Gli hacker della speranza

L’ultima speranza di internet sono gli hacker. Lasciateli irrompere indisturbati, lasciate che scovino le falle delle più importanti reti, delle banche dati e dei sistemi di pagamento. Sfruttate la loro creatività al posto di sguinzagliare la polizia contro di loro. Soprattutto, premiateli per ogni falla scovata.

Questo è il messaggio lanciato da HackerOne, start-up costituita nel 2014. HackerOne è una piattaforma d’incontro per hacker e aziende, volta alla lotta contro la criminalità informatica.  
Solo pochi anni fa, i responsabili della sicurezza avrebbero scosso la testa in disapprovazione se qualcuno avesse raccontato loro di questa impresa: “Degli sconosciuti che frugano nella nostra rete? Mai!”. Eppure, HackerOne tocca il nervo scoperto di un problema molto attuale. Infatti, alla luce dei sempre più ingegnosi attacchi alla sicurezza delle reti informatiche, il numero di aziende alla disperata ricerca di nuove soluzioni è in costante crescita. 

Nel frattempo, oltre 2.000 informatici sono attivi sul sito di HackerOne e hanno aiutato a chiudere circa 14.000 falle di sicurezza. La società cresce di mese in mese del 10% e ha pagato finora un importo pari a quasi 5 milioni di dollari in Bug Bounties. Bug Bounty è il nome che HackerOne ha dato ai premi erogati per ogni falla di sicurezza trovata. La maggior parte dei premi è andata a un centinaio d’informatici particolarmente abili.

Tra i clienti di HackerOne, vi sono aziende come Yahoo, Twitter, Snapchat, Airbnb, banche, aziende petrolifere, spedizionieri, ma anche centinaia di piccole imprese.  Il successo di HackerOne dimostra che sempre meno aziende si sentono protette e capaci di affrontare da soli gli attacchi informatici. Chi potrebbe aiutarle meglio se non chi è specializzato in attacchi informatici?

La sede di HackerOne è in un affollato ufficio open space nel centro di San Francisco. Il consueto scenario di un’impresa start-up: persone giovani davanti a grandi schermi e un angolo cucina in cui piatti e tazze si accumulano. Tutto sembra improvvisato e provvisorio, come se l’insieme dei beni aziendali potesse essere imballato in mezz’ora.

Nel linguaggio della Silicon Valley, la storia di HackerOne è considerata “una storia sexy”. Con solo due giri di finanziamento, è riuscita a raccogliere 34 milioni di dollari dai più famosi investitori in capitali di rischio. Il capo e cofondatore Merijn Terheggen spiega così la base del suo business: “Ogni due anni, le prestazioni dei chip integrati nelle nostre macchine raddoppiano. Ogni paio di mesi raddoppia la complessità delle applicazioni. Così, il numero delle falle di sicurezze cresce esponenzialmente. Oggi le aziende investono in sicurezza informatica molto più di ieri. Ciononostante, hanno più problemi di prima.“

La conclusione che ne trae Merijn è: “Nei prossimi 18 fino 24 mesi le aziende più importanti al mondo avranno sviluppato un programma analogo al nostro Bug-Bounty-Program. Come leader di settore, siamo nella posizione ideale per aiutarli.”

Un mercato pericoloso

Merijn Terheggen è di origine olandese e ha già fondato diverse società in California. Nel 2011, incontrò ad Amsterdam i pirati informatici Michiel Prins e Jobert Abma. “Avevano rispettivamente 20 e 21 anni, ed erano già dei veterani nel giro. Erano così incredibilmente brillanti, che ne fui infastidito” racconta Terheggen. Prins e Abma erano entrati in centinaia di reti di aziende tecnologiche e avevano trovato falle di sicurezza ovunque. Loro chiamarono la lista di queste aziende la “Hack100”. Quando informarono i rispettivi responsabili della sicurezza informatica delle aziende coinvolte, solo un terzo dei responsabili affidò loro l’incarico di chiudere le falle.  

Sheryl Sandberg, Direttore Generale di Facebook, stampò l’email dei due olandesi e la inoltrò all’allora responsabile della sicurezza informatica Alex Rice. Egli li invitò a pranzo, pagò loro un Bug-Bounty di 4000 dollari e li incaricò di continuare ad assisterlo. Un anno dopo, insieme a Prins e Abma, fondò HackerOne.

Nel 2015, il film “Hackers” festeggia il suo ventesimo anniversario. L’ambiente attuale non ha mantenuto nulla del romanticismo del film. “Sempre più spesso  incontriamo piccoli gruppi o individui criminali con capacità che prima erano prerogativa delle istituzioni pubbliche”, racconta Michael V. Hayden, ex direttore della National Security Agency (NSA).

