Una laurea per i pirati di internet
Transcript
Una laurea per i pirati di internet
CRONACA LUNEDÌ 10 LUGLIO 2006 LA REPUBBLICA 53 omissis il record Maometto Joseph Thomas Colon Gary McKinnon raid su Gaza Molti omissis nel rapporto Usa sul caso Calipari. Uno studente di Bologna li legge in rete Ottobre 2005: presi in Olanda tre hacker di 19, 22 e 27 anni. Avevano violato 100mila pc Caricature di Maometto: hacker islamisti violano 900 siti danesi inneggiando all’islam Doveva installare una stampante all’Fbi. Per sbrigarsi ha rubato l’autorizzazione in rete A fine 2001 entra nel sito del Pentagono. Spiega che era a caccia solo di notizie sugli Ufo Raid in corso a Gaza: hacker arabi hanno già sabotato 750 siti di società israeliane CASI CELEBRI La Abertay University, in Scozia, promette grandi possibilità di lavoro e lauti stipendi. A patto di stare dalla parte della legge Una laurea per i pirati di internet Primo corso per hacker. Aziende pronte ad assumerli a difesa dei pc Repubblica Nazionale 53 10/07/2006 ELENA DUSI ROMA — Hacker cercasi, purché munito di patente. Stipendio a partire da 65mila euro. Per i pirati informatici, a patto che siano gentiluomini, c’è sempre più spazio nelle aziende. Così a Dundee, in Scozia, l’università di Abertay ha deciso di aprire il primo corso per insegnare a intrufolarsi nei computer altrui. Per arrivare alla laurea i ragazzi dovranno dimostrare di saper trovare i punti deboli di un sistema, aggirare firewall, inserirsi senza lasciare tracce, raggiungere i dati sensibili o le informazioni coperte da privacy. E a quel punto, dopo quattro anni di studio, gli organizzatori del corso scommettono che i neolaureati saranno «hacker etici». Ovvero figure professionali ambitissime, altro che ladruncoli. Il presupposto è che nessuno sappia difendere un sistema informatico meglio di un hacker, che passa le sue giornate (e nottate) cercando di bucarlo. «Scopo del corso – spiega il direttore Lachlan MacKinnon – è fornire allo studente la conoscenza dei metodi usati per attaccare illegalmente i computer. Solo allora questi attacchi potranno essere fermati. Allo stesso modo in cui i detective devono conoscere le strategie dei ladri, così gli amministratori dei sistemi informatici sono obbligati a sapere come agiscono gli hacker». E non è un caso che molti geni delle reti, dopo essere stati stanati dalla polizia, abbiano aperto delle aziende per la sicurezza informatica. In questo ambiente in cui anche la fedina penale può fare curriculum, i docenti di Dundee promettono di essere molto attenti nella scelta delle prime trenta matricole. Il corso in «Ethical Hacking & Countermeasures» partirà a settembre e nella presentazione della laurea l’Università precisa: «La Abertay consulterà il ministero degli interni e quello degli esteri, per assicurare che gli studenti siano adeguatamente selezionati». Ma alla fine, in un Paese come la Gran Bretagna in cui l’anno scorso almeno uno su tre fra i sistemi informatici delle grandi aziende sono stati attaccati, ai suoi laureati Abertay fa balenare l’ipotesi di lauti stipendi: «Dalle 45mila sterline in su». Luigi Mancini dirige un master sulla sicurezza alla Sapienza di Roma (http://mastersicurezza.uniroma1.it/) e spiega: «Di fronte a un sistema informatico, l’attacco e la difesa sono le due facce della stessa medaglia, anche se forse attaccare è più semplice. Gli hacker etici non sono altro che pirati informatici assoldati dalle aziende. Hanno il compito di individuare le falle di un sistema e di trovare tutti i modi per violarlo. Ma non finisce qui, perché dopo essersi introdotti devono spiegare all’azienda come fare a difendersi meglio, in futuro». Può sembrare un gioco tra guardie e ladri, invece questo rapporto di consulenza fra hacker e aziende coinvolge già alcune centinaia di professionisti in Italia e un milione in tutto il mondo. «Diventare normali pirati informatici è abbastanza semplice» prosegue Mancini. «Le informazioni si