Il termine hacker è sempre più spesso contraddistinto da connotazioni negative: descrive la figura di un esperto che illegalmente e senza essere scoperto, si infiltra nei computer di aziende o enti pubblici con scopi malevoli e motivazioni che derivano da interessi personali o dall’appartenenza a organizzazioni criminali.
Originariamente però l’hacker era un esperto informatico, con competenze molto ampie (da quelle sistemistiche a quelle più vicine allo sviluppo del software), in grado di entrare in sistemi e reti non protetti, acquisirne i dati e in alcuni casi prenderne completamente il controllo. La cultura dell’Hacking, nata originariamente in centri di ricerca (MIT, Stanford e Carnegie Mellon) come spirito di esplorazione e sperimentazione senza scopi malevoli, ha poi subito un’evoluzione negativa, prevedendo anche attività volte a sovvertire imposizioni e autorità, infrangendo volontariamente qualsiasi sistema, aggirando le misure di sicurezza, il più delle volte con l’unico scopo di dimostrare la propria capacità.
Rimane però ancora, anzi, è sempre più diffusa, l’esigenza di testare la robustezza di un sistema impiegando volontariamente capacità di penetrazione e ricerca di vulnerabilità. Si parla oggi di “Ethical Hacking” per descrivere la situazione in cui le tecniche tipiche dell’hacking (attacchi, penetration test, ricerca ed exploit di vulnerabilità) sono impiegate a fin di bene, ad esempio commissionate da vendor tecnologici in modo da prevenire un attacco malevolo e predisporre le misure necessarie per incrementare la sicurezza. Molti player prevedono da anni Programmi “Bug Bounty” per ricompensare in denaro chi segnala le vulnerabilità in prodotti, servizi, software. Il primo programma di questo tipo è stato lanciato da Netscape nel 1995: da allora società come Microsoft, Tesla, Yahoo!, Google, Reddit, Square, Oracle hanno programmi con ricompense per centinaia di migliaia di dollari.
Oggi, con uno sforzo costante di innovazione divenuto fondamentale per rimanere sul mercato, la difficoltà di avere un software testato e sicuro può richiedere lo sforzo congiunto di molti esperti: Facebook ad esempio ha già speso 4,3 milioni di dollari in ricompense a ricercatori di bug. Anche Apple si è adeguata di recente, decidendo, a partire da quest’anno, di offrire ricompense fino a 200.000 dollari a chi dovesse scoprire vulnerabilità nei suoi prodotti.
HackerOne, società per propria mission collega chi vuole individuare vulnerabilità nei suoi prodotti con un’ampia community di hacker professionisti, interessati ai programmi Bug Bounty, ha condotto una ricerca sul profilo e le motivazioni degli hacker, intervistato 617 di questi e riportando i risultati dell’analisi nel “2016 Bug Bounty Hacker Report“. Dalla ricerca emergono alcuni spunti interessanti.
- Il tipico hacker è un maschio (98% dei casi), con un’età media di 34 anni, che svolge l’attività di hacking per fare soldi (72% delle risposte) ma anche per divertimento (70% delle risposte).
- Solo la metà degli intervistati però afferma di effettuare l’hacking per “il bene nel mondo”.
- Gli hacker arrivano da oltre 70 paesi, con India, USA e Russia in testa, e solo nel 26% dei casi affermano che i programmi bug bounty rappresentano i ¾ del proprio giro d’affari. In genere riescono a ottenere guadagni pari a 20.000 dollari dai programmi, con punte di 350.000 dollari per gli hacker più esperti.
A cura di:
Elena Vaciago, The Innovation Group
Per maggiori informazioni: accedi all’Infografica del report.