The Defense Digital
Service is a SWAT
team of nerds
working to improve technology across the Department of Defense”.
Questa frase campeggia nella homepage
del Defence Digital
Service DDS,
un’agenzia del Dipartimento della Difesa degli Stati Uniti
d’America che ha per missione l’innovazione e la trasformazione
in senso tecnologico del predetto Dipartimento e, in particolare “use
design and technology to improve government services, strengthen
national defense, and care for military members and their families”.
Per fare ciò, l’agenzia conta tra le proprie fila, oltre a
interessantissime figure professionali come quella dei “bureaucracy
hackers”,
anche i citati “nerds”,
che il sito Garzanti Linguistica definisce “nell’uso
giovanile, giovane dall’aspetto goffo e insignificante, che sublima
la propria condizione con una grande abilità e passione per computer
e videogame | studente che ottiene buoni risultati grazie
all’ostinata applicazione, ma non brilla per intelligenza;
secchione”.
Ma che apporto potrà mai dare un’agguerrita squadra di “secchioni”
al Dipartimento della Difesa della superpotenza militare per
eccellenza? Certamente hanno delle validissime idee di successo che
ad altri, evidentemente, non vengono in mente. Un chiaro esempio è
il programma “Hack
the Pentagon”,
che ha dato origine ad altre iniziative molto interessanti nel campo
del bug
hunting,
tra cui, in ordine di tempo, si è posta in evidenza “Hack
the Air Force
4.0”, che ha visto verso la fine del 2019 un “battaglione” di
hackers
lanciarsi all’assalto dell’infrastruttura tecnologica
dell’aeronautica statunitense. Vediamo in cosa consiste questo
genere di attività e quali risultati consente
di ottenere.
Più
di una volta, su queste pagine, si è cercato di valorizzare la
figura dell’hacker
etico (o white
hat hackers)
che, essenzialmente, è un appassionato di informatica che si dedica
a ricercare le vulnerabilità di sicurezza dei sistemi informatici
(errori di programmazione e/o di configurazione), segnalandole al
relativo sviluppatore piuttosto che all’utilizzatore o alle
autorità. Nata come una figura per certi versi “romantica”,
contrapposta a quella dell’hacker
non etico (o black
hat hacker),
che sfrutta le vulnerabilità di sicurezza per attaccare i sistemi,
quella dell’hacker
“buono” è divenuta nel tempo anche una riconosciuta figura
professionale. Peraltro, per accedere a tale professione è
necessario conseguire impegnative certificazioni basate su standard
internazionalmente riconosciuti, tanto che la figura del Certified
Ethical Hacker è molto
richiesta da parte sia di aziende private che di organizzazioni
statali. Proprio tale preziosa figura, mai sfruttata abbastanza nel
nostro Paese, soprattutto nella sua declinazione “amatoriale”, è
al centro dei programmi di bug
hunting (o
di bug
bounty)
come Hack
the Air Force 4.0,
che si pongono l’obiettivo di cercare le falle di sicurezza dei
sistemi informatici mediante competizioni tra hackers.
In particolare, la competizione riguardante i sistemi
dell’aeronautica statunitense si inquadra nella più ampia
iniziativa “Hack
the Pentagon”,
programma di bug
bounty
lanciato nel 2016,
ideato
e gestito dal citato DDS avvalendosi dell’azienda di servizi
HackerOne,
che funge da interfaccia con una community
a
livello globale che conta più di 500.000 hacker
etici. Nello specifico, tale programma si pone l’obiettivo di
organizzare ed eseguire eventi di bug
hunting
focalizzati sui sistemi del Dipartimento della Difesa, al fine di
rilevare e risolvere eventuali falle di sicurezza sconosciute persino
ai rispettivi produttori. Ancorché la maggior parte degli hacker
etici sia mossa da motivazioni che riguardano la gratificazione
personale, tali eventi prevedono dei premi in denaro per i vincitori.
In tale contesto, negli scorsi mesi di ottobre e novembre si è
svolta la citata Hack
the Air Force 4.0,
una competizione che ha visto impegnati 60 hackers
coordinati da HackerOne,
nello “stress test” dal punto di vista della sicurezza del
Virtual
Data Center
della U.S. Air Force, ossia il cloud
che eroga i servizi informatici della Forza Armata. La quarta
edizione della competizione dedicata all’Aeronautica ha consentito
di rivelare ben 460 vulnerabilità di sicurezza e ha permesso di
elargire premi per 290.000 $. Nel complesso, Hack
the Pentagon
ha permesso di scoprire 12.000 vulnerabilità fino ad allora
sconosciute e che sarebbero potute essere scoperte e sfruttate da
qualche malintenzionato. Insomma, quest’ultima edizione, a detta
dei responsabili del programma, ha confermato che si tratta di un
programma di successo sotto molti punti di vista. Immaginiamo quali
possano essere i punti di forza dei programmi di bug
hunting
del DDS e, in generale, di iniziative simili.
Il
primo, più immediato,
consiste
nel consentire al Dipartimento della Difesa di rendere i propri
sistemi certamente più sicuri, in quanto le falle di sicurezza sono
ovviamente prontamente rimosse prima di venir rese pubbliche, di
conseguenza gli hacker
non etici si dovranno impegnare molto di più nel scovare eventuali
ulteriori vulnerabilità. Anche l’aspetto finanziario del programma
è evidentemente vantaggioso, visto che prosegue ormai da 4 anni.