Nell’ottobre scorso, il “Washington Post” scrisse un articolo su un gruppo chiamato Kosova Hacker’s Security (KHS). Avevano rubato da un sito di un rivenditore online americano 100.000 dati personali di clienti, tra cui 1.351 impiegati militari. KHS vendette i dati al miglior offerente: lo stato islamico (IS). Junaid Hussain, membro britannico dello stato islamico, pubblicò le informazioni, inclusi gli indirizzi e i numeri di telefono, annotando: “I nostri guerrieri vi batteranno sul vostro proprio territorio”. Il leader del gruppo KHS fu catturato in Malesia. Hussain fu ucciso da un drone in Siria.

Un’alternativa pulita

Nell’etere si scatena una guerra, i cui campi sono invisibili. Tutti i sistemi sono attaccati di continuo.  Terheggen dice: “Tutte le reti sono testate di continuo. Ma non sappiamo da chi, e riceviamo i risultati quando è tardi.” Il gigante del commercio al dettaglio Target ha saputo di un errore di programmazione solo dopo che quaranta milioni di dati di clienti erano stati rubati.

Tra le vittime di attacchi spettacolari ai sistemi informatici ricordiamo Sony, il Ministero della Difesa USA, la filiale americana della Deutsche Telekom e FCA (Fiat Chrysler Automobiles).

Queste organizzazioni si trovano in uno stato permanente di difesa – senza sapere né da dove arriveranno gli attacchi né fino a quale profondità si estenderanno.

La società di telecomunicazioni Verizon analizzò migliaia di attacchi e scoprì che nel 2015 il 60% degli attacchi causarono danni ingenti in pochi minuti. Nella maggior parte dei casi è impossibile determinare se l’attacco sia stato inflitto per mano della NSA, da un giovane annoiato in Sudafrica oppure da un proprio collaboratore. “Tutte le tecnologie hanno debolezze e se non si crea stimoli per gli hacker che li motivino a indicare le debolezze in modo legale, ci si ritrova a scoprirle attraverso gli attacchi dal mercato nero”, dice Alex Rice.

Il principio dei Bug-Bounty si basa sul fatto che l’uomo è fondamentalmente buono. Perlomeno, lo è la maggior parte dell’umanità. Dan Kaminsky, una star nel giro dei cosiddetti “Ricercatori della sicurezza”, dice: ”Quando i primi programmi di sicurezza furono introdotti, temevo che le organizzazioni avrebbero ricattato le aziende. Invece, sono sorpreso di come fino a ora il tutto si sia svolto in modo così civile. I Bug-Bounty-Programs aiutano soprattutto le piccole aziende, che non possono permettersi una propria divisione di sicurezza e che adesso possono contare su un pool globale di talenti.”

Nel mondo esistono 18,5 milioni di programmatori. Terheggen stima che il 99% di loro non abbia cattive intenzioni.  Scoprire una falla di sicurezza e vendere le relative informazioni non è illegale. E’ punibile soltanto chi arreca danni e chi contravviene le regole, che le singole aziende definiscono al proprio interno. La maggior parte dei programmatori, attaccano per il brivido della sfida, ma non hanno interesse a rivendere le loro scoperte a dittatori e terroristi.

Olivier Beg di Amsterdam è tra i giovani uomini di cui parla Terheggen. Il diciottenne vive in casa con i suoi genitori, va a scuola e ha già guadagnato 45.000 dollari con HackerOne. Sul mercato nero avrebbe potuto guadagnare molto di più, ma dice: “Non dò informazioni a nessuno, se non so cosa questa persona ne farà. Una persona del governo offrì 3.000 dollari per un piccolo bug nel sistema WordPress. Rifiutai.” Olivier Beg è contento di poter entrare in contatto con le aziende nella cui rete è riuscito a irrompere in modo legale, diretto e trasparente.   

Vincono i migliori

Nessuno meglio di Katie Moussouris può spiegare come funzionano i Bug-Bounty-Programs. Tempo addietro, ne sviluppò uno per Microsoft – contro una forte opposizione da parte del management. Oggi porta il titolo di Chief Policy Officer in HackerOne. 

