White hat
«L'hacker pratica l'esplorazione intellettuale a ruota libera delle più alte e profonde potenzialità dei sistemi di computer, o la decisione di rendere l'accesso alle informazioni quanto più libero e aperto possibile. Ciò implica la sentita convinzione che nei computer si possa ritrovare la bellezza, che la forma estetica di un programma perfetto possa liberare mente e spirito.»
Un white hat è un hacker esperto di programmazione, di sistemi e di sicurezza informatica in grado di introdursi in reti di computer[1][2] al fine di aiutarne i proprietari a prendere coscienza di un problema di sicurezza nel rispetto quindi dell'etica degli hacker e si contrappone a chi viola illegalmente sistemi informatici, anche senza vantaggio personale, definito "black hat hacker".[2][3] Entrambe le figure rientrano nel più generico profilo dei cosiddetti security hacker. In questo contesto può svolgere, dal punto di vista professionale, una serie di attività di hacking lecite e utili sottoponendo i sistemi informatici a test al fine di valutarne e comprovarne sicurezza e affidabilità agendo nella ricerca di potenziali falle, per aumentare la propria competenza o rendere più sicuro un sistema.
Quando lavorano in team possono chiamarsi anche "sneakers",[4] red teams o tiger teams.[5] Un esempio di applicazione è il settore della ottimizzazione nei motori di ricerca (Search engine optimization, SEO). I metodi dei white hat sono generalmente approvati dai gestori dei motori di ricerca stessi.
White hat Seo[6] invece è una serie di tecniche utilizzate per aumentare il posizionamento su google e su tutti i motori di ricerca in modo legale, al contrario del Black hat seo che utilizza tecniche non legali o tendenti allo Spam.
Alcune delle migliori strategie del white hat SEO si chiama Link Baiting, che al contrario della link building del black hat SEO, non va alla ricerca di link utili al posizionamento acquisendoli in maniera illegale (ad esempio pagandoli), ma arrivano naturalmente dagli utenti che, attraverso contenuti di qualità inseriti sul proprio sito, decidono spontaneamente di creare un link direzionato a quello stesso contenuto ritenuto ottimo dal lettore.
Il nome "white hat" proviene dalla convenzione del cinema western a far indossare cappelli bianchi ai personaggi positivi.
Storia
[modifica | modifica wikitesto]Uno dei primi esempi di un hackeraggio etico è stata una valutazione di sicurezza, condotta dall'Air Force degli Stati Uniti, dei sistemi Multics per "un uso potenziale come un sistema a due livelli (secret/top secret)". Dalla loro valutazione è emerso che mentre Multics era migliore rispetto ad altri sistemi convenzionali era anche vulnerabile nelle procedure di sicurezza, nella sicurezza hardware e software e quindi poteva essere compromesso facilmente. I test sono stati effettuati in modo che i risultati ottenuti potessero rappresentare i tipi di accesso che gli attaccanti avrebbero potuto effettuare nella realtà e prevedevano semplici esercizi di raccolta delle informazioni. Ci sono molti altri rapporti non classificati che descrivono le attività di hacking etico all'interno delle forze armate degli Stati Uniti.[5]
Dal 1981 i white hat vengono descritti dal New york Times in maniera positiva all'interno del mondo degli hacker. Quando un dipendente del National CSS rivelò l'esistenza del suo password cracker, che aveva usato sui conti dei clienti, la società lo rimproverò non per la scrittura del software, ma per non averlo divulgato prima. La lettera diceva: "la compagnia realizza il vantaggio per l'NCSS e di fatto incoraggia gli sforzi dei dipendenti per identificare le debolezze di sicurezza al VP, le directory, ed altri software nei file"[7].
