L’ethical hacking è l’uso di tecniche di hacking da parte di soggetti legittimi nel tentativo di scoprire, comprendere e correggere le vulnerabilità della sicurezza in una rete o in un sistema informatico.
Gli ethical hacker hanno le stesse capacità e utilizzano gli stessi strumenti e tattiche degli hacker malevoli, ma il loro obiettivo è sempre quello di migliorare la sicurezza della rete senza danneggiare la rete o i suoi utenti.
Per molti versi, l’ethical hacking è come una prova generale degli attacchi informatici nel mondo reale. Le organizzazioni assumono ethical hacker per lanciare attacchi simulati alle loro reti di computer.
Durante questi attacchi, gli ethical hacker dimostrano come i veri criminali informatici entrano in una rete e i danni che possono causare una volta entrati.
Gli analisti della sicurezza delle organizzazioni possono utilizzare queste informazioni per eliminare le vulnerabilità, rafforzare i sistemi di sicurezza e proteggere i dati sensibili.
I termini “ethical hacking” e “penetration test“ vengono talvolta utilizzati in modo intercambiabile. Tuttavia, i penetration test sono solo uno dei metodi utilizzati dagli ethical hacker. Loro possono anche condurre valutazioni delle vulnerabilità, analisi del malware e altri servizi di sicurezza delle informazioni.
Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.
Gli ethical hacker seguono un rigido codice etico per garantire che le loro azioni aiutino anziché danneggiare le aziende. Molte organizzazioni che addestrano o certificano gli ethical hacker, come l’International Council of E-Commerce Consultants (EC Council), pubblicano il proprio codice etico ufficiale.
Sebbene l’etica dichiarata possa variare tra hacker o organizzazioni, le linee guida generali sono:
Rispetto a questo codice etico, esistono altri due tipi di hacker.
A volte chiamati "black hat hacker", gli hacker malintenzionati commettono crimini informatici per guadagno personale, terrorismo informatico o altri motivi. Attaccano i sistemi informatici per sottrarre informazioni sensibili, rubare fondi o interrompere le operazioni.
Talvolta chiamati “hacker gray hat” (o “hacker grey hat”), questi hacker utilizzano metodi non etici oppure operano senza permesso per raggiungere fini etici. Gli esempi includono l’attacco a una rete o a un sistema informativo senza autorizzazione per testare un exploit, oppure l’utilizzo pubblico di una vulnerabilità del software che i vendor cercano di risolvere.
Sebbene questi hacker abbiano buone intenzioni, le loro azioni possono anche indirizzare gli aggressori malintenzionati verso nuovi vettori di attacco.
L’ethical hacking è un percorso di carriera legittimo. La maggior parte degli ethical hacker ha una laurea in informatica, sicurezza informatica o un campo correlato.
Gli ethical hacker tendono a conoscere linguaggi di programmazione e scripting comuni come Python e SQL. Sono esperti (e continuano a sviluppare le proprie competenze) negli stessi strumenti e metodologie di hacking utilizzati dagli hacker malintenzionati, inclusi strumenti di scansione di rete come Nmap, piattaforme di penetration test come Metasploit e sistemi operativi specializzati progettati per l’hacking, come Kali Linux.
Come altri professionisti di cybersecurity, gli ethical hacker in genere ottengono credenziali per dimostrare le proprie capacità e il proprio impegno verso l’etica. Molti seguono corsi di ethical hacking o si iscrivono a programmi di certificazione specifici del settore.
Alcune delle certificazioni di ethical hacking più comuni includono:
Certified Ethical Hacker (CEH): offerta da EC-Council, un organismo internazionale di certificazione della cybersecurity, CEH è una delle certificazioni di hacking etico più ampiamente riconosciute.
CompTIA PenTest+: questa certificazione si concentra sui penetration test e sulla valutazione delle vulnerabilità.
SANS GIAC Penetration Tester (GPEN): come PenTest+, la certificazione GPEN del SANS Institute convalida le capacità di pen testing di un ethical hacker.
Gli ethical hacker offrono vari servizi.
I penetration test, o “pen test”, sono violazioni della sicurezza simulate. I pen tester imitano gli hacker malintenzionati che ottengono l’accesso non autorizzato ai sistemi aziendali.
Naturalmente, i pen tester non causano alcun danno reale. Usano i risultati dei loro test per difendere l’azienda dai veri criminali informatici.
