White Hat: nascita e sviluppo dell’ethical hacking

Indice

Claudia Cofini ci porta nel mondo dei White Hat e dell’etica hacking di cui spesso si sente parlare ma mai troppo chiaramente. Ecco qui tutto quello che dovete sapere su questo mondo!

C’è Hacker e Hacker

Si tratta di un hacker, ossia un soggetto, non per forza un professionista, con una profonda conoscenza riguardo la programmazione, i sistemi, e la sicurezza informatica, in grado di introdursi in reti di computer senza autorizzazione e prenderne il controllo. Il termine viene da “to hack” che vuol dire aprirsi un varco, ed ecco, l’hacking consiste proprio nell’aprirsi un varcotra linee di codice di un sistema informatico.Il New Hacker´s Dictionary di Eric S. Raymond definisce un hackercome “qualcuno che esplora un sistema informativo mettendone alla prova le capacità, in contrapposizione con la maggior parte degli utenti che preferisce apprendere solo lo stretto indispensabile.” Aggiungendo: “Questo è, ovviamente, il concetto di hacker espresso con un valore positivo. Vi è tuttavia da segnalare che dell´intento puramente ludico che spingeva i primi hacker ad agire poco è rimasto.” La connotazione negativa dell’hacker, si riferisce a quei soggetti capaci di utilizzare le proprie competenze per commettere dei crimini informatici, violare sistemi, computer, smartphone, tablet e così via, allo scopo di rubare dati da cui estrapolare informazioni di diversa importanza. I pericoli che possono derivare da un cyber-attacco sono numerosi e in grado di lasciare dietro di sé conseguenze pesanti; ciò spiega per quale motivo nella società odierna gli hacker siano visti come veri e propri nemici. La principale distinzione è quella tra black hat o cracker, che sfruttano le proprie capacità per scopi illeciti, e white hat o ethical hacker, che al contrario mettono a disposizione le proprie conoscenze per testare un sistema, individuarne i punti deboli e renderli noti affinché vengano sanati comprovandone sicurezza ed affidabilità.[1]

L’etica hacker

Il fenomeno culturale dell’hacking, nella sua accezione positiva, vanta origini molto più antiche. Esso inizia a prendere piede negli anni 70 presso il Tech Model Railroad Club (TMRC) del Massachussets Institute of Technology (MIT) di Cambridge, che col tempo diviene simbolo di un’etica legata all’idea del software libero, ossia caratterizzato da una licenza applicata al software per garantirne la libertà di utilizzo, di studio, di modifica e di condivisione al fine di migliorarlo. Ciò viene riportato anche nell’opera Hackers. Gli eroi della rivoluzione informatica, di Steven Levy, che, nel 1984, codificò i cinque princìpi fondamentali che definiscono la filosofia del computer hacking. Nel libro l’etica hacker viene descritta come una filosofia, un’idea, un’etica e dunque un vero e proprio stile di vita. I princìpi teorizzati da Levy sono: condivisione, apertura, decentralizzazione, libero accesso alle tecnologie informatiche ed infine miglioramento del mondo. Secondo Levy bisogna usare un approccio detto Hands on, dando la possibilità agli hacker di esaminare sistemi già esistenti e migliorarli creandone di nuovi. Questo è possibile attingendo ad informazioni libere e accessibili a tutti, attraverso l’utilizzo di un sistema aperto che non ponga ostacoli a chi vuole imparare. Spesso il codice sorgente di un software può passare addirittura per una nuova forma d’arte data la sua originalità. Gli hacker considerano i computer parti integranti della loro filosofia di vita in quanto con essi i limiti del mondo fisico decadono perché ciò che prima era impossibile può diventare realtà. L’etica hacker trova fondamento proprio in questa filosofia in quanto la necessità di sicurezza appartiene a tutti, e tutti, di conseguenza, devono essere messi in condizione di poter adeguatamente proteggere le proprie infrastrutture da chi abbia cattive intenzioni.[2]Dunque, originariamente questa figura nasce con una connotazione tutt’altro che negativa, poiché stava a indicare quelle persone dotate di capacità informatiche eccezionali capaci di spingere i programmi oltre le funzioni per cui erano stati progettati. Non solo, in quegli anni (80), gli hacker divennero il centro dell’Artificial Intelligence Laboratory del MIT, grazie alla realizzazione di ARPAnet: una rete di computertransnazionale realizzata nel 1969dall’agenzia del Dipartimento della Difesa degli Stati Uniti,responsabile per lo sviluppo di nuove tecnologie ad uso militare.[3]Ma solo nel 1983 con la nascita di Intenet gli hackers ebbero la possibilità di confrontarsi attraverso lo scambio di informazioni e di collaborare permettendo la formazione di un gruppo su larga scala, pronto ad uscire dall’isolamento dei confini fisici. Furono sempre gli hacker a diffondere, per la prima volta tra le persone comuni l’utilizzo dei personal computer, assemblati dal Homebrew Computer Club, di cui è giusto ricordare Steve Wozniak e Steve Jobs. Negli anni 80 prese vita il movimento a sostegno del software libero, il cui fondatore Richard Stallman, è considerato da Steve Levy “l’utimo vero hacker”, forte sostenitore del concetto dell’ open source software[4]a scopo migliorativo dei software stessi. Quando le multinazionali cominciarono a mostrare interesse per gli hacker e nacquero i primi colossi come Microsoft e Apple, vennero a crearsi le prime fratture nel movimento che oramai non era più capace di controllare quanto da esso stesso generato.  In molti decisero di darsi al mondo degli affari eludendo tutti i buoni principi sostenuti sino a quel momento, portando così alla nascita di una nuova figura di hacker: i c.d. Software Superstar, ovvero geni della programmazione ben lontani da quei principi che caratterizzavano i loro predecessori. Tutti iniziarono ad adeguarsi alla logica di mercato sfruttando le proprie capacità per sviluppare prodotti per le multinazionali, facendo venir meno il principio della condivisione e della partecipazione che contraddistingueva il software libero, a favore di un prodotto commerciale da tutelare: il software proprietario, il quale divenne il marchio di fabbrica della Microsoft che fu la prima a decidere di non pubblicare più il codice sorgente, introducendo le c.d. licenze d’uso, con cui limitava uso e diffusione dei software.[5]

