Passata la prima ondata di vendite “mordi e fuggi” si può fare business serio scoprendo le vulnerabilità di una azienda a patto che si usino consulenti di qualità
Uno dei seminari dell’ultima edizione di Infosecurity, la manifestazione dedicata alla sicurezza tenutasi i primi di febbraio a Milano, ha avuto come argomento l’ethical hacking. La dicitura non è certamente nuova, ma in Italia inizia a porsi come tema comunemente riconosciuto al pari di “antivirus” e “firewall”. Il termine (letteralmente “hacker etico”) è stato coniato dal giornalista americano Steven Levy nel suo libro “Hackers: Heroes of the Computer Revolution”, pubblicato nel 1984, e contraddistingue, semplificando, l’equivalente informatico di un pentito, un collaboratore di giustizia. Insomma, qualcuno che mette a disposizione delle aziende l’esperienza del passato, spesso fatto di azioni non propriamente legali. Semplificando, un ethical hacker è spesso un ex-hacker che si redime e offre le sue competenze sulla sicurezza informatica a enti governativi, magari in cambio dell’impunità, e aziende che, con una certa lungimiranza, non hanno paura di mettere a disposizione le proprie infrastrutture per cautelarsi dai danni derivanti dalle incursioni esterne. In effetti, è lo stesso principio con cui il truffatore Frank W. Abagnale, personaggio ripreso da Steven Spielberg e interpretato da Leonardo Di Caprio nel film “Prova a prendermi”, è riuscito a scampare alle condanne.
Il termine, dicevamo, è stato sdoganato a tal punto da essere costante argomento di seminari, ma anche da contraddistinguere la mission di una divisione di alcuni fornitori di Ict.
Un valore indiscusso
L’integratore torinese Reply, per esempio, ha una divisione, Spike Reply, che si occupa di tutti gli aspetti relativi alla sicurezza aziendale tra cui l’ethical hacking. Gli specialisti di Reply in questo campo sono cinque, Alberto Revelli è uno di loro. 32 anni, alle spalle un’esperienza all’Accademia Aeronautica di Pozzuoli (Na), una laurea in Ingegneria informatica e, come si dice, tanta passione. Revelli non si presenta incappucciato e non ha paura di raccontarsi, conscio che i risultati ottenuti ora possano tranquillamente far chiudere un occhio sull’opinione comune che un ethical hacker provenga da un passato burrascoso. In effetti, il valore consulenziale di una task force dedicata alla sicurezza è indubbio, a maggior ragione di fronte al fatto che le incursioni di oggi non si propongono di mettere a nudo le vulnerabilità di una azienda solo per sfida ma, piuttosto, per creare guadagni illegali. Così, insieme alle strategie di attacco, anche il mercato della sicurezza italiano si è evoluto. Se qualche anno fa c’era posto per tutti gli operatori che inserissero la voce “security” nella loro offerta, ora lo spazio c’è per chi è in grado di portare competenza, risultati e referenze.
Non solo enterprise
«Rispetto a qualche anno fa – racconta Revelli – l’azienda cliente sceglie con più attenzione il fornitore per questo tipo di servizi consulenziali ma, in ogni caso, in Italia c’è ancora molta strada da fare anche perché chi si occupa di ethical hacking si crea una certa reputazione solo attraverso il passaparola. Le aziende con cui lavoriamo sono prevalentemente di grandi dimensioni. Le medio/piccole non considerano ancora questo approccio alla sicurezza, anche se ci è capitato che una grande azienda chiedesse una verifica sullo stato della sicurezza dell’infrastruttura It di due tra i suoi fornitori. Inoltre, la legge in Italia presenta ancora molte lacune in proposito. Negli Usa, infatti, l’azienda è responsabile legalmente nei confronti dei propri clienti, ancora di più dei propri azionisti, sullo stato della sicurezza della propria infrastruttura. Chi decide di affidarsi a noi – prosegue Revelli – lo fa perché ha una certa sensibilità e competenza rispetto ai temi della sicurezza piuttosto che per ottemperare a un dovere legislativo».
