Ethical hacker cos’è e qual è la differenza con i Black hat?
Conosciuto anche con il nome di White hat, un Ethical hacker – in italiano “hacker etico”- è l’antagonista del cosiddetto Black hat, cioè un hacker malintenzionato, e mette le sue capacità a disposizione di chi, come le aziende, deve difendersi da azioni ostili finalizzate a danneggiare la riservatezza, l’integrità e la disponibilità di dati memorizzati o elaborati da sistemi informatici.
Più nello specifico, un hacker etico è un esperto di sicurezza informatica capace di simulare attacchi a reti, infrastrutture IT (Information Technology), siti web o applicazioni per identificare e risolvere eventuali vulnerabilità e migliorare la sicurezza. L’accezione “etico” deriva dal fatto che a commissionare l’hackeraggio è colui che lo subisce.
Infatti, l’hacking etico è la pratica di eseguire valutazioni del rischio per la sicurezza informatica utilizzando le stesse strategie che usano gli hacker, ma con l’approvazione e l’autorizzazione dell’organizzazione in cui si sta operando. L’obiettivo è individuare i potenziali punti deboli di un’applicazione, di un sistema informatico o dell’infrastruttura di un’azienda per rafforzare la protezione, accrescere la sicurezza dei dati, diminuire i rischi informatici, contrastare meglio le possibili violazioni e ridurre il potenziale danno di reputazione.
In altre parole, l’azienda consente agli hacker etici – che possono essere freelance, impiegati di un’agenzia specializzata in servizi di cyber security oppure dipendenti interni- di svolgere le attività utili per testare le difese del sistema (penetration test) allo scopo di sviluppare soluzioni per prevenire le violazioni dei dati. Pertanto, a differenza del cracking, cioè l’accesso non autorizzato a un sistema informatico attraverso varie tecniche, come il phishing, l’hacking etico è un processo pianificato, approvato e, soprattutto, legale.
L’attacco informatico simulato viene concordato con l’azienda sulla base di specifiche necessità e può avvenire sia dalla rete interna che dalla rete esterna. La prima fase del lavoro di un ethical hacker è la raccolta delle informazioni (ad esempio: database, server, indirizzi IP, protocolli di sicurezza, identità del personale che si occupa della manutenzione e dei controlli) cui segue la simulazione.
Una volta conclusa l’attività di analisi, l’hacker etico prepara un report dettagliato in cui descrive ciò che ha fatto, quali sono le vulnerabilità riscontrate nelle reti e nei sistemi dell’organizzazione, che cosa manca in termini di sicurezza informatica e quali sono le soluzioni per migliorare il livello delle difese informatiche.
Ricapitolando, i compiti di un ethical hacker sono:
- Effettuare test di penetrazione su infrastrutture IT e applicazioni web
- Condurre e simulare attacchi informatici;
- Verificare la sicurezza dei sistemi IT per contrastare le minacce;
- Rilevare e analizzare le vulnerabilità;
- Redigere un security report per documentare le attività svolte;
- Monitorare eventuali anomalie del sistema e riconoscere tentativi di accesso non autorizzati.
Ethical hacker: formazione e principali competenze dell’hacker etico
Un hacker etico deve possedere un’ampia gamma di competenze informatiche e le stesse conoscenze di un pirata informatico. Non esiste un percorso formativo predefinito per diventare un ethical hacker professionista, tuttavia un buon punto di partenza può essere una laurea in informatica o ingegneria informatica a cui, naturalmente, si aggiunge l’esperienza sul campo.
In generale, tutti gli hacker etici dovrebbero avere:
- Competenza nei linguaggi di scripting;
- Competenza nei sistemi operativi;
- Una conoscenza approfondita delle reti;
- Una solida base dei principi della sicurezza informatica;
Inoltre, devono saper utilizzare le tecniche di penetration test (attacchi DoS, Social engineering, eccetera) e i tool di reverse engineering, conoscere i tool e framework per la simulazione di attacchi cyber (ad esempio: W3af, Nessus, Nexpose, Metasploit, Burp Suite) e possedere nozioni legislative in materia di privacy e trattamento dati. Infine, un hacker etico deve avere capacità di problem solving e senso etico, essere affidabile, discreto, flessibile e capace di lavorare in team.
Un hacker etico deve possedere anche certificazioni in ambito cyber security che ne attestino le competenze. Tra le più note e riconosciute a livello internazione ci sono:
- EC Council – Ethical Hacking Certification;
- Certificazione OSCP (Offensive Security Certified Professional);
- CompTIA Security+;
- CCNA Security di Cisco;
- SANS GIAC Certification.
In Italia, in particolare, esiste una community di hacker etici conosciuta con il nome di Ethical Hacker Italiani che offre corsi di formazione sulle tematiche relative a reti, sicurezza informatica ed ethical hacking.
Ethical hacker stipendio: quanto guadagna un White hat?
Un hacker etico, in base all’esperienza e al contesto, può arrivare ad avere uno stipendio lordo annuo pari a 80.000 euro. In genere, un ethical hacker enty level, con meno di 3 anni di esperienza, ha uno stipendio medio complessivo di circa 60.000 € lordi all’anno, mentre un hacker etico senior, con circa 10-20 anni di esperienza, guadagna in media più di 100.000 €.