Ethical hacking: risolvere falle di sicurezza e prevenire la cybercriminalità

L’ethical hacking ha acquisito sempre maggiore importanza negli ultimi anni a causa di un altro fenomeno virtuale in rapido aumento: la criminalità informatica. Un numero crescente di aziende, organizzazioni e istituzioni di tutto il mondo è alla ricerca di esperti di sicurezza cibernetica per mettere sul banco di prova la validità della propria struttura di sicurezza informatica riproducendo con massima precisione il comportamento dei veri “hacker”.

In questo articolo vi forniamo una definizione di ethical hacking spiegando cosa si intende con questa forma di hackeraggio e quali differenze ci sono con l’hacking illegale. Inoltre presentiamo i settori di utilizzo in cui operano gli hacker etici e quali particolari qualifiche e requisiti deve possedere un hacker che si definisce tale.

Gli ethical hacker (in italiano “hacker etici”) sono esperti di sicurezza informatica appositamente assunti per irrompere in un sistema informatico. L’accezione “etico” deriva dal fatto che a commissionare l’hackeraggio è colui che lo subisce.

Gli obiettivi dell'hacking etico consistono nel rivelare i punti deboli dei sistemi e delle infrastrutture digitali, come ad esempio i bug di un software, e valutare i rischi che questi comportano, contribuendo alla risoluzione di queste carenze e al rafforzamento dell’intero concetto di sicurezza messo in pratica. Uno stress test della sicurezza di un sistema può avvenire in un qualsiasi momento, anche dopo essere stati vittima di un attacco illegale. Idealmente però un ethical hacker serve ad anticipare i cyber criminali, evitando che questi possano provocare ingenti danni.

Dunque l’hacking etico si focalizza principalmente su falle e carenze presenti nell’ideazione e programmazione dei software. Per sottolineare la rettitudine di questa forma di hacking e distinguerla dall’hacking “normale”, l'ethical hacking viene appellato anche come white hat hacking, espressione anglofona che enfatizza la probità del soggetto, e gli hacker white hat. I punti centrali delle verifiche della sicurezza sono tra gli altri le applicazioni web e la website security. Oltre ai software possono essere testati anche gli hardware.

Per i propri hack, i white hat adoperano sia software sviluppati da loro stessi che tool di terzi (ad esempio Burp Suite). I primi servono a escludere falle di sicurezza e le manipolazioni al codice dei programmi utilizzati. Non di rado scaturiscono dall’ethical hacking dei codici maligni funzionanti (sequenze di comando o interi programmi di piccole dimensioni), che prendono il nome di Exploit. Questo speciale codice sfrutta gli errori individuati o le falle presenti in un dato sistema al fine di innescare un determinato comportamento nel software, nell’hardware o nei dispositivi elettronici interessati.

Gli ethical hacker si caratterizzano per il loro particolare modo di procedere: l'esperto commissionato è tenuto a garantire la massima trasparenza e integrità, specialmente quando a essere messi in sicurezza sono settori sensibili, come segreti aziendali o i dati confidenziali dei clienti di un’azienda. Il committente deve essere messo al corrente di tutte le informazioni rilevanti di cui l'hacker entra in possesso durante l’hackeraggio. L’utilizzo illecito o la trasmissione di segreti aziendali e di altri dati sensibili non è in alcun modo contemplato nell’ambito dell’ethical hacking.

Del concetto di trasparenza fa parte anche l’obbligo di documentare minuziosamente il procedimento esatto, i risultati e ulteriori informazioni rilevanti relativi all'hackeraggio effettuato. I rapporti stilati possono contenere anche consigli concreti sulla gestione, come ad esempio la rimozione di malware o l’implementazione di un honeypot. Gli ethical hacker prestano inoltre massima attenzione a non tralasciare alcuna debolezza del sistema che possa essere poi utilizzata dai criminali informatici.

Il committente di un ethical hack ha la possibilità di assicurarsi legalmente. Un accordo scritto, così come la pianificazione vincolante di come l’hackeraggio verrà svolto, sono due punti fondamentali e immancabili di qualsiasi penetration test. Per ora, lo Stato italiano non ha ancora fornito alcuna chiara direttiva in merito al settore degli hacker etici.

