(Come diventare un hacker)
C’era una volta il mondo reale…
Fra cento anni con questa premessa racconteremo
una favola per fare andare a nanna i nostri bis-bis nipoti.
Cominceremo parlando di una dolce bimbetta a cui la nonna regalò una
cappa di velluto rosso che lei indossò per mettersi al computer
prima di entrare nel cloud del cyber-domain. Cappuccetto rosso voleva
diventare una hacker...
“Come tutti
quelli della sua razza, era una meticcia: metà macchina e metà
nerd. Non aveva una vita sociale e faceva tutto da sola, capiva i
numeri che scendevano dalla parte alta degli schermi, indossava
sempre cappucci ed era nata sapendo tutto”.
Partendo da luoghi comuni e banalizzazioni,
questa favola insegnerà ai nostri piccoli quei valori che li
trasformerà in adulti responsabili.
Ma poi i bambini cresceranno e si porranno
delle domande a cui dovremo essere pronti a rispondere in modo
abbastanza semplice da essere compresi ma sufficientemente esaustivo
da evitare approfondimenti imbarazzanti.
Ed allora il piccolo, con la lingua che si
affaccerà dai buchi lasciati dai denti da latte chiederà:
“Bis-Bis-nonno, cosa sono gli
hacker?”
“Sono quelli
che utilizzano le proprie competenze informatiche per esplorare
computer e reti di computer e per sperimentare come estenderne
l'utilizzo. Alcuni sono cattivi e vengono chiamati cappelli neri,
“black hat”, altri invece sono buoni e, ovviamente li chiameremo
cappelli bianchi, ovvero “white hat”.
I primi sono dei truffatori, imbroglioni o ladri che violano i
sistemi informatici a scopo malevolo. A volte si limitano a rubare
dati, altre volte si arricchiscono a scapito dei conti correnti di
ignari proprietari, altre volte ancora s’intromettono nei sistemi
automatizzati a scopo di terrorismo. Quelli sono i più cattivi di
tutti perché a volte incendiano le fabbriche ed inquinano fiumi.
Altre volte fanno precipitare gli aerei
o provocano sinistri tra le nostre automobili autonome”.
Dopo una breve sosta per un sorso d’acqua
fresca, il nonno continua...
“Bisognava
correre ai ripari e, nelle prime due decadi del secolo scorso (nota:
mi riferisco al XXI secolo, quello che va dal 2001 d.C. al 2100
d.C.), le aziende iniziarono a proteggersi. Vennero creati gruppi di
risposta alle emergenze informatiche
e li popolarono con le migliori professionalità: nacquero i “blue
team” della cyber-security. Sono loro che usano i sistemi di
monitoraggio e aiutano gli amministratori a mantenere aggiornate le
misure di sicurezza di reti e sistemi.
Ogni attività strana o sospetta viene intercettata dai loro potenti
strumenti
che scansionano miliardi di pacchetti digitali e scovano ogni
anomalia che rappresenta un indizio di un’infezione messa in opera
dai black hat. Se c’è un incidente, i blue team sono i primi ad
intervenire. Svolgono indagini per identificare l’attaccante e
scoprono le falle che hanno permesso di assestare il colpo. Il cloud
è un posto più sicuro quando loro sono a lavoro. Sono le guardie
armate della rete”.
La realtà è che purtroppo, troppo spesso, ci
si deve accontentare di chiudere la stalla quando i buoi sono già
fuggiti. Sarebbe meglio prevenire
ma, per farlo bisognerebbe esser capaci
di prevedere.
E’ ovvio che per prevedere l’attacco
bisogna padroneggiare le tecniche degli attaccanti. Ma chi può
farlo? Gli informatici sono
addestrati a far funzionare i loro sistemi,
gli amministratori sono addestrati a proteggerli e la cyber-polizia è
addestrata a difendere, indagare e reprimere. Nessuno
di loro sa come attaccare.
