Se digitate "Ethical Hacker", "Black Hat" o "White Hat" in un motore di ricerca, non troverete solo risultati sulle ultime offerte di cappelli. Questi termini sono profondamente legati alla sicurezza informatica e alla violazione dei sistemi informatici. Ma cosa c'entrano gli hats con l'hacking? E cosa si intende per hacker etico? Queste sono le domande a cui risponderemo nel seguente articolo del blog.
Ethical hacker: prima di tutto, che cos'è esattamente l'hacking?
Probabilmente avrete letto articoli sui "10 migliori hack da campeggio", che spiegano come fare i popcorn sul fuoco, oppure avrete sentito parlare di "life hack", che possono semplificare la vita quotidiana in modo creativo. Gli "hacker", quindi, sono per definizione persone che usano le loro conoscenze e la loro creatività, spesso legate alla tecnologia, per capire, migliorare e cambiare i sistemi esistenti. Dagli anni '80, tuttavia, il termine ha subito una trasformazione negativa e si è ristretto al campo della sicurezza informatica. Oggi, nel linguaggio quotidiano, chi penetra nei sistemi informatici altrui viene chiamato hacker.
Black hat, white hat e hacker etico: qual è la differenza?
Os piratas informáticos são frequentemente retratados como pessoas duvidosas, de capuz, batendo em teclados em uma sala escura diante de várias telas. Isso também é evidente nos meios de comunicação, tanto nas notícias quanto nos filmes. A palavra "hacker" geralmente carrega conotações negativas. Talvez por isso sejam necessárias outras descrições para distinguir os hackers: fala-se cada vez mais em hackers de chapéu preto e hackers de chapéu branco. Mas em que eles diferem?
Os termos têm origem nos antigos filmes de faroeste. Lá, os personagens bons, com chapéus brancos, se distinguem das suas contrapartes malignas, que usavam chapéus pretos. É precisamente nesse contexto que encontramos os "chapéus pretos" e "chapéus brancos" no mundo do hacking. Para distinguir entre o bem e o mal nos hackers, precisamos considerar dois fatores principais: a motivação e a legitimidade do seu trabalho.
Gli hacker "black hat" trovano una motivazione nel proprio guadagno finanziario, ma anche nello spionaggio informatico, nella protesta o nel puro brivido di farlo. Tentano di rubare, criptare o distruggere dati personali, informazioni finanziarie o dati di login, causando così un danno a chi attaccano. Agiscono all'insaputa delle persone o delle aziende prese di mira e quindi si rendono perseguibili.
Per saperne di più: Come vengono scoperti gli hacker?
Gli hacker "white hat", invece, utilizzano le loro competenze per una buona causa. Il loro approccio è simile a quello degli hacker neri, con la differenza che non agiscono illegalmente. Lavorano per aziende o organizzazioni come specialisti IT e contribuiscono a scoprire e colmare le lacune di sicurezza attraverso l'hacking. La loro motivazione è quella di migliorare e rendere sicuri i sistemi tecnici. Sempre più aziende si avvalgono di questi servizi per prevenire gli attacchi informatici dannosi.
La distinzione tra bianco e nero, tra bene e male, è, come ovunque, troppo miope nel mondo dell'IT. Esiste quindi un terzo gruppo: i "cappelli grigi". Questi ultimi si collocano tra i due precedentemente citati. Rilevano le vulnerabilità della sicurezza senza il consenso o la conoscenza dei proprietari dei sistemi, ma poi segnalano i problemi agli interessati. Chiedono poi una ricompensa finanziaria per il loro lavoro o/e danno alle aziende un termine per risolvere i problemi e poi rendono pubbliche le vulnerabilità. Non perseguono i loro obiettivi con intento malevolo. La loro motivazione è quella di sensibilizzare l'opinione pubblica sul problema e di divertirsi con l'hacking stesso. Questo tipo di hacking è al limite dell'illegalità, poiché opera senza l'autorizzazione dei proprietari del sistema e spesso riesce a ottenere informazioni su dati sensibili. Il fatto che i confini tra hacker white e black hat stiano diventando sempre più labili è già stato dimostrato da uno studio del 2018 di Osterman Research.
Ethical hacker: comprendere il ruolo di un hacker etico
Gli hacker "bianchi" e "grigi" sono anche chiamati "hacker etici" (ethical hacker). Questo termine descrive un approccio responsabile alle proprie capacità di hacking e ai risultati ottenuti. Esistono persino corsi, conferenze e certificati per gli hacker etici che vogliono proporre ufficialmente il loro lavoro. Oltre a un atteggiamento etico appropriato, infatti, gli hacker etici devono soddisfare anche altri requisiti: una grande competenza tecnica, la capacità di mettersi nei panni degli aggressori e la comprensione del valore dei dati e dei sistemi che devono proteggere.
In questo contesto, forse ricorderete un caso evidenziato dai media nel maggio 2021. L'hacker Lilith Wittmann ha scoperto delle vulnerabilità di sicurezza nell'app della campagna elettorale della CDU. Ha quindi informato il partito, l'Ufficio federale per la sicurezza informatica e i commissari per la protezione dei dati di Berlino, offrendo loro la possibilità di risolvere il problema. Solo quando l'app era offline ha pubblicato il suo lavoro. Questo approccio è chiamato anche "divulgazione responsabile" e rappresenta un esempio di hacking etico. Tuttavia, il caso mostra anche quanto possa essere difficile valutare questo tipo di lavoro ai sensi della legge. In questo caso, la CDU ha presentato una denuncia penale contro Wittmann, che non solo ha aumentato l'imbarazzo pubblico per il partito, ma ha anche provocato la dichiarazione ufficiale del Chaos Computer Club (CCC) che non avrebbe più segnalato vulnerabilità di sicurezza al partito in futuro. Il caso è stato archiviato perché i dati erano pubblicamente accessibili e la situazione legale criminalizza solo lo spionaggio o l'intercettazione di dati protetti dall'accesso.
Questo esempio dimostra ancora una volta l'importanza del lavoro degli hacker etici: senza di loro, ci sarebbero più falle di sicurezza aperte, che a loro volta potrebbero essere sfruttate dagli hacker black hat.
Tra l'altro, la tavolozza dei colori degli hacker si sta ampliando. Ad esempio, si può leggere anche di Cappelli rossi, Cappelli blu, Cappelli viola e Cappelli verdi. Tuttavia, le definizioni di questi colori sono a volte molto distanti tra loro, quindi per il momento ci limitiamo a questo.
Per saperne di più: Come fermare gli hacker su Facebook? Consigli pratici