Arriva il lato ‘chiaro’ della forza. Se tradizionalmente il nome “hacker” evoca personaggi che
vivono nelle tenebre (il dark web), tramando alle spalle di privati e istituzioni per bucare i loro
sistemi con intenzioni cattive, come nel caso, oggi sempre più diffuso, dei ransomware, –
intrusioni che mandano letteralmente in palla i sistemi, per il cui sblocco è richiesto il
pagamento di un compenso in denaro (spesso in criptovalute) – bisogna ricordare che
esistono anche i loro antagonisti: gli hacker etici, ossia quelli ‘buoni’.
Ma hacker etici si nasce o si diventa? Si nasce perché non si tratta di cyber criminali
pentiti. A spiegarlo è Lorenzo Capecchi, Chief Community Officer che coordina e valida
la metodologia di lavoro di alcune centinaia di hacker etici che compongono la community
di WhiteJar, la prima in Italia composta da professionisti certificati. “Gli hacker etici sono
innanzitutto esperti di sicurezza informatica e di programmazione”. Fin qui il profilo è
assimilabile a quello degli hacker che operano nell’illegalità, ma è il fine per cui lavorano a
fare la differenza, prosegue Capecchi: “Le loro competenze tecniche sono al servizio della
soluzione di un problema: gli hacker buoni prendono infatti coscienza della presenza di
criticità nei sistemi informatici, ma, anziché approfittarsene di nascosto, condividono con le
aziende la conoscenza della situazione critica e suggeriscono anche le eventuali soluzioni
tecniche”.
Un modello di lavoro basato sulla condivisione dell’intelligenza collettiva e diffusa
Gli ethical hacker di WhiteJar sono reclutati nel crowd, in base ad elevati standard di
competenza tecnica e reputazione, e lavorano su una piattaforma di testing secondo una
modalità collaborativa, basata sulla condivisione dell’intelligenza diffusa secondo
l’approccio etico che caratterizza questo tipo di hackeraggio.
Ogni sistema informatico da testare viene così sottoposto in contemporanea a una
moltitudine di differenti approcci tecnici. “Dopo aver lanciato una campagna, il cliente
può interagire e comunicare con la community in ogni momento sulla piattaforma di
collaboration di WhiteJar. Attraverso questa piattaforma è possibile ricevere alert real time
quando una vulnerabilità viene identificata, integrare le più moderne piattaforme di
comunicazione e Project Management, come Slack e Jira, oltre che interagire con gli ethical
hacker che segnalano direttamente le vulnerabilità" continua Capecchi.
Due le principali tipologie di attività che le aziende possono chiedere a WhiteJar:
vulnerability assessment e penetration test, al termine dei quali vengono rilasciati report
dettagliati che includono l’analisi dello stato di salute dei sistemi informatici, come hardware,
software e configurazioni. In particolare, i vulnerability test rilevano la presenza di punti
deboli nei sistemi, mentre i pentest possono essere a loro volta di due tipi. I White Box
includono test eseguiti su sistemi di cui si conosce ogni caratteristica, appresa dopo una
serie di analisi preventive e colloqui coi sistemisti dell’azienda. I Black Box sono quelli in cui
gli ethical hacker, senza avere avuto informazioni preventive, basano la loro analisi solo su
ciò che l’azienda espone pubblicamente, trovandosi nelle stesse condizioni di un possibile
criminale.
Il sistema remunerativo all’interno di WhiteJar è altamente premiante, anche per stimolare
una sana competizione: per ogni campagna lanciata da un’azienda viene, infatti, pagato solo
il professionista che identifica la vulnerabilità, ne dà evidenza sulla piattaforma e suggerisce
la relativa soluzione. Il guadagno varia a seconda della tipologia di vulnerabilità ed è definito
a priori dal cliente per ciascuna campagna, con un range che va da un minimo a un
massimo non identificabile, perché dipende da quanto un'azienda è disposta a spendere per
evitare danni materiali e di reputazione derivanti da un potenziale attacco hacker.
La sicurezza informatica, un problema di tutti
Aziende, enti pubblici e, più in generale, tutte quelle realtà che dispongono di database di
utenti con una grande mole di dati sensibili possono rivolgersi agli hacker etici di
WhiteJar e avere al loro servizio una comunità estesa di professionisti. Oltre alla versatilità e
alla velocità dell’azione contemporanea di più tecnici, questo approccio consente anche di
ottenere un vantaggio economico rispetto a modelli tradizionali di cybersicurezza. “WhiteJar
è un servizio unico nel suo genere in Italia nella lotta agli attacchi informatici e nella
creazione di strumenti di difesa – spiega Luca Manara, CEO di AppQuality, che insieme ad
Aldo Del Bo’ – ex Kaspersky – ha ideato WhiteJar – Ad oggi chi si rivolge a noi sono
soprattutto aziende operanti nel fintech e nelle generic utilities, che hanno compreso
l’urgenza del tema della protezione, che dovrebbe però riguardare anche le aziende medio
piccole, perché nessuno è escluso dalle mire dei pirati informatici”.
WhiteJar propone sia un modello ciclico, con un servizio in abbonamento di 12 mesi che
comprende un numero illimitato di test che possono essere integrati nei processi di
sicurezza aziendale, sia servizi a progetto, che si esauriscono in una singola campagna
mirata. In entrambi i casi, il cliente paga solo per le vulnerabilità eventualmente trovate,
secondo il modello del rewarding.
“L’accelerazione della digitalizzazione, sostenuta anche dai fondi previsti dal PNRR, farà
gola a molti cybercriminali, esponendo le aziende italiane a pericoli che è bene che imparino
a fronteggiare. WhiteJar impiega l’ethical hacking in modalità crowdsourcing partendo dal
presupposto che in Italia ci sono 6.000 professionisti della cybersecurity. Noi offriamo una
community di tecnici “pronta all’uso” delle aziende con le competenze che esse cercano per
proteggere i loro sistemi informatici”, conclude Luca Manara.