Dinamiche delicate
Le dinamiche legate al business dell’ethical hacking sono particolarissime e, dagli esempi che fa Revelli, si comprende il perché chi fa questo mestiere debba anche avere alcune doti di analista. «In effetti noi andiamo in casa di una azienda, spesso interpellati dai manager e non dal responsabile It – spiega Revelli – a scoprirne le vulnerabilità. Esponiamo i risultati delle nostre ricerche ai manager che ce le hanno commissionate e al responsabile It che, automaticamente, si trova sotto l’occhio del ciclone per non aver protetto sufficientemente l’azienda. Per quante precauzioni si possano prendere è difficile far capire che l’infrastruttura It di una azienda non può mai essere sicura al 100%. Spesso, inoltre, si pretende di rendere sicura un’azienda con investimenti non corretti o non sufficienti». Tra l’altro, e su questo aspetto Revelli porta una serie di aneddoti, succede anche che un’azienda paghi il servizio e poi, dopo poco tempo, nessuna delle misure preventive consigliate sia stata attuata. «Si parla di database server con le informazioni relative ai dipendenti facilmente accessibili perché non è stata implementata una password policy corretta – racconta Revelli – a due anni dal nostro intervento! Oppure, e mi riferisco a grandi aziende in settori dove la sicurezza delle informazioni è tutto, realtà in cui non vengono implementate le patch di sicurezza con la giusta periodicità su sistemi e applicativi. E poi c’è il problema della reputazione interna dell’It administrator, che magari ha paura di chiedere all’amministratore delegato di cambiare la propria password, magari banalissima». Un altro aspetto interessante è…. l’etica dell’ethical hacker. E non parliamo della presunta onestà di chi va a studiarsi i segreti di una rete aziendale, è evidente che un ethical hacker si impegna a non usare le informazioni in suo possesso per danneggiare l’azienda visitata, ma di ciò che succede dopo l’ispezione. Si potrebbe pensare, infatti, che un fornitore presenti i risultati dell’analisi in modo da spingere le soluzioni che preferisce ma, almeno nel caso di Reply, non è così. «Noi copriamo tutta la parte di analisi ed, eventualmente, l’assistenza in fase di consolidation e la formazione al personale, ma non vogliamo occuparci di fornire noi stessi le soluzioni necessarie» puntualizza Revelli.
Nuovi pericoli in vista
«La sicurezza è in affanno sulle nuove tecnologie» osserva Revelli semplificando in questo modo il fatto che ormai l’antivirus o il firewall non bastano più. «Le applicazioni che usano il Web sono certamente le più vulnerabili – prosegue il consulente -, la porta Http rappresenta sempre e comunque un pericolo. Inoltre, particolare attenzione deve essere data agli applicativi sviluppati ad hoc, alle verticalizzazioni e alle personalizzazioni. Un altro ambito – afferma ancora Revelli – è il controllo degli accessi sulle reti Wi-fi su cui c’è ancora molta disinformazione. Ancora, nel caso dell’accesso alle reti aziendali via Gprs e Umts, c’è una certa responsabilità anche da parte dei carrier telefonici: c’è ancora troppa disinformazione sui pericoli legati all’uso del telefono cellulare come i virus che si propagano via Mms o Bluetooth, o sull’eventualità che il carrier possa essere attaccato proprio da un utente agganciato alla sua rete via Gprs o Umts. Infine, segnalerei i problemi legati all’uso dell’Rfid: è possibile clonare con una certa facilità le informazioni memorizzate su molti tag Rfid, basta porsi a una certa distanza con un lettore nascosto sotto il giubbotto». Opportunità, insomma, nel campo dell’ethical hacking ce ne sono ma, come detto, è importante porsi come interlocutore serio, competente e, possibilmente, con alcune referenze. Purtroppo, reclutare esperti per costruire una task force non è semplicissimo: «è una professione in cui la reputazione è tutto – osserva Revelli -, se dovessi cercare un collaboratore mi baserei sul passaparola nell’ambiente e, inoltre, sceglierei una persona che mi trasmetta fiducia, passione e curiosità. In particolare, sceglierei chi abbia particolari doti di “reverse engineering” – conclude Revelli – ovvero chi, per esempio, partendo da un prodotto qualsiasi, abbia la curiosità di smontarlo per capire come è stato realizzato».
