Ethical hacking: risolvere falle di sicurezza e prevenire la cy­ber­cri­mi­na­li­tà

L’ethical hacking ha acquisito sempre maggiore im­por­tan­za negli ultimi anni a causa di un altro fenomeno virtuale in rapido aumento: la cri­mi­na­li­tà in­for­ma­ti­ca. Un numero crescente di aziende, or­ga­niz­za­zio­ni e isti­tu­zio­ni di tutto il mondo è alla ricerca di esperti di sicurezza ci­ber­ne­ti­ca per mettere sul banco di prova la validità della propria struttura di sicurezza in­for­ma­ti­ca ri­pro­du­cen­do con massima pre­ci­sio­ne il com­por­ta­men­to dei veri “hacker”.

In questo articolo vi forniamo una de­fi­ni­zio­ne di ethical hacking spiegando cosa si intende con questa forma di hac­ke­rag­gio e quali dif­fe­ren­ze ci sono con l’hacking illegale. Inoltre pre­sen­tia­mo i settori di utilizzo in cui operano gli hacker etici e quali par­ti­co­la­ri qua­li­fi­che e requisiti deve possedere un hacker che si definisce tale.

Gli ethical hacker (in italiano “hacker etici”) sono esperti di sicurezza in­for­ma­ti­ca ap­po­si­ta­men­te assunti per irrompere in un sistema in­for­ma­ti­co. L’accezione “etico” deriva dal fatto che a com­mis­sio­na­re l’hac­ke­rag­gio è colui che lo subisce.

Gli obiettivi del­l'hac­king etico con­si­sto­no nel rivelare i punti deboli dei sistemi e delle in­fra­strut­tu­re digitali, come ad esempio i bug di un software, e valutare i rischi che questi com­por­ta­no, con­tri­buen­do alla ri­so­lu­zio­ne di queste carenze e al raf­for­za­men­to dell’intero concetto di sicurezza messo in pratica. Uno stress test della sicurezza di un sistema può avvenire in un qualsiasi momento, anche dopo essere stati vittima di un attacco illegale. Ideal­men­te però un ethical hacker serve ad an­ti­ci­pa­re i cyber criminali, evitando che questi possano provocare ingenti danni.

Dunque l’hacking etico si focalizza prin­ci­pal­men­te su falle e carenze presenti nell’ideazione e pro­gram­ma­zio­ne dei software. Per sot­to­li­nea­re la ret­ti­tu­di­ne di questa forma di hacking e di­stin­guer­la dall’hacking “normale”, l'ethical hacking viene appellato anche come white hat hacking, espres­sio­ne anglofona che enfatizza la probità del soggetto, e gli hacker white hat. I punti centrali delle verifiche della sicurezza sono tra gli altri le ap­pli­ca­zio­ni web e la website security. Oltre ai software possono essere testati anche gli hardware.

Per i propri hack, i white hat adoperano sia software svi­lup­pa­ti da loro stessi che tool di terzi (ad esempio Burp Suite). I primi servono a escludere falle di sicurezza e le ma­ni­po­la­zio­ni al codice dei programmi uti­liz­za­ti. Non di rado sca­tu­ri­sco­no dall’ethical hacking dei codici maligni fun­zio­nan­ti (sequenze di comando o interi programmi di piccole di­men­sio­ni), che prendono il nome di Exploit. Questo speciale codice sfrutta gli errori in­di­vi­dua­ti o le falle presenti in un dato sistema al fine di innescare un de­ter­mi­na­to com­por­ta­men­to nel software, nell’hardware o nei di­spo­si­ti­vi elet­tro­ni­ci in­te­res­sa­ti.

Gli ethical hacker si ca­rat­te­riz­za­no per il loro par­ti­co­la­re modo di procedere: l'esperto com­mis­sio­na­to è tenuto a garantire la massima tra­spa­ren­za e integrità, spe­cial­men­te quando a essere messi in sicurezza sono settori sensibili, come segreti aziendali o i dati con­fi­den­zia­li dei clienti di un’azienda. Il com­mit­ten­te deve essere messo al corrente di tutte le in­for­ma­zio­ni rilevanti di cui l'hacker entra in possesso durante l’hac­ke­rag­gio. L’utilizzo illecito o la tra­smis­sio­ne di segreti aziendali e di altri dati sensibili non è in alcun modo con­tem­pla­to nell’ambito dell’ethical hacking.

