Hacking etico

WHITE HAT: I “ROBIN HOOD” DELLA RETE CONTRO I SOPRUSI E I CRIMINI DEL WEB

OPERANO NELL’OMBRA DELLA “GRANDE RAGNATELA” E SONO CAPACI DI ADOPERARE STRUMENTI INFORMATICI IN GRADO DI INFLIGGERE DANNI POTENZIALMENTE DEVASTANTI. MA A GUIDARLI C’È UN CODICE FATTO DI ONORE E INTENTI POSITIVI: SONO GLI “HACKER ETICI”, CHE AGENDO NELL’ANONIMATO, DIRIGONO LE ARMI INFORMATICHE A LORO DISPOSIZIONE CONTRO IL MALE CHE IMPERVERSA ONLINE

L’immaginario collettivo proietta nelle nostre menti un’immagine standardizzata e fuorviante del cosiddetto “hacker”: un “pirata” o un “terrorista” della rete, in pantaloni larghi, felpa con cappuccio che ne nasconde le fattezze, e le dita che corrono sulla tastiera per commettere crimini sfruttando la parte oscura del web restando al riparo di una impenetrabile fortezza informatica.

Ma l’hacking, come tutte le cose, presenta aspetti profondamente differenti. E a volte diametralmente opposti. Esiste infatti, sconosciuto ai più, anche un esercito di “hacker etici”, dediti essenzialmente ad azioni improntate a principi positivi.

Si chiamano “white hats”, “cappelli bianchi”, in contrapposizione con quelli neri, i “cattivi” della situazione, dediti ad azioni disdicevoli e illegali. Ma chi è un “white hat”? Un hacker, ovvero un appassionato di informatica, esperto di programmazione, di sistemi e di sicurezza informatica in grado di introdursi in reti di computer, al fine di aiutare i proprietari a prendere coscienza di un problema di sicurezza. Il tutto nel rispetto dell’etica degli hacker, che si contrappone a chi viola illegalmente sistemi informatici, anche senza vantaggio personale: il “black hat hacker”.

Uno dei primi esempi di hackeraggio etico fu una valutazione di sicurezza dei sistemi Multics condotta dall’Air Force degli Stati Uniti per “…un uso potenziale come un sistema a due livelli (secret/ top secret)”. In pratica gli hacker etici misero alla prova il sistema, provando a violarlo per individuarne le carenze. Dalla loro valutazione emerse che mentre Multics era migliore rispetto ad altri sistemi convenzionali era anche vulnerabile nelle procedure di sicurezza, e presentava falle nella sicurezza hardware e software. Quindi poteva essere compromesso facilmente. L’attacco informatico fu effettuato in modo che i risultati ottenuti potessero rappresentare i tipi di accesso che gli attaccanti avrebbero potuto effettuare nella realtà e prevedevano semplici esercizi di raccolta delle informazioni. Un “test”, quello condotto sul siste
ma Multics, che poi è diventato quasi routine. E oggi esistono molti altri rapporti non classificati che descrivono le attività di hacking etico all’interno delle forze armate degli Stati Uniti.

Per la prima volta nel 1981 i white hat furono descritti dal New York Times in maniera positiva all’interno del mondo degli hacker. E a più livelli si iniziò a comprendere quale ruolo fondamentale potessero avere le loro incursioni. Quando un dipendente del National Computer Software Systems rivelò l’esistenza del suo password cracker (un programma con cui si potevano violare i codici di accesso), che aveva testato sui conti dei clienti, la società non lo rimproverò per la scrittura del software, ma per non averlo divulgato prima. La lettera recitava: “…la compagnia realizza il vantaggio per l’NCSS e di fatto incoraggia gli sforzi dei dipendenti per identificare le debolezze di sicurezza al processore virtuale, le directory, ed altri software nei file”.

Ma cosa spinge questi “Robin Hood “ del web a operare? Chi sono in realtà? Come agiscono? Per comprenderlo meglio il modo migliore era ascoltarlo dalla viva voce di uno di essi. Ma come trovarlo? Virtualmente impossibile. Ma è bastato mettere in giro la voce sui canali giusti, e in pratica è stato lui a trovare noi, “materializzandosi” on line e dicendosi disposto a spiegare alcune cose.

