Questo sito contribuisce alla audience di Il Messaggero

Come diventare hacker etico

di

Gli hacker vengono spesso dipinti come malintenzionati e sono spesso paragonati ai pirati del 1600, con l’unica differenza che non solcano i mari ma navigano sul Web. È una visione sì poetica, ma anche un po’ allarmistica e non del tutto corretta, visto che gli hacker non sono tutti uguali, soprattutto quando si parla espressamente di un hacker etico.

Un hacker etico è una persona esperta di sicurezza informatica che si dà un gran daffare per anticipare le mosse degli hacker malintenzionati, in qualche modo ricalcando le gesta dei detective dei film che cercano di entrare nella mente dei colpevoli dei reati su cui sono chiamati a indagare. Questo “duello”, condotto a distanza, ha un suo fascino ed è anche molto stimolante.

Ecco il motivo per cui, immagino, tu sia qui e voglia sapere più da vicino come diventare hacker etico. Ho indovinato? Bene, allora lasciati dire che sei nel posto giusto! Di seguito, infatti, ti spiegherò bene qual è il ruolo di un hacker etico, di cosa si occupa e quali sono i punti di partenza migliori per intraprendere una carriera del genere, sapendo che non è qualcosa alla portata di tutti. Buona lettura e in bocca al lupo per tutto!

Indice

Che cos’è un hacker etico

Hacker

Cominciamo dalle basi, e cioè dalla definizione di hacker etico. Ebbene, un hacker etico è una persona esperta di sicurezza informatica che mette a disposizione le proprie capacità per trovare punti deboli nelle infrastrutture di rete, nei software, nei servizi erogati mediante Internet ma anche nell’hardware, collaborando con le aziende che gestiscono i servizi, i software o i dispositivi colpiti dalle falle di sicurezza; il tutto per impedire che a trovarne le debolezze siano i cybercriminali.

A tal proposito, va detto che la definizione più corretta per i cybercriminali sarebbe quella di cracker, e non hacker; al massimo hacker cattivi. Allo stesso modo, quando senti parlare di white hat (cappello bianco) il riferimento è agli hacker etici, mentre il termine black hat (cappello nero) è relativo ai cracker.

Non sono comunque rari dei “cambi di fronte”: non è difficile sentir parlare di cybercriminali i quali, dopo essere stati arrestati e avere scontato una pena, sono diventati hacker etici, mettendo le loro conoscenze al servizio dei propri clienti.

L’hacker etico usa dei software, programmati da sé oppure già disponibili sul mercato, per mettere a dura prova le tecnologie su cui è chiamato a lavorare: le mette sotto stress per testare se resistono agli attacchi e deve fare di tutto per violarle scoprendone le vulnerabilità. Se scopre delle falle di sicurezza, poi collabora con le aziende per porvi rimedio.

A differenza degli hacker cattivi, dunque, gli hacker etici non sono spinti dalla sete di guadagno fraudolenta, né sono animati dalla volontà di nuocere. Stipulano contratti con le aziende che li ingaggiano e li rispettano alla lettera, fornendo un servizio di cui ci avvantaggiamo tutti.

Il termine “etico” non è utilizzato a caso, ha una ragione profonda: anche alcuni governi si affidano agli hacker etici per fare dello spionaggio informatico a danno di potenze estere ostili o di regimi. Si tratta quindi di un’azione per molti versi fraudolenta, fatta però per scopi nobili (almeno nei princìpi).

Immagina che il tuo account Google venga violato e le tue e-mail vengano fatte circolare, oppure che ti venga chiesto un riscatto per evitare che siano messe in circolazione. Un incubo, vero? Ma per fortuna anche Google, come tante altre aziende, impiega hacker etici ai quali affida, quotidianamente, la sicurezza dei propri server e dei servizi che fornisce. Il loro compito è quello di scoprire le vulnerabilità e di chiudere le falle prima che sia troppo tardi.