Del concetto di tra­spa­ren­za fa parte anche l’obbligo di do­cu­men­ta­re mi­nu­zio­sa­men­te il pro­ce­di­men­to esatto, i risultati e ulteriori in­for­ma­zio­ni rilevanti relativi al­l'hac­ke­rag­gio ef­fet­tua­to. I rapporti stilati possono contenere anche consigli concreti sulla gestione, come ad esempio la rimozione di malware o l’im­ple­men­ta­zio­ne di un honeypot. Gli ethical hacker prestano inoltre massima at­ten­zio­ne a non tra­la­scia­re alcuna debolezza del sistema che possa essere poi uti­liz­za­ta dai criminali in­for­ma­ti­ci.

Il com­mit­ten­te di un ethical hack ha la pos­si­bi­li­tà di as­si­cu­rar­si le­gal­men­te. Un accordo scritto, così come la pia­ni­fi­ca­zio­ne vin­co­lan­te di come l’hac­ke­rag­gio verrà svolto, sono due punti fon­da­men­ta­li e im­man­ca­bi­li di qualsiasi pe­ne­tra­tion test. Per ora, lo Stato italiano non ha ancora fornito alcuna chiara direttiva in merito al settore degli hacker etici.

Le dif­fe­ren­ze so­stan­zia­li tra l’hacking etico e quello tra­di­zio­na­le sono il fon­da­men­to etico così come le con­di­zio­ni e le mo­ti­va­zio­ni dietro a un hac­ke­rag­gio. L'ethical hacking ha lo scopo di pro­teg­ge­re le in­fra­strut­tu­re digitali e i dati con­fi­den­zia­li da attacchi dall’esterno, così da con­tri­bui­re a una migliore sicurezza in­for­ma­ti­ca. L’hacking normale invece segue degli obiettivi di­strut­ti­vi, quali l’in­fil­tra­zio­ne e ad­di­rit­tu­ra la di­stru­zio­ne dei sistemi di sicurezza.

Mo­ti­va­zio­ni meschine come l’ar­ric­chi­men­to personale o il furto e l’ap­pro­pria­zio­ne indebita di dati con­fi­den­zia­li sono suf­fi­cien­ti a spingere gli hacker a operare. Spesso un hac­ke­rag­gio “normale” è ac­com­pa­gna­to da reati quali l’estor­sio­ne, lo spio­nag­gio in­du­stria­le o la paralisi si­ste­ma­ti­ca delle strutture critiche di un sistema in­for­ma­ti­co (anche su larga scala). Dietro ad azioni maligne di questo genere si na­scon­do­no oggi nu­me­ro­sis­si­me as­so­cia­zio­ni criminali da tutto il mondo, che uti­liz­za­no ad esempio reti di bot glo­bal­men­te connessi per in­tra­pren­de­re attacchi DDoS. Inoltre una ca­rat­te­ri­sti­ca dei “bad hacks” è il non essere scoperti e rimanere nascosti.

Sulla carta la dif­fe­ren­za appare chiara e netta, ma guardando più da vicino non è raro im­bat­ter­si in casi limite. Per esempio gli hac­ke­rag­gi con mo­ti­va­zio­ni politiche possono per­se­gui­re sia fini etici e co­strut­ti­vi che di­strut­ti­vi. Infatti, in base agli interessi e al proprio credo personale o politico, un hack può essere visto come etico o meno.

La questione etica va poi scissa, almeno in parte, da quella legale, in quanto ope­ra­zio­ni di hac­ke­rag­gio spinte da ideali o mo­ti­va­zio­ni nobili vengono eseguite muo­ven­do­si sempre in una zona grigia del diritto, sul filo del rasoio tra legalità e il­le­ga­li­tà. Da anni si discute, ad esempio, sulla cor­ret­tez­za e le­git­ti­mi­tà dell’in­fil­tra­zio­ne da parte di autorità in­ve­sti­ga­ti­ve o servizi segreti nei sistemi di privati, isti­tu­zio­ni e altri stati.

A rendere ul­te­rior­men­te com­pli­ca­ta la di­stin­zio­ne tra l’ethical hacking e l’hacking malevolo, è una questione puramente tecnica. I white hat so­li­ta­men­te uti­liz­za­no un bagaglio di com­pe­ten­ze, tecniche e strumenti comune a quello di qualsiasi altro hacker. Questo permette sì di sondare con massima pre­ci­sio­ne le debolezze presenti nelle com­po­nen­ti hardware e software di una struttura in­for­ma­ti­ca, ma rende più difficile dif­fe­ren­zia­re gli hacker etici da quelli che non lo sono.

