ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di più
Informatica e sostenibilità

Cybersecurity, non tutti gli hacker sono cattivi

Chi è l’hacker etico e perché viene ingaggiato dalle aziende. L’autorizzazione preventiva e i test da effettuare

di Alessia Valentini

3' di lettura

English Version

Translated by AI.
For feedback, please contact
english@ilsole24ore.com

I punti chiave

3' di lettura

English Version

Translated by AI.
For feedback, please contact
english@ilsole24ore.com

La figura professionale dell’hacker è spesso vittima di disinformazione e connotazione negativa. C’è poi l’hacker etico, un professionista che supporta la prevenzione di danni da vulnerabilità del software e aiuta nella loro risoluzione.

Chi è l’hacker etico

Con il termine hacker etico si indica un professionista della sicurezza informatica, spesso ricercatore, allenato ad analizzare gli ambienti digitali per identificare le vulnerabilità nei sistemi, prima che i malintenzionati digitali possano sfruttarle per danneggiare i sistemi informatici. Questo professionista, che deve essere autorizzato esplicitamente ed in modo preventivo, simula attacchi informatici reali per valutare il rischio tecnico e rafforzare il livello di sicurezza. La sua azione consiste in un insieme di tentativi per ottenere l’accesso a un sistema informatico, un’applicazione o dei dati, provando a operare come farebbe un aggressore, al fine di identificare le vulnerabilità del software che permettono di raggirare i controlli di accesso.

Loading...

I risultati, che devono essere replicabili, sono documentati e condivisi con il committente, affinché quest’ultimo possa intervenire per eliminare e chiudere le vulnerabilità mediante appositi patch (interventi correttivi sul software).

Le motivazioni

Il termine hacker è spesso usato in modo negativo per indicare violazioni non autorizzate, ma la differenza con l’hacker etico è proprio nelle motivazioni e nelle modalità con cui opera questo professionista. La trasparenza delle attività e la stretta collaborazione con l’azienda proprietaria dei sistemi sotto esame, che autorizza esplicitamente le attività dell’hacker etico, sono condizioni caratteristiche e preventive a qualsiasi intervento di test tecnico. Il vantaggio principale di autorizzare Penetration Test (PT) e Vulnerability Assessment (VA), ovvero test di intrusione e valutazioni di vulnerabilità, risiede nella possibilità di individuare le vulnerabilità del software dal punto di vista dell’aggressore in modo da correggere i punti deboli; ma chiudere le vulnerabilità incide anche sull’aumento della resilienza dei sistemi digitali con ricadute positive sulla qualità dei propri servizi e/o prodotti digitali e sulla reputazione dell’azienda sul mercato.

Infatti, dare evidenza a tutti delle criticità sanate ha un immediato ritorno di immagine e di fiducia da parte dei potenziali clienti. 

Il caso Spid

È questo il caso dell’App PosteID, recentemente soggetta ad analisi di sicurezza da parte dei due ricercatori della fondazione Security and Rights in CyberSpace (Serics), ente che ha come scopo principale la ricerca scientifica e tecnologica in ambito cybersecurity. Gabriele Costa, professore associato di informatica e leader del progetto Securing softWare frOm first PrincipleS (Swops), che afferisce allo Spoke 6 della Serics, insieme a Federico Chiesa, laureato in informatica all’Università di Firenze, sono i ricercatori e autori della scoperta. Insieme hanno individuato una falla logica nel sistema di autenticazione forte dell’app PosteID.

Il problema individuato permetteva la registrazione fraudolenta e malevola di un nuovo dispositivo nell’ambito del processo di autenticazione Spid tramite app PosteID per Android, permettendo la sostituzione del dispositivo lecito di un utente, che da qual momento poteva essere estromesso dal suo stesso Spid. La collaborazione fra l’azienda e il team di test ha permesso di gestire la vulnerability disclosure, ovvero il processo di divulgazione della vulnerabilità, in modo controllato e soltanto al termine del processo di risoluzione della debolezza software.

Cruciale anche il processo di gestione delle vulnerabilità seguito dall’azienda Poste, che ha autorizzato i test, recepito le evidenze sulla ripetibilità delle azioni di sfruttamento delle vulnerabilità e prodotto il codice di risoluzione. La garanzia di tale risoluzione è stata nuovamente affidata ai test dei ricercatori che hanno confermato la chiusura della falla software. L’intera operazione è stata pubblicata nel paper di ricerca dal titolo “The Postman: A Journey of Ethical Hacking in PosteID/SPID Borderland” pubblicato su Arxiv.org che contiene tutti i dettagli tecnici e operativi.

Riproduzione riservata ©
Loading...

Le ultime di 24+

Tecno

Agenti corrotti

Agenti corrotti

Cosa succede quando le intelligenze artificiali iniziano a parlare tra loro? La ricerca sta facendo grandi passi nel capire come le AI, e in particolare gli agenti, si comportano nelle interazioni sociali....

Ascoltalo ora

Brand connect

Loading...

I prossimi eventi

Tutti gli eventi

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti