Lorenzo Capecchi, Chief Community Officer di WhiteJar, racconta il ruolo sempre più fondamentale di hacker etico nella tutela dei sistemi informatici. Se tradizionalmente il nome ‘hacker’ evoca personaggi che vivono nelle tenebre (il dark web), va ricordato che esistono anche i loro antagonisti: gli hacker etici, ossia quelli ‘buoni’.
Hacker etico si nasce o si diventa? Si nasce perché non si tratta di cyber criminali pentiti. Gli hacker etici sono innanzitutto esperti di sicurezza informatica e di programmazione.
Condividere la conoscenza
Fin qui il profilo è assimilabile a quello degli hacker che operano nell’illegalità, ma è il fine per cui lavorano a fare la differenza. Le loro competenze tecniche sono al servizio della soluzione di un problema. Gli hacker buoni prendono infatti coscienza della presenza di criticità nei sistemi informatici, ma, anziché approfittarsene di nascosto, condividono con le aziende la conoscenza della situazione critica e suggeriscono anche le eventuali soluzioni tecniche.
La piattaforma di collaboration di WhiteJar
Gli ethical hacker di WhiteJar sono reclutati nel crowd, in base ad elevati standard di competenza tecnica e reputazione. Queste persone lavorano su una piattaforma di testing secondo una modalità collaborativa, basata sulla condivisione dell’intelligenza diffusa secondo l’approccio etico che caratterizza questo tipo di hackeraggio. Ogni sistema informatico da testare viene così sottoposto in contemporanea a una moltitudine di differenti approcci tecnici.
Due le principali attività che le aziende possono chiedere a WhiteJar: vulnerability assessment e penetration test, al termine dei quali vengono rilasciati report che includono l’analisi dello stato di salute dei sistemi informatici. I vulnerability test rilevano la presenza di punti deboli nei sistemi. I pentest possono essere a loro volta di due tipi.
White Box e Black Box
I White Box includono test eseguiti su sistemi di cui si conosce ogni caratteristica, appresa dopo analisi preventive e colloqui coi sistemisti dell’azienda. Invece i Black Box sono quelli in cui gli ethical hacker, senza informazioni preventive, basano l’analisi solo su ciò che l’azienda espone pubblicamente, trovandosi nelle condizioni di un possibile criminale.
Cosa ci guadagna l’hacker buono
Il sistema remunerativo all’interno di WhiteJar è altamente premiante, anche per stimolare una sana competizione. Per ogni campagna lanciata da un’azienda viene, infatti, pagato solo il professionista che identifica la vulnerabilità, ne dà evidenza sulla piattaforma e suggerisce la relativa soluzione. Il guadagno varia a seconda della tipologia di vulnerabilità ed è definito a priori dal cliente per ciascuna campagna, con un range che va da un minimo a un massimo non identificabile, perché dipende da quanto un’azienda è disposta a spendere per evitare danni materiali e di reputazione derivanti da un potenziale attacco hacker.
La sicurezza informatica, un problema di tutti
Aziende, enti pubblici e, più in generale, tutte quelle realtà che dispongono di database di utenti con una grande mole di dati sensibili possono rivolgersi agli hacker etici di WhiteJar e avere al loro servizio una comunità estesa di professionisti. Oltre alla versatilità e alla velocità dell’azione contemporanea di più tecnici, questo approccio consente anche di ottenere un vantaggio economico rispetto a modelli tradizionali di cybersicurezza.