Il limite tra hacking etico e normale è dunque piuttosto labile. Non a caso capita spesso che giovani criminali in­for­ma­ti­ci col passare degli anni si rein­ven­ti­no in ri­spet­ta­bi­li con­su­len­ti di sicurezza e pre­cur­so­ri del settore. Tra i critici di questo settore c’è anche chi rifiuta le mo­ti­va­zio­ni etiche, re­spin­gen­do l’idea di hacker buoni e cattivi, con­dan­nan­do l’attività di hac­ke­rag­gio in qualsiasi sua forma.

Sostenere questa posizione significa però escludere l’intera pratica, sensata e ne­ces­sa­ria, dell’ethical hacking, così come anche i suoi tanti com­pro­va­ti effetti positivi. Come quelli ottenuti dalla community della celebre e ri­co­no­sciu­ta piat­ta­for­ma di cyber security HackerOne, che con il suo lavoro svolto fino a maggio 2018 ha risolto qualcosa come oltre 72.000 falle di sicurezza nei sistemi di oltre 1.000 imprese.

Stando al Hacker-Powered Security Report del 2018, nel 2017 il numero com­ples­si­vo di falle di sicurezza critiche re­gi­stra­te è aumentato del 26 percento. Numeri che rendono chiaro come la pratica del white hat hacking sia ad oggi un im­por­tan­te e af­fi­da­bi­le strumento di lotta alla cri­mi­na­li­tà in­for­ma­ti­ca.

I white hat o hacker etici lavorano prin­ci­pal­men­te al fianco di or­ga­niz­za­zio­ni, governi e imprese (aziende del settore tec­no­lo­gi­co e in­du­stria­le, banche, as­si­cu­ra­zio­ni), per i quali cercano falle di sicurezza ed errori di pro­gram­ma­zio­ne o bug. L’incarico mag­gior­men­te assegnato agli ethical hacker consiste nell’eseguire un pe­ne­tra­tion test.

Durante un pe­ne­tra­tion test l’hacker etico infiltra in maniera mirata un sistema in­for­ma­ti­co, in­di­vi­duan­do possibili soluzioni per mi­glio­rar­ne la sicurezza. Si suole dif­fe­ren­zia­re tra i pe­ne­tra­tion test di in­fra­strut­tu­re IT e ap­pli­ca­zio­ni web. Dove i primi testano e ana­liz­za­no i sistemi server, le reti Wi-Fi, gli accessi VPN e i Firewall. Mentre i secondi si occupano dei servizi di rete, dei siti web (come i negozi online), dei portali per la gestione dei clienti o dei sistemi per il mo­ni­to­rag­gio di server e servizi vari. In questo caso il test viene eseguito a livello di rete e delle ap­pli­ca­zio­ni.

Tra gli altri test che gli ethical hacker sono so­li­ta­men­te chiamati a eseguire vi sono la scan­ne­riz­za­zio­ne delle porte, così da trovare quelle aperte, la verifica della sicurezza dei dati di pagamento (i dati delle carte di credito), dei login e delle password, così come la si­mu­la­zio­ne di attacchi hacker at­tra­ver­so la rete. Venendo prin­ci­pal­men­te uti­liz­za­to il pro­to­col­lo TCP/IP, si parla anche di IP pe­ne­tra­tion test.

Durante i pen test i sistemi vengono par­ti­co­lar­men­te messi alla prova, cercando di capire se virus o trojan il­le­gal­men­te in­fil­tra­ti­si al loro interno sarebbero in grado di rubare dati aziendali sensibili (segreti aziendali, brevetti tec­no­lo­gi­ci, ecc.). A questi controlli possono essere aggiunti anche tecniche di social en­gi­nee­ring, se si vuole includere nella va­lu­ta­zio­ne anche il fattore di rischio umano, ana­liz­zan­do in maniera chiara il com­por­ta­men­to degli utenti che operano all’interno di un dato sistema di sicurezza.

Col passare degli anni si sono stabiliti degli standard per l’ese­cu­zio­ne dei pe­ne­tra­tion test. Ad oggi in Italia vi è ancora una lacuna per quanto riguarda le direttive in ambito di ethical hacking. Per questo motivo, gli standard a cui fanno ri­fe­ri­men­to i pro­fes­sio­ni­sti sono esclu­si­va­men­te in­ter­na­zio­na­li come, ad esempio, il PTES, l’OSSTMM e l’OWASP.

