetto tecnico? La ricerca e lo sviluppo? Gli hack? Gli sventra-kernel? Ho sentito molti al seminario avere paura di una 'tecnocrazia' nella scena hacker, ma non mi sembra proprio, i veri tecnici sono quelli che parlano di meno, non hanno tempo perche' stanno codando (io infatti parlo molto :))) Cosi' facendo rischiamo di non far trapelare la ricchezza tecnica della scena italiana e continueremo ad essere visti come script kids se ci va bene, come delinquenti se ci va male, continueranno a citare i 'megasuperesperti' di sicurezza informatica che parlano di NT come di un sistema sicuro. IMHO tutto questo e' semplicemente ingiusto, cerchiamo insieme di uscire al piu' presto dal punto 7 con un ctrl-brk e decidere di "crescere". ============================================================================== ---------------------------------[ EOF 5/21 ]--------------------------------- ==============================================================================