Gli hacker etici hanno contribuito — e contribuiscono — in maniera importante anche alla diffusione della filosofia open source, che ha già dato vita a programmi perlopiù gratuiti che rappresentano ottime alternative a quelli a pagamento disponibili per tutti. Alcuni esempi sono i famosissimi LibreOffice, Firefox, Thunderbird o il sistema operativo Linux, ma in realtà moltissimo software che usiamo ogni giorno ha almeno una base open source (es. il browser Chrome).

Insomma, gli hacker non sono criminali: sono tutt’al più persone che non si riconoscono nelle logiche commerciali o in quelle politiche. Il motto di un hacker etico è “hackera tutto ma non fare male a nessuno”.

Stiamo attraversando un momento storico in cui la cyber criminalità finisce spesso al centro dell’attenzione dei media. Il costante aumento di attacchi malevoli è un motivo che giustifica la crescente richiesta di hacker etici anche da parte di piccole e medie imprese che vogliono proteggere i propri dati, le proprie infrastrutture, i propri prodotti e, non da ultimo, i loro clienti.

Il lavoro di un hacker etico serve a trovare risposte a domande fondamentali: quali sono le falle nella sicurezza dell’infrastruttura o dei prodotti di un’azienda? quali sono le debolezze dei software o dell’hardware? ci sono dei dipendenti che, con il loro comportamento, mettono a rischio la sicurezza? come verrà sferrato il prossimo potenziale attacco informatico?

Per trovare queste risposte, l’hacker etico usa una serie di tecniche che mettono sotto stress ogni possibile via d’accesso ai malintenzionati. Tra queste tecniche le più famose sono gli attacchi dall’esterno e quelli dall’interno. Nella prima categoria, per esempio, rientrano gli attacchi DDoS (Distributed Denial of Service, in italiano letteralmente “negazione distribuita di servizi”) dei quali ha sicuramente già sentito parlare: un servizio o un server vengono bombardati da tante richieste simultanee fino a quando esaurisce le risorse di cui dispone, smettendo così di funzionare.

Tra gli attacchi interni più diffusi figura l’attitudine a sfruttare l’imprudenza di un dipendente per fare entrare dei virus in un’azienda. Quando le difese aziendali sono molto buone e quindi difficili da violare, i cyber criminali possono scegliere di fare entrare dei file malevoli trasmettendoli, per esempio, ai computer portatili dei dipendenti i quali, involontariamente, li trasmettono ai server aziendali. Un’altra tecnica è l’ingegneria sociale, della quale ti parlerò tra poco.

Cosa studiare per diventare hacker etico

linguaggi programmazione

Prima di parlare del percorso di studi da fare, è opportuno indirizzarti al meglio: l’etica, anche nell’hacking, è soprattutto un modo di pensare e di intendere le cose. Puoi avere conoscenze di informatica molto approfondite ma se non le interpoli nel concetto ampio di etica, non potrai mai raggiungere il tuo obiettivo. I grandi argomenti su cui si erige l’hacking sono:

  • L’inglese
  • I sistemi operativi e la loro amministrazione
  • I linguaggi di programmazione (Ruby, HTML, JavaScript, C, C++, Python e altri ancora)
  • I database relazionali (MySQL, SQL, Oracle e altri ancora)
  • Il networking (le reti di computer)
  • L’ingegneria sociale
  • Gli strumenti di monitoraggio e analisi di tutte le discipline qui elencate.

L’ingegneria sociale merita un chiarimento: tra le tecniche di hacking sta prendendo sempre più piede lo studio delle abitudini dell’uomo, dei suoi gusti, dei suoi amici, dei luoghi che frequenta e altre informazioni che possono rivelarsi utili, per esempio, per “indovinare” le password che usa.

Durante l’estate del 2020 alcuni personaggi famosi (tra i quali il CEO di Tesla Elon Musk e il fondatore di Microsoft Bill Gates) hanno scritto dei tweet in cui sostenevano di essere molto fortunati e, per gratitudine, avrebbero restituito il doppio della cifra a chi avesse fatto una donazione a un conto Bitcoin da loro specificato. Ovviamente si è trattato di una truffa ma, la cosa più interessante, è che non sono stati creati account Twitter falsi, né sono stati violati gli account delle persone coinvolte. Grazie all’ingegneria sociale, i malintenzionati hanno scoperto la password di uno degli amministratori di sistema di Twitter. Una volta in possesso delle credenziali appropriate, interagire in modo fraudolento con gli account degli utenti è stato facile.