Probabilmente, i premi in denaro, gratificanti per i vincitori, sono
degli investimenti particolarmente vantaggiosi anche per il
Dipartimento, conscio delle “parcelle” molto più alte degli
hacker
certificati e delle aziende in cui operano. Oltretutto e questo è il
terzo aspetto di successo, ricorrendo ai programmi di bug
hunting non
ci si affida a un’azienda in particolare, bensì a una comunità
eterogenea di hacker,
ognuno con capacità ed esperienze diverse e soprattutto non legati
ad alcun specifico produttore di hardware
o software.
Ciò, consente di ottenere dei risultati realmente indipendenti, che
peraltro non sono frutto di un asettica valutazione “in
laboratorio”. Per capire meglio le potenzialità dei programmi di
bug
hunting,
si pensi che con la stessa metodologia, lo scorso anno, mediante una
competizione tra hacker
sviluppata in due fasi e dedicata al jet
F-15 dell’U.S. Air Force, sono state scoperte alcune vulnerabilità
di sicurezza di un sistema critico per l’intera piattaforma d’arma,
ossia il Trusted
Aircraft Information Download Station,
deputato a raccogliere i dati acquisiti dai sensori e dalle
telecamere dell’aereo durante il volo. Tant’è, che nei piani del
DDS c’è l’intenzione in futuro di mettere alla prova anche i
vettori aerei veri e propri, nonché le piattaforme satellitari.
Altro punto positivo delle competizioni di bug
hunting con
molta probabilità consiste nella "fidelizzazione" degli
hacker
con le Forze Armate e il coinvolgimento del mondo industriale.
Insomma, l’instaurazione di quel circolo virtuoso che in molte
sedi, comprese queste pagine, è stato evidenziato essere uno degli
elementi che dovrebbero stare alla base di una strategia di cyber
security
nazionale. In tal modo, infatti, i militari prendono coscienza
dell’ineludibile esigenza di potersi avvalere di sistemi ideati e
sviluppati per essere sicuri, senza trascurare alcun aspetto e della
necessità di doverli testare continuamente durante l’intero ciclo
di vita, dalla loro acquisizione alla dismissione. Dall’altro lato,
gli hacker
etici, oltre a cimentarsi in sfide stimolanti, sanno di rendersi
utili per il proprio Paese, contribuendo attivamente alla sua
sicurezza. Oltretutto, le Forze Armate possono fare scouting
e gli hackers
possono valutare l’opportunità di intraprendere la carriera
militare. Infine, ultimo aspetto, le aziende vengono spinte a
sviluppare software
e
hardware
sempre più sicuri, magari assumendo proprio gli stessi hacker
che scoprono le falle dei loro sistemi. Certo, secondo il DDS ci sono
anche alcuni lati negativi da migliorare, principalmente riferiti
agli aspetti legali dei contratti di cui si avvale il Dipartimento
della Difesa per la fornitura e gestione dei servizi informatici.
Tuttavia, il bilancio di competizioni quali Hack
the Air Force è
certamente di gran lunga positivo per tutte le parti coinvolte.
Al
termine di questa breve disamina dei programmi di bug
hunting
del DDS, giova evidenziare ancora una volta quanto il variegato mondo
degli hacker
etici
possa rappresentare, anche per l’Italia, una validissima risorsa.
In questo periodo caratterizzato da migliaia di drammi familiari
causati dalle conseguenze della COVID-19, emerge ancor di più forte
l'ineludibile esigenza di poter disporre di sistemi, reti e servizi
informativi che siano in grado di garantire un adeguato livello di
sicurezza. Da essi, peraltro, non dipendono soltanto le nostre vite,
bensì anche l’economia del paese, resa ancor più fragile dalle
conseguenze della pandemia tuttora in corso. Ciò, a dispetto di
tecnologie spesso superate, eterogenee, complesse, non sviluppate per
essere aderenti ai requisiti di sicurezza, anche minimi e a dispetto
di minacce subdole, più o meno sofisticate ma sempre riconducibili
ad attori spietati, senza scrupoli, numericamente soverchianti, ben
organizzati e spesso con ingenti risorse a disposizione. Per far
fronte a questo spaventoso scenario c’è bisogno dell’aiuto di
tutti, professionisti o meno e di tutte le loro migliori capacità ed
energie. Pertanto, c’è bisogno più che mai anche degli hacker
etici, una risorsa ancora per lo più sconosciuta o non considerata
in maniera adeguata e quindi non sfruttata abbastanza.
Perciò,
lunga vita ai nerds!
P.S.:
mentre in molti Paesi si continua a straparlare di cyber
security
con insufficiente concretezza, le autorità australiane, qualche
settimana fa, hanno “dichiarato guerra” ai cyber
criminali che approfittano dell’emergenza causata dalla COVID-19
per colpire cittadini, ospedali, istituzioni e aziende australiane.
Attenzione, non si tratta una guerra fatta di decreti, di carte
bollate, di lunghe indagini, di denunce e di processi. E’ una
guerra affidata all’intelligence
militare australiana (Australian
Signals Directorate)
e condotta ricorrendo anche a cyber
attacchi
mirati, rivolti ai cyber
criminali, chiunque siano e da chiunque siano sponsorizzati. Vediamo
che succede.
Ciro Metaggiata
Per
approfondire:
Nessun commento:
Posta un commento