Un percorso pre­de­fi­ni­to per diventare un hacker etico non c’è. Tuttavia, l’EC-Council, or­ga­niz­za­zio­ne spe­cia­liz­za­ta nei servizi di sicurezza ci­ber­ne­ti­ca che offre anche appositi corsi di for­ma­zio­ne, ha svi­lup­pa­to un programma di cer­ti­fi­ca­zio­ne di questa figura. Questa offerta comprende corsi di for­ma­zio­ne in tutto il mondo, ap­pog­gian­do­si a or­ga­niz­za­zio­ni partner ufficiali con la presenza di in­se­gnan­ti EC-Council.

In Italia l’offerta di corsi con cer­ti­fi­ca­zio­ne EC-Council è ampia, è suf­fi­cien­te fare una ricerca sui prin­ci­pa­li motori di ricerca per ren­der­se­ne conto. In al­ter­na­ti­va a questi ci sono altri corsi di for­ma­zio­ne per figure prossime a quella dell’hacker etico, come ad esempio l’Executive Programme Security Ma­na­ge­ment pro­get­ta­to dalla Luiss Business School in col­la­bo­ra­zio­ne con il Centro Studi per la Sicurezza ItaSForum. Aziende come l’Offensive Security (Offensive Security Certified Pro­fes­sio­nal, OSCP) e il SANS Institut (Global In­for­ma­tion Assurance Cer­ti­fi­ca­tions, GIAC), offrono ulteriori cer­ti­fi­ca­ti e qua­li­fi­che.

Tuttavia sono molti gli hacker pro­fes­sio­ni­sti che rifiutano i cer­ti­fi­ca­ti basati su corsi, in quanto privi dell’elemento pratico ne­ces­sa­rio per lo svol­gi­men­to di questa nuova pro­fes­sio­ne. Per le aziende, invece, questi cer­ti­fi­ca­ti offrono un punto di ri­fe­ri­men­to im­por­tan­te, che permette di valutare meglio la serietà di un ethical hacker. I cer­ti­fi­ca­ti sono inoltre l’espres­sio­ne di una crescita di pro­fes­sio­na­liz­za­zio­ne del settore. Con il rapido aumento della domanda di queste figure pro­fes­sio­na­li, i cer­ti­fi­ca­ti danno la pos­si­bi­li­tà di offrirsi meglio sul mercato, ac­ca­par­ran­do­si incarichi ben re­mu­ne­ra­ti e pre­sen­tan­do­si come fornitore di servizi serio sul proprio sito web.

Seppur i cer­ti­fi­ca­ti rap­pre­sen­ta­no un valido aiuto per gli hacker etici, non sono (ancora) una necessità. A diventare white hat sono prin­ci­pal­men­te quegli spe­cia­li­sti IT con vaste co­no­scen­ze nei seguenti ambiti:

• Sicurezza in­for­ma­ti­ca
• Reti
• Sistemi operativi
• Pro­gram­ma­zio­ne e hardware
• Co­no­scen­ze di base in in­for­ma­ti­ca ed elet­tro­ni­ca digitale

Oltre alle qua­li­fi­che in sé, possedere delle co­no­scen­ze del mondo degli hacker così come del loro modo di pensare e di procedere rap­pre­sen­ta si­cu­ra­men­te un vantaggio.

Na­tu­ral­men­te sono numerosi gli hacker etici che si fanno strada partendo da settori dif­fe­ren­ti e che ap­pren­do­no le co­no­scen­ze ne­ces­sa­rie per svolgere la pro­fes­sio­ne at­tra­ver­so lo studio da au­to­di­dat­ta. Par­ti­co­lar­men­te adatti a svolgere questa delicata e im­pe­gna­ti­va mansione sono chia­ra­men­te anche i pro­fes­sio­ni­sti del settore dell’IT che hanno acquisito le loro co­no­scen­ze di base con un percorso formativo classico.

In occasione del Hacker-Powered Security Report del 2018 sono stati in­ter­vi­sta­ti 1.698 hacker sulla propria for­ma­zio­ne pro­fes­sio­na­le. Al momento del sondaggio, quasi il 50 percento lavorava prin­ci­pal­men­te nel settore dell’IT con pre­va­len­za di mansioni ri­guar­dan­ti lo sviluppo hardware e software. Oltre il 40 percento di questi si è spe­cia­liz­za­to nel campo della security research. Una grossa fetta degli in­ter­vi­sta­ti (il 25 percento) studiava ancora. Anche nel 2019 la maggior parte degli hac­ke­rag­gi è stata svolta come secondo lavoro. Secondo il 2020 Hacker Report di HackerOne solamente il 18 percento degli in­ter­vi­sta­ti lavora a tempo pieno nel campo dell’Ethical hacking.

