[Outofthebox] Hackers Profiling Project

Alessio L.R. Pennasilico mayhem at recursiva.org
Thu Jan 25 00:38:09 CET 2007 

helo,

innanzitutto vorrei fosse chiaro che la mia sara' una risposta  
faziosa essendo parte del core team del progetto.
detto questo ringrazio buffer per la pubblicita' che sta facendo al  
progetto, prima ancora di rispondere all'amico shezzan ;:)

On Jan 24, 2007, at 11:43 AM, shezzan wrote:

> Marted 23 Gennaio 2007, on 22:45, Angelo Dell'Aera scrisse:
>>
>> Volevo segnalare alla lista il progetto Hackers Profiling Project  
>> che, a
>> mio modo di vedere, e' estremamente interessante. Potete trovare  
>> tutti
>> i riferimenti all'URL http://hpp.recursiva.org .
>>
>
> Cito testualmente:
> ..
> Forse ti stai anche chiedendo perché dovresti compilare questo
> questionario, che impegnerà un pò del tuo tempo, e cosa ci  
> guadagneresti
> nel farlo.
>
> Ti possiamo rispondere che non avrai nulla da perderci e nulla da
> guadagnarci. Però, possiamo dirti con certezza che l'intera comunità
> hacker potrà beneficiare molto da questo progetto di ricerca.
> ..
>
> Perche' sono convinto che ci guadagneranno decisamente piu' ALTRI  
> che la
> comunita' hacker? Inoltre esiste qui una comunita' hacker ?

la risposta alla seconda domanda e' dipende. se mi chiedi se esiste  
una comunita' hacker in italia, nell'accezione che io attribuisco al  
termine hacker, la risposta e' si.
e' una comunita' fatta di singoli individui, trasversale a diverse  
associazioni, aziende, gruppi, cerchi di amicizie.
se mi chiedi se esiste una comunita' hacker internazionale, sempre  
nell'accezione da me attribuita la termine, la risposta e' di nuovo  
si: ci sono molte persone che vestono i piu' diversi cappelli e si  
attribuiscono i piu' diversi ruoli, ma che comunque hanno un  
background socio-cultural-tecnico assolutamente uniforme per cui  
possono definirsi (o meglio sono definiti) tali.

in merito al chi guadagnera' dal progetto ti posso portare la mia  
visione, uno degli spiriti che anima e da un'impronta al progetto.
siamo circondati da persone che si riempiono la bocca di parole e  
concetti di cui non conosco il significato.
"su internet ci sono gli hacker". "gli hacker attaccheranno la tua  
rete". etc etc.
chi cazzo ci sta la fuori che mi vuole male? perche'? cosa sa fare?

lo scopo del progetto e' diversificato. il primo step e' senza dubbio  
identificare quali rischi corri, chi ti puo' attaccare, per quali  
ragioni, con quali mezzi e tecniche.
credo converrai con me che la tua preoccupazione non debbano essere  
solo lo stereotipo dei  ragazzini brufolosi asociali che ti vogliono  
defacciare, ne' le super spie che vogliono rubare su commissione i  
tuoi segreti. i rischi sono molti e diversificati, cosi' come la  
popolazione della rete.
conoscere meglio queste persone, queste dinamiche, tecniche,  
motivazioni, a mio parere, dovrebbe produrre due risultati (a meno  
che io non abbia frainteso ogni cosa sulle persone e su internet in  
questi anni):

- maggiore consapevolezza per chi si deve proteggere (siano aziende,  
governi o privati) rispetto ai rischi
- riabilitazione di una comunita' che oggi e' costretta ad  
attribuirsi titoli quali ricercatore, esperto di sicurezza e via  
dicendo perche' ci hanno scippato il termine hacker
- maggiore conoscenza delle dinamiche sociali-criminologiche- 
psicologiche-tecniche alla base della societa' nella quale viviamo  
(e' un noi riferito alla comunita' di cui parlavo prima).

> Cito ancora:
> ..
> Probabilmente ti stai chiedendo che cosa ci ha spinti ad intraprendere
> questo progetto,
> ..
> La risposta è molto semplice: perché siamo curiosi.
> ..
>
> Cioe' io dovrei credere che si indice un questionario con un possibile
> accumulo di dati impressionante ed in collaborazione con le autorita',
> per il solo motivo principale che "SIAMO CURIOSI" ???

citami tra clusit, hackintebox, phenoelit, antifork, apogeo, alba,  
mediaservice quali sono le autorita' per cortesia.
giusto per essere franchi: lo sai che siamo stati contattati da  
persone del DoD e di US Navy per diventare parte attiva del progetto  
ed abbiamo rifiutato la loro collaborazione (nonostante la  
pubblicita' di cui il progetto avrebbe goduto) proprio per preservare  
l'integrita' degli scopi e l'indipendenza della ricerca?
al momento stiamo accettando solo partner tecnologici (alcune aziende  
che si occupano di antivirus, firewall, etc), di ricerca (universita'  
italiane o straniere) o organizzazioni che si occupano di sicurezza  
(alcuni CERT).

sempre è per chiarezza, che cazzo ci costava mettere una domanda  
stile "il tuo nick?" nel questionario? o loggare tutto?  o lasciare  
il db su una partizione in chiaro sul server?
ci siamo sbattuti perfino pensando "oh ma se ci sequestrano il server  
per motivi immaginabili, come preserviamo la riservatezza,  
l'anonimato di chi ha parteciapto al progetto?".

quindi perdonami, ma si, dovresti in primis credere alla nostra  
buonafede perche' ci conosci personalmente, in secondo luogo per  
quello che hai letto (grazie buffer per avere aggiunto le parti  
mancanti), inoltre perche' dovresti conoscere il rigore e la serieta'  
di molte delle entita' coinvolte e dovresti sapere meglio di me che  
non si lancerebbero in progetti che potrebbero mettere a rischio i  
propri soci.

> ma e' uno scherzo o cosa.. ?
> Personalmente non ho niente da nascondere, pero' almeno non mi  
> prendere
> per il culo raoul :)

in primis raoul e' uno dei founder di hpp, mentre in questo momento a  
prenderti per il culo sarebbero raoul, io, elisa, fx, buffer, venix,  
dhillon, alicia, and so on.
in secondo luogo non e' uno scherzo, e questo lo si rileva dal numero  
di questionari ricevuti (una ricerca ineruniversitaria media  
raccoglie 50 questionari in un anno, noi abbiamo superato i 300 in 3  
mesi...) e dalle richieste di partecipazioni che riceviamo, oltre che  
dai siti/ml che parlano di noi ... (./ per dirne una)

> questo ovviamente e' solo il mio personalissimo punto di vista.

io ho piu' l'impressione che tu abbia letto velocemente solo alcune  
pagine, ti sia fatto un'idea superficiale (cosa che di norma non ti  
appartiene) e che ti stia permettendo di giudicare qualcosa che non  
conosci bene in questo momento.

al mohp ci saro' pure io ed avremo modo di parlare in modo piu'  
approfondito di hpp, progetto su  cui, ne sono certo, ti ricrederai ;P

un mayhem che ha scritto molto piu' di quanto avrebbe voluto ...
-- 
Let's pick up the pace, make the parties longer, and the skirt shorter.
Let's all go to hell in a fast car and keep it hot!
https://www.mayhem.hk - Key on pgp.mit.edu ID B88FE057


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 2460 bytes
Desc: not available
URL: <http://mail.olografix.org/pipermail/outofthebox/attachments/20070125/c2a12126/attachment-0002.bin>

More information about the Outofthebox mailing list