Che cos'è l'hacking etico?

Gli hacker etici hanno le stesse capacità e utilizzano gli stessi strumenti e tattiche degli hacker malevoli, ma il loro obiettivo è sempre quello di migliorare la sicurezza della rete senza danneggiare la rete o i suoi utenti.

Per molti versi, l’hacking etico è come una prova generale degli attacchi informatici nel mondo reale. Le organizzazioni assumono hacker etici per lanciare attacchi simulati alle loro reti di computer. Durante questi attacchi, gli hacker etici dimostrano come i veri criminali informatici entrano in una rete e i danni che possono causare una volta entrati.

Gli analisti della sicurezza delle organizzazioni possono utilizzare queste informazioni per eliminare le vulnerabilità, rafforzare i sistemi di sicurezza e proteggere i dati sensibili.

I termini "hacking etico" e "test di penetrazione" vengono talvolta utilizzati in modo intercambiabile. Tuttavia, i penetration test sono solo uno dei metodi utilizzati dagli hacker etici. Gli hacker etici possono anche condurre valutazioni delle vulnerabilità, analisi del malware e altri servizi di sicurezza delle informazioni.

Gli hacker etici seguono un rigido codice etico per garantire che le loro azioni aiutino anziché danneggiare le aziende. Molte organizzazioni che addestrano o certificano gli hacker etici, come l'International Council of E-Commerce Consultants (EC Council), pubblicano il proprio codice etico ufficiale. Sebbene l'etica dichiarata possa variare tra hacker o organizzazioni, le linee guida generali sono:

• Gli hacker etici ottengono il permesso dalle aziende che attaccano: gli hacker etici lavorano o collaborano con le organizzazioni che attaccano. Collaborano con le aziende per definire l'ambito delle loro attività, tra cui tempistiche di hacking, metodi utilizzati e sistemi e asset testati. 
• Gli hacker etici non provocano nessun danno: gli hacker etici non arrecano alcun danno effettivo ai sistemi che violano, né rubano i dati sensibili che trovano. Quando i "white hat" violano una rete, lo fanno solo per dimostrare cosa potrebbero fare i veri criminali informatici. 
• Gli hacker etici mantengono riservati gli esiti: gli hacker etici condividono le informazioni raccolte su vulnerabilità e sistemi di sicurezza con l'azienda e solo con l'azienda. Aiutano inoltre l'azienda a utilizzare questi risultati per migliorare le difese della rete.
• Gli hacker etici lavorano entro i confini della legge: gli hacker etici utilizzano solo metodi legali per valutare la sicurezza delle informazioni. Non si associano a "black hat" e non partecipano ad hacking dannosi.

Rispetto a questo codice etico, esistono altri due tipi di hacker.

A volte chiamati "black hat hacker", gli hacker malintenzionati commettono crimini informatici per guadagno personale, terrorismo informatico o altri motivi. Attaccano i sistemi informatici per sottrarre informazioni sensibili, rubare fondi o interrompere le operazioni.

Talvolta chiamati "hacker gray hat" (o "hacker grey hat"), questi hacker utilizzano metodi non etici oppure operano senza permesso per raggiungere fini etici. Gli esempi includono l'attacco a una rete o a un sistema informativo senza autorizzazione per testare un exploit, oppure l'utilizzo pubblico di una vulnerabilità del software che i vendor cercano di risolvere. Sebbene questi hacker abbiano buone intenzioni, le loro azioni possono anche indirizzare gli aggressori malintenzionati verso nuovi vettori di attacco.

L'hacking etico è un percorso di carriera legittimo. La maggior parte degli hacker etici ha una laurea in informatica, sicurezza informatica o un campo correlato. Tendono a conoscere linguaggi di programmazione e scripting comuni come Python e SQL.

Sono esperti (e continuano a sviluppare le proprie competenze) negli stessi strumenti e metodologie di hacking utilizzati dagli hacker malintenzionati, inclusi strumenti di scansione di rete come Nmap, piattaforme di test di penetrazione come Metasploit e sistemi operativi specializzati progettati per l'hacking, come Kali Linux.

Come altri professionisti di cybersecurity, gli hacker etici in genere ottengono credenziali per dimostrare le proprie capacità e il proprio impegno verso l’etica. Molti seguono corsi di hacking etico o si iscrivono a programmi di certificazione specifici del settore. Alcune delle certificazioni di hacking etico più comuni includono:

• Certified Ethical Hacker (CEH): offerta da EC-Council, un organismo internazionale di certificazione della cybersecurity, CEH è una delle certificazioni di hacking etico più ampiamente riconosciute.

• CompTIA PenTest+: questa certificazione si concentra sui test di penetrazione e sulla valutazione delle vulnerabilità.

• SANS GIAC Penetration Tester (GPEN): come PenTest+, la certificazione GPEN del SANS Institute convalida le capacità di pen testing di un hacker etico.

