L’hacking etico non è ciò che pensate

di | 15 Giugno 2021

Ormai i corsi di “hacking etico” vanno come il pane, aprono siti, canali YouTube e pagine dedicate al tema.

Ma vi sconvolgerò: l’hacking etico esiste, ma non è quello che pensate…

Hacking o cracking?

Gli informatici più scafati vi diranno che, di per sé, non c’è bisogno nemmeno della distinzione dato che l’hacking è fondamentalmente un’attività etica, è il cracking la sua degenerazione criminale.

È vero, per carità, però nell’uso comune ormai i termini sono confusi e generalizzati: hacking indica tutte le attività di intrusione informatica, cracking indica più le attività di modifica non autorizzata dei programmi informatici.

Quindi, può aver senso distinguere tra attività di hacking legali e illegali ed etiche e non etiche.

La legge non è per forza morale: il sistema dei cappelli

Tuttavia non sempre la legge corrisponde all’etica. Pensate ad una cosa: un hacker che entra nei PC di pedofili per scoprire informazioni e consegnarle alla polizia sicuramente fa una cosa illegale, ma decisamente etica!

Mentre una persona che sviluppa malware di Stato per un regime oppressivo: legale, ovvio. Ma non etico!

Gli informatici, alla fine, hanno già una classificazione che funziona:

  • White hat: chi agisce eticamente per testare la sicurezza di sistemi informatici
  • Grey hat: chi compie azioni potenzialmente illegali o poco etiche ma senza un vero e proprio intento malevolo, il tipico esempio sono quelli che scovano i pedofili o entrano nei PC dei truffatori per scovarli (come il buon Jim Browning)
  • Black hat: chi usa le proprie conoscenze per violare sistemi in modo malevolo e per guadagno personale

Tutte queste persone, comunque, sanno il fatto loro, a differenza degli script kiddiez, che semplicemente leggono tutorial, copiano uno script e combinano qualcosa per puro culo contro obiettivi gestiti con le parti meno nobili del corpo.

Acquisire le conoscenze…

Ma le conoscenze, qualsiasi siano il cappello, sono praticamente le stesse: che voi attacchiate siti WordPress per inserire un JavaScript malevolo che mina Monero o per fare dei test di penetrazione, sempre gli stessi passi dovrete fare.

Vendere un corso come “hacking etico” è un po’ come vendere un manuale sul sesso come “manuale di stupro etico”.

Hacking etico: almeno il metodo è giusto?

Una volta, per curiosità, ho comperato su Udemy un corso di Hacking Etico.

L’ho restituito dopo un’ora. Perché, oltre ad essere abbastanza banale nei temi e sostituibile con qualche tutorial gratis su YouTube, non aveva un metodo buono.

Essenzialmente era una raccolta di guide su come usare vari tool di pentesting, con alcune minime basi teoriche.

Brutto a dirsi ma corsi del genere creano più che altro script kiddiez dato che addestrano a dire “avvio il tool, fa tutto lui”.

Il professionista della sicurezza: un medico, non un macellaio

Ma il professionista della sicurezza è come un medico: ha bisogno di una solida base teorica per identificare le possibili minacce e decidere come sfruttarle. Poi, siccome farlo a mano spesso richiede troppo tempo, si sceglie un tool adatto e si usa quello, spesso in una catena di varie azioni.

Se il lavoro di sicurezza fosse semplicemente “uso i tool” basterebbe poco per sostituirlo con uno script o, ancor meglio, con una scimmia ammaestrata.

Ovviamente non è così: i professionisti della sicurezza non son facilmente sostituibili proprio perché non son delle macchinette che eseguono tool ma son persone istruite che sanno identificare eventuali problemi, capire come sfruttarli – con l’assistenza dei tool – e come risolverli.

Ed esattamente come i medici esistono pentester “di base” che si occupano in generale dei sistemi (e costano meno) e pentester “specializzati” che si occupano di sistemi particolarmente a rischio che necessitano di ulteriori protezioni (e costano di più).

Allora, tutti i corsi sono male?

Assolutamente no! Semplicemente è pia illusione credere di poter comperare un corso e diventare hacker o professionisti della sicurezza. Non è detto, però, che i corsi esistenti siano tutti da buttare.

Per esempio l’Hacklog è, a mio parere, un buon documento con cui una persona che sa il fatto suo in informatica può entrare nel mondo della sicurezza, mentre Null Byte offre ottimi tutorial che possono fare da “corso di aggiornamento” per chi lavora nel settore.

Esistono anche altre risorse, chiaramente (qualcosina trovate nel Servisol), ne cito due solo perché una è fatta bene ed è in italiano e l’altra la uso anche io, ma resta il principio base che queste risorse sono “approfondimenti” per chi lavora già nell’informatica e difficilmente potrebbero creare un professionista partendo da zero.

Ergo, se volete davvero lavorare nell’informatica, specie nel campo della sicurezza fatevi il culo. Imparate le reti, la programmazione, lo scripting, i sistemi e poi sarete in grado di specializzarvi nella sicurezza senza troppi problemi.

In conclusione…

L’hacking etico esiste, ma non è una professione. È un modo di fare che può avere risvolti professionali, ma è anche un termine confusionario che andrebbe evitato, anche per rispetto della vera comunità hacker, che ha una sua etica, e non dovrebbe accontentarsi di essere considerata una sottoclasse di quelli che fan casino “ma con etica”.

È sicuramente meglio parlare di professionisti della sicurezza, pentester e simili che di “hacker etici”, anche perché un professionista della sicurezza può non essere hacker e un hacker non è detto che lavori nella sicurezza.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.