Hackers all'attacco della U.S. AIR FORCE (che ringrazia)!

(di Ciro Metaggiata)
28/04/20

The Defense Digital Service is a SWAT team of nerds working to improve technology across the Department of Defense”. Questa frase campeggia nella homepage del Defence Digital Service DDS, un’agenzia del Dipartimento della Difesa degli Stati Uniti d’America che ha per missione l’innovazione e la trasformazione in senso tecnologico del predetto Dipartimento e, in particolare “use design and technology to improve government services, strengthen national defense, and care for military members and their families”. Per fare ciò, l’agenzia conta tra le proprie fila, oltre a interessantissime figure professionali come quella dei “bureaucracy hackers”, anche i citati “nerds”, che il sito Garzanti Linguistica definisce “nell’uso giovanile, giovane dall’aspetto goffo e insignificante, che sublima la propria condizione con una grande abilità e passione per computer e videogame | studente che ottiene buoni risultati grazie all’ostinata applicazione, ma non brilla per intelligenza; secchione”.

Ma che apporto potrà mai dare un’agguerrita squadra di “secchioni” al Dipartimento della Difesa della superpotenza militare per eccellenza? Certamente hanno delle validissime idee di successo che ad altri, evidentemente, non vengono in mente. Un chiaro esempio è il programma “Hack the Pentagon”, che ha dato origine ad altre iniziative molto interessanti nel campo del bug hunting, tra cui, in ordine di tempo, si è posta in evidenza “Hack the Air Force 4.0”, che ha visto verso la fine del 2019 un “battaglione” di hackers lanciarsi all’assalto dell’infrastruttura tecnologica dell’aeronautica statunitense.

Vediamo in cosa consiste questo genere di attività e quali risultati consente di ottenere

Più di una volta, su queste pagine, si è cercato di valorizzare la figura dell’hacker etico (o white hat hackers) che, essenzialmente, è un appassionato di informatica che si dedica a ricercare le vulnerabilità di sicurezza dei sistemi informatici (errori di programmazione e/o di configurazione), segnalandole al relativo sviluppatore piuttosto che all’utilizzatore o alle autorità.

Nata come una figura per certi versi “romantica”, contrapposta a quella dell’hacker non etico (o black hat hacker), che sfrutta le vulnerabilità di sicurezza per attaccare i sistemi, quella dell’hacker “buono” è divenuta nel tempo anche una riconosciuta figura professionale. Peraltro, per accedere a tale professione è necessario conseguire impegnative certificazioni basate su standard internazionalmente riconosciuti, tanto che la figura del Certified Ethical Hacker è molto richiesta da parte sia di aziende private che di organizzazioni statali.

Proprio tale preziosa figura, mai sfruttata abbastanza nel nostro Paese, soprattutto nella sua declinazione “amatoriale”, è al centro dei programmi di bug hunting (o di bug bounty) come Hack the Air Force 4.0, che si pongono l’obiettivo di cercare le falle di sicurezza dei sistemi informatici mediante competizioni tra hackers. In particolare, la competizione riguardante i sistemi dell’aeronautica statunitense si inquadra nella più ampia iniziativa “Hack the Pentagon”, programma di bug bounty lanciato nel 2016, ideato e gestito dal citato DDS avvalendosi dell’azienda di servizi HackerOne, che funge da interfaccia con una community a livello globale che conta più di 500.000 hacker etici.

Nello specifico, tale programma si pone l’obiettivo di organizzare ed eseguire eventi di bug hunting focalizzati sui sistemi del Dipartimento della Difesa, al fine di rilevare e risolvere eventuali falle di sicurezza sconosciute persino ai rispettivi produttori. Ancorché la maggior parte degli hacker etici sia mossa da motivazioni che riguardano la gratificazione personale, tali eventi prevedono dei premi in denaro per i vincitori. In tale contesto, negli scorsi mesi di ottobre e novembre si è svolta la citata Hack the Air Force 4.0, una competizione che ha visto impegnati 60 hackers coordinati da HackerOne, nello “stress test” dal punto di vista della sicurezza del Virtual Data Center della U.S. Air Force, ossia il cloud che eroga i servizi informatici della Forza Armata. La quarta edizione della competizione dedicata all’Aeronautica ha consentito di rivelare ben 460 vulnerabilità di sicurezza e ha permesso di elargire premi per 290.000$.

Nel complesso, Hack the Pentagon ha permesso di scoprire 12.000 vulnerabilità fino ad allora sconosciute e che sarebbero potute essere scoperte e sfruttate da qualche malintenzionato. Insomma, quest’ultima edizione, a detta dei responsabili del programma, ha confermato che si tratta di un programma di successo sotto molti punti di vista. Immaginiamo quali possano essere i punti di forza dei programmi di bug hunting del DDS e, in generale, di iniziative simili.

