L’ethical hacking, o hacking etico, rappresenta una componente essenziale nel panorama della cyber security. Semplificando il concetto, possiamo definirlo come “il lato positivo” dell’hacking, spesso collegato al concetto di white hat, cioè la figura dell’hacker “buono” contrapposta al black hat, o hacker “cattivo”. Nella community della sicurezza informatica l’ethical hacking è alla base sia della ricerca, sia di alcune attività di assessment che consentono di migliorare il livello di sicurezza delle aziende.
Cacciatori di vulnerabilità
Cacciatori di vulnerabilità
Il primo compito che svolgono gli hacker etici è quello di partecipare a quella “caccia ai bug” che consente di individuare e correggere le vulnerabilità presenti nei software. Si tratta di un’attività che, nel settore dei sistemi e programmi open source, avviene attraverso una partecipazione spontanea e completamente gratuita, mentre in ambito commerciale rientra in un sistema di ricompense (il cosiddetto bug bounty) che viene gestito in maniera indipendente da ogni azienda attiva nel settore dello sviluppo software. La logica, in pratica, è quella di individuare le falle di sicurezza prima che lo facciano i cyber criminali e sviluppare gli aggiornamenti che le correggono. Questo tipo di attività si estende anche ai protocolli, per esempio quelli dedicati alla protezione delle comunicazioni attraverso sistemi di crittografia. L’ethical hacking, in questo senso, rappresenta uno dei pilastri della cyber security e un elemento fondante di quella community impegnata nel miglioramento del livello di sicurezza complessivo a livello di infrastrutture informatiche.
Ethical hacking al servizio delle aziende
Ethical hacking al servizio delle aziende
Un discorso a parte è rappresentato dall’attività degli hacker etici nel processo di definizione della cyber security aziendale. Il tema, in questo caso, è quello delle attività di penetration testing, cioè di una particolare forma di assessment che permette di evidenziare i punti deboli dei sistemi IT aziendali attraverso una simulazione di attacco.
L’azione dei pentester, rispetto ai normali vulnerability assessment, rappresenta un test decisamente più approfondito. Non si limita infatti a evidenziare eventuali vulnerabilità tecniche presenti nei sistemi, ma permette di mettere in luce anche eventuali debolezze nei processi e nelle policy aziendali. Gli “attacchi” portati in fase di penetration test, infatti, possono sfruttare anche tecniche di ingegneria sociale come l’uso di e-mail di phishing o rapporti diretti (per esempio via telefono) con gli impiegati ricalcando esattamente il modus operandi dei pirati informatici. La cronaca, infatti, evidenzia come la maggior parte degli attacchi mirati alle aziende, e in particolar modo quelli che hanno come obiettivo lo spionaggio industriale, utilizzino tecniche “miste”, che abbinano stratagemmi di questo genere alle attività di hacking più squisitamente legate all’uso di strumenti informatici.
La cyber security passa anche dalla sicurezza fisica
La cyber security passa anche dalla sicurezza fisica
Le modalità di un penetration test variano a seconda delle esigenze delle aziende e, nella forma più completa, prevedono anche la possibilità di tentare violazioni fisiche delle infrastrutture informatiche.
Il nesso tra il mondo fisico e quello più squisitamente “digitale”, infatti, è spesso sottovalutato. Pensiamo, per esempio, alla possibilità di portare un attacco sfruttando un’impostazione “debole” della rete Wi-Fi interna, o alla possibilità che un cyber criminale si introduca negli uffici per appropriarsi di uno dei famigerati post-it su cui molti (ancora troppi) impiegati hanno l’abitudine di appuntarsi le credenziali di accesso a server e servizi aziendali. Tanto più che una verifica a questo livello può evidenziare eventuali limiti nell’implementazione delle protezioni del tipo “air gap”, cioè quei casi in cui i dati più sensibili vengono conservati in un computer che non ha un collegamento né a Internet, né alla rete locale. Una scelta che mette al riparo da eventuali intrusioni in remoto, ma che non necessariamente è sinonimo di garanzia di sicurezza. Senza l’implementazione di adeguati controlli all’accesso fisico ai locali dell’azienda, infatti, l’adozione di queste strategie rischia di rivelarsi inefficace.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
