Una laurea per i pirati di internet

CRONACA
LUNEDÌ 10 LUGLIO 2006
LA REPUBBLICA 53
omissis
il record
Maometto
Joseph Thomas Colon
Gary McKinnon
raid su Gaza
Molti omissis nel
rapporto Usa sul caso
Calipari. Uno studente di
Bologna li legge in rete
Ottobre 2005: presi in
Olanda tre hacker di 19,
22 e 27 anni. Avevano
violato 100mila pc
Caricature di Maometto:
hacker islamisti violano
900 siti danesi
inneggiando all’islam
Doveva installare una
stampante all’Fbi.
Per sbrigarsi ha rubato
l’autorizzazione in rete
A fine 2001 entra nel sito
del Pentagono. Spiega
che era a caccia solo
di notizie sugli Ufo
Raid in corso a Gaza:
hacker arabi hanno
già sabotato 750 siti
di società israeliane
CASI CELEBRI
La Abertay University, in Scozia, promette grandi possibilità di lavoro e lauti stipendi. A patto di stare dalla parte della legge
Una laurea per i pirati di internet
Primo corso per hacker. Aziende pronte ad assumerli a difesa dei pc
Repubblica Nazionale 53 10/07/2006
ELENA DUSI
ROMA — Hacker cercasi, purché
munito di patente. Stipendio a
partire da 65mila euro. Per i pirati
informatici, a patto che siano gentiluomini, c’è sempre più spazio
nelle aziende. Così a Dundee,
in Scozia, l’università di
Abertay ha deciso di
aprire il primo corso
per insegnare a intrufolarsi nei computer altrui. Per
arrivare alla laurea i ragazzi dovranno dimostrare di saper
trovare i punti
deboli di un sistema, aggirare
firewall, inserirsi
senza lasciare tracce, raggiungere i dati sensibili o le informazioni coperte da privacy. E a quel punto, dopo
quattro anni di studio, gli organizzatori del corso scommettono
che i neolaureati saranno «hacker
etici». Ovvero figure professionali
ambitissime, altro che ladruncoli.
Il presupposto è che nessuno
sappia difendere un sistema informatico meglio di un hacker, che
passa le sue giornate (e nottate)
cercando di bucarlo. «Scopo del
corso – spiega il direttore Lachlan
MacKinnon – è fornire allo studente la conoscenza dei metodi
usati per attaccare illegalmente i
computer. Solo allora questi attacchi potranno essere fermati. Allo
stesso modo in cui i detective devono conoscere le strategie dei ladri, così gli amministratori dei sistemi informatici sono obbligati a
sapere come agiscono gli hacker».
E non è un caso che molti geni delle reti, dopo essere stati stanati
dalla polizia, abbiano aperto delle
aziende per la sicurezza informatica.
In questo ambiente in cui anche
la fedina penale può fare curriculum, i docenti di Dundee promettono di essere molto attenti nella
scelta delle prime trenta matricole. Il corso in «Ethical Hacking &
Countermeasures» partirà a settembre e nella presentazione della laurea l’Università precisa: «La
Abertay consulterà il ministero
degli interni e quello degli esteri,
per assicurare che gli studenti siano adeguatamente selezionati».
Ma alla fine, in un Paese come la
Gran Bretagna in cui l’anno scorso
almeno uno su tre fra i sistemi
informatici delle grandi aziende
sono stati attaccati, ai suoi laureati Abertay fa balenare l’ipotesi di
lauti stipendi: «Dalle 45mila sterline in su».
Luigi Mancini dirige un master
sulla sicurezza alla Sapienza di Roma (http://mastersicurezza.uniroma1.it/) e spiega: «Di fronte a un
sistema informatico, l’attacco e la
difesa sono le due facce della stessa medaglia, anche se forse attaccare è più semplice. Gli hacker etici non sono altro che pirati informatici assoldati dalle aziende.
Hanno il compito di individuare le
falle di un sistema e di trovare tutti i modi per violarlo. Ma non finisce qui, perché dopo essersi introdotti devono spiegare all’azienda
come fare a difendersi meglio, in
futuro».
Può sembrare un gioco tra guardie e ladri, invece questo rapporto
di consulenza fra hacker e aziende
coinvolge già alcune centinaia di
professionisti in Italia e un milione
in tutto il mondo. «Diventare normali pirati informatici è abbastanza semplice» prosegue Mancini.