Innanzitutto, bisogna capire come funziona il business degli attacchi informatici, cioè come funziona il business della ”economia della vulnerabilità”. Sul lato difensivo del mercato si trovano gli attori, chi acquista le informazioni ottenute attraverso le falle di sistema per rivenderle alle organizzazioni coinvolte. Possono essere broker che procurano informazioni specifiche su incarico di aziende, in modo da non arrecare danno. Anche i Bug-Bounty-Programs fanno parte di questa categoria. Di solito, ogni infiltrazione nel sistema (detta anche “hack”) rende tra 500 e 20.000 dollari. Ci sono stati casi isolati in cui Microsoft e Facebook hanno pagato oltre 100.000 dollari.

Sul lato offensivo del mercato si trovano gli stati e le organizzazioni criminali. Katie Moussouris racconta di avere visto modelli di business in cui gli acquirenti pagherebbero anticipi di sette cifre e, in base al bottino, successive centinaia di migliaia di dollari. Il loro scopo è nascondere gli errori di sistema dal mercato difensivo, per poterli sfruttare il più a lungo. 
Sul mercato grigio si scatenano i commercianti che acquistano e rivendono le informazioni al miglior offerente. Per lo più, in combinazione con un abbonamento a una consegna regolare di errori di sistema, per la quale il cliente pagherebbe un onorario annuale di centinaia di migliaia di dollari.
L’argomento che i superiori di Katie Moussouris in Microsoft usarono, fu: “Non potremo mai concorrere con questi mercati, perché non possiamo pagare milioni”. Katie chiarì che il suo programma non si sarebbe basato su un sistema d’asta. Il sistema si sarebbe basato piuttosto sull’offerta volta ai pirati informatici di uno stimolo mettendo così in discussione l’economia della vulnerabilità. 

“Se diventiamo il primo punto di riferimento per i pirati informatici, possiamo conoscere i nostri prodotti meglio e più in fretta. Più velocemente correggiamo gli errori, più velocemente si esaurirà il mercato offensivo intorno ai nostri stessi errori. A lungo termine, possiamo costruire una relazione duratura con i migliori programmatori nel mondo.” Per la maggior parte dei pirati informatici, il denaro non è la motivazione principale. Katie si stupisce di continuo degli idealisti che incontra.  

Secondo una sua stima, basata su impressioni personali, ci sarebbe nel mondo un migliaio di pirati informatici capaci di irrompere nei più complessi sistemi. La metà di queste persone lavorerebbe per il mercato della difesa, nonostante il guadagno sia minore. Lo scopo dei Bug-Bounty-Programs è di convincere i “superhacker” a non mettere il proprio talento a disposizione di oscure macchinazioni. 

Nell’estate del 2013, Microsoft avviò il suo primo Bug-Bounty-Program, poco prima di pubblicare Internet Explorer 11. Un mese dopo, furono segnalati 23 errori per cui ogni singolo attore del mercato offensivo avrebbe pagato somme di almeno sei cifre. 
L’idea dei Bug-Bounty-Programs non è nuova. Netscape la ebbe già nel 1996. Tuttavia, nessuno fino a oggi osò implementarla su larga scala, a parte HackerOne. Lo scienziato Merijn Terheggen dice: “Se riuscissimo a connettere l’intelligenza di migliaia di pirati informatici in tutto il mondo, potremmo affrontare meglio la battaglia contro il mercato offensivo.” 

La registrazione a HackerOne.com è gratuita per entrambe le parti. Non appena un pirata informatico (hacker) trova una falla significative nel sistema di un’azienda, può prendere contatto con essa. L’hacker e l’esperto di sicurezza della relativa azienda comunicano all’interno di un cosiddetto Workflow-Program che documenta ogni passo. Una volta risolto l’errore, HackerOne pubblica il protocollo di soluzione. In questo modo ispira gli altri pirati informatici e informa i mercati oscuri che l’errore non è più negoziabile. I pirati informatici sono valutati in base alla loro affidabilità e alla qualità del loro lavoro. Ora, al primo posto c’è Mark Litchfield di Las Vegas.

Il mercato determina l’importo del premio. Più generosa è l’organizzazione, più è probabile che siano i migliori a verificarne la rete. L’ammontare del premio cresce in proporzione all’importanza del problema risolto. La maggior parte dei premi per errori standard si aggira intorno a importi a tre cifre. “Ma, da noi, i migliori hacker possono vivere con il proprio guadagno”, dice Terheggen.

HackerOne chiede alle aziende il 20% del premio per coprire le tasse e costi di gestione relativi ai pagamenti agli hacker, che a volte possono essere ingenti. Alcuni dei migliori hacker vivono in luoghi sperduti nelle regioni siberiane o in Pakistan. 
L’unico cliente tedesco è Zalando. Il negozio online collabora con HackerOne da marzo del 2015. Il responsabile della sicurezza Christian Matthies è soddisfatto. “Mancava una piattaforma su cui pirati informatici e aziende potessero comunicare in modo regolato. Abbiamo redatto un elenco di problemi concreti, come la sicurezza delle carte di credito, e siamo riusciti a risolverne molti grazie a HackerOne”.