Gli hacker etici offrono vari servizi.

I test di penetrazione, o "pen test", sono violazioni della sicurezza simulate. I pen tester imitano gli hacker malintenzionati che ottengono l'accesso non autorizzato ai sistemi aziendali. Naturalmente, i pen tester non causano alcun danno reale. Usano i risultati dei loro test per difendere l'azienda dai veri criminali informatici.

I pen test si svolgono in tre fasi:

Durante la fase di ricognizione, i pen tester raccolgono informazioni su computer, dispositivi mobili, applicazioni web, server web e altri asset sulla rete dell'azienda. Questa fase viene talvolta chiamata "footprinting", perché i pen tester mappano l'intera impronta della rete. 

I pen tester utilizzano metodi manuali e automatizzati per eseguire la ricognizione. Possono esaminare i profili dei social media dei dipendenti e le pagine GitHub alla ricerca di suggerimenti. Possono utilizzare strumenti come Nmap per la scansione di porte aperte e strumenti come Wireshark per ispezionare il traffico di rete. Se consentito dall'azienda, possono utilizzare tattiche di ingegneria sociale per indurre i dipendenti a condividere informazioni sensibili.

Una volta che i pen tester comprendono i contorni della rete e le vulnerabilità che possono utilizzare, violano il sistema. I pen tester possono provare una varietà di attacchi a seconda dell'ambito del test di penetrazione. Alcuni degli attacchi più comunemente testati includono:

- Iniezioni SQL: i pen tester cercano di far sì che una pagina web o un'applicazione riveli dati sensibili inserendo codice dannoso nei campi di input.

– Cross-site scripting: i pen tester provano a inserire codice dannoso nel sito web di un'azienda.

– Attacchi denial-of-service: i pen tester tentano di mettere offline server, app e altre risorse di rete inondandoli di traffico.

- Ingegneria sociale: i pen tester utilizzano il phishing, l'adescamento, il pretesto o altre tattiche per indurre i dipendenti a compromettere la sicurezza della rete. 

Durante l'attacco, i pen tester esplorano il modo in cui gli hacker malintenzionati possono sfruttare le vulnerabilità esistenti e come possono muoversi attraverso la rete una volta entrati. Scoprono quali tipi di dati e risorse possono accedere gli hacker. Verificano inoltre se le misure di sicurezza esistenti possono rilevare o impedire le loro attività.

Alla fine dell'attacco, i pen tester coprono le loro tracce. Questo serve a due scopi. Innanzitutto, dimostra come i criminali informatici possono nascondersi in una rete. In secondo luogo, impedisce agli hacker malintenzionati di seguire segretamente gli hacker etici nel sistema.

I pen tester documentano tutte le loro attività durante l'hacking. Presentano quindi un rapporto al team addetto alla sicurezza delle informazioni che illustra le vulnerabilità utilizzate, gli asset e i dati a cui hanno avuto accesso e il modo in cui hanno eluso i sistemi di sicurezza. Gli hacker etici forniscono raccomandazioni anche per stabilire le priorità e risolvere questi problemi.

La valutazione delle vulnerabilità è come il pen test, ma non si spinge fino all'utilizzo delle vulnerabilità. Gli hacker etici utilizzano invece metodi manuali e automatizzati per trovare, categorizzare e classificare le vulnerabilità in un sistema, quindi condividono i loro risultati con l'azienda.

Alcuni hacker etici sono specializzati nell'analisi dei ceppi di ransomware e malware. Studiano le nuove versioni di malware per capire come funzionano e condividono le loro conclusioni con le aziende e con la community della sicurezza informatica in generale.

Gli hacker etici possono anche fornire assistenza nella gestione del rischio strategico di alto livello. Possono identificare le minacce nuove ed emergenti, analizzare l'impatto di queste minacce sull'approccio alla sicurezza dell'azienda e aiutare l'azienda a sviluppare delle contromisure.

Sebbene esistano molti modi per valutare la cybersecurity, l'hacking etico può aiutare le aziende a comprendere le vulnerabilità della rete dal punto di vista di un aggressore. Attraverso l'hacking delle reti con il consenso dell'organizzazione, gli hacker etici possono dimostrare come gli hacker malintenzionati riescono a utilizzare le varie vulnerabilità e aiutano l'azienda a scoprire e correggere quelle più critiche.

La prospettiva di un hacker etico può anche far emergere aspetti che gli analisti della sicurezza interna potrebbero non cogliere. Ad esempio, gli hacker etici si confrontano direttamente con firewall, algoritmi di crittografia, sistemi di rilevamento delle intrusioni (IDS), sistemi di rilevamento estesi (XDR) e altre contromisure. Di conseguenza, sanno esattamente come funzionano queste difese nella pratica (e dove falliscono) senza che l’azienda subisca una vera e propria violazione dei dati.