Come possiamo chiamarti? In rete mi conoscono come “penrose7264”

Ok Penrose. Dunque sei un hacker etico? Non è una contraddizione in termini? Per niente. Ci spingono propositi più che positivi. Siamo hacker che sono impiegati a trovare difetti di sicurezza nell’hardware e nel software cercando di intrometterci da soli (e la maggior parte delle volte senza alcuna autorizzazione… – NDR) nei sistemi che intendiamo testare, prima che lo faccia qualcuno con intenzioni malevole. Mi piace dire che un hacker etico è qualcuno con un bisogno ardente di risolvere enigmi tecnici, senza paura che intanto la polizia abbatta la porta.

Come si diventa un hacker? Ero un hacker nella mia adolescenza, nel senso che ero curioso e scavavo nel codice. Alla fine, ho imparato che potevo farlo professionalmente.

Di quali competenze hai bisogno? Ovviamente dell’abilità tecnica e delle conoscenze informatiche giuste, ma anche e soprattutto di un particolare modo di pensare. Se da ragazzo ti diverti a smontare le cose per vedere come funzionano, magari è il primo passo. Ma poi devi trasferire questa propensione nel mondo dell’informatica: padroneggiare tutti i principali sistemi operativi, linguaggi, tecniche e strumenti. Applicare ogni tua capacità per individuare carenze, falle, vulnerabilità. Risolvere il risolvibile, e segnalare i problemi a chi potrebbe riceverne un danno.

Quella dell’hacker etico è una figura che ha prospettive di impiego? Tanto. Il mondo produce ogni giorno miliardi di linee di codice e installa sistemi ogni nanosecondo. È tutto fatto dagli umani, e siamo tutt’altro che perfetti quindi, naturalmente, ci sono bug nel sistema. C’è un crescente bisogno di persone con le migliori abilità per trovare questi bug prima che vengano sfruttati dai cyberattacker, i “cattivi” della rete che potenzialmente potrebbero fare di tutto: dal prosciugare fondi bancari a bloccare network di comunicazione, dal sabotare ospedali a mandare in rete false notizie destabilizzanti. Qualsiasi crimine può essere commesso grazie alla manipolazione del web.

Gli sviluppatori non si preoccupano del fatto che il vostro operato possa farli passare per incompetenti? Ebbene sì. Ma la realtà è che non è mai stata prodotta un’applicazione priva di bug, di falle o problemi, e noi siamo lì solo per individuarli e fare in modo che vengano risolti. Anche se alcune aziende non amano l’idea di un estraneo che operi nelle loro reti…

Come agisci? Cosa ti spinge? Cosa cerchi che ti emoziona? La maggior parte degli hacker ama le vulnerabilità e individuare quelle dei sistemi. È lì che puoi trovare qualcosa di talmente devastante che un progetto deve essere fermato e riprogettato. Nel testare le potenziali falle di alcuni sistemi, in alcuni casi ho trovato problemi talmente dirompenti che ho sentito il bisogno impellente di contattare direttamente le parti interessate per avvertire del rischio che stavano correndo. E sarebbe stata una pazzia farmi identificare. Ma ho trovato il modo di risolvere la questione. Ovvio poi, ci sono altri tipi di “brivido”: inclusa ad esempio la possibilità di generare migliaia di dollari in carte prepagate e di poter scaricare tutti i registri
di tutti i titolari di conti. E’ eccitante avere la consapevolezza di un tale potere. Ma ovviamente sono cose che poi non faccio. Mi piace invece fare debunking politico: smontare e ridimensionare le falsità. Scoprire le geografie nascoste della rete, svelare i padroni occulti, falsi account social, segnalarli e farli chiudere. Per questo tipo di azioni abbiamo una vera e propria rete che ci supporta e che ci segnala gli accout “sospetti”.