Gli ethical hacker non lavorano esclu­si­va­men­te come esperti IT esterni. Alcune aziende assumono spe­cia­li­sti in­for­ma­ti­ci che formano allo scopo di farli diventare dei white hat, as­si­cu­ran­do loro un ag­gior­na­men­to continuo, da svolgere sia all’interno che al­l'e­ster­no dell’azienda.

Gli incarichi di lavoro per gli hacker etici seguono so­li­ta­men­te una procedura par­ti­co­la­re. Aziende come Facebook, Google o Microsoft fanno uso dei co­sid­det­ti Bug Bounty Programs (programmi per cac­cia­to­ri di taglie di bug). In questi programmi le aziende offrono lauti premi a quegli hacker che riescono a trovare e risolvere i bug di un dato software o a capire come siano avvenuti attacchi in­for­ma­ti­ci agli stessi. I programmi di bug bounty vengono spesso adoperati a com­ple­ta­men­to dei pe­ne­tra­tion test.

Nel pub­bli­ciz­za­re e far sì che vengano assegnati incarichi di questo tipo con­tri­bui­sco­no spesso piat­ta­for­me d’in­ter­me­dia­zio­ne in­ter­na­zio­nal­men­te ri­co­no­sciu­te come HackerOne. Nel suo 2020 Hacker Report HackerOne ha fatto sapere che tramite la sua piat­ta­for­ma, solamente nel 2019, gli hacker si sono portati a casa “taglie” per un valore economico di circa 40 milioni di dollari. 82 milioni di dollari totali dalla co­sti­tu­zio­ne della piat­ta­for­ma nel 2012. In aggiunta a queste piat­ta­for­me gli Ethical Hacker usano anche altri modi per ottenere dei lavori, sia per ini­zia­ti­va personale che offrendo i propri servizi in rete.

Nell’epoca dell’aumento della cy­ber­cri­mi­na­li­tà, l’ethical hacking rap­pre­sen­ta una strategia di pre­ven­zio­ne di grande valore. Test di attacchi mirati e pe­ne­tra­tion test basati sulle pratiche più usate dagli hacker possono ot­ti­miz­za­re la sicurezza di un’in­fra­strut­tu­ra IT in maniera in­con­fu­ta­bi­le e impedire così di essere vittima di azioni di hac­ke­rag­gio illegale. Chi decide di com­mis­sio­na­re un ethical hacker esclude il pericolo derivante dall’in­ca­pa­ci­tà di trovare in­ter­na­men­te le falle del proprio sistema, in quanto gli esperti di questo tipo ap­proc­cia­no la questione in maniera dif­fe­ren­te e pos­sie­do­no co­no­scen­ze e com­pe­ten­ze poco diffuse e un’altra con­ce­zio­ne in materia di sicurezza.

Questa branca della sicurezza in­for­ma­ti­ca permette anche alle imprese di piccole e medie di­men­sio­ni di as­si­cu­rar­si il know-how ne­ces­sa­rio per la messa in sicurezza dei propri sistemi in­for­ma­ti­ci, che al­tri­men­ti non pos­sie­do­no all’interno dell’azienda. Tuttavia, chi decide di impiegare un hacker etico deve sapere che questa scelta comporta anche dei rischi. Anche prendendo tutte le pre­cau­zio­ni del caso non sempre è possibile escludere eventuali con­se­guen­ze negative. Può infatti capitare che i sistemi vengano in­vo­lon­ta­ria­men­te pre­giu­di­ca­ti o che crashino com­ple­ta­men­te.

In de­ter­mi­na­ti casi poi, ai white hat si aprono le porte di dati privati e con­fi­den­zia­li di terze parti. Il rischio aumenta so­prat­tut­to se al momento della stipula del contratto non si sono definite con­di­zio­ni precise o se l’hac­ke­rag­gio etico non viene eseguito in maniera com­pe­ten­te e con la dovuta at­ten­zio­ne. Prima di affidarsi a un ethical hacker bisogna sempre eseguire un lavoro di ricerca ap­pro­fon­di­ta e se­le­zio­na­re solamente quegli hacker che possono di­mo­stra­re la propria af­fi­da­bi­li­tà, ad esempio con un cer­ti­fi­ca­to.