L’hacking è l’atto di identificare e sfruttare vulnerabilità presenti in sistemi informatici che, tipicamente, porta all’accesso ed alla manipolazione di basi dati, software, dispositivi o reti di trasmissione.
Per via delle connotazioni negative, siamo portati ad immaginare l’hacking come una attività malevola, spesso associata al cyber crimine. Frequentemente accade, invece, che le pratiche associate all’hacking siano relative ad attività del tutto lecite, volontariamente commissionate da privati o imprese proprio per valutare la postura di sicurezza dei sistemi informativi.
Per quanto, un determinato sistema, possa essere implementato con cura e perizia, vi è sempre la possibilità che esso possa essere esposto a minacce imputabili, ad esempio, a carenze negli aggiornamenti o ad errori scovati e rivelati assai di recente (vulnerabilità zero-day).
Smarchiamo dunque un fatto: l’hacker non è sempre malintenzionato
Con il termine white hat sono indicati gli hacker che agiscono in modo etico (Ethical Hackers), allo scopo di scovare vulnerabilità, riportandole su commissione o divulgandole per allertare la comunità.
E’ proprio questa la differenza che distingue i white hats dai black hats (o criminal hackers), mentre gli ultimi agiscono per sfruttare le vulnerabilità a proprio favore, senza curarsi di infrangere le leggi, quelli etici si limitano a dimostrare le vulnerabilità, restando nella legalità ed aiutando terzi a correre ai ripari.
Solitamente un white hat agisce come consulente per aziende che commissionano Vulnerability Assessment o Penetration Test, prefiggendosi l’obiettivo di ottimizzare le difese proprio a seguito dei risultati di questo tipo di attività, atte a scovare potenziali falle e la complessità legata allo sfruttamento delle medesime.
Più hackers etici possono lavorare di concerto in attacchi che simulano avversari e tecniche reali, in questo caso si parla di red teaming.
Si tratta di un processo dinamico che richiede competenze tecniche, conoscenza delle vulnerabilità di sistemi e software e comprensione delle tattiche di sfruttamento.
Ciascun attacco può variare a seconda della sua natura e degli obiettivi specifici. In generale i passaggi sono:
Un attacco può comportare il rilevamento di passwords tramite decodifica o brute forcing, che consiste nel tentare le possibili combinazioni alfanumeriche, anche partendo da dizionari di passwords precostituiti.
L’impianto di malware, la cattura delle battute di tasti, e l’intercettazione del traffico di rete, sono tra le azioni comunemente svolte.
Un attacco di tipo DoS (Denial of Service) è meno articolato ma efficace nel creare disservizi causati dalla quantità di richieste indirizzate verso il sistema vittima, che non riesce a sopportare grandi volumi di traffico, a maggior ragione se si trova a far fronte ad un DDoS (Distributed Denial of Service), ovvero ad una grossa mole di richieste proveniente da più sorgenti riunite in una botnet (rete di computers infetti da codice malevolo, remotamente controllati da un attaccante per scatenare un attacco simultaneo in rete).
Un hacker può essere mosso da motivazioni differenti che possono riguardare il guadagno finanziario, lo spionaggio, le convinzioni politiche o sociali. Ciò che conta maggiormente è la forte determinazione a conseguire i risultati. Per questo, l’adozione di forme di prevenzione è decisiva ai fini della individuazione e il contrasto degli attacchi. Tra esse possiamo annoverare:
Collaborazione: lavorare con esperti di sicurezza informatica può aiutare a identificare e risolvere le vulnerabilità e ad implementare misure di sicurezza adeguate.
Autore: Marco Marra
Meloni: "Rivendico stop all'abuso d'ufficio, no processi agli onesti" La premier all'Anci: "Non lasciamo i…
Napoli, aggressioni ai sanitari. I medici dell'Ospedale Betania: "Non ci sentiamo al sicuro" "Sembra una…
Salva Milano, prima protesta dopo il voto: "È condono per abusi edilizi" Flash mob della…
Monza, Galliani: "Trattative inventate dai giornali, club è della Fininvest" L'ad dei biancorossi: "Gabelli si…
Galliani abbraccia Chiellini: "Sei sempre un mio rimpianto, Spinelli voleva troppi soldi" L'ad del Monza:…
'Bruciamo tutto' imbratta ingresso ministero dell'Istruzione: "Valditara si istruisca" Tre attiviste hanno lanciato gavettoni di…