Questo spiega perché non è mai consigliabile utilizzare come password date di nascita di persone a te care, il nome del tuo animale domestico o quello dei tuoi genitori. In questo articolo ti ho mostrato come creare una password sicura ed efficace.

Se gli argomenti da studiare in modo approfondito ti sembrano tanti, devi sapere che qui ho citato soltanto quelli più corposi. Come ho scritto sopra, l’hacking è un modo di vivere e, come tale, deve assorbire tutta la tua curiosità, la tua costanza e gran parte del tuo tempo libero. È una materia vasta e in continuo fermento, non esiste il punto in cui puoi dire di sapere tutto; c’è sempre altro da studiare, da provare e da approfondire. Come in ogni altra cosa imparerai molto dai tuoi errori e ti serviranno per diventare sempre più capace.

C’è però un “trucco”: tutti gli argomenti che devi imparare a padroneggiare hanno una logica comune e, nonostante il percorso di formazione sia molto lungo e variegato, il punto di partenza è un libro che ogni informatico conosce come le sue tasche, ovvero Reti di computer di Andrew S. Tanenbaum e David J. Wetherall.

Reti di calcolatori
Vedi offerta su Amazon

Un altro libro che ti consiglio di leggere è Computer Security: Principles and Practice di William Stallings e Lawrie Brown. È scritto in inglese e, se vuoi dedicarti alla carriera dell’hacking, leggere in modo agevole la lingua di Shakespeare non deve essere un problema.

Computer Security: Principles and Practice, Global Edition
Vedi offerta su Amazon

Infine, ti consiglio un libro interessante, molto affine all’hacking etico: si tratta di Digital Forensics di Gabriele Faggioli e Andrea Ghirardini, in cui viene descritto il procedimento investigativo per estrarre dati e informazioni digitali utili in sede di processo. Il luogo in cui è avvenuto un crimine può essere un computer o, appunto, un attacco informatico perpetrato a distanza. Le indagini informatiche forensi sono una vera e propria scienza che si fonda su metodi, analisi e protocolli.

Digital Forensics: nuova edizione aggiornata (Hacking e Sicurezza Vol....
Vedi offerta su Amazon

I corsi in Italia

hacking etico italia

Passiamo adesso ai corsi per diventare hacker etico. Ci sono sempre più atenei sensibili ai richiami dell’hacking etico. Il Dipartimento di ingegneria dell’Università di Modena e Reggio è stato tra i pionieri, proponendo già nel 2016 un corso di specializzazione in cyber security.

Anche la Statale di Milano offre dei corsi di laurea, così come fa il Politecnico di Milano. La Sapienza di Roma, l’Università di Genova e l’Università di Trento offrono dei master in sicurezza informatica.

A partire dal 2021 anche l’Università di Udine ha avviato un corso di laurea magistrale in cybersecurity. La crescente offerta formativa la dice lunga sulla necessità di hacker etici. In informatica si dice che l’unico sistema sicuro è quello spento, senza cavi e chiuso in una cassaforte.

Nonostante l’abbondanza di corsi di formazione, non è necessaria una laurea, così fosse ti consiglierei un percorso universitario che, ovviamente, è sempre un buon ciclo di studi, m, nel vasto mondo dell’hacking non è prerequisito essenziale. È anche vero che in Italia, relativamente alla sicurezza informatica, stanno sbocciando corsi a iosa, chiamati bootcamp, college o campus, ma quanti siano veramente validi ce lo dirà soltanto il passare del tempo.

I corsi all’estero

Massachusetts Institute of Technology

All’estero il discorso è un po’ differente. Resta indiscutibile che non ci sia un percorso standard da seguire per diventare hacker, ma nei paesi anglofoni e nell’Europa dell’est, ci sono molti master e corsi di specializzazione in cybersecurity, organizzati da atenei e strutture scolastiche dotate di fondi a sufficienza per creare laboratori di alto livello in cui fare test e “smanettare”.