White Hat, Grey Hat, Black Hat

Ethical hacker professionista e ethical hacker per passione.

La figura dell’ethical hacker rappresenta da una parte, il ritorno a quei prìncipi di collaborazione e libera diffusione che sembravano essersi smarriti. Infatti, egli ha il compito di andare a ricercare falle nei sistemi attraverso l’utilizzo del penetration test, ossia l’insieme di tutte le procedure necessarie per provare la sicurezza di un sistema all’interno di una certa realtà comunicando poi al soggetto interessato tutti i risultati raggiunti e le evidenze emerse. Perciò bisogna fare una distinzione fondamentale tra quest’ultimo e il security engineer il quale, invece, si occupa della difesa perimetrale della rete firewall, IDS, IPS, ecc.., l’ethical hacker va appunto a testare queste difese utilizzando gli stessi strumenti dei criminali informatici. L’ethical hacker di professione non agisce mai di sua iniziativa ma esegue le operazioni solo quando ciò viene richiesto dal cliente, con il quale stipula un contratto di lavoro in cui vengono specificati attentamente gli scopi del penetration test e definendo quali sono i confini da non poter valicare. Diversi, infatti, sono i modi per attaccare una rete: tra i più comuni vi sono end point, ossia PC degli utenti che, all’interno di una rete locale, sono poco protetti o non aggiornati correttamente. Anche smartphone e tablet sono spesso utilizzati come vettori d’attacco se connessi alla stessa rete wifi. E ancora: software non aggiornato all’ultima relase o patch; errata configurazione dei dispositivi di rete, (ossia, router switch e firewall) e, infine, minacce derivanti dall’interno come, ad esempio, dipendenti impreparati che commettendo azioni semplici (come inserire una pen, drive contenente infezioni in un pc aziendale) possono causare danni inimmaginabili. Un attacco informatico avviene seguendo fasi ben precise, avanzando per gradi.

  1. Si parte dalla prima fase: la raccolta di informazioni (information gathering), con la quale si va ad indagare su diversi aspetti del bersaglio, tra cui il tipo di business trattato, persone e strumenti utilizzati per svolgere l’attività. Durante questo momento si inizia ad analizzare l’infrastruttura di rete utilizzando informazioni di pubblico dominio che è possibile reperire tramite servizi web, tra i più comuni: google, whois, DNS, Social Media, Metadati, ecc..
  2. Una volta reperite le informazioni iniziali si passa ad un’analisi più diretta dell’infrastruttura, ossia la scansione della rete (network scanning), in cui vi è l’approccio diretto con il bersaglio e dunque il rischio di essere scoperti.
  3. Superata la seconda fase si passa ad enumerare (enumeration), ossia a scoprire ed elencare le risorse disponibili e quelle contengono vulnerabilità note e quindi attaccabili. Tale operazione viene effettuata anche attraverso l’utilizzo di tool automatici, tuttavia non affidabili come una ricerca fatta manualmente. Le vulnerabilità vengono sfruttate nella fase successiva, ovvero, l’accesso al sistema (exploitation), indentificando ogni punto di accesso non sicuro nella rete che verrà tempestivamente comunicato al cliente affinché possa porre rimedio rapidamente. In questa fase è inoltre essenziale lasciare un punto di accesso sempre disponibile in modo da poter rientrare nel bersaglio in un secondo momento (post exploitation). Se tutto è andato a buon fine si consegna il report finale (final report) con il riepilogo di tutta l’attività svolta e con i suggerimenti per migliorare la propria sicurezza.[6]

