Ethical hacking: premiare o condannare ?

“Bastano poche cose per cambiare il mondo, ma l’impegno, quello reale, è complicato da trovare. Richiede molto sacrificio.”
Julian Assange

Immaginate di uscire di casa, dimenticandovi la porta aperta. Una sbadataggine che può capitare, no ? Immagina che al vostro ritorno trovate, nel vostro salotto in perfetto ordine, un foglietto con scritto “Hey, attento che ti sei dimenticato la porta aperta !”. La prima reazione sarà di spavento, sicuramente. Forse chiamerete anche la Polizia, che non potrà fare altro che constatare come non manchi niente dalla vostra abitazione: soldi, gioielli, mobili… tutto in perfetto ordine, come sempre. Solo questo bigliettino, un messaggio anonimo lasciato da un innocuo curiosone che ha approfittato della porta aperta per “sbirciare” in casa vostra. Ed è stato abbastanza gentile da avvertirvi di prestare più attenzione, perché non sono tutti innocui come lui. Alla fine, non potrete far altro che accusare voi stessi per la sbadataggine e sicuramente, in futuro, presterete più attenzione al chiudere il portone di casa: fortune che non capitano a tutti, poiché nella maggioranza dei casi una disattenzione simile può costare davvero molto, tra furto di preziosi e danni alla mobilia. Questa volta, però, è andata bene.

Nel mondo della Rete, Internet, fatti come quello appena descritto sono relativamente frequenti: i cosiddetti hackers white hat, o ethical hackers, sono coloro che, animati dalle migliori intenzioni, testano la sicurezza dei sistemi informatici (“pentesting”) ed avvisano l’amministratore di eventuali falle presenti. Un white hat non danneggerà mai un sistema informatico, né lo userà per altri scopi, come invece avviene tra i black hat, gli hackers “cattivi”.

Sia chiaro, entrambe le situazioni (reale e virtuale) sono reati punibili ai sensi, rispettivamente, dell’art. 614 “Violazione di domicilio” e 615 ter “Accesso abusivo ad un sistema informatico o telematico”, con il carcere fino a 3 anni.

Ma perché una situazione inverosimile nel mondo reale è prassi relativamente diffusa nel mondo informatico ?

Diciamocela tutta: chi mai troverebbe interessante intrufolarsi, solo per curiosità, in casa altrui ? Non a caso, in certe piccole realtà rurali, ancora oggi la porta di casa rimane aperta per gran parte del giorno ! Ma quando si parla di un sistema informatico la questione cambia, poiché c’è un numero non trascurabile di persone che (i cosiddetti “hackers“, anche se il termine ha assunto, negli anni, una connotazione prevalentemente negativa) che trovano interessante la sfida di penetrare nei sistemi telematici, impegnandosi nello studio e identificazione delle “falle” (porte aperte) per accedere al loro interno.

Per i profani, tutto ciò può sembrare incomprensibile o al limite del fantascientifico. Ma, da sistemista, posso rassicurarvi che è più facile di quanto crediamo: pensiamo ad esempio al malware “WannaCry”, che ha “infettato” milioni di PC in tutto il mondo. Ecco, questo malware, che altro non è che un software, sfruttava proprio una vulnerabilità nota del sistema Microsoft Windows per accedere e replicarsi negli altri sistemi informatici in Rete. Di simili vulnerabilità ne esistono moltissime, come dimostrano i continui bollettini per la sicurezza disponibili pubblicamente sul Web: la bravura di un sistemista o di un webmaster sta proprio nel mantenere i sistemi aggiornati e sicuri, informandosi sulle vulnerabilità e correggendole sui propri sistemi.

Spesso sono proprio le aziende a sponsorizzare la ricerca dei bug nei propri sistemi o codici. Proprio qualche giorno fa, un ragazzo uruguaiano di 17 anni ha ricevuto da Google un premio di 10.000 $ per aver scoperto, e segnalato, una falla nei suoi sistemi. E programmi di “bug bounty” sono messi in palio anche da moltissime altre aziende, poiché è il miglior modo per scoprire, e migliorare, le falle dei propri sistemi. Per questo sono sempre stato molto critico nei confronti di chi denuncia l’hacking etico, come avvenuto ad esempio ai danni di un ragazzi ungherese che aveva scoperto una falla nel sistema di rilascio biglietti dell’azienda di trasporto pubblico di Budapest.

Ma perché le aziende denunciano chi si intrufola -in modo innocuo– nei loro sistemi ?

Dopo la violazione “etica” di un sistema informatico, l’hacker white hat può segnalare la falla privatamente all’amministrazione oppure propagandarla pubblicamente, per farsi pubblicità. Può anche succedere che, dopo averla segnalata privatamente e non aver ricevuto alcuna risposta, venga diffusa pubblicamente per imbarazzare l’azienda stessa (mi viene in mente una recente querelle che ha coinvolto gli sviluppatori di VLC, il popolare player video…): a questo punto, più per orgoglio ferito e per difendere il buon nome, l’azienda si rivolge alle autorità. Inoltre, talvolta diventa difficile da stabilire gli eventuali danni e/o conseguenze: se è riuscito ad entrare un hacker buono (“white hat“), come escludere che vi siano già entrati dei black hat, magari installando rootkits o altre backdoor e rubando dati sensibili ? La denuncia alle autorità immagino che serva anche a tutelarsi ed a minimizzare la (propria) responsabilità in caso di eventuali problemi che dovessero verificarsi.

C’è poi un ulteriore aspetto: la fiducia.

Torniamo allo scenario iniziale: se qualcuno si intrufola in casa vostra, solo per curiosità, come vi sentireste ? Probabilmente vivreste una sensazione di insicurezza, esattamente come quella che vive quotidianamente un sistemista a cui hanno violato un server. Anche in caso di un ethical hacking, un sistemista serio non può minimizzare l’intrusione limitandosi a chiudere la porta: sarebbe buona norma ricostruire tutto il sistema da zero, per escludere il rischio che il “white hat” abbia comunque installato delle backdoor o rubato dati di accesso. Ecco che, quindi, anche un hacking etico diventa un costo per chi lo subisce senza adeguata preparazione.

A questo punto, concludendo, spero di aver chiarito che non sempre l’hacking etico è buona cosa. Esso comporta comunque dei costi, sia diretti che indiretti, ed i buoni propositi spesso non giustificano una intrusione non autorizzata, anche se la porta è aperta. Dall’altra parte, l’identificazione di vulnerabilità ha permesso, e tutt’ora permette, il progresso della tecnologia informatica, anche sotto il profilo della sicurezza: i nostri PC sono più sicuri grazie a persone che, con tanto studio e dedizione, hanno provato in ogni modo a violarli. Esattamente come la continua competizione tra ladri e fabbricatori di serrature, che ci ha permesso di avere dispositivi di grande sicurezza a prezzi contenuti. Del resto la competizione è nella nostra natura, in ogni campo, e certo un universo enorme come quello offerto dalla Rete non poteva esserne escluso.

Concludo con una frase che, molti anni fa, lessi su un libro: “se un hacker entra nel tuo sistema, lascialo stare: sta solo curiosando un po’… “.

Michele Pinassi

Blogger, appassionato di tecnologia, società e politica. Attualmente Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: