Aspetti controversi di una categoria che sfugge alle classificazioni.
“Gli hacker sono individui con spirito innovativo e una conoscenza approfondita delle tecnologie. Non sono necessariamente dei criminali, sebbene vi saranno sempre dei criminali che sono al tempo stesso degli hacker” (John Erickson)
A cura di Camilla Bassi – Amministratore Delegato di Blue Underwriting Agency
Dobbiamo partire da un semplice test per comprendere le contraddittorietà insite nel termine hacker, una parola che riassume una professione (lecita o illecita che sia) ma anche uno stato dell’essere, un’ingerenza criminale e insieme una genialità necessaria.
D’istinto o, meglio, di primo acchito dareste un’accezione positiva o negativa a questo termine?
In questo momento, soprattutto chi opera nel nostro campo, farebbe certamente pendere la bilancia verso una lettura critica, ma solo qualche anno fa e persino oggi in alcuni settori, questo tipo di giudizio potrebbe risultare completamente ribaltato.
Tutto dipende non solo da un’inevitabile imprecisione nell’uso del termine, o meglio, da una generalizzante pigrizia semantica, ma anche dalla costante e rapidissima evoluzione tecnologica che continua a cambiare i confini e le caratteristiche di un’attività che esiste da almeno mezzo secolo.
La stessa etimologia è complessa ma ancora più controversa è stata e sarà l’evoluzione del significato, necessaria conseguenza delle modificazioni politiche, culturali, scientifiche e persino normative.
I primi hacker della storia furono i taglialegna, sì, i boscaioli, avete letto bene. To hack significa infatti “tagliare, fare a pezzi” e proprio questa azione, spostata dalle foreste alle righe di programmazione ha creato il profilo più attuale, che riconosciamo e, forse, pensiamo di comprendere. Il New Hacker Dictionary – il compendio che rappresenta per i programmatori una sorta di dinamica “Treccani” gergale del settore IT – ne sintetizza nove diverse connotazioni. Ci troviamo di fronte a un termine estremamente flessibile, che crea profondi fraintendimenti.
A metà degli anni ’70 i primi (geniali) programmatori, i più visionari, compresero presto che scrivere un programma dall’inizio era lungo, faticoso e anche rischioso, in quanto potenziale fonte di errori, e iniziarono a entrare nelle righe di codice prodotte da altri (…anche senza autorizzazione) e a “tagliarne” sezioni per migliorare i propri.
Di lì fu immediato capire che – risolto il dubbio morale – potevano avere la possibilità di modificare il programma terzo e utilizzarlo per scopi più o meno etici o di avere accesso a informazioni riservate, sviluppando un ruolo politico e, in qualche modo, rivoluzionario dello status quo.
Nel 1972 due ragazzini di Berkeley inventarono – infiltrandosi nei programmi delle compagnie telefoniche e permettendo una riprogrammazione dall’esterno che emulava le frequenze originali – la bluebox, una “macchinetta” (oggi diremmo un device) che se collegata alle linee permetteva di fare chiamate a lunga distanza gratuite e chi ha vissuto nel secondo millennio ricorda bene i costi di questo tipo di telefonate.
Quei due giovani hacker, che vendevano questi apparecchi per “rubare” chiamate, fecero poi strada e quattro anni dopo fondarono APPLE: si trattava infatti di Steve Jobs e Steve Wozniak.
Con la diffusione d’internet e dell’interconnessione globale l’hacking assunse poi connotazioni ancora più diverse e contraddittorie, tra rivoluzioni assolute – basti pensare a Linux, il sistema operativo “aperto” costruito da soggetti diversi, a uso gratuito, basato proprio su questo tipo di esperienza – e infiltrazioni criminali, tra il divenire velleitari paladini della libertà – andando a svelare segreti nascosti negli ambiti pubblici e privati più reconditi – e accontentarsi di essere beffardi intrusi.
Inizialmente si distinguevano tra hacker, appunto coloro che come chirurghi sezionavano e sostituivano parti di codice per modificarli a proprio uso e i cosiddetti cracker, che spezzavano (craccavano) le difese dei programmi per accedere ai contenuti o, peggio, a scopi ricattatori.
L’hacker (la parola ha da tempo fagocitato il cracker) è sempre stata quindi una figura sul confine tra legalità e illegalità, tra genio e reato. Un ruolo che ha assunto connotazioni positive o negative non solo in base a quanto realmente compiva ma anche in funzione della cultura circostante, dell’evoluzione socio-antropologica della società.
La situazione oggi, malgrado l’enorme confusione giuridica e la rapidissima evoluzione tecnologica, sembra un po’ più chiara. Appare ovvio come non sia più possibile utilizzare unicamente questo termine e dobbiamo allora provare ad attribuire dei “cappelli” per provare a contraddistinguere – e non è detto che sia semplice o ovvio farlo –i buoni dai cattivi.
Da una parte ci sono i white hat, gli hacker che indossano un simbolico berretto bianco. Sono gli idealisti puri che provano – spesso solo per passione – a fare ricerca, a trovare informazioni per provare a migliorare la qualità della vita, a rendere più concreto il diritto a libertà e giustizia, ma anche coloro che, professionalmente, osservano e comprendono le falle delle infrastrutture altrui per proporre – senza ricatti – consulenza per migliorarle. Immaginate degli ingegneri civili che analizzano edifici, per proporre liberamente ai proprietari soluzioni per incrementarne sicurezza ed efficienza.
È però l’altra parte quella che ci riguarda più da vicino, che fa paura a tutti, istituzioni e Stati, aziende e individui. Sono i black hat, i criminali tecnologici.
Si tratta di coloro che – una volta riconosciute le fragilità di un sistema o, peggio, dopo essere riusciti ad aver accesso ai dati delle infrastrutture “visitate” – hanno ceduto alla tentazione di andare oltre la linea d’ombra che porta nelle tenebre dell’attività criminale.
Gli obiettivi e i metodi di azione sono variegati. Il tristemente conosciuto ricatto a scopo estorsivo (il ransomware), ma anche il blocco commissionato da un concorrente, l’uso fraudolento dei dati, l’accesso a credenziali.
Spesso il black hat non agisce direttamente l’azione criminosa ma cede gli “accessi” a più strutturate organizzazioni che preferiscono acquistare piuttosto che investire su ricerche dirette. La conseguenza è una devastante sinergia con la criminalità organizzata.
Esiste un vero e proprio mercato nero in cui vengono vendute le vulnerabilità, un consesso criminale a cui spesso si uniscono (con evidente connivenza e cinismo) gli stessi responsabili IT delle differenti organizzazioni. Acquistando le “insicurezze” altrui, migliorano le proprie difese.
Si tratta, ovviamente, di un luogo virtuale: il cosiddetto dark-web. Una rete sotterranea che non è solo quel luogo sordido – raccontato e, a volte, quasi celebrato con grande superficialità dai media – dove chiunque, con apparente facilità grazie a browser specifici come TOR, può accedere a droga, armi, medicinali o sesso, ma che è costituito soprattutto da isole di scambio – accessibili con programmi particolari – in cui è permesso entrare solo a chi li ha creati e ai loro invitati, oltre che – per nostra fortuna – ai white hat, reali o virtuali, più capaci.
Le implicazioni, meglio, i rischi che derivano da questo nuova filiera criminale sono davvero senza limiti. Nessuno può considerarsene al sicuro. Si tratta di qualcosa di completamente diverso dagli ambiti malavitosi da cui si può cercare di stare lontano.
A gestire questa nuova frontiera del male sono le grandi organizzazioni criminali che vi stanno trovando una maggior redditività a minor rischio rispetto a quelle più tradizionali.
Siamo abituati a pensare a computer bloccati o al furto di dati ma immaginate l’effetto di un ricatto basato sulle apparecchiature di guida di un aereo, sulla taratura di un impianto ospedaliero, sui semafori di una città.
Nessun’infrastruttura è al riparo da un attacco, su questo concordano tutti gli esperti, ma una difesa ben impostata ne rallenta i tempi e spesso porta i black hat a buttarsi su altri obiettivi, meno complessi.
In un’intervista estremamente lucida, il procuratore aggiunto presso la Direzione Nazionale Antimafia, Giovanni Russo, l’ha definito crime-as-a-service, un crimine come un servizio, un business con possibilità infinite, a bassissimo costo e gestibile in maniera anonimizzata e protetta.
Ci troviamo tutti, indistintamente, di fronte al peggiore degli incubi: una minaccia sistemica alla portata di chiunque.
Haiku® è una portable web application di lettura diagnostica, di proprietà di Blue Underwriting Agency, creata da una squadra di sistemisti, white-hat e programmatori che – grazie all’intelligenza artificiale – continuerà a migliorare nel tempo la qualità della propria risposta (apprendimento in continuum grazie alle tecniche di machine-learning).
Haiku® è capace di raccogliere – in maniera del tutto automatizzata – le informazioni correlate al cyber-risk perimetrale di un dominio e proporre una stima del livello complessivo di rischio, permettendo al broker – nel suo primario ruolo di consulente sui rischi – di evidenziare ai clienti le fragilità della propria infrastruttura tecnologica consentendo di attivare una difesa più consona e alta che non cancella la possibilità di subire un danno da un attacco malevolo – trasferibile, quanto meno in parte all’Assicuratore – ma lo rende meno appetibile dalla criminalità e quindi più improbabile.
Il tool sarà presto a disposizione di tutti i broker dell’associazione.