I pen test si svolgono in tre fasi:
Durante la fase di ricognizione, i pen tester raccolgono informazioni su computer, dispositivi mobili, applicazioni web, server web e altri asset sulla rete dell’azienda. Questa fase viene talvolta chiamata “footprinting”, perché i pen tester mappano l’intera impronta della rete.
I pen tester utilizzano metodi manuali e automatizzati per eseguire la ricognizione. Possono esaminare i profili dei social media dei dipendenti e le pagine GitHub alla ricerca di suggerimenti. Possono utilizzare strumenti come Nmap per la scansione di porte aperte e strumenti come Wireshark per ispezionare il traffico di rete.
Se consentito dall’azienda, i pen tester possono utilizzare tattiche di ingegneria sociale per indurre i dipendenti a condividere informazioni sensibili.
Una volta che i pen tester comprendono i contorni della rete e le vulnerabilità che possono utilizzare, violano il sistema. Loro possono provare una varietà di attacchi a seconda dell’ambito del penetration test.
Alcuni degli attacchi più comunemente testati includono:
- Iniezioni SQL: i pen tester cercano di far sì che una pagina web o un’applicazione riveli dati sensibili inserendo codice dannoso nei campi di input.
– Cross-site scripting: i pen tester provano a inserire codice dannoso nel sito web di un’azienda.
– Attacchi denial-of-service: i pen tester tentano di mettere offline server, app e altre risorse di rete inondandoli di traffico.
- Ingegneria sociale: i pen tester utilizzano il phishing, l’adescamento, il pretesto o altre tattiche per indurre i dipendenti a compromettere la sicurezza della rete.
Durante l’attacco, i pen tester esplorano il modo in cui gli hacker malintenzionati possono sfruttare le vulnerabilità esistenti e come possono muoversi attraverso la rete una volta entrati. Scoprono quali tipi di dati e risorse possono accedere gli hacker. Verificano inoltre se le misure di sicurezza esistenti possono rilevare o impedire le loro attività.
Alla fine dell’attacco, i pen tester coprono le loro tracce. Questo serve a due scopi. Innanzitutto, dimostra come i criminali informatici possono nascondersi in una rete. In secondo luogo, impedisce agli hacker malintenzionati di seguire segretamente gli ethical hacker nel sistema.
I pen tester documentano tutte le loro attività durante l’hacking. Presentano quindi un rapporto al team addetto alla sicurezza delle informazioni che illustra le vulnerabilità utilizzate, gli asset e i dati a cui hanno avuto accesso e il modo in cui hanno eluso i sistemi di sicurezza.
Gli ethical hacker forniscono raccomandazioni anche per stabilire le priorità e risolvere questi problemi.
La valutazione delle vulnerabilità è come il pen test, ma non si spinge fino all’utilizzo delle vulnerabilità. Gli ethical hacker utilizzano invece metodi manuali e automatizzati per trovare, categorizzare e classificare le vulnerabilità in un sistema, quindi condividono i loro risultati con l’azienda.
Alcuni ethical hacker sono specializzati nell’analisi dei ceppi di ransomware e malware. Studiano le nuove versioni di malware per capire come funzionano e condividono le loro conclusioni con le aziende e con la community della sicurezza informatica in generale.
Gli ethical hacker possono anche fornire assistenza nella gestione del rischio strategico di alto livello. Possono identificare le minacce nuove ed emergenti, analizzare l’impatto di queste minacce sull’approccio alla sicurezza dell’azienda e aiutarla a sviluppare delle contromisure.
Sebbene esistano molti modi per valutare la cybersecurity, l’ethical hacking può aiutare le aziende a comprendere le vulnerabilità della rete dal punto di vista di un aggressore. Attraverso l’hacking delle reti con il consenso dell’organizzazione, gli ethical hacker possono dimostrare come gli hacker malintenzionati riescono a utilizzare le varie vulnerabilità e aiutano l’azienda a scoprire e correggere quelle più critiche.
La prospettiva di un ethical hacker può anche far emergere aspetti che gli analisti della sicurezza interna potrebbero non cogliere.
Ad esempio, gli ethical hacker si confrontano direttamente con firewall, algoritmi di crittografia, sistemi di rilevamento delle intrusioni (IDS), sistemi di rilevamento estesi (XDR) e altre contromisure. Di conseguenza, sanno esattamente come funzionano queste difese nella pratica (e dove falliscono) senza che l’azienda subisca una vera e propria violazione dei dati.