White hat

Da Wikipedia, l'enciclopedia libera.
Ethical-hacking.jpg

Un white hat (letteralmente "cappello bianco"), chiamato anche hacker etico[1], è un hacker che si oppone all'abuso dei sistemi informatici[2]. La sua attività è di verifica coordinata e complessiva della sicurezza di una rete e dei sistemi che la compongono, al fine di delineare il livello effettivo di rischio cui sono esposti i dati, e proporre eventuali azioni correttive per migliorare il grado di sicurezza. È specializzato nel penetration testing e in tutte le metodologie per testare la sicurezza dei sistemi informatici.

Si contrappongono ai black hat in quanto hanno finalità positive e altruistiche.

Etica[modifica | modifica wikitesto]

Un white hat crede che la rete internet sia un grande mezzo per permettere la comunicazione di notizie in tutto il mondo da parte di tutti, e quindi s'impegna nella difesa d'integrità di questo strumento. Di solito un hacker "white hat" si concentra sulla sicurezza dei sistemi informatici, operando per la loro protezione, al contrario di un black hat o cracker. L'hacker "white hat" rispetta i sistemi, e desidera conoscerli a fondo per renderli migliori.

Steven Levy dice dell'hacker:

« L'hacker pratica l'esplorazione intellettuale a ruota libera delle più alte e profonde potenzialità dei sistemi di computer, o la decisione di rendere l'accesso alle informazioni quanto più libero e aperto possibile. Ciò implica la sentita convinzione che nei computer si possa ritrovare la bellezza, che la forma estetica di un programma perfetto possa liberare mente e spirito »

Attività[modifica | modifica wikitesto]

Questo termine è utilizzato per indicare chi irrompe in un sistema o in un network per allertare il proprietario di un baco o per altre attività positive. Molte di queste persone sono spesso assunte da società che trattano di sicurezza informatica, e vengono chiamate sneaker, a gruppi invece tiger team. Il white hat si presta dunque al rispetto dell'etica hacker. Come i black hat, i white hat sono spesso esperti nei dettagli dei sistemi informatici, e possono elaborare il codice per trovare soluzione a un problema piuttosto difficoltoso. Gli strumenti e le tecniche utilizzate sono tipicamente gli stessi impiegati dagli attaccanti, ma vengono applicati cum grano salis, senza mettere a rischio l'integrità dei dati, la continuità del servizio e viene inoltre garantita la riservatezza delle informazioni cui viene ottenuto accesso che, sovente, si rivelano particolarmente sensibili e preziose. Vengono poi fornite le indicazioni da seguire per migliorare lo stato di sicurezza, relativamente ai rischi individuati.

Un esempio di applicazione è il settore della ottimizzazione nei motori di ricerca (Search engine optimization, SEO). I metodi dei white hat sono generalmente approvati dai gestori dei motori di ricerca stessi.

Storia[modifica | modifica wikitesto]

Uno dei primi esempi di un ethical hack è stata una valutazione di sicurezza, condotta dagli Stati Uniti Air Force, dei sistemi Multics per "un uso potenziale come un sistema a due livelli (secret/top secret)". Dalla loro valutazione è emerso che mentre Multics era migliore rispetto ad altri sistemi convenzionali era anche vulnerabile nelle procedure di sicurezza, nella sicurezza hardware e software e quindi poteva essere compromesso facilmente. I test sono stati effettuati in modo che i risultati ottenuti potessero rappresentare i tipi di accesso che gli attaccanti avrebbero potuto effettuare nella realtà e prevedevano semplici esercizi di raccolta delle informazioni. Ci sono molti altri rapporti non classificati che descrivono le attività di hacking etico all'interno delle forze armate degli Stati Uniti. [3]

Dal 1981 gli white hat vengono descritti dal New york Times in maniera positiva all'interno del mondo degli hacker. Quando un dipendente del National CSS rivelò l'esistenza del suo password cracker, che aveva usato sui conti dei clienti, la società lo rimproverò non per la scrittura del software, ma per non averlo divulgato prima. La lettera diceva: "la compagnia realizza il vantaggio per l'NCSS e di fatto incoraggia gli sforzi dei dipendenti per identificare le debolezze di sicurezza al VP, le directory, ed altri software nei file" [4].

Dan Farmer e Wietse Venema furono i primi ad avere l'idea di valutare la sicurezza dei sistemi informatici attraverso l'hacking etico. L'obbiettivo era quello di aumentare il livello generale di sicurezza su Internet e intranet, hanno descritto come sono stati in grado di raccogliere abbastanza informazioni sui loro obbiettivi da essere in grado di comprometterne la loro sicurezza se avessero scelto di farlo. Hanno fornito numerosi esempi specifici di come queste informazioni potessero essere raccolte e sfruttate per ottenere il controllo dell'obbiettivo e come un simile attacco potesse essere evitato. Si sono raccolti tutti i tool usati durante il loro lavoro, sono stati poi raccolti in un'unica applicazione facile da usare dando così l'opportunità a tutti di scaricarla. Il loro programma è stato chiamato Security Administrator Tool for Analyzing Networks, o SATAN, e ha riscontrato una grande attenzione da parte dei media di tutto il mondo nel 1992. [3]

Come diventare White hat[modifica | modifica wikitesto]

Gli White hat devono risolvere grandi quantità di problemi come ad esempio tutto ciò che riguarda la comunicazione e quindi è richiesta una grande intelligenza dei candidati, il buon senso è ovviamente fondamentale, inoltre è richiesta una buona capacità di giudizio e il riuscire a lavorare anche quando si è sotto pressione. Allo stesso tempo gli White hat devono pensare come i Black hat per riuscire a capire i loro comportamenti e obbiettivi. Infatti alcuni dei migliori White hat sono proprio vecchi Black hat che dopo essere stati catturati hanno deciso (per le più svariate ragioni) di combattere il crimine.