Il primo, più immediatoconsiste nel consentire al Dipartimento della Difesa di rendere i propri sistemi certamente più sicuri, in quanto le falle di sicurezza sono ovviamente prontamente rimosse prima di venir rese pubbliche, di conseguenza gli hacker non etici si dovranno impegnare molto di più nel scovare eventuali ulteriori vulnerabilità. Anche l’aspetto finanziario del programma è evidentemente vantaggioso, visto che prosegue ormai da 4 anni. Probabilmente, i premi in denaro, gratificanti per i vincitori, sono degli investimenti particolarmente vantaggiosi anche per il Dipartimento, conscio delle “parcelle” molto più alte degli hacker certificati e delle aziende in cui operano. Oltretutto e questo è il terzo aspetto di successo, ricorrendo ai programmi di bug hunting non ci si affida a un’azienda in particolare, bensì a una comunità eterogenea di hacker, ognuno con capacità ed esperienze diverse e soprattutto non legati ad alcun specifico produttore di hardware o software. Ciò, consente di ottenere dei risultati realmente indipendenti, che peraltro non sono frutto di un asettica valutazione “in laboratorio”.

Per capire meglio le potenzialità dei programmi di bug hunting, si pensi che con la stessa metodologia, lo scorso anno, mediante una competizione tra hacker sviluppata in due fasi e dedicata al jet F-15 dell’U.S. Air Force, sono state scoperte alcune vulnerabilità di sicurezza di un sistema critico per l’intera piattaforma d’arma, ossia il Trusted Aircraft Information Download Station, deputato a raccogliere i dati acquisiti dai sensori e dalle telecamere dell’aereo durante il volo. Tant’è, che nei piani del DDS c’è l’intenzione in futuro di mettere alla prova anche i vettori aerei veri e propri, nonché le piattaforme satellitari. Altro punto positivo delle competizioni di bug hunting con molta probabilità consiste nella "fidelizzazione" degli hacker con le Forze Armate e il coinvolgimento del mondo industriale. Insomma, l’instaurazione di quel circolo virtuoso che in molte sedi, comprese queste pagine, è stato evidenziato essere uno degli elementi che dovrebbero stare alla base di una strategia di cyber security nazionale. In tal modo, infatti, i militari prendono coscienza dell’ineludibile esigenza di potersi avvalere di sistemi ideati e sviluppati per essere sicuri, senza trascurare alcun aspetto e della necessità di doverli testare continuamente durante l’intero ciclo di vita, dalla loro acquisizione alla dismissione. Dall’altro lato, gli hacker etici, oltre a cimentarsi in sfide stimolanti, sanno di rendersi utili per il proprio Paese, contribuendo attivamente alla sua sicurezza. Oltretutto, le Forze Armate possono fare scouting e gli hackers possono valutare l’opportunità di intraprendere la carriera militare. Infine, ultimo aspetto, le aziende vengono spinte a sviluppare software hardware sempre più sicuri, magari assumendo proprio gli stessi hacker che scoprono le falle dei loro sistemi. Certo, secondo il DDS ci sono anche alcuni lati negativi da migliorare, principalmente riferiti agli aspetti legali dei contratti di cui si avvale il Dipartimento della Difesa per la fornitura e gestione dei servizi informatici. Tuttavia, il bilancio di competizioni quali Hack the Air Force è certamente di gran lunga positivo per tutte le parti coinvolte.

Al termine di questa breve disamina dei programmi di bug hunting del DDS, giova evidenziare ancora una volta quanto il variegato mondo degli hacker etici possa rappresentare, anche per l’Italia, una validissima risorsa. In questo periodo caratterizzato da migliaia di drammi familiari causati dalle conseguenze della COVID-19, emerge ancor di più forte l'ineludibile esigenza di poter disporre di sistemi, reti e servizi informativi che siano in grado di garantire un adeguato livello di sicurezza. Da essi, peraltro, non dipendono soltanto le nostre vite, bensì anche l’economia del paese, resa ancor più fragile dalle conseguenze della pandemia tuttora in corso. Ciò, a dispetto di tecnologie spesso superate, eterogenee, complesse, non sviluppate per essere aderenti ai requisiti di sicurezza, anche minimi e a dispetto di minacce subdole, più o meno sofisticate ma sempre riconducibili ad attori spietati, senza scrupoli, numericamente soverchianti, ben organizzati e spesso con ingenti risorse a disposizione. Per far fronte a questo spaventoso scenario c’è bisogno dell’aiuto di tutti, professionisti o meno e di tutte le loro migliori capacità ed energie. Pertanto, c’è bisogno più che mai anche degli hacker etici, una risorsa ancora per lo più sconosciuta o non considerata in maniera adeguata e quindi non sfruttata abbastanza.

Perciò, lunga vita ai nerds!
 
P.S.: mentre in molti Paesi si continua a straparlare di cyber security con insufficiente concretezza, le autorità australiane, qualche settimana fa, hanno “dichiarato guerra” ai cyber criminali che approfittano dell’emergenza causata dalla COVID-19 per colpire cittadini, ospedali, istituzioni e aziende australiane. Attenzione, non si tratta una guerra fatta di decreti, di carte bollate, di lunghe indagini, di denunce e di processi. E’ una guerra affidata all’intelligence militare australiana (Australian Signals Directorate) e condotta ricorrendo anche a cyber attacchi mirati, rivolti ai cyber criminali, chiunque siano e da chiunque siano sponsorizzati. Vediamo che succede.
 
Per approfondire: