Parliamo spesso di hackers in modo alquanto generico: mediamente, infatti, l’hacker viene inteso come un ladro di dati che crea virus per fare chissà quale misfatto ma non sempre è così.
Questo è un argomento che già ho trattato in un altro blog da un diverso punto di vista, ovvero quello semiotico (l’articolo lo trovate qui). Ho persino avuto una discussione con finale occhiattaccia ad un insegnante che non voleva accettare la mia (e non solo mia) definizione di hacker: ignorantia docet. Per lei, infatti, tutti gli hacker erano solo ed esclusivamente hacker politici (ah-ah-ah!).
Semplificando e banalizzando, l’hacker è una persona che conosce profondamente il funzionamento di un computer e ciò che cerca non è necessariamente politico, questa è una scelta che fa il singolo hacker e, essendo degli esseri umani, non è che tutti vadano zoppi dalla stessa gamba!
Anni fa, si utilizzavano due termini hacker e cracker basati sul tipo di approccio utilizzato: rispettivamente uno tagliava (hack) parti di codice inserendone dei nuovi mentre il secondo lo rompeva (crack). Logicamente, per giornalisti e persone poco interessate alla tecnica professionale questa suddivisione risultava poco chiara così piano piano hacker e cracker sono diventati il buono ed il cattivo dell’informatica per, poi, essere normalizzati nell’unica figura dell’hacker.
Negli ultimi anni, un po’ direi anche grazie al film Black Hat ed altri film dedicati all’era tecnologica si è generato da parte del giornalismo un rinnovato interesse ed una sorta di nuova categorizzazione è tornata a crearsi. Questa volta essa non è più basata sull’approccio informatico quanto piuttosto fondata sulla stessa idea etica della suddivisione buono/cattivo e, quindi, dello scopo che l’hacker mostra d’avere.
Da qui nasce l’hacker etico anche chiamato white hat. Questa figura mira a costruire, fortificare e assicurarsi della sicurezza del sistema. Mentre lo scopo del black hat è quella di distruggere e mettere in pericolo il sistema. Il white hat per poter di rendere il sistema su cui lavora sicuro deve essere in grado di pensare come il black hat: in un certo senso, questo è un gioco tra cacciatori. Cosa significa questo? Beh, uno dei principali interessi di un white hat è cercare le falle del proprio sistema e comprendere come possono essere utilizzate per rubare dati, inserire virus, creare disagi nel programma e successivamente trovare un modo per correggerle.
Tanto per fare un altro collegamento con i film l’idea di utilizzare i nomi white e black hat proviene dai vecchi western dove il bravo ragazzo vestiva un cappello bianco mentre il cattivo ne aveva uno nero.
Il black hat può avere vari motivi per essere il cattivo della situazione (non, come abbiamo già detto, solo di ordine politico). Alcuni si divertono a creare caos, altri possono essere alla ricerca di qualche vendetta, altri tanto per mostrare ad altri cosa sono in grado di fare, altri per soldi ed altri ancora giusto per puntualizzare qualcosa. Le vulnerabilità dei sistemi per loro sono punti di attacco: porte di casa lasciate aperte per facilitare eventuali ladri.
Un white hat invece è di norma interessato e preoccupato per la sicurezza del sistema che sia il proprio o quello di una compagnia o cliente. Se trovano, quindi, una vulnerabilità si comportano come degli investigatori cercando di osservarle il più in profondità possibile per poterle correggere e mettere il sistema in sicurezza.
Gli stumenti utilizzati da black e white hat tendenzialmente sono gli stessi come accade, per esempio, nel caso di fabbri e ladri: entrambi per aprire una porta utilizzano i medesimi utensili. Quindi, un white hacker potrebbe utilizzare un software per recuperare password per vedere quanto forte è la sicurezza di una compagnia mentre un black hat potrebbe usare lo stesso programma per entrare nel sistema di un’azienda e rubarne i dati sensibili.
Inoltre, un white hat si introduce in un sistema solo ed esclusivamente previo permesso del proprietario. Ecco, dove si infila il gray hat. Questa figura, come chiosa il colore grigio, si trova a cavallo tra il bianco ed il nero: magari, per esempio, non si farà problemi ad entrare in un sistema senza permesso ma non lo distruggerà; diciamo, che ha una propria etica che non necessariamente coincide con quella del white hat.
In particolare gli hacker etici si focalizzano sulle seguenti operazioni:
- Esaminare server interni e sistemi cercandone le vulnerabilità e il modo di proteggerli da eventuali black hats.
- Fare “pentests”, ovvero test di penetrazione nel sistema per scoprirne le debolezze. A questo proposito, per esempio, si possono utilizzare BackBox o Metasploit.
- Dare raccomandazioni su come mitigare le vulnerabilità del sistema.
- Lavorare gli sviluppatori cercando di limitare le falle di sistema.
- Aggiornare le polizze e le procedure di sicurezza.
- Cercare di educare altri nel tentativo di sensibilizzare l’opinione pubblica in materia di sicurezza.
Al giorno d’oggi in cui pare non si possa essere bravi o conoscere il proprio lavoro senza pagare per un qualche certificato, anche in questo caso esistono degli attestati per poter dire d’essere dei white hat e cercare un relativo lavoro. I principali sono:
- Il CEH (Certified Ethical Hacker), ovvero la certificazione dell’hacker etico. Tra i tre certificati è lo standard richiesto e probabilmente quello più generico; è anche l’ideale per chi decide di iniziare questo percorso sebbene sia richiesta una conoscenza pregressa delle abilità amministrative possibili su Windows e Linux, avere una certa familiarità con i protocolli TCP/IP e della creazione di una versione virtuale di hardware o piattaforma software. Inoltre il corso è molto flessibile per quanto riguarda la preparazione poiché è possibile prepararsi anche on-line.
- Il GIAC GPEN (Global Information Assurance Certification Penetration Tester), ovvero la certificazione di sicurezza per l’informazione globale in accoppiata con il penetration tester. Più costoso da ottenere del primo, focalizzato logivamente sulla penetrazione dei sistemi. Questi richiede una conoscenza a priori di varie tecniche di crittografia (ovvero come trasformare delle informazioni e renderle sicure), Windows, Linux e TCP/IP.
- L’OSCP (Offensive Security Certified Professional), ovvero certificazione per la sicurezza offensiva professionale. Questo è il meno costoso e meno conosciuto dei tre ma è anche il più tecnico ed il meno flessibile in termini di insegnamento. Prima di iniziare a fare questo test si è obbligati a completare il Penetration Test con Kali Linux (PWK). Sono quindi richieste delle solide conoscenze a livello informatico di base.
RIFERIMENTI:
A. Benjamin, A 101 Hacking guide.
B. Westfall, How to get a job as an ethical hacker, in intelligent defense, http://intelligent-defense.softwareadvice.com/how-to-get-an-ethical-hacker-job-0714/, 15.07.2014
Occupational outlook handbook for information security specialists: http://www.bls.gov/ooh/computer-and-information-technology/information-security-analysts.htm