Dan Farmer e Wietse Venema furono i primi ad avere l'idea di valutare la sicurezza dei sistemi informatici attraverso l'hacking etico. L'obiettivo era quello di aumentare il livello generale di sicurezza su Internet e intranet, hanno descritto come sono stati in grado di raccogliere abbastanza informazioni sui loro obiettivi da essere in grado di comprometterne la sicurezza se avessero scelto di farlo. Hanno fornito numerosi esempi specifici di come queste informazioni potessero essere raccolte e sfruttate per ottenere il controllo dell'obiettivo e come un simile attacco potesse essere evitato. Si sono raccolti tutti i tool usati durante il loro lavoro, sono stati poi raccolti in un'unica applicazione facile da usare dando così l'opportunità a tutti di scaricarla. Il loro programma è stato chiamato Security Administrator Tool for Analyzing Networks, o SATAN, e ha riscontrato una grande attenzione da parte dei media di tutto il mondo nel 1992.[5]
Tattiche
[modifica | modifica wikitesto]Mentre il Penetration Testing si concentra dall'inizio sui sistemi informatici e attacchi software - per esempio, la scansione di porte, esaminando difetti noti e le installazioni di patch- l'hacking etico può includere altre cose come ad esempio la richiesta di password tramite email o la violazione di domicilio. Per cercare di replicare alcune delle tecniche distruttive che un attacco reale potrebbe impiegare, gli hacker etici utilizzano dei test cloni o organizzano l'hack a tarda notte mentre i sistemi sono meno critici.[8] Nella maggior parte dei casi recenti questi hack durano nel tempo (giorni, se non settimane di infiltrazione in un'organizzazione). Alcuni esempi consistono nel lasciare le chiavette USB/flash in un'area pubblica con un software che parte automaticamente, come se qualcuno perdesse il dispositivo e un dipendente che lo trova glielo riportasse.
Altre tecniche per eseguire un attacco sono:
- Attacchi DoS
- Social engineering
- Security scanner come: W3af, Nessus, Nexpose
- Frameworks come Metasploit
Tali metodi identificano e sfruttano le vulnerabilità note e tentano di eludere la sicurezza per ottenere l'ingresso in aree protette, sono in grado di farlo nascondendo il software e il sistema di 'back-doors' che potrebbe essere utilizzato come un collegamento alle informazioni o accessi dagli hacker non etici, anche conosciuti come 'black-hat' o 'grey-hat'.[8]
Legalità nel Regno Unito
[modifica | modifica wikitesto]Struan Robertson, direttore legale a Pinser Masons LLP, dice che in generale se l'accesso ad un sistema è autorizzato, l'hacking è etico e legale. Se non vi è stata alcuna autorizzazione, c'è un reato ai sensi del Computer Misuse Act. L'accesso non autorizzato copre tutto, da indovinare la password per accedere all'account email delle persone alla compromissione della sicurezza di una banca. La pena massima per l'accesso non autorizzato a un computer è di due anni di carcere e una multa. Ci sono sanzioni più elevate - fino a 10 anni di carcere - quando l'hacker modifica anche i dati. L'accesso non è legale anche se espone le vulnerabilità di un sistema per il beneficio di molte persone, secondo Robertson.
"Non vi è alcuna possibilità di difesa, nelle nostre leggi sull'hacking, per il fatto che il tuo comportamento sia per un bene più grande. Anche se è quello in cui credi."
Note
[modifica | modifica wikitesto]- ^ Hacker: Definizione e significato di Hacker – Dizionario italiano – Corriere.it, su dizionari.corriere.it. URL consultato il 10 maggio 2018.
- ^ a b hacker nell'Enciclopedia Treccani, su treccani.it. URL consultato il 10 maggio 2018.
- ^ What is white hat? - a definition from Whatis.com, su searchsecurity.techtarget.com. URL consultato il 6 giugno 2012.
- ^ What is a White Hat?, su secpoint.com, 20 marzo 2012. URL consultato il 6 giugno 2012.
- ^ a b c C.C. Palmer, Ethical Hacking (PDF), in IBM Systems Journal, vol. 40, n. 3, 2001, p. 769, DOI:10.1147/sj.403.0769.
- ^ White Hat Seo, su agencyseo.it.
- ^ McLellan, Vin, Case of the Purloined Password, in The New York Times, 26 luglio 1981. URL consultato l'11 agosto 2015.
- ^ a b William Knight, License to Hack, in InfoSecurity, vol. 6, n. 6, 16 ottobre 2009, pp. 38–41, DOI:10.1016/s1742-6847(09)70019-9.