Hacker è da tempo una parola che non ha più soltanto un’accezione negativa. Da anni infatti ha smesso di indicare il nerd nascosto dentro al cappuccio di una felpa, chiuso in una cantina zeppa di dispositivi informatici e intento a bucare i sistemi di sicurezza delle aziende e degli enti. Di hacker si parla anche in senso positivo, quando quello stesso soggetto conduce le stesse attività ma senza l’obiettivo di generare danni. Al contrario, il suo scopo è informare la vittima delle proprie vulnerabilità, per aiutarla a trovare soluzioni di cyber resilience e a irrobustire i sistemi di difesa da attacchi esterni.
Da anni, insomma, si parla di ethical hacker, locuzione che dice già tutto quel che serve per spiegare le azioni di chi si dichiara tale. Ma che non dice una cosa importante: si tratta di una delle professioni digitali più richieste, e con un trend in continua crescita. Ed è anche piuttosto remunerativa, che può arrivare a entrate medie lorde da 80 mila euro all’anno.
Ethical hacking nel dettaglio
L’ethical hacker – detto anche White Hat (cappello bianco) – può lavorare in due modi. Il primo prevede il suo inserimento in un team di penetration tester (come accade in HWG), dove conduce attività sistemistiche su un determinato perimetro. D’accordo con l’azienda cliente, viene effettuata una simulazione vera e propria, dopo aver definito i target e il tipo di stress test da condurre sui sistemi di sicurezza. Il team non dispone di nessuna chiave di accesso, e non dà alcuna informazione preliminare all’azienda: simula un attacco e ne vede gli effetti, senza ovviamente procurare danni o interrompere il business. L’hacker, insomma, è parte di una squadra.
Questo tipo di assetto, tuttavia, è minoritario. Normalmente l’ethical hacker è un cane sciolto, un freelance che agisce da solo (o in consorzio con altri suoi pari) e fornisce il proprio servizio alle aziende, come fosse un consulente. Spesso sono le aziende stesse a reclutarli attraverso i Bug Bounty, programmi specifici predisposti per permettere a sviluppatori esterni di scoprire e risolvere eventuali bug e vulnerabilità prima che diventino di pubblico dominio, ovviamente dietro adeguata ricompensa.
Il percorso formativo
Nel contesto di una professione in continua evoluzione, questo è un punto ancora poco definito. Di sicuro, non c’è un percorso accademico. «Esistono momenti di training per ottenere un minimo di background, ma il grosso è tutto affidato al fai da te», racconta Lorenzo Bernini, Cyber Security Manager per HWG. «Chi diventa ethical hacker lo fa dopo notti passate a documentarsi sulle novità, sull’emergere di nuove vulnerabilità, passate a leggere i forum di settore – prosegue –. Poi sale ogni gradino, partendo dall’attacco più semplice e via via fino a diventare un professionista capace di sferrare attacchi a grandi soggetti: multinazionali, governi. Per ottenere questo risultato l’ingrediente principale è il tempo».
Thomas Alva Edison, uno dei più grandi inventori di sempre, diceva che il genio è 1 per cento intuizione e 99 per cento dedizione. La sua massima si attaglia perfettamente al profilo dell’hacker etico, che ha certamente bisogno di una dote e di un’attitudine, ma che non può fermarsi a quelle. Soprattutto in assenza, come detto, di un percorso formativo di livello accademico e con le attività di penetration test sempre più richieste.
«Il tempo è tutto – conclude Bernini –. Poi, certo, ci sono le conoscenze. Per l’hacker etico serve un mix equilibrato di programmazione e di conoscenza dei sistemi, del networking. La prima serve come base informatica, la seconda perché devi conoscere il contesto in cui vai a muoverti».
