Eroi contro emarginati. Il termine “hacker” ha diviso per molto tempo l’opinione di esperti, media e pubblico tra questi due poli, rafforzando i cliché legati a questa controversa figura. Ma come si può spiegare questa polarizzazione? In termini di sicurezza, le aziende possono trarre dei benefici collaborando con questi specialisti?
“Essere un hacker significa principalmente essere in grado di manipolare un oggetto o sistema in modo da conferirgli un nuovo obiettivo. Per semplificare, chi è capace di utilizzare un bollitore per accendere un barbecue può essere definito un hacker”, afferma Paul Fariello, membro del Security Intelligence Team di Stormshield. La comunità hacker è essenzialmente costituita da membri appassionati di IT e sicurezza, caratterizzati dall’abilità di trovare soluzioni creative alle sfide – soluzioni che spesso sfociano nell’illegalità. Per gli esperti di sicurezza informatica, queste competenze sono particolarmente preziose e attribuiscono al termine “hacker” una connotazione positiva. Nonostante questo, ci chiediamo: perché a tutt’oggi la parola richiama alla mente di chi svolge tutt’altro lavoro un immaginario popolato di pirati malvagi e incappucciati?
Cultura dell’anonimato contro esposizione mediatica
Gli hacker sono spesso percepiti come un gruppo di individui che agiscono nell’ombra, segretamente, ai margini della società. Una visione che alimenta le più astruse dicerie su questi personaggi. “In realtà esiste una vera e propria comunità, con tanto di raduni (come DefCon a Las Vegas, o Hack a Parigi) e guru. Ma queste persone sono raramente note ai non addetti ai lavori, perché la loro reputazione è basata sul riconoscimento di competenze tecniche che solo gli altri membri del gruppo possono valutare”, dichiara Fabrice Epelboin, imprenditore e docente presso l’Istituto Universitario Sciences Po. Tuttavia, molti nomi oggi suonano familiari al pubblico: Kevin Mitnick, a.k.a “Il Condor”, è stato il primo hacker a comparire nella lista dei dieci latitanti più ricercati dall’FBI. Più recentemente, le vicende di Julian Assange e Edward Snowden hanno sortito un gran clamore sia a livello mediatico, sia a livello politico.
“La cultura hacker non è una celebrazione dell’ego o dell’ultra-individualismo. Diversi grandi gruppi di cyberattivisti, come Telecomix (molto attivo durante la Rivoluzione Araba, durante la quale ha aiutato siriani ed egiziani a bypassare la censura su Internet), hanno una struttura completamente decentralizzata, senza nessun ordine gerarchico. Lo stesso vale per Anonymous: il singolo si fonde nel gruppo il cui obiettivo è raggiungere una massa critica” aggiunge Epelboin. In molti casi, l’anonimato dietro al quale si nascondono genera stereotipi negativi attorno alla collettività dei cyberattivisti. È un po’ come se, quando si tratta di politica, parlassimo costantemente di abuso d’ufficio. Con la comunità hacker, le persone tendono a concentrarsi solo sulla nozione di pirata informatico”, conclude Epelboin. Questa visione ristretta permea qualsiasi cosa, dalla cultura pop (nelle serie TV come Mr Robot) fino alle immagini di catalogo presenti in rete, dove risulta difficile, se non quasi impossibile, trovare una foto di un hacker che non sia una figura anonima incappucciata.
Eppure, esiste un’ampia gamma di “profili” hacker. Le persone parlano di black hats – cybercriminali attratti dalle frodi bancarie – e di white hats – hacker che promuovono l’etica e si dipingono più come cyberattivisti che come pirati informatici. Chi agisce nell’intersezione di questi due poli opposti viene definito grey hat. Microsoft ha addirittura inventato una propria denominazione: con il termine blue hats si riferisce agli esperti di sicurezza informatica incaricati di scoprire vulnerabilità nei sistemi di sicurezza. Distinguere le figure tra loro può rivelarsi alquanto arduo. Per comprendere quale categoria di profilo assegnare ai singoli è infatti necessario considerare anche il tipo di rapporto che essi intrattengono con le autorità e i Paesi.
Relazioni ambivalenti con le autorità
Alcuni hacker sono, chiaramente, perseguiti dal sistema legale e definiti criminali. Altri si pongono come obiettivo quello di destabilizzare le forze politiche, diventando pedine di un vero e proprio combattimento geopolitico (il clima di tensione attuale nella guerra informatica tra gli Stati Uniti e Russia è una dimostrazione di questa dinamica). Altri non si considerano affatto criminali bensì cyberattivisti o “hacktivisti”. Ad esempio, la comunità di hacker tedesca ha instaurato una relazione piuttosto amichevole con il governo. Addirittura, in alcune situazioni, il Paese attribuisce loro lo status di “consulenti”. “In Germania, i pirati informatici sono una figura accettata nel panorama politico” sottolinea Fabrice Epelboin. “Il Chaos Computer Club, un gruppo di lunga data, opera secondo un’ottica consulenziale e collabora regolarmente con il governo. Ricordo un episodio particolare nel quale, per dimostrare l’assurdità della proposta di utilizzare sistemi di sicurezza biometrici, avanzata dal governo Merkel, i membri del CCC hanno fornito un resoconto dettagliato, spingendosi addirittura a clonare l’impronta digitale del Ministro dell’Interno tedesco.” Una relazione molto meno idilliaca, caratterizzata a tratti da una grande diffidenza invece, quella della comunità di hacker francesi con il governo. “In Francia, la comunità si è velocemente infiltrata nei servizi segreti” aggiunge Epelboin. Per la sua l’attività di divulgazione in Rete di informazioni riservate dell’Agenzia Nazionale di sicurezza sanitaria dell’alimentazione, dell’ambiente e del lavoro (ANSES), Olivier Laurelli, a.k.a Bluetouff, figura molto nota nella comunità hacker francese e fondatore del sito reflets.info, è stato condannato in tribunale per atti di pirataggio informatico e furto di dati. Un caso che mostra il livello tensione tra la comunità hacktivista e le autorità giudiziarie francesi.
Verso una normalizzazione di questa comunità?
I tempi potrebbero però essere cambiati. Le aziende si stanno rendendo conto che lavorare con questi esperti di sicurezza rientra nel loro interesse, anche se questo comporta il chiudere un occhio sui loro metodi poco “convenzionali”. Una cultura, quella della “caccia al bug”, che prevede la collaborazione di aziende con hacker che ricerchino eventuali falle nei loro sistemi informatici dietro compenso, foriera di un cambiamento di paradigma. “Per difendere al meglio le loro infrastrutture, le società non esitano più a far capo ai servizi degli hacker” conferma Paul Fariello, confrontandosi cosi con le vulnerabilità presenti nei sistemi. Ma solo pochi sono preparati a comunicare questi accordi. Aziende del calibro di Société Générale, Qwant e Hewlett-Packard hanno dichiarato pubblicamente di essersi avvalse di strategie “bug bounty”. Ma è ancora difficile trovare dati in proposito.
I grandi cybercriminali di ieri, come Kevin Mitnick e Brett Johnson, lavorano oggi come consulenti di sicurezza per le aziende. Informatori come Julian Assange e Edward Snowden sono ancora considerati dei criminali – c’è chi li definisce addirittura traditori della patria (come Snowden negli USA), cosa che dimostra che il processo di normalizzazione voluto da alcune persone è lontano dall’essere completo e che gli hacker rimarranno una figura controversa ancora per molto tempo.
