Vita da hacker etici: chi sono e come lavorano i professionisti tra i più ricercati della cybersicurezza
Lorenzo Capecchi, che coordina il lavoro della prima community di hacker etici certificati (WhiteJar), delinea il profilo professionale degli hacker buoni che, considerato l’allarmante aumento degli attacchi dei cybercriminali nel mondo, ricopriranno un ruolo sempre più fondamentale per la tutela dei sistemi informatici delle aziende e degli enti pubblici
Arriva il lato ‘chiaro’ della forza. Se tradizionalmente il nome ‘hacker’ evoca personaggi che vivono nelle tenebre (il dark web), tramando alle spalle di privati e istituzioni per bucare i loro sistemi con intenzioni cattive, come nel caso, oggi sempre più diffuso, dei ransomware, – intrusioni che mandano letteralmente in palla i sistemi, per il cui sblocco è richiesto il pagamento di un compenso in denaro (spesso in criptovalute) – bisogna ricordare che esistono anche i loro antagonisti: gli hacker etici, ossia quelli ‘buoni’.
Ma hacker etici si nasce o si diventa? Si nasce perché non si tratta di cyber criminali pentiti. A spiegarlo è Lorenzo Capecchi, Chief Community Officer che coordina e valida la metodologia di lavoro di alcune centinaia di hacker etici che compongono la community di WhiteJar, la prima in Italia composta da professionisti certificati. “Gli hacker etici sono innanzitutto esperti di sicurezza informatica e di programmazione”. Fin qui il profilo è assimilabile a quello degli hacker che operano nell’illegalità, ma è il fine per cui lavorano a fare la differenza, prosegue Capecchi: “Le loro competenze tecniche sono al servizio della soluzione di un problema: gli hacker buoni prendono infatti coscienza della presenza di criticità nei sistemi informatici, ma, anziché approfittarsene di nascosto, condividono con le aziende la conoscenza della situazione critica e suggeriscono anche le eventuali soluzioni tecniche”.
Un modello di lavoro basato sulla condivisione dell’intelligenza collettiva e diffusa
Gli ethical hacker di WhiteJar sono reclutati nel crowd, in base ad elevati standard di competenza tecnica e reputazione, e lavorano su una piattaforma di testing secondo una modalità collaborativa, basata sulla condivisione dell’intelligenza diffusa secondo l’approccio etico che caratterizza questo tipo di hackeraggio.
Ogni sistema informatico da testare viene così sottoposto in contemporanea a una moltitudine di differenti approcci tecnici. “Dopo aver lanciato una campagna, il cliente può interagire e comunicare con la community in ogni momento sulla piattaforma di collaboration di WhiteJar. Attraverso questa piattaforma è possibile ricevere alert real time quando una vulnerabilità viene identificata, integrare le più moderne piattaforme di comunicazione e Project Management, come Slack e Jira, oltre che interagire con gli ethical hacker che segnalano direttamente le vulnerabilità” continua Capecchi.
Due le principali tipologie di attività che le aziende possono chiedere a WhiteJar: vulnerability assessment e penetration test, al termine dei quali vengono rilasciati report dettagliati che includono l’analisi dello stato di salute dei sistemi informatici, come hardware, software e configurazioni. In particolare, i vulnerability test rilevano la presenza di punti deboli nei sistemi, mentre i pentest possono essere a loro volta di due tipi. I White Box includono test eseguiti su sistemi di cui si conosce ogni caratteristica, appresa dopo una serie di analisi preventive e colloqui coi sistemisti dell’azienda. I Black Box sono quelli in cui gli ethical hacker, senza avere avuto informazioni preventive, basano la loro analisi solo su ciò che l’azienda espone pubblicamente, trovandosi nelle stesse condizioni di un possibile criminale.
Il sistema remunerativo all’interno di WhiteJar è altamente premiante, anche per stimolare una sana competizione: per ogni campagna lanciata da un’azienda viene, infatti, pagato solo il professionista che identifica la vulnerabilità, ne dà evidenza sulla piattaforma e suggerisce la relativa soluzione. Il guadagno varia a seconda della tipologia di vulnerabilità ed è definito a priori dal cliente per ciascuna campagna, con un range che va da un minimo a un massimo non identificabile, perché dipende da quanto un’azienda è disposta a spendere per evitare danni materiali e di reputazione derivanti da un potenziale attacco hacker.
La sicurezza informatica, un problema di tutti
Aziende, enti pubblici e, più in generale, tutte quelle realtà che dispongono di database di utenti con una grande mole di dati sensibili possono rivolgersi agli hacker etici di WhiteJar e avere al loro servizio una comunità estesa di professionisti. Oltre alla versatilità e alla velocità dell’azione contemporanea di più tecnici, questo approccio consente anche di ottenere un vantaggio economico rispetto a modelli tradizionali di cybersicurezza. “WhiteJar è un servizio unico nel suo genere in Italia nella lotta agli attacchi informatici e nella creazione di strumenti di difesa – spiega Luca Manara, CEO di AppQuality, che insieme ad Aldo Del Bo’ – ex Kaspersky – ha ideato WhiteJar – Ad oggi chi si rivolge a noi sono soprattutto aziende operanti nel fintech e nelle generic utilities, che hanno compreso l’urgenza del tema della protezione, che dovrebbe però riguardare anche le aziende medio piccole, perché nessuno è escluso dalle mire dei pirati informatici”.
WhiteJar propone sia un modello ciclico, con un servizio in abbonamento di 12 mesi che comprende un numero illimitato di test che possono essere integrati nei processi di sicurezza aziendale, sia servizi a progetto, che si esauriscono in una singola campagna mirata. In entrambi i casi, il cliente paga solo per le vulnerabilità eventualmente trovate, secondo il modello del rewarding.
“L’accelerazione della digitalizzazione, sostenuta anche dai fondi previsti dal PNRR, farà gola a molti cybercriminali, esponendo le aziende italiane a pericoli che è bene che imparino a fronteggiare. WhiteJar impiega l’ethical hacking in modalità crowdsourcing partendo dal presupposto che in Italia ci sono 6.000 professionisti della cybersecurity. Noi offriamo una community di tecnici ‘pronta all’uso’ delle aziende con le competenze che esse cercano per proteggere i loro sistemi informatici”, conclude Luca Manara.