Così, alla fine ci si rese conto che per
battere i black hat servivano
degli hacker che mettevano le loro tecniche al servizio dei buoni. Fu
allora che comparvero i “cappelli bianchi”.
I white hat
sono coloro che violano i sistemi informatici allo scopo di informare
i proprietari delle vulnerabilità. Sono come dei ladri assunti dal
proprietario della banca che, allo scopo di testare i sistemi di
sicurezza, provano ad entrare nella cassaforte ed uscire con una
refurtiva simulata. In questo modo chi ha il compito di tenere il
muro solido studia le migliori tecniche di costruzione; il fabbro che
costruisce la cassaforte la dota di una porta anti-sfondamento con
una chiave robusta; la guardia all’ingresso si addestra a
riconoscere i comportamenti sospetti; la polizia impara ad
intervenire per interrompere il crimine prima che sia troppo tardi e
il direttore adotta regole atte a minimizzare il rischio e a gestire
la crisi. Fuori dalla metafora, i white
hat verificano che i programmatori e
gli amministratori di rete abbiano reso robusti i loro sistemi,
le chiavi ed i protocolli crittografici siano inattaccabili,
i blue team si addestrino a riconoscere attività malevole, i manager
imparino a calcolare i rischi, allochino le risorse e sviluppino
politiche aziendali idonee a gestire gli incidenti.
Quando i white
hat diventano parte di
un’organizzazione, si
costituiscono in red team.
Loro studiano e si documentano di
continuo. Devono sempre stare un
passo avanti a tutti perché nel cyber
domain arrivare
secondi equivale ad arrivare ultimi.
Per questo, sviluppano procedure dinamiche e flessibili. Hanno una
catena di comando e controllo cortissima per evitare che i loro
segreti arrivino a chi non deve sapere.
Ma questo apre ad un grosso rischio. Giovenale
si chiederebbe “Quis custodiet
ipsos custodes?” ovvero “chi
controlla i controllori”? La risposta sarebbe complessa ma ad un
bambino la spieghiamo semplice.
Nessuno può farlo.
Quindi, il red team deve avere livelli di moralità indiscussa e
godere della massima fiducia dei vertici.
Pur di rimandare ancora un po’ l’ora in cui
si spegne la luce, i nostri nipotini, inevitabilmente ci faranno
un’altra domanda:
“Bis-bis-nonno,
come si diventa un white hat?”
Noi parleremo di una leggenda che narra di
black hat
che abbandonano il lato oscuro per tornare alla luce ma questo,
forse, è stato possibile all’inizio. Oggi nessuno autorizza di
buon grado il ladro-sedicente-pentito a forzare la propria serratura
e, con la domanda del mercato, l’offerta ha iniziato ad
organizzarsi per formare professionisti nel settore. Con questo
spirito sono nati i corsi di Hacker Etico. Il problema è che queste
certificazioni sono basate sulla conoscenza semantica. Un famoso meme
recita: “ho messo bene 93 crocette su 100! Questo fa di me un
Ethical Hacker!”. Mi spiace infrangere un così bel sogno ma no,
purtroppo le cose sono più
complicate di così.
Da quando la cyber-security ha raggiunto una
maggiore maturità esistono corsi e certificazioni che portano ad
imparare i rudimenti e valutano le competenze dei professionisti.
La certificazione più richiesta è quella data
dalla Offensive Security che, al termine del corso dallo stampo
meramente pratico
sottopone ad un esame della durata di 24 ore. È una specie di gioco
“ruba bandiera”. Si pratica in un ambiente virtuale appositamente
preparato. In breve, si deve riuscire ad aggirare le misure di
sicurezza di alcuni computer remoti e leggere la stringa segreta di
codice. È un esame difficile in cui si dimostrano competenze
tecniche e resilienza alla fatica. Si corre contro il tempo. Però,
il corso dà soltanto i rudimenti e poi, da lì in avanti si deve
sbattere la testa e trovare la soluzione degli enigmi. Il loro motto
è “try harder”
ovvero “impegnati di più”. La filosofia è che in internet c’è
tutto, bisogna solo saper trovare la soluzione al problema.