Le differenze sostanziali tra l’hacking etico e quello tradizionale sono il fondamento etico così come le condizioni e le motivazioni dietro a un hackeraggio. L'ethical hacking ha lo scopo di proteggere le infrastrutture digitali e i dati confidenziali da attacchi dall’esterno, così da contribuire a una migliore sicurezza informatica. L’hacking normale invece segue degli obiettivi distruttivi, quali l’infiltrazione e addirittura la distruzione dei sistemi di sicurezza.

Motivazioni meschine come l’arricchimento personale o il furto e l’appropriazione indebita di dati confidenziali sono sufficienti a spingere gli hacker a operare. Spesso un hackeraggio “normale” è accompagnato da reati quali l’estorsione, lo spionaggio industriale o la paralisi sistematica delle strutture critiche di un sistema informatico (anche su larga scala). Dietro ad azioni maligne di questo genere si nascondono oggi numerosissime associazioni criminali da tutto il mondo, che utilizzano ad esempio reti di bot globalmente connessi per intraprendere attacchi DDoS. Inoltre una caratteristica dei “bad hacks” è il non essere scoperti e rimanere nascosti.

Sulla carta la differenza appare chiara e netta, ma guardando più da vicino non è raro imbattersi in casi limite. Per esempio gli hackeraggi con motivazioni politiche possono perseguire sia fini etici e costruttivi che distruttivi. Infatti, in base agli interessi e al proprio credo personale o politico, un hack può essere visto come etico o meno.

La questione etica va poi scissa, almeno in parte, da quella legale, in quanto operazioni di hackeraggio spinte da ideali o motivazioni nobili vengono eseguite muovendosi sempre in una zona grigia del diritto, sul filo del rasoio tra legalità e illegalità. Da anni si discute, ad esempio, sulla correttezza e legittimità dell’infiltrazione da parte di autorità investigative o servizi segreti nei sistemi di privati, istituzioni e altri stati.

A rendere ulteriormente complicata la distinzione tra l’ethical hacking e l’hacking malevolo, è una questione puramente tecnica. I white hat solitamente utilizzano un bagaglio di competenze, tecniche e strumenti comune a quello di qualsiasi altro hacker. Questo permette sì di sondare con massima precisione le debolezze presenti nelle componenti hardware e software di una struttura informatica, ma rende più difficile differenziare gli hacker etici da quelli che non lo sono.

Il limite tra hacking etico e normale è dunque piuttosto labile. Non a caso capita spesso che giovani criminali informatici col passare degli anni si reinventino in rispettabili consulenti di sicurezza e precursori del settore. Tra i critici di questo settore c’è anche chi rifiuta le motivazioni etiche, respingendo l’idea di hacker buoni e cattivi, condannando l’attività di hackeraggio in qualsiasi sua forma.

Sostenere questa posizione significa però escludere l’intera pratica, sensata e necessaria, dell’ethical hacking, così come anche i suoi tanti comprovati effetti positivi. Come quelli ottenuti dalla community della celebre e riconosciuta piattaforma di cyber security HackerOne, che con il suo lavoro svolto fino a maggio 2018 ha risolto qualcosa come oltre 72.000 falle di sicurezza nei sistemi di oltre 1.000 imprese.

Stando al Hacker-Powered Security Report del 2018, nel 2017 il numero complessivo di falle di sicurezza critiche registrate è aumentato del 26 percento. Numeri che rendono chiaro come la pratica del white hat hacking sia ad oggi un importante e affidabile strumento di lotta alla criminalità informatica.

I white hat o hacker etici lavorano principalmente al fianco di organizzazioni, governi e imprese (aziende del settore tecnologico e industriale, banche, assicurazioni), per i quali cercano falle di sicurezza ed errori di programmazione o bug. L’incarico maggiormente assegnato agli ethical hacker consiste nell’eseguire un penetration test.