trovano anche su Internet. Basta seguirle come se fossero una ricetta di cucina. Ma per diventare “hacker etici” bisogna essere professionisti altamente qualificati, perché gli attacchi man mano che passano gli anni diventano sempre più elaborati, ef- ficienti ed estesi. Le università e le aziende hanno iniziato ad accorgersene. Le prime organizzano corsi per la sicurezza informatica e le seconde cercano esperti di questo tipo. Occorrerebbe solo più sinergia». Anche perché, nonostante i controlli che l’università di Aberday promette, un hacker che sappia il fatto suo è sempre potenzialmente rischioso. Lo dimostra un caso avvenuto in Italia. Dopo aver subito un attacco, la Banca Fineco ha chiesto aiuto a una società di consulenza, che ha tappato le falle in tempi record. Troppo alla svelta, secondo i responsabili della banca. E infatti i due giovani esperti della società di consulenza sono stati sottoposti a processo e condannati a 3 e 4 mesi di carcere: gli hacker molto poco etici che erano entrati nella rete della banca erano stati proprio loro. IL RE DEGLI HACKER Kevin Mitnick tra il ‘93 e il ‘95 ha violato i siti di Motorola, Sun Microsystems, Nokia, Novell. Nel 1995 l’Fbi lo arresta: 5 anni di galera e altri tre lontano da una tastiera. Oggi si occupa di sistemi di sicurezza informatici e ha scritto un libro L’INTERVISTA Condannato per essere entrato nel sito di Bankitalia, oggi Raoul Chiesa si occupa di sicurezza della Rete Da illegale a etico, il salto del “ladro” informatico “Funziona come con i detective: anche loro devono conoscere bene le strategie dei ladri se vogliono sperare di poterli fermare” ROMA — Dalla condanna ai domiciliari per essere penetrato nel sito di Bankitalia, nel 1995, alla fondazione di una società per la sicurezza informatica, @mediaservice.net. Raoul Chiesa, 33 anni, oggi è un hacker etico. E sono le principali banche italiane a cercarlo per chiedergli di violare i propri sistemi informatici. Come si sta dall’altra parte della barricata? «Non c’è un’altra parte della barricata. Anche un hacker etico deve attaccare, cercando di aggirare le barriere di difesa del sistema. Ma il passo successivo è spiegare al cliente quali sono le debolezze e come porvi rimedio». Quali sono le aziende più vulnerabili? «Banche, ma non solo. Fra i gruppi che più hanno bisogno di fare attenzione alla sicurezza ci sono società editoriali, di telecomunicazione e, ovviamente, enti pubblici e militari». Un buon hacker, per quanto etico, rimane un pericolo. «È vero, il dilemma rimane. Per quanto riguarda la @mediaservice, abbiamo una ventina di dipendenti, tutti molto controllati. Ma in società più grandi non si può escludere che i verificatori di giorno non si trasformino in il caso Galileo, il satellite europeo spiato dal Gps americano ANCHE Galileo, il sistema di satelliti europei concorrente del gps Usa, è finito nelle mani degli hacker. Dovevano rimanere segreti, e invece sono finiti in rete i codici sulla posizione del primo satellite della flotta Galileo, Giove-A. A spiarli sono stati i rivali statunitensi del Global positioning system, di base alla Cornell University. Il sistema Gps nasce gratuito (basta acquistare il ricevitore), mentre la flotta Galileo dovrà rimborsare gli investitori, e la vendita dei codici era il cespite previsto. scassinatori la notte». Chi sono le persone che lei assume? «Ragazzi di 25-26 anni in media. In parte hanno studiato informatica all’università, in parte hanno imparato come me, con la passione e tanta pratica sul campo. Questo lavoro ha un vantaggio: ci permette di trasformare la passione in un mestiere». È utile insegnare hacking all’università? «Sì, soprattutto per trasmettere lo spirito giusto, che non è affatto quello dell’illegalità. Organizzo dei corsi all’Itis Peano di Torino e ho collaborato con diverse università in Italia e in Europa. Penso che riusciremo a cancellare l’immagine dell’hacker come figura che opera nell’illegalità». (e.d.)