“Hacker Etici” e sicurezza digitale: i “cattivi” dal “cuore buono”

Con lo sviluppo delle tecnologie sempre più avanzate e funzionali, con le quali la vita sociale e privata e ogni necessaria attività è stata digitalizzata e proiettata sul web, i rischi per la sicurezza e la protezione delle informazioni aumentano ogni giorno di più.

In considerazione dell’elevato pericolo che corrono i sistemi digitali, le politiche nazionali e internazionali, degli ultimi anni, stanno spingendo le aziende e le industrie, soprattutto quelle operanti in aree critiche e strategiche, ad adottare sistemi di sicurezza informatica sempre più aggiornati, riconoscendone una priorità assoluta. Si pensi ai Regolamenti come NIS, NIS2, DORA, Digital Service Act, Data Act, AI Act, tanto per citarne alcuni tra i più significativi e recenti.

In questo scenario, il soggetto che agisce minacciando la inviolabilità dei sistemi e la sicurezza dei dati viene indicato come “ hacker ”.

Tale termine risale agli anni ’60 ed è stato coniato negli Stati Uniti, presso il Massachusetts Institute of Technology (MIT), per identificare gli appassionati di computer e programmazione curiosi di capire il funzionamento dei sistemi e delle reti. L’hacker quindi nasce in una accezione benevola, distinguendosi dalla figura prettamente negativa e malevola identificata con il termine “ cracker ” o “ black hat ”.

Negli ultimi tempi, per riassegnare alla figura dell’hacker una funzione positiva si parla di Hacker etici (o Ethical hacker o anche “ white hat hackers ”), identificando professionisti che possiedono elevate conoscenze informatiche che, seguendo anche rigorose regole etiche, vengono ingaggiati per testare la resistenza, la resilienza, le vulnerabilità dei sistemi, con lo scopo di supportare le aziende e le istituzioni nella protezione dei dati e nella prevenzione degli attacchi malevoli, quali virus, malware, ransomware, che possono causare gravi danni sia economici che reputazionali.

Un hacker etico deve necessariamente possedere una serie di competenze specifiche e tecniche nel campo dell’informatica, tra cui la conoscenza avanzata dei vari linguaggi di programmazione, della sicurezza IT, dei sistemi di comunicazione e di rete. Inoltre, vedendo la velocità con cui evolvono le minacce, deve mantenere un costante aggiornamento della propria formazione, affinché il suo operato possa essere efficace ed efficiente.

Esistono corsi di formazione e certificazioni specifiche che vengono fornite da istituzioni e organismi internazionali proprio per attestare il possesso di un grado di conoscenza tecnica ed etica oltre che di tutta una serie di abilità necessarie per identificare e risolvere le vulnerabilità nei sistemi informatici. Tra le principali certificazioni, troviamo il Certified Ethical Hacker (CEH) promosso dall’EC-COUNCIL e l’Offensive Security Certified Professional (OSCP), considerato tra i più qualificanti nel settore dell’hacking etico e di penetration testing.

Come accennato, l’hacker etico agisce a fin di bene, con lo scopo di supportare le organizzazioni nel difendersi nel modo più efficace possibile dai cyberattacchi. Nella sostanza rappresenta l’antagonista del criminale informatico. L’hacker etico è mosso dalla passione della conoscenza, nella sua accezione più pura e creativa, andando oltre gli schemi.

Nello svolgimento della sua attività tale figura deve, pertanto, rispettare quelli che sono i canoni di un comportamento corretto ed etico. Deve, quindi, agire con competenza tecnica, con metodologia e trasparenza, collaborare e comunicare con le aziende in modo da sensibilizzare sui punti di maggiore criticità, nonché possedere delle soft skills anche trasversali, tra cui la capacità di adattamento, l’affidabilità e la discrezione.

Ciò che contraddistingue l’ethical hacking dall’hacking illegale è l’agire nella legittimità, essendo il professionista autorizzato dal proprietario dei sistemi a procedere con le attività di penetration testing e nella legalità, facendo attenzione al rispetto delle leggi e delle regolamentazioni vigenti.

Un’altra caratteristica è rappresentata dal mantenere un equilibrio tra la trasparenza e la sicurezza. Gli hacker etici devono decidere quali informazioni condividere pubblicamente e quali tenere riservate per proteggere la sicurezza dei sistemi e non recare danni materiali ai sistemi durante le fasi di test. Il lavoro di un hacker etico può essere inquadrato in alcune attività principali:

• Penetration testing : Il penetration testing è una simulazione di attacco controllato eseguito per identificare e correggere le vulnerabilità di sicurezza in un sistema informatico. Gli hacker etici utilizzano varie tecniche per testare la resistenza delle reti e dei software aziendali, cercando falle che potrebbero essere sfruttate da malintenzionati, tra cui lo scanning delle porte, lo scanning delle vulnerabilità, gli attacchi brute force.

• Vulnerability Assessment : una volta individuata la vulnerabilità del sistema, si procede con la sua analisi e la correlata classificazione dei rischi e della gravità connessa.

• Social Engineering testing : viene testato il livello di sicurezza rappresentato dalla formazione e reazione del personale dell’organizzazione agli attacchi di social Engineering, come ad esempio il phishing, offrendo anche programmi di formazione ad hoc.

• Incident response : viene creata e seguita una procedura di risposta agli incidenti che, come definita dal NIST, rappresenta “il processo strutturato che le organizzazioni utilizzano per identificare e gestire gli incidenti di sicurezza informatica. La risposta comprende diverse fasi, tra cui la preparazione agli incidenti, il rilevamento e l’analisi di un incidente di sicurezza, il contenimento, l’eradicazione e il recupero completo, nonché l’analisi e l’apprendimento post-incidente”.

Ci sono numerosi esempi di come gli hacker etici abbiano contribuito a prevenire gravi danni informatici a società ed Istituzioni. Un caso celebre è quello di Kevin Mitnick , un ex hacker black hat che è diventato uno dei più noti hacker etici al mondo. Mitnick ha aiutato molte aziende a migliorare la loro sicurezza informatica, dimostrando come le competenze di un hacker possano essere utilizzate in modo proficuo per il bene comune.

Ci sono, poi, i programmi di “ bug bounty ”, quale ulteriore esempio di efficace controllo e correzione delle vulnerabilità dei sistemi e delle reti. Con il coinvolgimento della comunità degli hacker etici vengono creati dei processi di stress testing con lo scopo di individuare ed intercettare possibili bug di sicurezza.

Nei bug bounty viene assegnata una sorta di “ taglia ai bug ”, la cui scoperta viene ripagata in base alla loro gravità. La prima Azienda che ha proposto questo strumento è stata Google , diversi anni fa, riuscendo a garantire elevati standard di sicurezza.

Conclusioni

In conclusione, risulta evidente come gli hacker etici possano svolgere un ruolo sempre più fondamentale nella protezione delle infrastrutture digitali. Grazie alle loro competenze e alla loro visione, risultano essere delle figure professionali cruciali nella prevenzione degli attacchi informatici e nella loro resilienza. La sensibilità che le aziende stanno sviluppando nel settore dalla cyber sicurezza deve puntare non solo nell’implementazione di strumenti tecnici all’avanguardia, ma anche di personale dotato di specifiche skills, che sia capace di cogliere le complesse dinamiche del cyberspazio.

_______

*A cura dell’Avv. Cristina Rabazzi, Responsabile del Dipartimento Privacy e Cybersecurity di Gebbia Bortolotto Penalisti Associati

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più