Dire ethical hacking potrebbe sembrare un ossimoro, ma a differenza di quanto si legge nelle generalizzazioni dei mass media sul crimine informatico, l’hacker nell’accezione esatta del termine non è il nemico numero uno delle reti e della sicurezza in azienda. A differenza di cracker, lamer e pirati del copyright, l’hacker (anche noto come white hat, hacker etico) è l’unica figura tra quelle citate che non agisce con scopi criminali, ma per gusto di conoscenza, spesso prestando la propria competenza ai fini della prevenzione.

Mentre nell’immaginario comune resta l’adolescente geniale e un po’ nerd del film Wargames, nella realtà l’hacker è molto spesso un professionista che unisce competenze a 360 gradi su sistemi informatici, reti e software, nonché sugli aspetti umani e sociologici della sicurezza. Competenze trasversali che sono alla base dell’ethical hacking e che purtroppo mancano nei team IT aziendali, formati e impegnati in modo parcellizzato nel lavoro quotidiano.

L’ethical hacking fa emergere aspetti importanti della sicurezza aziendale e, per questo, oltre alla competenza tecnica ai professionisti di questo mestiere sono richieste doti di riservatezza e affidabilità non derogabili. In mancanza di un percorso formativo specifico per l’hacking etico sono nate delle certificazioni, come CEH (Certified Ethical Hacker) promossa dall’International Council of Electronic Commerce Consultant (EC-Council), non del tutto rappresentative di un campo in continua evoluzione.

A cosa serve l’ethical hacking

La protezione di reti, sistemi e dati sono aspetti vitali per il business aziendale, per l’immagine verso i clienti, per il rispetto dei contratti di servizio e delle normative del legislatore a tutela dei consumatori. Gli attacchi alle infrastrutture rappresentano un rischio in continuo aumento, mitigabile con l’uso di strumenti di prevenzione allo stato dell’arte, adeguamenti sistemistici, del software, dei processi interni oltre che con servizi professionali appropriati.

Tra i servizi utili alla riduzione del rischio, l’ethical hacking è quello che ha il compito di testare, verificare e quindi trovare i punti di debolezza e di miglioramento dei sistemi di difesa aziendali. Un compito non limitato al collaudo di qualche apparato o configurazione, ma del sistema di protezione, mirante a identificare punti deboli nascosti nelle pieghe dei sistemi, nei raccordi delle differenti difese, così come nell’arbitrio dei comportamenti dei dipendenti, nell’incompetenza e nell’errore umano degli amministratori.    

 

Il penetration test nell’ethical hacking

Tra i servizi più noti affidati all’ethical hacking ci sono i penetration test, ossia i test di penetrazione nelle difese aziendali. Sono servizi effettuati con metodologie specifiche e che richiedono libertà d’azione e terzietà da parte dei professionisti incaricati. Mentre i team interni IT e della sicurezza tendono a esaminare le protezioni sulla base di come le hanno progettate e impiegate, l’ethical hacking è svolto da persone che non hanno alcun coinvolgimento nell’azienda e sono quindi capaci di analizzarne i sistemi in modo agnostico, con logiche diverse da quelle considerate dall’azienda.      

Per fare un esempio pratico nel caso delle reti aziendali, il penetration test può essere condotto secondo i metodi dell’Open Source Security Testing Methodology Manual: avere come obiettivi l’accesso interno od esterno alla LAN oppure ancora la verifica delle risposte a diversi scenari d’attacco o alla compromissione, sempre possibile, di qualche componente.

Il prodotto dell’ethical hacking è un report dettagliato dei risultati, solitamente presentato in forme diverse per risultare comprensibile a diversi responsabili aziendali. Da una parte c’è il management che deve comprendere lo stato d’esposizione al rischio, i possibili danni economici a cui è esposta o anche i risultati ottenuti attraverso costosi aggiornamenti tecnologici e nuove procedure di sicurezza. Dall’altra il personale tecnico che deve conoscere nel più piccolo dettaglio le vulnerabilità riscontrate e l’impatto su reti e sistemi in uso.

Le indicazioni tecniche possono inoltre essere completate con le indicazioni dei rimedi applicabili dai system administrator: configurazioni più efficaci, aggiornamenti software e infrastrutturali. Tra i rimedi possono rientrare anche la formazione delle persone, l’aggiornamento delle pratiche di gestione e la revisione delle policy aziendali.

 

New call-to-action

Topic: Cyber security