Durante un penetration test l’hacker etico infiltra in maniera mirata un sistema informatico, individuando possibili soluzioni per migliorarne la sicurezza. Si suole differenziare tra i penetration test di infrastrutture IT e applicazioni web. Dove i primi testano e analizzano i sistemi server, le reti Wi-Fi, gli accessi VPN e i Firewall. Mentre i secondi si occupano dei servizi di rete, dei siti web (come i negozi online), dei portali per la gestione dei clienti o dei sistemi per il monitoraggio di server e servizi vari. In questo caso il test viene eseguito a livello di rete e delle applicazioni.

Tra gli altri test che gli ethical hacker sono solitamente chiamati a eseguire vi sono la scannerizzazione delle porte, così da trovare quelle aperte, la verifica della sicurezza dei dati di pagamento (i dati delle carte di credito), dei login e delle password, così come la simulazione di attacchi hacker attraverso la rete. Venendo principalmente utilizzato il protocollo TCP/IP, si parla anche di IP penetration test.

Durante i pen test i sistemi vengono particolarmente messi alla prova, cercando di capire se virus o trojan illegalmente infiltratisi al loro interno sarebbero in grado di rubare dati aziendali sensibili (segreti aziendali, brevetti tecnologici, ecc.). A questi controlli possono essere aggiunti anche tecniche di social engineering, se si vuole includere nella valutazione anche il fattore di rischio umano, analizzando in maniera chiara il comportamento degli utenti che operano all’interno di un dato sistema di sicurezza.

Col passare degli anni si sono stabiliti degli standard per l’esecuzione dei penetration test. Ad oggi in Italia vi è ancora una lacuna per quanto riguarda le direttive in ambito di ethical hacking. Per questo motivo, gli standard a cui fanno riferimento i professionisti sono esclusivamente internazionali come, ad esempio, il PTES, l’OSSTMM e l’OWASP.

Un percorso predefinito per diventare un hacker etico non c’è. Tuttavia, l’EC-Council, organizzazione specializzata nei servizi di sicurezza cibernetica che offre anche appositi corsi di formazione, ha sviluppato un programma di certificazione di questa figura. Questa offerta comprende corsi di formazione in tutto il mondo, appoggiandosi a organizzazioni partner ufficiali con la presenza di insegnanti EC-Council.

In Italia l’offerta di corsi con certificazione EC-Council è ampia, è sufficiente fare una ricerca sui principali motori di ricerca per rendersene conto. In alternativa a questi ci sono altri corsi di formazione per figure prossime a quella dell’hacker etico, come ad esempio l’Executive Programme Security Management progettato dalla Luiss Business School in collaborazione con il Centro Studi per la Sicurezza ItaSForum. Aziende come l’Offensive Security (Offensive Security Certified Professional, OSCP) e il SANS Institut (Global Information Assurance Certifications, GIAC), offrono ulteriori certificati e qualifiche.

Tuttavia sono molti gli hacker professionisti che rifiutano i certificati basati su corsi, in quanto privi dell’elemento pratico necessario per lo svolgimento di questa nuova professione. Per le aziende, invece, questi certificati offrono un punto di riferimento importante, che permette di valutare meglio la serietà di un ethical hacker. I certificati sono inoltre l’espressione di una crescita di professionalizzazione del settore. Con il rapido aumento della domanda di queste figure professionali, i certificati danno la possibilità di offrirsi meglio sul mercato, accaparrandosi incarichi ben remunerati e presentandosi come fornitore di servizi serio sul proprio sito web.

Seppur i certificati rappresentano un valido aiuto per gli hacker etici, non sono (ancora) una necessità. A diventare white hat sono principalmente quegli specialisti IT con vaste conoscenze nei seguenti ambiti:

• Sicurezza informatica
• Reti
• Sistemi operativi
• Programmazione e hardware
• Conoscenze di base in informatica ed elettronica digitale

Oltre alle qualifiche in sé, possedere delle conoscenze del mondo degli hacker così come del loro modo di pensare e di procedere rappresenta sicuramente un vantaggio.

