Cybersecurity: il ruolo degli hacker

Technology


Cybersecurity: il ruolo degli hacker

Non solo Facebook. La nuova direttiva europea GDPR in vigore da maggio dispone multe molto salate che potrebbero far saltare i bilanci delle società senza standard di sicurezza minimi a difesa dei dati personali.

Non solo Facebook. La nuova direttiva europea GDPR in vigore da maggio dispone multe molto salate che potrebbero far saltare i bilanci delle società senza standard di sicurezza minimi a difesa dei dati personali contro gli hacker.

​Il caso Cambridge Analytica che avrebbe carpito i dati di oltre 50 milioni di iscritti a Facebook, profilandone psicologia e comportamento, in base allo studio della loro attività, segna una svolta nel modo di guardare alla sicurezza dei dati messi in Rete, non solo sui social media. Il sospetto che la società di consulenza britannica abbia influenzato le intenzioni di voto di milioni di elettori è solo la punta dell’iceberg che è il problema della gestione e della sicurezza dei dati. Il caso è scoppiato a pochi mesi dall’approvazione e dal debutto della normativa europea GDPR, che sostanzialmente impone ai colossi tecnologici di gestire con i guanti i dati degli iscritti.​

«In questo momento tutte le grandi aziende tecnologiche temono la nuova direttiva europea GDPR, che non appena entrerà in vigore, disporrà una serie di multe molto salate che potrebbero far saltare i bilanci delle società ritenute responsabili di non aver recepito gli standard di sicurezza minimi a difesa dei dati personali dei consumatori», ragiona Ralph Echemendia. Changes Unipol ha incontrato “The Ethical Hacker” a Riga nel corso di TechChill, tra le principali rassegne europee dell’innovazione in scena in Lettonia.

Visto il precedente della sorveglianza di massa della NSA americana, non dovremmo guardarci anche dal Grande Fratello di Stato? «La storia ci insegna che talvolta neanche i governi usano i dati dei cittadini nel loro interesse, ma abusano del potere di cui dispongono. Dobbiamo prestare sempre attenzione a chi usa i nostri dati e a come vengono usati», spiega Echemendia. Ma se non possiamo fidarci neanche dei governi, finiremo per accordare la nostra fiducia a organizzazioni come Wikileaks, che scoperchiano e diffondono i tentativi di sorveglianza di massa a livello informatico? «L’unico rischio che deriva da queste fughe di notizie è quello per la vita delle persone coinvolte, che potrebbero anche decidere di farla finita. Divulgare i dati di uno spionaggio rappresenta sempre un rischio», ragiona Echemendia.​

All’interno della comunità internazionale Echemendia è meglio noto come The Ethical Hacker. Una definizione che avvicina sostanzialmente un esperto di sicurezza informatica ai cosiddetti White Hat, gli hacker bianchi che decidono di passare dalla parte dei “buoni”, mettendo le loro competenze a disposizione di aziende e istituzioni. Esperti remunerati con regolarità, per sferrare attacchi informatici che attestino il livello di sicurezza dei sistemi informatici. Anticipando le falle, oppure tappando i buchi (e i danni) causati dai criminali digitali. È una terminologia mutuata dai vecchi film western, in cui chi vestiva il cappello nero stava dalla parte dei cattivi, mentre chi si mostrava col cappello bianco, militava nelle file dei buoni.

La protezione totale online è una leggenda: non esiste, esattamente come nel mondo reale


«Gli hacker neri vengono accostati ai crimini informatici perché ottengono accessi non autorizzati ai sistemi, violando dati protetti. Gli hacker bianchi, invece, pur utilizzando formalmente le stesse tecniche di accesso, sono professionisti che dispongono delle autorizzazioni necessarie» spiega Echemendia. Per questa ragione assurgono al ruolo di esperti, in grado di valutare il livello di sicurezza informatica dei sistemi. «Detto questo, qualcuno potrebbe argomentare senza tema di smentita che buona parte di questi professionisti restano hacker grigi. Del resto disponendo delle competenze necessarie, potrebbero sicuramente mettere a rischio la sicurezza di cittadini e aziende, se solo lo volessero. In buona misura è l’etica che ci spinge a lavorare per i buoni», ragiona Ralph Echemendia.

E dal suo osservatorio privilegiato di esperto informatico al servizio di aziende e governi, Echemendia non fa fatica a snocciolare aneddoti sulla sua esperienza concreta. «Qualche tempo fa mi sono trovato di fronte ad un attacco informatico diretto contro un importante operatore telefonico. In meno di 30 minuti gli hacker avevano preso controllo dei sistemi della società e avevano bloccato l’accesso ai tecnici interni». A questo punto non resta che scoprire l’eventuale lieto fine dell’attacco informatico vissuto in prima persona. «Li ho paralizzati dopo qualche minuto. Sostanzialmente sono riuscito a dirottare al di fuori dei sistemi sotto attacco, il loro traffico e i tentativi di accesso non autorizzati. Risalendo peraltro alle chiavi d’accesso e alle password dei registri che conservavano i dati personali e finanziari dei criminali informatici». Nel mondo visto con gli occhi di Echemendia tutti possiamo essere tecnologicamente violati.  «Sappiamo tutti cosa vuol dire “hacking” come termine, e lo associamo a un contesto criminale, ma nel mio mondo, “hacking” ha un’altra sfumatura e significa trovare qualcosa che cambia un sistema destinato a fare altro» ha sottolineato. «Si può entrare legittimamente nei sistemi e ho deciso di insegnare alle persone come farlo: è un modo per monetizzare le mie capacità senza violare alcuna legge». Con un’avvertenza: Echemendia afferma che la nozione di “protezione totale” nel mondo online è falsa quanto quella della completa sicurezza nel mondo reale. ​

Testo a cura di Nicola D​i Turi

sperto internazionale di sicurezza informatica, noto come The Ethical Hacker​, negli ultimi vent'anni Echemendia ha lavorato per Google, Microsoft, Nasa, Oracle, Intel, Boeing, Symantec e Ibm. In qualità di supervisore ha firmato Le Belve e Snowden di Oliver Stone, oltre alla serie tv Mr. Robot. Echemendia lavora però anche con le istituzioni e gli Stati, come dimostra la consulenza per la marina militare degli Stati Uniti "United States Navy". ​