Se il termine “bug bounty hunter” o “pen-tester” non vi dice niente, allora non sapete neanche che cos’è un “hacker etico“. Man mano che la tecnologia informatica assume un ruolo sempre più importante e che ogni azienda diventa una software house. E la sicurezza, sia per i requisiti normativi come quelli della Gdpr che per elementari necessità di continuità del business, diventa protagonista. E qui entrano in scena gli hacker.
Il termine negli ultimi venti anni ha assunto tendenzialmente una connotazione negativa: l’hacker nel parlato quotidiano è il ladro o il malintenzionato digitale. Non è così: quella degli hacker è una cultura antica, che nella sua versione più vicina alla scena attuale risale agli anni Sessanta. Ed è tutt’altro che illegale o negativa: gli hacker sono gli smanettoni intelligenti e creativi, che trovano un modo originale e soluzioni inedite a problemi noti. È anche una subcultura con logiche e valori suoi, in cui la prodezza informatica e il riconoscimento dei propri pari sono la cosa fondamentale.
Nel tempo il termine hacker ha assunto il colore di una professione di solitari, magari con felpe e cappucci, che lavorano come genietti malvagi del computer, rubando soldi o informazioni personali. È uno stereotipo, che viene ripensato. Da trent’anni la comunità hacker distingue al suo interno due tipi di posizione: i white hat e i black hat, cappelli bianchi e cappelli neri come i buoni e i cattivi dei primissimi western di Tom Mix nell’epoca del cinema muto americano. Una citazione dotta per dire che, nel far west digitale, esistono sia i malfattori che le persone oneste.
E se a questa onestà si aggiunge una connotazione fortemente etica, ecco che nasce una nuova professione. Perché anche l’hacker ha il problema di trovare un lavoro che si sposi con le sue inclinazioni. E in cui dall’altro lato il suo datore di lavoro si fidi. Qual è questo lavoro?
Ce ne sono vari: uno è quello di aiutare dall’esterno le aziende e gli sviluppatori di software a creare prodotti più sicuri. Per farlo ci sono veri e propri programmi di bug bounty hunting. Caccia al bug a pagamento: chi trova il modo per far funzionare male o in maniera inattesa un software di una grande azienda (o una tecnologia per un sito web) riceve un premio prestabilito. Ci sono programmi di questo tipo fatti da Microsoft, da Google, da Facebook, da Apple. Da poche migliaia di dollari a premi milionari per chi riesce a identificare falle di sicurezza potenzialmente drammatiche. E a comunicarle tempestivamente.
E poi, come in tutti i campi dell’operato umano, ci sono in consulenti. Cosa che, per gli hacker, vuol dire fare dei pen-test, dei test di penetrazione di un sistema, sia esso informatico che fisico. Da questo punto di vista le cose richiedono una struttura e un’attività più ampia. Le grandi aziende di sicurezza informatica (da Kasperksy in giù) o società specializzate hanno al loro interno una stanza con un gruppetto di hacker completamente sconosciuti al resto del mondo e tutelati al massimo livello. Previo accordo siglato con la massima segretezza con il cliente (che spesso è una multinazionale, ma che può essere anche una azienda pubblica, una amministrazione comunale, persino uno Stato) l’hacker va “sotto copertura” e deve riuscire a penetrare il sistema.
Con questa attività, che è considerata una delle sfide intellettuali più interessanti e divertenti da parte degli hacker più dotati, hanno perso il posto centinaia di manager aziendali che non erano in grado di fare bene il loro lavoro. Oggi ci sono anche startup come Bugcrowd, Hackerone e Synack che permettono di mettere in contatto hacker etici che fanno i lupi solitari con le aziende per il bug hunting, mentre tendenzialmente i pen-test vengono coordinati in maniera più strutturata per evitare la spiacevole occorrenza – per l’hacker – di farsi beccare e finire in prigione come un criminale qualunque.