Naturalmente sono numerosi gli hacker etici che si fanno strada partendo da settori differenti e che apprendono le conoscenze necessarie per svolgere la professione attraverso lo studio da autodidatta. Particolarmente adatti a svolgere questa delicata e impegnativa mansione sono chiaramente anche i professionisti del settore dell’IT che hanno acquisito le loro conoscenze di base con un percorso formativo classico.

In occasione del Hacker-Powered Security Report del 2018 sono stati intervistati 1.698 hacker sulla propria formazione professionale. Al momento del sondaggio, quasi il 50 percento lavorava principalmente nel settore dell’IT con prevalenza di mansioni riguardanti lo sviluppo hardware e software. Oltre il 40 percento di questi si è specializzato nel campo della security research. Una grossa fetta degli intervistati (il 25 percento) studiava ancora. Anche nel 2019 la maggior parte degli hackeraggi è stata svolta come secondo lavoro. Secondo il 2020 Hacker Report di HackerOne solamente il 18 percento degli intervistati lavora a tempo pieno nel campo dell’Ethical hacking.

Gli ethical hacker non lavorano esclusivamente come esperti IT esterni. Alcune aziende assumono specialisti informatici che formano allo scopo di farli diventare dei white hat, assicurando loro un aggiornamento continuo, da svolgere sia all’interno che all'esterno dell’azienda.

Gli incarichi di lavoro per gli hacker etici seguono solitamente una procedura particolare. Aziende come Facebook, Google o Microsoft fanno uso dei cosiddetti Bug Bounty Programs (programmi per cacciatori di taglie di bug). In questi programmi le aziende offrono lauti premi a quegli hacker che riescono a trovare e risolvere i bug di un dato software o a capire come siano avvenuti attacchi informatici agli stessi. I programmi di bug bounty vengono spesso adoperati a completamento dei penetration test.

Nel pubblicizzare e far sì che vengano assegnati incarichi di questo tipo contribuiscono spesso piattaforme d’intermediazione internazionalmente riconosciute come HackerOne. Nel suo 2020 Hacker Report HackerOne ha fatto sapere che tramite la sua piattaforma, solamente nel 2019, gli hacker si sono portati a casa “taglie” per un valore economico di circa 40 milioni di dollari. 82 milioni di dollari totali dalla costituzione della piattaforma nel 2012. In aggiunta a queste piattaforme gli Ethical Hacker usano anche altri modi per ottenere dei lavori, sia per iniziativa personale che offrendo i propri servizi in rete.

Nell’epoca dell’aumento della cybercriminalità, l’ethical hacking rappresenta una strategia di prevenzione di grande valore. Test di attacchi mirati e penetration test basati sulle pratiche più usate dagli hacker possono ottimizzare la sicurezza di un’infrastruttura IT in maniera inconfutabile e impedire così di essere vittima di azioni di hackeraggio illegale. Chi decide di commissionare un ethical hacker esclude il pericolo derivante dall’incapacità di trovare internamente le falle del proprio sistema, in quanto gli esperti di questo tipo approcciano la questione in maniera differente e possiedono conoscenze e competenze poco diffuse e un’altra concezione in materia di sicurezza.

Questa branca della sicurezza informatica permette anche alle imprese di piccole e medie dimensioni di assicurarsi il know-how necessario per la messa in sicurezza dei propri sistemi informatici, che altrimenti non possiedono all’interno dell’azienda. Tuttavia, chi decide di impiegare un hacker etico deve sapere che questa scelta comporta anche dei rischi. Anche prendendo tutte le precauzioni del caso non sempre è possibile escludere eventuali conseguenze negative. Può infatti capitare che i sistemi vengano involontariamente pregiudicati o che crashino completamente.

In determinati casi poi, ai white hat si aprono le porte di dati privati e confidenziali di terze parti. Il rischio aumenta soprattutto se al momento della stipula del contratto non si sono definite condizioni precise o se l’hackeraggio etico non viene eseguito in maniera competente e con la dovuta attenzione. Prima di affidarsi a un ethical hacker bisogna sempre eseguire un lavoro di ricerca approfondita e selezionare solamente quegli hacker che possono dimostrare la propria affidabilità, ad esempio con un certificato.