💾 Archived View for gemini.it.abiscuola.com › gemlog › 2022 › 09 › 11 › oh-uber.gmi captured on 2023-09-08 at 15:57:23. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2023-01-29)

-=-=-=-=-=-=-

Oh, Uber

Uber e' innocente, sapevatelo!

E' di qualche giorno la notizia che l'ex CSO (Chief Executive Officer) di Uber, Joe Sullivan, andra' a processo per aver omesso alla FTC (Federal Trade Commission), un data breach dopo che un'altro hack era avvenuto poco tempo prima.

Scaltri, scaltri CSO

Il guaio e' che lo stesso Sullivan, al momento, dovrebbe ricoprire il ruolo di CSO per, nientepopodimenoche, Cloudflare, solo che per questo piccolo inconveniente giudiziario, e' in vacanza forzata. Ci sono due conferme che traggo da questa storia:

Capiamoci: io per primo prendo la sicurezza informatica seriamente. A lavoro e' la cosa alla quale penso piu' spesso, quando architetto (o modifico) un sistema. Tuttavia non posso fare a meno di notare come, molti, troppi, team che si occupano di "IT security", siano li' per giustificare la loro paga, quando non totalmente dannosi nella loro supervisione.

Nel caso di Uber, la cosa che lascia perplessi e' come un CSO, abbia deciso di pagare gli intrusi come se avessero vinto un bug bounty e in accordo con altri dirigenti (CEO in primis), farlo per tenere nascosto il secondo data breach alla FTC. Al buon Sullivan non e' venuto il pensiero che, come CSO, avrebbe avuto la responsabilita' di quella decisione? Oppure pensava che la responsabilita' fosse sempre e solo di Uber? Come e' possibile che una persona in quel tipo di posizione abbia agito in questo modo? Quale e' il razionale?

Non vi e' nessun razionale, ma solamente tanta superficialita' e senso di invincibilita'. Questo e' dimostrato dal fatto che altri cosiddetti esperti di sicurezza informatica, come altri CSO, siano corsi in difesa di Sullivan sostenendo che, a loro modo di vedere, non ha fatto nulla di male. Quotando dall'articolo:

Now, Sullivan faces criminal obstruction charges, and The Wall Street Journal reports that his case has raised alarms for tech company security chiefs everywhere, who think Sullivan shouldn't be taking the fall for Uber. One former security chief from AT&T, Edward Amoroso, told the Journal that "many top security officers believe" that Sullivan "did nothing wrong."

E ancora:

Amoroso argued that by criminalizing reporting decisions of security chiefs like Sullivan, the US Department of Justice risks setting back the entire security profession. He said the debate was best left up to security communities, not a court, to decide who is responsible. Ars couldn't immediately reach Amoroso for additional comment.

Dovrebbe occuparsene la community, non il dipartimento di giustizia. Come quando la chiesa Cattolica si "occupa" dei preti pedofili, nevvero?

Insomma, la paga da executive la vogliono, ma non ne vogliono la responsabilita'. C'e' un altro aspetto da considerare. Per quale motivo i CSO e i vari "esperti", sono corsi in soccorso dell'accusato? E' palese che la decisione di Joe Sullivan avrebbe comportato conseguenze penali per lui, come dovrebbe comportarne, IMHO, anche per tutti gli altri che, in concerto con lo stesso, hanno deciso di agire in quel modo. La realta' e' pero' che, se questo processo si concludesse con una condanna, creerebbe un precedente che renderebbe davvero responsabili i cosiddetti CSO, CTO e compagnia varia.

Kalanick, ex-CEO di Uber, pur avendo portato avanti l'azienda con pratiche totalmente illegali, fino a raggiungere l'ostruzione alle indagini, se ne va in giro da miliardario come se nulla fosse. I casi nei quali un C-executive e' davvero stato condannato per qualche reato sono estremamente rari e da che mi risulti, nessun dirigente di aziende tecnologiche, o OTT (Over-The-Top) e' mai stato condannato per questo.

Ecco il vero motivo. I buffoni dell'industria della sicurezza informatica, hanno paura di dover rispondere delle loro decisioni davanti alla legge, mentre fino ad ora quello che accade e' che vengono licenziati, beccano una pacca sulla spalla, una sontuosa buonuscita e via, verso il prossimo ruolo da responsabile della sicurezza presso qualche altro OTT, a vendere il loro nulla.

Questa gente e' tanto brava a sbragare puntando il dito verso gli altri, criticando le loro pratiche, ma a differenza di buona parte dei programmatori di questo mondo, non costruiscono nulla. Sono solo in grado di criticare, cianciare e puntare il dito chiedendo "piu' soldi".

Solo che nel momento in cui arriva la giustizia, a renderli finalmente responsabili di quello che (non) decidono, gli "esperti di sicurezza informatica", frenano piu' forte di una macchina di formula uno, andando a cercare giustificazioni sul fatto che "e' colpa dell'azienda".

Ho avuto a che fare con abbastanza di questi elementi per rendermi conto che, ad esclusione di alcune eccellenze (aziende come Qualys vengono alla mente), il resto sa mettere insieme qualcosa con metasploit, se va bene sanno scrivere un filo di shell code, ma non hanno idea di quello che fanno. E' gente che ha visto "le best practices", ma non hanno idea che cosa voglia dire ricercare per davvero delle vulnerabilita'.

Credetemi, l'ho visto di prima mano.

E' ora che l'industria della sicurezza riceva un bello scossone e questo processo e' un ottimo inizio. Io spero in una condanna, non cosi' grave, per carita', Sullivan non ha ucciso nessuno, ma dovrebbe servire da esempio per tutti i fanfaroni della sicurezza che pensano di poter continuare a cianciare senza mai essere ritenuti responsabili di quello che dicono ma, soprattutto fanno.

Come dite? Non mi piacciono i "security experts"? Chi l'avrebbe mai detto.