Lo trovi soddisfacente? Assolutamente sì. Senti un profondo piacere professionale e una grande gratificazione quando scopri qualcosa di dannoso prima che possa causare un disastro. Credo fortemente nella possibilità della creazione di una Internet più forte e sicura che possiamo. E’ incredibile ma questa rete globale non è stata costruita pensando alla sicurezza. E sono fiero di aiutare a renderla meno vulnerabile ora.

Molti altri hanno percorso strade simili alla tua. Ci sono hacker etici famosi che fanno un po’ da figure di riferimento nel vostro ambiente? Beh, ad esempio Gary McKinnon (alias SOLO), tra febbraio 2001 e marzo 2002, portò a compimento un attacco spettacolare, violando ben novantasette network dell’esercito americano (US Army, US Navy, US Air Force), oltre a quelli della NASA e del Pentagono per metterne alla prova le vulnerabilità. Adrian Lamo, alias “the homeless hacker”, il senzatetto, per l’abitudine consolidata di utilizzare caffè, internet point e librerie come base dei suoi attacchi informatici. Esperto di sicurezza informatica e “grey hat” (una figura al limite fra i due tipi di hacking), Lamo si è guadagnato un posto nella lista degli hacker più famosi della storia, grazie all’azione compiuta nel 2002 ai danni del New York Times. Fu in grado di violare la rete intranet del noto quotidiano americano, avendo così accesso a informazioni riservate relative a soggetti di alto profilo e a informazioni private di ben tremila persone, per la maggior parte collaboratori esterni del giornale. Senza contare che fu addirittura capace di inserire il proprio nome nel database degli esperti del New York Times. Poi ci sono gruppi di hacker come CTRL-SEC, che cancellano gli account di gruppi terroristici come ISIS su twitter. Nella lista degli hacker più famosi della storia, non si può non includere il nome di Stephen Wozniak, informatico statunitense “padre fondatore” insieme a Steve Jobs della Apple. Noto come “Wizard of Woz”, è probabilmente uno degli esempi più significativi dell’hacker “vecchio stampo”, vale a dire di coloro che, nel corso della propria vita, si sono costantemente richiamati all’etica hacking. “White-hat hacking” per antonomasia, quindi, Wozniak fu il protagonista, insieme a Jobs, del primo “phone-phreaking”, cioè lo sfruttamento della rete telefonica per usi alternativi a quelli ortodossi. Grzie alla realizzazione di un dispositivo elettronico, la blue box, riuscì a consentire chiamate telefoniche su lunga distanza in maniera completamente gratuita, bypassando i sistemi telefonici convenzionali.

Scopi leciti e positivi a parte, si tratta comunque sempre di effettuare attacchi ai sistemi da testare. Come si procede, in pratica? Non tutte le tecniche possono essere svelate, ma molte sono ormai più che note, anche grazie a film e tv. Le più comuni sono gli attacchi DDoS (un sistema che invia migliaia di richieste simultanee ad un determinato server, con il fine di bloccarlo) o la social engineering (un sistema di reperimento informazioni basato sulla credulità dell’interlocutore). In oltre spesso ci avvaliamo di Security scanner come W3af, Nessus, Nexpose, Frameworks come Metasploit. In pratica sono sistemi che analizzano le vulnerabilità dei server e una volta trovate le usano per entrare. Una volta dentro poi, non è difficile fare quel che si vuole se si hanno le conoscenze e gli strumenti giusti.

E le tecniche che il pubblico non conosce ancora? Segreto professionale.
Con le vostre incursioni non avete timore di aprire la strada a qualcuno con intenzioni meno nobili delle vostre? I metodi che adoperiamo identificano e sfruttano le vulnerabilità note e tentano di eludere la sicurezza dei sistemi che testiamo per ottenere l’ingresso in aree protette. Ma sono in grado di farlo nascondendo il software e il sistema di ‘back-doors’ (porte sul retro) che potrebbe essere utilizzato come un collegamento alle informazioni o fare da accesso per hacker non etici, quelli cattivi per intenderci.
Ci sentiremo di nuovo? Sinceramente, potrei essere la tastiera su cui sta scrivendo. E lei non se ne accorgerebbe. Mi farò vivo, o viva, io…



  1 comment for “Hacking etico

Rispondi