Se si digita Black Hat o White Hat nel motore di ricerca, non ci vengono presentati solo i risultati relativi alle ultime offerte sui cappelli. Questi termini sono anche legati alla sicurezza informatica e alla violazione dei sistemi informatici. Ma cosa c'entrano gli hats con l'hacking? E cosa si intende per "hacker etico"? Queste sono le domande a cui risponderemo nel seguente articolo del blog.
Prima di tutto, che cos'è esattamente l'hacking? Probabilmente avrete letto articoli sui "10 migliori hack da campeggio", che spiegano come fare i popcorn sul fuoco, o avrete sentito parlare di "life hack", che possono semplificare la vita quotidiana in modo creativo. Gli "hacker", quindi, sono per definizione persone che utilizzano le loro conoscenze e la loro creatività, spesso legate alla tecnologia, per comprendere, migliorare e modificare i sistemi esistenti. Dagli anni '80, tuttavia, il termine ha subito una trasformazione negativa e si è ristretto al campo della sicurezza informatica1. Oggi, nel linguaggio quotidiano, chi penetra nei sistemi informatici altrui viene chiamato hacker.
Gli hacker sono quasi esclusivamente persone losche con il cappuccio, che battono sulle tastiere in una stanza buia davanti a vari schermi. Questo è evidente anche nei media, sia nei telegiornali che nei film. In questo caso diventa chiaro: la parola "hacker" ha di solito una connotazione negativa. Forse è per questo che sono necessarie altre descrizioni per distinguere gli hacker: si parla sempre più spesso di black hat hacker e white hat hacker. Ma in cosa si differenziano?
I termini hanno origine nei vecchi film western. Lì, i personaggi buoni con cappelli bianchi si distinguevano dalle loro controparti malvagie che indossavano cappelli neri. Ed è proprio in questo senso che ritroviamo i "cappelli neri" e i "cappelli bianchi" nel mondo dell'hacking. Per distinguere il bene dal male negli hacker, dobbiamo considerare due fattori in particolare: la loro motivazione e la legittimità del loro lavoro.
I cappelli neri trovano una motivazione nel proprio guadagno finanziario, ma anche nello spionaggio informatico, nella protesta o nel puro brivido di farlo. Tentano di rubare, criptare o distruggere dati personali, informazioni finanziarie o dati di login, causando così un danno a chi attaccano. Agiscono all'insaputa delle persone o delle aziende prese di mira e quindi si rendono perseguibili.
I "cappelli bianchi", invece, utilizzano le loro competenze per una buona causa. Il loro approccio è simile a quello degli hacker neri, con la differenza che non agiscono illegalmente. Lavorano per aziende o organizzazioni come specialisti IT e contribuiscono a scoprire e colmare le lacune di sicurezza attraverso l'hacking. La loro motivazione è quella di migliorare e rendere sicuri i sistemi tecnici. Sempre più aziende si avvalgono di questi servizi per prevenire gli attacchi informatici dannosi.
La distinzione tra bianco e nero, tra bene e male, è, come ovunque, troppo miope nel mondo dell'IT. Esiste quindi un terzo gruppo: i "cappelli grigi". Questi ultimi si collocano tra i due precedentemente citati. Rilevano le vulnerabilità della sicurezza senza il consenso o la conoscenza dei proprietari dei sistemi, ma poi segnalano i problemi agli interessati. Chiedono poi una ricompensa finanziaria per il loro lavoro o/e danno alle aziende un termine per risolvere i problemi e poi rendono pubbliche le vulnerabilità. Non perseguono i loro obiettivi con intento malevolo. La loro motivazione è quella di sensibilizzare l'opinione pubblica sul problema e di divertirsi con l'hacking stesso. Questo tipo di hacking è al limite dell'illegalità, in quanto opera senza l'autorizzazione dei proprietari del sistema e spesso ottiene informazioni su dati sensibili. Il fatto che i confini tra hacker white e black hat stiano diventando sempre più labili è già stato dimostrato in uno studio del 2018 di Osterman Research.2
Gli hacker bianchi e grigi sono anche chiamati "hacker etici". Questo termine descrive un approccio responsabile alle proprie capacità di hacking e ai risultati ottenuti. Esistono persino corsi, conferenze e certificati per gli hacker etici che vogliono proporre ufficialmente il loro lavoro. Infatti, oltre a un atteggiamento etico appropriato, gli hacker etici devono soddisfare anche altri requisiti: una grande abilità tecnica, la capacità di mettersi nei panni degli aggressori e la comprensione del valore dei dati e dei sistemi che devono proteggere.3
In questo contesto, forse ricorderete un caso evidenziato dai media nel maggio 2021. L'hacker Lilith Wittmann ha scoperto delle vulnerabilità di sicurezza nell'app della campagna elettorale della CDU. Ha quindi informato il partito, l'Ufficio federale per la sicurezza informatica e i commissari per la protezione dei dati di Berlino4, offrendo loro la possibilità di risolvere il problema. Solo quando l'app era offline ha pubblicato il suo lavoro. Questo approccio è chiamato anche "divulgazione responsabile" e rappresenta un esempio di hacking etico. Tuttavia, il caso mostra anche quanto possa essere difficile valutare questo tipo di lavoro ai sensi della legge. In questo caso, la CDU ha presentato una denuncia penale contro Wittmann, che non solo ha aumentato l'imbarazzo pubblico per il partito, ma ha anche provocato la dichiarazione ufficiale del Chaos Computer Club (CCC) che non avrebbe più segnalato vulnerabilità di sicurezza al partito in futuro. Il caso è stato archiviato perché i dati erano pubblicamente accessibili e la situazione legale criminalizza solo lo spionaggio o l'intercettazione di dati protetti dall'accesso5.
Questo esempio dimostra ancora una volta l'importanza del lavoro degli hacker etici: senza di loro, ci sarebbero più falle di sicurezza aperte, che a loro volta potrebbero essere sfruttate dagli hacker black hat.
Tra l'altro, la tavolozza dei colori degli hacker si sta ampliando. Ad esempio, si può leggere anche di Cappelli rossi, Cappelli blu, Cappelli viola e Cappelli verdi. Tuttavia, le definizioni di questi colori sono a volte molto distanti tra loro, quindi per il momento ci limitiamo a questo.
Una spaventosa panoramica di alcuni approcci utilizzati dai criminali informatici è disponibile nel nostro video su YouTube: "Storie spaventose di cybercriminali"..
1 Sull'hacking - Richard Stallman. (o. D.). Stallman. Abgerufen am 19. November 2021, von http://stallman.org/articles/on-hacking.html
2White Hat, Black Hat and the Emergence of the Gray Hat: The True Costs of Cybercrime. (2018). Osterman Research, Inc. https://www.malwarebytes.com/resources/files/2018/08/global-white-hat-black-hat-and-the-emergence-of-the-gray-hat-the-true-costs-of-cybercrime-1.pdf
3 Guida allasicurezza informatica . (2021, 20 ottobre). Come diventare un hacker etico - Guida per il 2021. Abgerufen am 19. November 2021, von https://cybersecurityguide.org/resources/ethical-hacker/
4CCC | CCC meldet keine Sicherheitslücken mehr an CDU. (2021, 4 aprile). CCC. Abgerufen am 19. November 2021, von www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
5Reuter , M. (2021, 16. September). CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org. Abgerufen am 19. Novembre 2021, von netzpolitik.org/2021/cdu-connect-ermittlungsverfahren-gegen-sicherheitsforscherin-lilith-wittmann-eingestellt/