Zalando paga fino a 10.000 dollari per bug. Christian Matthies dice anche che questo tipo di programmi non è una panacea. “Perché funzionano in modo reattivo, solo dopo che i prodotti sono stati messi sul mercato”.  Ancora più importante dei Bug-Bounty-Programs è la sensibilizzazione e la formazione dei collaboratori affinché facciano attenzione agli aspetti inerenti la sicurezza quando programmano. Gli attacchi con le conseguenze peggiori – come quelli alla Sony e al Ministero della Difesa USA – sono stati risolti soltanto grazie all’aiuto di persone interne. Christian Matthies dice che un aspetto importante della sicurezza dei dati è sottovalutato anche da un punto di vista legale: é necessario verificare i propri collaboratori e limitarne l’accesso ai dati sensibili.

Christian Matthies non trova risposte al perché le aziende tedesche siano scettiche nei riguardi di programmi di questo tipo. Nel 2012, gli scienziati scovarono una falla di sicurezza nel sistema d’immobilizzazione delle auto. Il gruppo Volkswagen tentò di ottenere il silenzio sulla faccenda per via legale. “Le soluzioni del passato non funzionano più nel mondo di oggi”, dice Jay Kaplan, fondatore della società di sicurezza Synack. Per tenere testa ai pirati informatici, si necessita un sacco di persone esterne, che verifichino di continuo il sistema. Senza Bug-Bounty, non può funzionare.”

I grandi cambiano idea

In Russia, le più grandi società di internet si sono unite a HackerOne. Negli Stati Uniti, persino un’organizzazione conservativa come United Airlines svolge un Bug-Bounty-Program e già una volta pagò un premio di un milione di miglia.

Christian Matthies comprende gli scettici: ”Immagina di essere una banca. Lasceresti volontariamente che delle persone irrompessero nella tua banca, per scoprire se il sistema di allarme funziona veramente?” Con i Bug-Bounty-Programs ci muoviamo ancora in un’area grigia.

Eppure, sembra che sempre più organizzazioni siano stufe di sentirsi vulnerabili come una banca, con la paura quotidiana che dei delinquenti possano irrompere nelle loro reti. Il numero dei soggetti che si rivolgono a HackerOne, conferma questo trend. Google non ha solo iniziato a pagare premi da capogiro, ma ha avviato al suo interno un programma chiamato Project Zero.

Project Zero è un gruppo di pirati informatici assunti a tempo pieno per cercare falle nel proprio sistema e in quello di altre società. Nel giro di poche settimane trovarono falle nei sistemi di Adobe, nel programma di decrittazione Truecrypt, e in altri software di sicurezza. “Ognuno deve poter usare internet senza timore”, dice Chris Evans, fondatore di Project Zero. ”Abbiamo eliminato falle usate da organi statali per spiare difensori dei diritti umani e aziende.”

Da Apple, i pirati informatici scovarono falle rilevanti e, decorsi novanta giorni di preavviso, ne pubblicarono alcune prima che i produttori dell’iPhone si decisero di risolverle. Apple è une delle poche grandi aziende che ancora non ha un programma di questo tipo – nonostante gli esperti dicano che lo scandalo del furto delle foto di celebrità nude dalla loro iCloud noto come “The Fappening”, si sarebbe potuto evitare. Ciononostante Apple attende. Si dice che attenda perché le falle hanno un valore talmente alto sul mercato offensivo, che i premi sarebbero impagabili.

Rimane una sola domanda a Terheggen: la rete di HackerOne è mai stato attaccata? “Naturalmente no”, dice. “La nostra piattaforma è stata sviluppata dai migliori pirati informatici del mondo. Sicuramente, tutti coloro che lavorano in HackerOne verificano il sistema di continuo. La nostra piattaforma è il Santo Graal della sicurezza informatica.” Però Terheggen sa che un’affermazione di questo genere ha validità fino a quando un pirata informatico non proverà il contrario, infiltrandosi nella rete da uno sperduto villaggio del Pakistan o da un bar di Bogotá.

Fonte: brand eins 12/2015

Autore: Lars Jensen

Fotografie di: Tropicalpost / Peter Earl McCollough for the New York Times / Wikipedia

Traduzione di: Caecilie Olive Hechtel / Katri Gelati