Questo è l’approccio “fare per
capire”.
Da un’idea completamente opposta, “capire
per fare”, nascono i corsi della
SANS (certificazioni GIAC) e della eLearnSecurity. Ma le similitudini
tra queste ultime due aziende finiscono qui. I corsi della SANS
sono più tradizionali. Si strutturano in due fasi, una frontale in
presenza ed una basata su manuali. L’eLearnSecurity, invece, è
solo online. Prima s’impara la teoria tramite migliaia di lastrine
contenenti un paio di concetti ciascuna, poi si guardano i video di
chi opera con gli strumenti descritti ed infine si svolgono i
laboratori pratici. In caso di difficoltà ci sono i forum interni
per cercare o chiedere risposte.
Così facendo si costruisce un bagaglio
culturale che si traduce in un metodo di lavoro. È vero che su
internet c’è tutto ma c’è anche il contrario di tutto e se non
si conoscono i migliori strumenti e le migliori pratiche chiunque
si può perdere nella nuvola.
Nel suo intento di accompagnare i discenti
nelle loro scelte, la eLearnSecurity consiglia dei Training Paths,
ovvero dei percorsi formativi che consentono ai professionisti della
cyber-security di raggiungere una certa maturità. I percorsi
proposti vanno dalla difesa aziendale e la risposta agli incidenti
(Blue team), al Network e Web Application Pentester
(Red Team).
“Essendo
Cappuccetto innamorata del colore “rosso”, decise che il primo
corso che avrebbe frequentato sarebbe stato il Penetration Testing
Student. Dopo aver letto e riletto tutto il materiale aveva deciso di
acquistare i laboratori e l’esame per testare e certificare le
competenze acquisite”.
Non è un corso facile ma può essere seguito e
superato da chiunque abbia voglia di impegnarsi per qualche mese,
guardare video e tutorial, provare laboratori didattici. L’esame si
svolge in un ambiente realistico e dura tre giorni, è elementare ma
non scontato, impegnativo ma non frustrante. Si va di corsa ma senza
fretta. Bisogna trovare il modo di violare un server web configurato
male e sfruttare questa “porta” per accedere all’area privata.
Una volta dentro al perimetro, trovarvi le vulnerabilità ed
estrapolare dati sensibili.
“Lei era
stata una studentessa diligente e, grazie ai tanti appunti presi, la
conoscenza della teoria e la competenza data dalle prove nei
laboratori, Cappuccetto Rosso aveva ottenuto la prima certificazione
prestigiosa: lei era diventata un eJPT, ovvero un “eLearnSecurity
Junior Penetration Tester”.
Essendo che il mondo del lavoro della
cyber-security è più affamato del lupo, dopo pochi giorni aveva
iniziato a ricevere offerte ed aveva trovato un lavoro. Aveva
sperimentato le attività di OSINT,
si era sentita un’agente del controspionaggio,
aveva trovato informazioni sensibili che, senza l’autorizzazione
dei propri clienti, erano state sottratte. Aveva testato sistemi e
reti individuando falle e vulnerabilità. Le aveva segnalate ai
colleghi del blue team i quali avevano preso provvedimenti per
rendere la loro fetta di mondo virtuale più robusta. Con
l’esperienza maturata da giovane hacker del Red Team (e tanta
voglia di mettersi in gioco), era pronta per iniziare nuove sfide ed
intraprendere il processo eCPPT e diventare una Professional
Penetration Tester Certificato. Lì
avrebbe imparato nuove tecniche e raggiunto nuovi traguardi che le
permetteranno di acquisire, un giorno, la certificazione da
Penetration Tester eXtreme.
Poi un giorno Cappuccetto Rosso si accorse
di essere cresciuta, sposò un hacker pentito ed assieme ebbero tanti
figli… e tutti vissero felici e contenti.
Ora è tardi però, dunque a dormire caro
nipotino mio...
Fabrizio Colalongo