«Le informazioni si trovano anche
su Internet. Basta seguirle come se
fossero una ricetta di cucina. Ma
per diventare “hacker etici” bisogna essere professionisti altamente qualificati, perché gli attacchi
man mano che passano gli anni diventano sempre più elaborati, ef-
ficienti ed estesi. Le università e le
aziende hanno iniziato ad accorgersene. Le prime organizzano
corsi per la sicurezza informatica e
le seconde cercano esperti di questo tipo. Occorrerebbe solo più sinergia».
Anche perché, nonostante i
controlli che l’università di Aberday promette, un hacker che sappia il fatto suo è sempre potenzialmente rischioso. Lo dimostra un
caso avvenuto
in Italia. Dopo aver subito un attacco, la Banca Fineco ha chiesto
aiuto a una società di consulenza,
che ha tappato le falle in tempi record. Troppo alla
svelta, secondo i
responsabili della
banca. E infatti i due giovani
esperti della società di consulenza
sono stati sottoposti a processo e
condannati a 3 e 4 mesi di carcere:
gli hacker molto poco etici che erano entrati nella rete della banca
erano stati proprio loro.
IL RE DEGLI HACKER
Kevin Mitnick tra il ‘93 e il ‘95
ha violato i siti di Motorola,
Sun Microsystems, Nokia,
Novell. Nel 1995 l’Fbi lo
arresta: 5 anni di galera e altri
tre lontano da una tastiera.
Oggi si occupa di sistemi
di sicurezza informatici
e ha scritto un libro
L’INTERVISTA
Condannato per essere entrato nel sito di Bankitalia, oggi Raoul Chiesa si occupa di sicurezza della Rete
Da illegale a etico, il salto del “ladro” informatico
“Funziona come con
i detective: anche loro
devono conoscere bene
le strategie dei ladri
se vogliono sperare
di poterli fermare”
ROMA — Dalla condanna ai domiciliari per essere penetrato nel
sito di Bankitalia, nel 1995, alla
fondazione di una società per la
sicurezza informatica, @mediaservice.net. Raoul Chiesa, 33 anni, oggi è un hacker etico. E sono
le principali banche italiane a
cercarlo per chiedergli di violare
i propri sistemi informatici.
Come si sta dall’altra parte
della barricata?
«Non c’è un’altra parte della
barricata. Anche un hacker etico
deve attaccare, cercando di aggirare le barriere di difesa del sistema. Ma il passo successivo è
spiegare al cliente quali sono le
debolezze e come porvi rimedio».
Quali sono le aziende più vulnerabili?
«Banche, ma non solo. Fra i
gruppi che più hanno bisogno di
fare attenzione alla sicurezza ci
sono società editoriali, di telecomunicazione e, ovviamente, enti pubblici e militari».
Un buon hacker, per quanto
etico, rimane un pericolo.
«È vero, il dilemma rimane.
Per quanto riguarda la @mediaservice, abbiamo una ventina di
dipendenti, tutti molto controllati. Ma in società più grandi non
si può escludere che i verificatori di giorno non si trasformino in
il caso
Galileo, il satellite europeo
spiato dal Gps americano
ANCHE Galileo, il sistema di satelliti europei
concorrente del gps Usa, è finito nelle mani
degli hacker. Dovevano rimanere segreti, e
invece sono finiti in rete i codici sulla posizione del primo satellite della flotta Galileo,
Giove-A. A spiarli sono stati i rivali statunitensi del Global positioning system, di base
alla Cornell University. Il sistema Gps nasce
gratuito (basta acquistare il ricevitore), mentre la flotta Galileo dovrà rimborsare gli investitori, e la vendita dei codici era il cespite
previsto.
scassinatori la notte».
Chi sono le persone che lei assume?
«Ragazzi di 25-26 anni in media. In parte hanno studiato
informatica all’università, in
parte hanno imparato come me,
con la passione e tanta pratica
sul campo. Questo lavoro ha un
vantaggio: ci permette di trasformare la passione in un mestiere».
È utile insegnare hacking all’università?
«Sì, soprattutto per trasmettere lo spirito giusto, che non è affatto quello dell’illegalità. Organizzo dei corsi all’Itis Peano di
Torino e ho collaborato con diverse università in Italia e in Europa. Penso che riusciremo a
cancellare l’immagine dell’hacker come figura che opera
nell’illegalità».
(e.d.)