Come possiamo bene notare non vi è differenza, tra questo tipo di intervento e un attacco informatico perpetrato però con finalità illecite e criminali. Per questo motivo la politica intrapresa da aziende e istituzioni nei confronti degli ethical hacker è stata quella di creare dei veri e propri programmi detti bounty bug che consistono in un accordo tra l’hacker e gli sviluppatori di software che offrono una vera ricompensa per violare il sistema alla ricerca di vulnerabilità, segnalando appunto i bug riscontrati, in modo che possano essere corretti in un successivo aggiornamento dei prodotti incentivando una disclosure responsabile da parte della comunità degli ethical hacker. A utilizzare questi programmi di prevenzione sono sia le aziende private come Microsft, Goolgle, Mozzilla, Yahoo, Facebook, sia istituzioni governative come il Dipartimento della Difesa Americano, che lanciò nel marzo 2016 il primo programma di bug bug del governo U.S.A.: “Hack the Pentagon”, in cui i partecipanti avevano il compito di rilevare i bug dei sistemi di sicurezza del Pentagono. L’evento è durato 30 giorni, 1400 hacker hanno inviato numerose segnalazioni aiutando a risolvere ben 138 problemi di sicurezza.[7]

Non meno importante l’Internet Bounty Bug (IBB) un programma no profit, sponsorizzato da aziende come Facebook e Microsoft, nato nel 2013, ed al quale, nel 2017, si sono uniti GitHub e Ford Foundation. Il programma offre sempre incentivi economici a chiunque si occupi di sicurezza informatica al fine di individuare i punti deboli dell’infrastruttura internet di base e di software open source come Ruby, PHP, Python, OpenSSL. “Quando abbiamo i mezzi per premiare gli hacker altruistici per scoprire le vulnerabilità critiche nei domini pubblici, stiamo rendendo Internet un posto più sicuro per tutti”, ha aggiunto Alex Rice, HackerOne CTO e fondatore, che fa parte del panel dell’IBB.[8]

Nel 2014 è stata creata una piattaforma di divulgazione responsabile: Open Bug Bounty, senza scopo di lucro, che consente agli appassionati di ethical hacking di segnalare la scoperta di vulnerabilità di sicurezza di qualsiasi sito web, utilizzando però tecniche non intrusive. Inoltre, chi scopre il bug, può decidere di rendere pubblici i dettagli sulle vulnerabilità, oppure comunicarle privatamente ai soli soggetti interessati entro 90 giorni. Il programma ha individuato già tra il 2014 e il 2017 più di 100.000 vulnerabilità e, nel 2018, 100.000 vulnerabilità fisse.[9]

Un altro esempio della crescita e dello sviluppo della cultura dell’ethical hacking, è tutto italiano e si tratta dell’associazione CyberSayan, nata a dicembre 2017, con la finalità di “promuovere iniziative sociali volte a divulgare cyber security ed ethical hacking”, come spiegato dal presidente dell’associazione Giovanni Mellini che è anche responsabile della sicurezza delle informazioni e delle reti in ENAV.Il primo obiettivo dell’associazione è stato quello di organizzare a Roma un evento di sicurezza gratuito e per questo è nato RomHack,. L’edizione 2018, avrà come filo conduttore il tema “Attacco e Difesa in una prospettiva di team, con focus specifico su scenari reali” e si terrà sabato 22 Settembre presso l’Università degli Studi Link Campus University.[10]

Riferimenti

[1]https://dicorinto.it/temi/hacker/cybersecurity-perche-si-chiamano-hacker-cosa-fanno-e-lidentikit-degli-11-tipi-che-conosciamo/

[2]Steven Levy, Hackers. Gli eroi della rivoluzione informatica, traduzione di Ermanno Guarneri, Luca Piercecchi, collana Cyberpunkline, Shake edizioni, 2002.

[3]Stefano Chiccarelli Andrea Monti Spaghetti Hacker, Monti Ambrosini 2011

[4]https://www.ippolita.net/it/libro/open-non-%C3%A8-free

[5]“Hacktivism: La Liberta’ Nelle Maglie Della Rete” Di Arturo Di Corinto E Tommaso Tozzi Manifestolibri, Roma, 2002. Questo testo e’ soggetto alla GNU Free Documentation License Copyright (c) 2002 A. Di Corinto, T.Tozzi

[6]E. Fontana Professione Ethical Hacker! Manuale di hacking etico e sicurezza informatica

[7]https://www.hackerone.com/resources/hack-the-pentagon

[8]https://venturebeat.com/2017/07/21/facebook-github-and-the-ford-foundation-donate-300000-to-bug-bounty-program-for-internet-infrastructure/

[9]https://www.scmagazine.com/open-bug-bounty-consists-of-a-team-of-less-than-10-researchers-from-various-countries/article/745768

[10]http://cybersecurity.startupitalia.eu/61096-20180528-cyber-saiyan-lassociazione-promuove-lethical-hacking-intervista-giovanni-mellini