L’hacking etico è una pratica con cui un professionista della sicurezza informatica utilizza le stesse tecniche usati dagli aggressori per guadagnare l’accesso ai sistemi altrui, ma non lo fa con finalità illecite. L’obiettivo principale dell’hacking etico è identificare e risolvere vulnerabilità nei sistemi, reti o applicazioni software per migliorarne la sicurezza complessiva.
Tra le attività svolte dagli hacker etici vi sono la simulazione di attacchi informatici per valutare la resistenza di un sistema o di una rete (penetration testing), l’analisi del codice sorgente di un programma o di un’applicazione Web per individuare e correggere potenziali vulnerabilità, la valutazione della sicurezza delle reti, la formazione del personale.
I programmi bug bounty, per incoraggiare l’hacking etico
Il lavoro degli hacker etici è spesso incoraggiato dalle aziende che propongono periodicamente programmi bug bounty. Nell’ambito di queste iniziative, sono premiati con ricompense in denaro quei ricercatori di sicurezza che segnalano nuove vulnerabilità nei prodotti hardware e software, a patto che il report sia inviato alla società interessata in maniera responsabile (in privato, per dare il tempo materiale di correggere le lacune individuate).
Il paradosso è che in Italia si rischia grosso quando si scoprono e si segnalano vulnerabilità nelle piattaforme della Pubblica Amministrazione. L’esperto di sicurezza che individua e porta a conoscenza gli enti circa l’esistenza di vulnerabilità nei loro software, può vedersi recapitare una denuncia per violazione di sistemi informativi. Come recentemente accaduto a un professionista esperto di sicurezza informatica che aveva scoperto una grave falla di sicurezza nell’applicazione Web della sua regione di residenza: il bug in questione esponeva alla mercé altrui dati personali e informazioni riservate di inconsapevoli cittadini.
Sostenere l’azione degli hacker etici sarebbe possibile anche in Italia. Ma al momento non c’è la volontà di farlo
Tutte le contestazioni mosse agli hacker etici solitamente decadono in sede processuale, quando il giudice esamina le ricostruzioni fattuali. È però assolutamente inconcepibile che l’esperto che rende un servizio (peraltro in maniera corretta e senza rivelare pubblicamente le falle esistenti) possa essere destinatario di un provvedimento giudiziario.
La Svizzera ha promosso i bug bounty di Stato sostenendo e incentivando operazioni di hacking etico sulle piattaforme utilizzate dalla Confederazione. Perché non fare qualcosa di simile anche in Italia?
Purtroppo, quando tempo fa abbiamo personalmente contattato chi nel nostro Paese si occupa di queste materie, abbiamo sempre trovato la porta chiusa. O l’idea era irrealizzabile, o si trattava di qualcosa di controproducente o, semplicemente, si è preferito guardare dall’altra parte ignorando le nostre proposte.
La Germania è messa peggio di noi: condannato un ricercatore che ha scoperto password hardcoded nel sorgente
Rimanendo sempre tra gli Stati membri dell’Unione Europea, però, non è che la situazione fuori dai confini italiani sia propriamente incoraggiante. Mentre nel nostro Paese i giudici hanno sempre derubricato le accuse rivolte agli hacker etici, il tribunale distrettuale di Jülich (Germania) ha appena condannato un programmatore che aveva analizzato un software per conto di un cliente, scoprendo e segnalando una grave falla di sicurezza. Tale problematica portava all’esposizione dei dati personali di quasi 700.000 acquirenti, clienti di alcuni famosi store online.
Nel caso in questione, su esplicito mandato di un suo cliente, un esperto freelance di sicurezza e sistemi IT aveva svolto l’audit di un’applicazione di terze parti. Si tratta di un software utilizzato per la gestione di una soluzione e-commerce. Nel corso delle sue indagini, il tecnico si è accorto della presenza di password in chiaro all’interno del sorgente dell’applicazione.
Password in chiaro all’interno di un software client di pubblico utilizzo: follia
Inserire password hardcoded all’interno di un software pubblicamente accessibile non è un esempio di cattiva programmazione: è proprio follia. Basti pensare che nel caso di specie, le password in questione non erano recuperabili solo a valle di un’attività di reverse engineering (decompilazione del file eseguibile) ma anche armandosi di un semplice editor esadecimale come HxD.
Stando a quanto emerso, l’imputato ha provato le password per verificarne l’effettiva funzionalità, accertando che il loro utilizzo portava all’esposizione di un ampio ventaglio di dati personali e informazioni riservate. Per quanto ne sappiamo, quindi, il ricercatore ha sfruttato le credenziali rinvenute soltanto per ottenere prove. Ha quindi abbandonato il sistema altrui, senza danneggiare alcun dato e senza raccogliere ulteriori dati.
Ebbene, per i giudici tedeschi l’esperto è comunque responsabile perché non avrebbe dovuto utilizzare le credenziali trovate nel sorgente del software da egli analizzato. A questo punto, può comunque presentare ricorso per far valere le sue ragioni e ottenere un riesame della sua posizione. Per il momento, pende sul ricercatore una sanzione di 3.000 euro, ridotta rispetto alla richiesta del Pubblico Ministero. In caso di precedenti, l’imputato avrebbe rischiato anche una pena detentiva fino a 3 anni.
Chi scopre e segnala vulnerabilità in modo responsabile dovrebbe essere sostenuto e protetto
Gli hacker etici svolgono un ruolo fondamentale nella promozione della sicurezza informatica e nella protezione dei sistemi digitali. Chi contribuisce all’identificazione e alla risoluzione di vulnerabilità nei sistemi informatici, permettendo alle aziende di rafforzare la loro sicurezza, dovrebbe essere sostenuto e protetto.
Anche nel caso che vede protagonisti soggetti tedeschi, cosa sarebbe successo se un hacker black hat avesse sfruttato le password hardcoded nel software per compiere operazioni dannose e rivendere i dati a terzi sul “mercato nero”?
Il GDPR prevede che le società che subiscono un data breach lo denuncino nei tempi e nei modi previsti. Inoltre la Direttiva NIS2, adottata dall’Unione Europea a novembre 2022, prevede che le aziende destinatarie del provvedimento adottino misure di sicurezza adeguate.
Le sanzioni sono salate: multe fino a 10 milioni di euro o fino al 2% del fatturato globale annuo dell’azienda, se superiore a 10 milioni di euro. Per non parlare delle sanzioni interdittive, come il divieto di operare in un determinato settore o di fornire alcuni servizi.
Perché quindi continuare a usare il paraocchi e accanirsi con gli hacker etici quando invece ciò che si dovrebbe fare è promuovere audit periodici dei propri prodotti software? Pagando gli esperti per queste attività consulenziali.