Salve a tutti, avrei una domanda che mi preme da un pò, e volevo sapere la vostra. Capisco che potrebbe non esserci una risposta oggettiva, ma solo diversi modi di vederla, ma magari sono io che mi scervello troppo.
La maggior parte delle volte che guardo progetti in ambito di Penetration Testing su GitHub (Esempi di malware open-source, strumenti di pentesting, rootkit, e altri progetti di questo tipo) la maggior parte delle volte è presente un disclaimer che dice una cosa del tipo: “Progetto creato solo per scopi illustrativi, utilizzare questo strumento solo su sistemi ai quali è stata concessa l’autorizzazione.”
A questo punto mi domando:
Serve davvero scrivere un disclaimer simile, può, ipoteticamente, aiutare in qualche modo?
Quali ripercussioni potrebbero esserci per il non aver scritto un disclaimer? Davvero si potrebbero evitare tali ripercussioni se venisse scritto?
Partiamo dal presupposto che mattere tre righe in piu in un file non costa nulla a nessuno e che scrivere un disclamer del genere, in caso di un coinvolgimento, mette il tuo lavoro su una prospettiva completamnte diversa, del tipo, doversi giustificare che lo si e’ fatto a solo scopo illustrativo quando non c’e’ niente di scritto che lo dimostri piuttosto che aver messo quelle tre righe, probabilmente non ti cava dai problemi ma puo aiutarti.
Poi, quello che ho notato io e’ che quel tipo di progetto non e’ realmente pericoloso e spesso fornisce degli esempi basilari o di attacchi mirati che si realizzano solo in determinate circostanze tipo laboratori di test.
In ultima analisi dipende cosa sviluppi e in che modo viene utilizzato e contro chi.
Scenario esempio: sviluppi un malware molto forte, lo rendi open sotto il tuo nome, con licenza free, quello che ti pare insomma. Poi un APT lo prende, magari fa qualche leggera modifica, ma sostanzialmente la struttura è quella e può essere riconosciuto tramite reverse engineering, e poi lo utilizza su una società importante statunitense, creando danni economici significativi.
Ecco, in questi casi ti potrebbero fare il culo.
Insomma, il morale della favola è che se hanno interesse a farti il culo, ci proveranno, altrimenti no. E ovviamente dipenda da quanto “potere” viene usato contro di te. Se stiamo parlando di un potere limitato, magari un disclaimer del genere lo puoi usare con un avvocato per pararti, ma sicuramente dopo una certa threshold ci puoi provare quanto vuoi ma diventa difficile. O comunque, in quei casi, il disclaimer serve a ben poco.
In ultima analisi, quel disclaimer magari è messo anche perché la gente ci crede veramente. Ovvero, rilascia il materiale a scopi didattici. E ha pure senso farlo. Ovviamente ha senso farlo solo se stiamo parlando di PoC, di roba che non può essere weaponizzata in tempo due secondi, altrimenti la questione diventa più “spinosa”.
Completamente d’accordo, ho domandato apposta, perchè avevo letto di APT cinesi che impiegano rootkit open-source trovabili tranquillamente su GitHub, quindi avevo il dubbio di quanto il creatore di tale software potesse essere perseguibile in un qualche modo.