Nel panorama della sicurezza informatica si sta facendo strada l’Università di Coventry (nel Regno Unito) che offre corsi di alto livello a un prezzo di un certo rilievo, le tasse universitarie sono di circa 14.000 euro.

Quando si parla di informatica non si può fare a meno di citare l’università per antonomasia, ovvero il Massachussetts Institute of Technology (MIT) di Cambridge, che organizza anche corsi intensivi in cui vengono affrontati temi specifici della sicurezza informatica. Anche in questo caso il prezzo è elevato; un corso di 5 giorni costa 5.000 euro.

Per quanto possa sembrare strano, ottimi percorsi di formazione sono anche quelli organizzati dalle autorità governative cinesi e da quelle della Corea del Nord, che concedono privilegi alle famiglie dei ragazzi ingaggiati per coltivare l’arte dell’hacking (in questi casi, però, non a scopo etico). Come puoi immaginare questi percorsi non sono aperti al pubblico.

I corsi online

corsi online hacking etico

Adesso passiamo ai corsi online. L’offerta su Internet è sterminata, diventa quindi molto importante sapere scegliere bene. I vantaggi dei corsi online sono soprattutto logistici ed economici. Non hai bisogno di spostarti, puoi seguirli comodamente da casa durante gli orari per te più appropriati e puoi cominciare anche da corsi di base, che puoi seguire pure non avendo competenze specifiche. Udemy uno per chi di hacking non sa nulla e, oltre a essere fatto bene, costa poco (14,99 euro, nel momento in cui scrivo).

Ti segnalo anche il percorso organizzato dall’EC-Council, un’organizzazione che si occupa di sicurezza informatica che ha approntato una serie di corsi con l’intento di rilasciare una certificazione a chi li frequenta, ossia una dichiarazione che ne comprova le competenze. Il costo dei corsi, situato tra i 2.100 euro e i 2.500 euro, induce a essere certi di volere approfondire gli argomenti trattati. Si tratta di una cifra importante ma seguire un corso in presenza, magari all’estero, comporta costi molto più elevati.

Gli hacker etici, di norma, sono abbastanza lontani dalle logiche delle certificazioni e degli attestati di frequenza. Le aziende che li assumono però dimostrano di gradirli. Ti rinnovo, comunque, l’invito a stare alla larga da corsi “fuffa”: prima di mettere mano al portafogli e partecipare a qualsiasi corso, cerca online delle recensioni indipendenti e verifica se quello che lo propone è un sito affidabile.

Quanto guadagna un hacker etico

quanto guadagna un hacker etico

A questo punto, dopo aver capito grossomodo come diventare hacker etico, potrebbe sorgerti spontanea un’altra domanda: quanto guadagna un hacker etico? Ebbene, quello del lavoro è un mercato come tutti gli altri e, di conseguenza, è regolato dalla legge della domanda e dell’offerta.

Gli hacker etici sono relativamente pochi, meno di quelli richiesti dalle aziende e questo si traduce in uno stipendio corposo, anche se non faraonico. Secondo il sito Jobbydoo, un portale dedicato a chi offre e a chi cerca lavoro che recensisce anche gli stipendi medi delle categorie professionali, un hacker etico percepisce circa 82.000 euro annui, ossia 3.700 euro mensili netti.

Negli Stati Uniti gli stipendi di variano dagli 80.000 dollari fino ai 128.000 dollari all’anno (dai 67.000 euro ai 113.000 euro), così come certificato dal sito salary.com, portale americano dedicato al mondo del lavoro e agli inquadramenti salariali)

All’estero gli stipendi sono più alti soprattutto per chi ha seguito un percorso di studi che certifichino le capacità e le attitudini, fino a 220.000 dollari l’anno (185.000 euro circa) ma, soprattutto al di là dell’Atlantico, le imprese sono molto più sensibili al tema della sicurezza.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.