Proteggere infrastrutture fisiche e virtuali è un must per numerosi comparti produttivi e non solo. Come abbiamo visto, bisogna tenersi alla larga da ransomware, SPAM e dal phishing, piaghe accomunate dal fatto che arrivano tramite i messaggi di posta elettronica.
Ad effettuare le incursioni sono malintenzionati, detti impropriamente “hacker”, vocabolo che di per sé non ha un valore negativo ma indica chi sa districarsi bene tra i software. Negli ultimi decenni il significato è passato da un “combinare delle componenti” all’opposto cioè “romperle” e da qui l’accezione odierna.
C’è tuttavia chi si impegna a mantenere gli scopi originari e, per rimarcarlo, affianca un aggettivo. È il caso degli “ethical hacker”, angeli custodi delle organizzazioni nel turbine di novità, buone e cattive, a cui assistiamo ogni giorno. Vediamo, in un presente così interconnesso, quali sono le loro mansioni e perché ce n’è tanto bisogno. Dopo aver esplorato il mainstream andremo a scorgere alcune situazioni particolari che si distinguono dalla massa.
[Vuoi conoscere la più grande community di ethical hacker? Allora non perdere il prossimo 26 novembre la speciale tavola rotonda per scoprire la rivoluzionaria soluzione di WhiteJar e Lan Service in ambito di e-security e la modalità di erogazione del servizio. Protagonisti saranno gli esperti di vulnerability assessment che si appoggiano sulla community di ethical hacker di AppQuality. Cosa aspetti? Iscriviti qui!]
Ethical Hacker, chi è
Si definisce “Ethical Hacker” un valido professionista nell’ambito della sicurezza che è reclutato da manager e CEO per la sua abilità ad individuare i punti deboli dei sistemi informatici. Come si accennava, l’Ethical Hacker è di una pasta completamente diversa rispetto al “cracker”, il classico “pirata” artefice di frodi e spionaggio.
Dunque, nessun cappuccio o volto coperto, l’Ethical Hacker agisce alla luce del sole, anche se all’interno di uffici o postazioni di remote working.
Qual è il background su cui fa affidamento? Innanzitutto, deve conoscere a menadito linguaggi quali Python e Bash5. Dopo un’ottima preparazione di base, può accostarsi ai tool, letteralmente “strumenti”, e alle piattaforme progettate per replicare le caratteristiche di determinate incursioni, ma a scopi inoffensivi.
La responsabilità è davvero tanta perché l’Ethical Hacker potrebbe leggere, durante le sue attività, documenti relativi a segreti industriali, ma anche cifre riservate che contraddistinguono ad esempio un fornitore. Ogni volta che si imbatte in qualcosa del genere, deve farlo sapere al suo committente e ovviamente non è autorizzato a diffonderli, come si apprende, d’altronde, dal GDPR, il Regolamento Europeo per la data protection.
[Vuoi conoscere la più grande community di Ethical Hacker e il potere che è in grado di mettere a disposizione della tua organizzazione? Scopri la “rete” di WhiteJar, qui trovi tutti i dettagli]
Ethical Hacker, cosa fa
In che modo si articola concretamente il mestiere dell’Ethical Hacker? La missione per cui è convocato è, in poche parole, la simulazione di un attacco IT per vedere cosa succede in seguito ad esso. Una strategia che fa venire fuori, nella maggioranza dei casi, delle vulnerabilità, oggi un termine chiave, come ha dimostrato la vicenda Exchange.
Quando sono state identificate le minacce a cui si è più soggetti, si prosegue studiando una contromossa, da mettere in campo al momento giusto.
Per attuare la procedura descritta, l’Ethical Hacker deve, in maniera preliminare, apprendere gli elementi fondanti dei server o delle reti che vuole provare a “scassinare”. Di estrema utilità appare lo spyware, un programma che si insinua nei dispositivi per tenerli sotto scacco e, ad insaputa dell’utente, inizia a copiare password o codici bancari, comunicandole a chi lo ha inviato lì. Ecco perché è un’arma utile all’Ethical Hacker nelle sue operazioni, al pari del worm, che in aggiunta ha la capacità di autoreplicarsi, almeno finché il computer resta acceso.
