HACkER SI, MA ETHICAL
Transcript
HACkER SI, MA ETHICAL
WUHACKER L’immaginario collettivo, certamente riduttivo, li vuole rinchiusi per ore davanti a tastiere e monitor, concentrati nel tentativo di intrufolarsi nei sistemi dei loro bersagli. Parliamo di hacker, pirati della nostra epoca che per fama o guadagno colpiscono senza lasciare tracce. A meno che, per contrastarne le gesta, non ci siano persone come Raoul Chiesa, Ethical Hacker per professione Hacker si, ma Ethical di Marco Crosetto B astano attività ormai all’ordine del giorno, come leggere la posta elettronica o navigare sul Web per essere un potenziale target di un attacco da parte di un hacker. Per arginare le intrusioni, dirette a privati ma soprattutto a grandi industrie, a banche o a siti governativi, servono leggi più severe, nuovi strumenti, e persone competenti come Raoul Chiesa, ex Black Hat che nel libro “Profilo Hacker” racconta come ha trasformato la sua passione in una professione. Ci puoi raccontare come sei diventato “Nobody”, il più famoso hacker italiano? Lo sono diventato per una questione di tempo: ho iniziato nel 1986 quando eravamo in pochi e “l’internet boom” era ancora lontano. Mi sono trovato sotto i riflettori dopo una serie di eclatanti intrusioni in bersagli come l’AT&T, la SprintNet Communications, l’Agenzia Spaziale Italiana e l’ENEA. Dopo l’arresto nel 1995 hai deciso di usare le tue conoscenze a fin di bene, diventando un Ethical Hacker. Che cosa significa? È una persona che possiede un know-how approfondito delle 18 WU tematiche security-related, ma che utilizza le sue conoscenze a fin di bene. Gli Ethical Hacker scoprono vulnerabilità nei protocolli e negli standard delle aziende e le attaccano come farebbero “i cattivi”, ovviamente su commissione ed autorizzazione dei legittimi proprietari. Una volta scoperte le falle l’Ethical Hacker inserisce i risultati emersi in un security report nel quale si dettagliano al cliente i problemi e i possibili rimedi. Esistono dunque hacker “buoni” e hacker “cattivi”? Certo. La distinzione più classica che si dà nell’underground digitale è quella del “cappello”: Black Hat “cattivi”, White Hat “buoni” e Grey Hat “neutrali”. In realtà queste distinzioni sono un po’ superficiali, ho visto White Hat decidere di fare azioni “cattive” e Black Hat diventare tranquilli amministratori di sistema. Il mondo dell’hacking è molto complesso, con almeno nove profili differenti in base al comportamento, alle motivazioni e all’età. Qual è la filosofia degli hacker e come vengono scelti gli obiettivi? Il mondo dell’hacking ha una filosofia semplice: scambiare liberamente idee e informazioni, utilizzando la rete ed i mezzi di telecomunicazione. La selezione dei target dipende dal profilo dell’attaccante e dalle sue motivazioni. Se parliamo WU 19 di un Cyber Warrior l’obiettivo sarà probabilmente il sito web di un governo o di una multinazionale ad alta visibilità, un’Industrial Spy viceversa si concentrerà su aziende ad elevato know-how. È davvero diventato così facile trovare in internet efficaci ed economici “kit del perfetto hacker”? Sì, è così, tra l’altro la categoria più pericolosa è proprio quella degli Script Kiddies, “i ragazzi degli script”, che scaricano da internet tools di attacco pronti all’uso. E sono hacker che possono causare danni consistenti come accadde nel 2001 a Yahoo!, E-bay ed Amazon quando furono messe in ginocchio da Maphia Boy, uno Script Kiddie canadese di soli quindici anni. Come procede un hacker: impulsivo o metodico? Solitario o in gruppo? Gli hacker più giovani preferiscono attaccare in gruppo per “caricarsi” e per dividersi la colpa nel caso qualcosa andasse storto. Gli hacker più esperti, invece, lavorano da soli, agendo in piccoli gruppi solo in casi eccezionali. L’approccio è sicuramente metodico, un attacco è un’attività lunga e a volte noiosa, di certo non come appare nei film. Ami ripetere che “ogni nuova tecnologia apre la strada a forme rinnovate di criminalità”, ciò significa che non esiste la sicurezza al 100%? La sicurezza al 100% non esiste, è una regola sacra nel nostro mondo. Con la diffusione e la dipendenza odierna dall’IT, il concetto di “vittima” si è espanso esponenzialmente. Siamo tutti possibili bersagli perché utilizziamo un GSM, abbiamo una carta di credito, leggiamo ogni giorno la posta elettronica. Olimpiadi o Social Network: quali saranno gli obiettivi principali dei pirati nel 2008? I siti di Social Network saranno sicuramente i prossimi obiettivi di attacchi “Client-side”. Negli scorsi mesi ci sono state avvisaglie, ma penso che in pentola bolla qualcosa di molto più grosso. Conosco ricerche su progetti quali “Hacking Second Life for fun and profit”, il che dovrebbe rendere l’idea… Le Olimpiadi di Pechino saranno le più tecnologiche della storia, ma credo che non assisteremo a grandi azioni di hacking. Nel 2006 il mio team ed io abbiamo fornito assistenza ai Giochi di Torino, ed ho quindi ben presente la complessità di una simile macchina operativa. Cosa ne pensi del recente attacco informatico a Scientology? Parliamo di attacchi che sbagliano l’IP target… Quindi non mi preoccuperei più di tanto. Detto questo il trend è però interessante perché la figura del “Distruttore” è sempre più presente in attacchi DDoS lanciati per motivazioni religiose o etiche. Che si tratti di Al Qaeda, Scientology o altro il modus operandi e gli strumenti sono sempre gli stessi. Tra l’altro trovare, scaricare e lanciare un tool per fare DDoS non è affatto difficile. ■