A cura di Paolo Arcagni, System Engineer Manager di F5 Networks
È innegabile che i data breach e gli attacchi informatici siano in costante aumento e stiano diventando sempre più sofisticati. In tutto il mondo, le aziende faticano a confrontarsi con la dinamicità e l’evoluzione delle tattiche dei cybercriminali e il problema è ulteriormente inasprito dalle tecnologie emergenti, come l’IoT, che comportano un’espansione progressiva della superficie di attacco. Allo stesso tempo, enormi volumi di dati e applicazioni si spostano verso il cloud, con configurazioni di deployment estremamente diverse tra loro, che espongono ulteriori informazioni al rischio di una mancanza di protezione.
Per poter comprendere e rimanere al passo con la nuova mentalità dei criminali informatici, molte aziende scelgono di difendersi passando al contrattacco. Da questo punto di vista, quando si proteggono le applicazioni è particolarmente importante considerare ogni singolo possibile vettore dal quale può provenire l’attacco.
È qui che entra in gioco l’hacker etico o “white hat”, che spesso può fare la differenza.
Sebbene gli architetti della sicurezza abbiano una vasta conoscenza delle best practice del settore, spesso non hanno esperienza diretta di come gli aggressori riescano a eseguire una ricognizione, concatenare più attacchi o avere accesso alle reti aziendali.
Dotato di tutta l’abilità e l’astuzia dei propri avversari, l’hacker etico è legalmente autorizzato a sfruttare le reti di sicurezza e migliorare i sistemi, correggendo le vulnerabilità riscontrate durante i test; è inoltre tenuto a comunicare tutte le debolezze scoperte nel sistema.
Secondo l’Hacker Report 2019, la comunità degli hacker etici è raddoppiata rispetto allo scorso anno. Nel 2018 sono stati erogati 19 milioni di dollari in ricompense, quasi come il riscatto totale complessivo pagato agli hacker negli ultimi sei anni. Il report stima che gli hacker etici possano guadagnare fino a quaranta volte il salario annuale medio di un software engineer nel loro Paese d’origine!
Ma dove è possibile trovare queste creature misteriose?
Il metodo utilizzato più comunemente è la realizzazione di un programma “bug bounty” che operi in base a termini e condizioni rigorosi. In questo modo, qualsiasi individuo può scoprire e inviare bug e vulnerabilità di un sistema all’azienda per ottenere in cambio una ricompensa in denaro. Questo metodo può avere buoni risultati per i servizi disponibili pubblicamente, come siti web o app mobile e i premi dipendono dal livello di rischio percepito dall’organizzazione interessata una volta confermata la validità della scoperta.
Sfruttare il crowdsourcing e gli incentivi in denaro presenta numerosi ed evidenti benefici: gli hacker ricevono un riconoscimento, sia in senso stretto sia dal punto di vista reputazionale, e possono poi mostrare e comprovare le proprie capacità all’interno di forum che offrono loro grande visibilità. In cambio, l’azienda che li assume migliora e amplia la propria intelligence di sicurezza e la propria visione.
Alcune aziende scelgono di assumere direttamente degli hacker, poiché l’elemento chiave in questo ambito è l’esperienza diretta. Sebbene possa sembrare controproducente avvalersi di hacker esterni, che possono avere collezionato in passato anche un record di attività criminali, la loro esperienza pratica rappresenta un valore innegabile. La vera differenza la farà la capacità di reagire una volta scovato il bug o la vulnerabilità.
In definitiva, assumere un ex criminale informatico è una decisione rischiosa che dovrebbe essere valutata caso per caso, eppure anche basare le proprie decisioni solo sul controllo dei precedenti penali di un individuo è riduttivo, poiché non si prende in considerazione la possibilità che la persona sia evoluta nel frattempo. Ad esempio, è improbabile che qualcuno accusato di un attacco denial of service in giovane età diventi un criminale internazionale, e spesso sono proprio i giovani ex-criminali a diventare consulenti di sicurezza di tutto rispetto e visionari in questo settore.
I migliori professionisti possono essere rintracciati anche all’interno dell’azienda, guardando ai dipendenti più curiosi e intraprendenti, le cui abilità nel costruire le applicazioni, nel coding e nella comprensione delle infrastrutture di rete dovrebbero essere maggiormente coltivate e sviluppate.
I dipendenti potrebbero già conoscere le vulnerabilità interne dei sistemi, ma magari non sentirsi in dovere di segnalarle alla propria azienda, perché questo non rientra nelle loro competenze contrattuali. Non attingere a questo patrimonio di conoscenze è davvero un peccato, poiché chi prende le decisioni in azienda oggi ha bisogno di tutte le informazioni e il supporto possibili per contrastare gli attacchi.
Nel corso degli anni ho avuto la possibilità di incontrare molti responsabili della security che hanno realizzato nuovi prodotti e soluzioni innovative. La maggior parte di essi mi ha confermato che uno degli aspetti più entusiasmanti oggi è proprio il processo di hacking migliorativo e la raccolta di dati di intelligence. Anche dal punto di vista del riconoscimento ufficiale, l’hacking etico guadagna progressivamente un suo spazio: tra le qualifiche di rilievo oggi figurano la certificazione Ethical Hacker (CEH), l’Offensive Security Certified Professional (OSCP) e la Global Information Assurance Certification (GIAC).
Naturalmente, molti hacker esperti si oppongono ufficialmente a questa “rivoluzione educativa” ma, in realtà, ne tengono d’occhio l’evoluzione. In definitiva, l’hacking etico è una realtà e sarà sempre più facile trovare questi hacker fantastici man mano che evolverà la capacità di comprendere le dinamiche della security e gli imperativi aziendali che mettono al primo posto la sicurezza.