Arriviamo alla terza fase, ovvero la scrittura di una relazione dove l’Ethical Hacker evidenzia le falle che ha incontrato lungo la strada e propone soluzioni come la richiesta di antivirus più strutturati o l’installazione di firewall competitivi. Gli accorgimenti potrebbero non limitarsi ad aspetti tecnici e riguardare, piuttosto, le human resources, ipotizzando una formazione specifica per i dipendenti da incentrare su temi spinosi, come appunto la cybersecurity.
Perché tutti lo cercano
L’Ethical Hacker deve leggere nel pensiero dei criminali, trovando prima di loro determinate carenze, un’abilità che ne fa un profilo ricercatissimo dalle imprese. Lo schermo, del computer o smartphone che sia, rappresenta una parte notevole del nostro quotidiano, una tendenza che ci espone a rischi continui. È il motivo per cui, nel pubblico e nel privato, si ricorre all’Ethical Hacker che può configurarsi come freelance o come membro dell’organico.
Non basta la trafila accademica, che va integrata con attestazioni tra cui spicca la Certified Ethical Hacker (CEH), rilasciata direttamente dall’organizzazione americana EC-Council (International Council of Electronic Commerce Consultants). Di validità triennale, serve a certificare le qualità e le competenze di chi si appresta a lavorare come Ethical Hacker. Come recita il famoso detto tuttavia, gli esami non finiscono mai e c’è sempre un dopo.
Gli Ethical Hacker, una volta ingaggiati singolarmente, sentono la necessità del confronto costante con altri colleghi, che soddisfare in contesti come WhiteJar, piattaforma di collaboration creata da AppQuality, realtà milanese che fa della cooperazione tutta digitale il suo core business.
WhietJar e’ infatti di un vero e proprio laboratorio di idee permanente a cui collaborano ad oggi oltre cinquecento Ethical Hacker certificati principalmente italiani, che si sono uniti per aiutare le aziende ad identificare possibili vulnerabilita’ nei loro servizi esposti in rete quindi siti web, applicazioni ed altre risorse digitali. L’obiettivo ultimo è quello di garantire una user experience di altissimo livello cybersecurity ready, dimostrando che soltanto tutti insieme si può andare veramente lontano.
Ethical Hacker, la scommessa di Lan Service
Per quanto concerne poi il mercato italiano, tra i primissimi a credere nella forza e nel potere, benefico, degli Ethical Hacker c’è poi un system Integrator come Lan Service Group. La società, guidata da Andrea Guerrera, protagonista della esclusiva intervista doppia con Aldo Del Bo’ nella foto sotto, proprio in questi anni ha aumentato i giri del suo focus sulla Security e, ora, ha scelto proprio WhiteJar nel nome di una collaborazione, un canale tutto nuovo al servizio delle imprese del nostro Paese.
Proprio nel segno di questa straordinaria collaborazione Lan Service ha lanciato una campagna ad hoc per permettere a tutte le imprese di toccare con mano e conoscere da vicino il valore della piattaforma WhiteJar, qui tutti i dettagli della campagna.
« Da sempre siamo impegnati nella lotta per la sicurezza informatica ora, in partnership con AppQuality, abbiamo deciso di scommettere proprio su WhiteJar, un nuovo servizio di Ethical Hacking che secondo noi è destinato a rivoluzionare il tradizionale Pen Testing. Questa piattaforma di collaborazione è disponibile da subito e dà accesso ad oltre 500 Hacker Etici certificati pronti ad offrire un servizio che punta a rafforzare ancora di più il perimetro di sicurezza delle aziende. Un’opportunità senza precedenti in questo momento di ripartenza tutta digitale»