Non ci sono criteri standard per diventare White hat ma sicuramente un'ottima conoscenza dell'informatica e della matematica è necessaria. Pùò anche aiutare aver lavorato nel settore militare specialmente nel campo dell'intelligenza. Acquisire il Certified Ethical Hacker (CEH) dall' EC-Council è un punto di partenza. Il salario medio di un White hat è di 72 000 dollari e può anche arrivare a 100 000 dollari.

Diventare un White hat comporta stare dalla "parte giusta" dell'hacking senza mai entrare in attività illecite, infatti i candidati nel processo di certificazione devono accettare di rispettare il codice dell'EC-Council e non si devono mai associare con hacker non etici.[5]

In generale quindi si può dire che per intraprendere questa carriera bisogna valutare i propri punti di forza darsi da fare per colmare le proprie lacune, mantenersi aggiornati con la tecnologia e avere ottime conoscenza dei sistemi operativi (Windows Mac OS), fare esperimenti con la propria rete domestica, seguire corsi e leggere libri e manuali per migliorare le proprie conoscenze di programmazione.[6]

Tattiche[modifica | modifica wikitesto]

Mentre il penetration testing si concentra dall'inizio sui sistemi informatici e attacchi software - per esempio, la scansione di porte, esaminando difetti noti e le installazioni di patch- l'hacking etico può includere altre cose come ad esempio la richiesta di password tramite email o la violazione di domicilio. Per cercare di replicare alcune delle tecniche distruttive che un attacco reale potrebbe impiegare, gli hacker etici utilizzano dei test cloni o organizzano l'hack a tarda notte mentre i sistemi sono meno critici.[7] Nella maggior parte dei casi recenti questi hack durano nel tempo (giorni, se non settimane di infiltrazione in un'organizzazione). Alcuni esempi consistono nel lasciare le chiavette USB/flash in un'area pubblica con un software che parte automaticamente, come se qualcuno perdesse il dispositivo e un dipendente che lo trova glielo riportasse.

Altre tecniche per eseguire un attacco sono:

Tali metodi identificano e sfruttano le vulnerabilità note e tentano di eludere la sicurezza per ottenere l'ingresso in aree protette, sono in grado di farlo nascondendo il software e il sistema di 'back-doors' che potrebbe essere utilizzato come un collegamento alle informazioni o accessi dagli hacker non etici, anche conosciuti come 'black-hat' o 'grey-hat'.[7]

Legalità nel Regno Unito[modifica | modifica wikitesto]

Struan Robertson, direttore legale a Pinser Masons LLP e editore di OUT-LAW.com, dice che in generale se l'accesso ad un sistema è autorizzato, l'hacking è etico e legale, se questo non vale c'è un reato ai sensi del Computer Misuse Act. L'accesso non autorizzato copre tutto, da indovinare la password per accedere all'account email delle persone alla compromissione della sicurezza di una banca. La pena massima per l'accesso non autorizzato a un computer è di due anni di carcere e una multa. Ci sono sanzioni più elevate - fino a 10 anni di carcere - quando l'hacker modifica anche i dati. L'accesso non è legale anche se espone le vulnerabilità di un sistema per il beneficio di molte persone.

Lista degli hacker White hat più importanti[modifica | modifica wikitesto]

Eric Corley

Note[modifica | modifica wikitesto]

  1. ^ Il pirata "etico"
  2. ^ What is white hat? - a definition from Whatis.com, Searchsecurity.techtarget.com. URL consultato il 6 giugno 2012.
  3. ^ a b C.C. Palmer, Ethical Hacking (PDF), in IBM Systems Journal, vol. 40, nº 3, 2001, p. 769, DOI:10.1147/sj.403.0769.
  4. ^ McLellan, Vin, Case of the Purloined Password, in The New York Times, 26 luglio 1981. URL consultato l'11 agosto 2015.
  5. ^ How To Become A White Hat Hacker, in Tom's IT Pro, 15 luglio 2016. URL consultato il 12 ottobre 2016.
  6. ^ Come Diventare un Hacker Professionista Qualificato ed Etico, in wikiHow. URL consultato il 12 ottobre 2016.
  7. ^ a b William Knight, License to Hack, in InfoSecurity, vol. 6, nº 6, 16 ottobre 2009, pp. 38–41, DOI:10.1016/s1742-6847(09)70019-9.

Voci correlate[modifica | modifica wikitesto]