Cybersecurity offensiva, avanzano le pattuglie degli «hacker buoni»

La torre di controllo di un aeroporto italiano si scambia messaggi di routine con i simulatori di volo che stanno addestrando alcuni piloti. All’improvviso i messaggi deragliano dalla routine e appaiono decisamente strani, i piloti sono stupiti e si chiedono che diamine sta succedendo. Ma lo stesso stupore traspare dal volto dei controllori di volo. È un attacco hacker, intuiscono. Quello che non sanno, è che si tratta di “hacker buoni” o ethical hacker (in gergo “white hat”, i cappelli bianchi dei film western) impegnati in un test di Offensive security, ossimoro che racchiude in una sola parola l’attività di un settore in espansione negli Stati Uniti ma anche in Italia, in termini di servizi offerti da imprese specializzate e di formazione professionale. Nell’ambito sempre più strategico della cybersecurity, che vede l’Italia in crescita ma sempre in ritardo (siamo all’11° posto, per esempio, nel Cyber Defense Index del Mit). L’attacco ai simulatori di volo è un caso reale, del tipo man in the middle, spiega Giannandrea Tateo, Ceo di HN Security, startup nata nel 2021, basata a Torino con specialisti anche a Firenze e a Roma, e che fa capo al gruppo romano Humanativa, dell’imprenditore Stefano Commini.

I «cappelli bianchi» della cybersicurezza

Gli “hacker buoni”, spiega Tateo, «mettono a disposizione la loro competenza e passione per testare le infrastrutture informatiche delle organizzazioni per verificarne robustezza e resilienza». Una passione che per i più anziani è nata negli scantinati nei primi anni 2000 quando si divertivano e gareggiavano ad hackerare server e infrastrutture informatiche delle più disparate organizzazioni, a volte rischiando anche denunce. «Nel corso dell’ultimo ventennio, qualcuno si è perso per la strada, altri ne hanno fatta una professione mettendosi a servizio di società all’interno dei reparti di ICT, altri ancora, i più visionari, hanno creato delle vere e proprie società che offrono servizi di Offensive Security ai propri clienti per testare la robustezza e resilienza delle loro infrastrutture informatiche». Offensive Security è il nome che è stato dato a questa disciplina per differenziarla dalla Defense Security, quell’insieme di infrastrutture hardware e software il cui scopo è proteggere le infrastrutture informatiche e – in caso di attacchi hacker – individuare le minacce e isolarle per proteggere gli asset aziendali.

Smanettoni in felpa e manager in cravatta

Fin dai tempi di Kevin Mitnik, alias “Condor”, che uscito da un carcere americano nel 2000 fondò la sua azienda di sicurezza, intorno agli hacker cattivi, buoni e “convertiti” è fiorita negli ultimi tre decenni una narrativa planetaria, cui di sicuro si sono abbeverati i professionisti che lavorano per HN security. «So per certo che alcuni dei miei colleghi hanno conosciuto personalmente Mitnick, o H.D.Moore ed altri ancora, ma non se ne fanno vanto in pubblico. I nostri due tecnici senior Marco Ivaldi e Maurizio Agazzini – racconta Tateo – sono due dei più blasonati white hat di questo piccolo ma molto specializzato mondo dell’Offensive Security, in cui tutti si conoscono e si parlano. Hanno entrambi iniziato in questo settore negli anni 2000, su infrastrutture e sistemi oggi quasi scomparsi, poi hanno avuto la capacità e la passione di adeguarsi all’evoluzione tecnologica. Ma in HN Security ci sono altri white hat più giovani e altrettanto capaci, soprattutto sulle nuove tecnologie in ambito mobile. Com’è la collaborazione in azienda tra smanettoni in felpa e management in cravatta? C’è rispetto e stima reciproca, siamo complementari, ma la cravatta ormai la indosso solo io in qualche incontro con i vertici della Pubblica Amministrazione. Certo, quando dobbiamo recarci da un cliente e chiediamo un abbigliamento business casual loro tendono a dimenticare la parte business…».

Come nasce e cresce una startup di sicurezza offensiva

HN Security è nata tre anni fa proprio dalla collaborazione tra queste due “anime”, tecnica e imprenditoriale, del settore, ovvero dall’incontro tra il presidente di Humanativa Stefano Commini e due di questi pionieri dell’offensive security che hanno sviluppato la loro passione prima negli scantinati che sui banchi di scuola. «Intorno a loro – racconta ancora Tateo – abbiamo costruito un gruppo di amici ed ex colleghi animati dalla stessa passione: individuare le falle informatiche per poi suggerire il rimedio. Siamo passati da un fatturato di 700mila euro nel 2021 (con Ebitda positivo) a una previsione di 1.500 nel 2924 e di 2.000 nel 2025 (con un Ebitda del 15%)». Sempre investendo molto sulle persone (oggi una ventina gli specialisti) e sulla formazione, che sono aspetti strategici per puntare all’eccellenza. «I nostri specialisti seguono un intenso programma formativo e dedicano il 20% del loro tempo a fare ricerca e sviluppo: un giorno alla settimana in cui studiano giocando, talvolta competendo tra loro nel tentativo di hackerare quello che gli capita a tiro, sempre ovviamente nei limiti della legalità. Per svolgere la nostra attività devi almeno essere bravo quanto i tuoi avversari».

Che tipi di interventi e quanto costano

Oltre al man in the middle già visto, tra i tipi di intervento c’è il classico “penetration test”, attacco informatico simulato autorizzato su un sistema informatico o una rete, eseguito per valutare la protezione del sistema. Più completi sono gli attacchi di tipo Red team, simulazioni a più livelli che mirano a valutare come le persone, le reti, le applicazioni e i controlli di sicurezza fisica di un’azienda riescono a rispondere. «Noi stiamo spingendo molto anche sulle attività che permettono di identificare i problemi durante la progettazione e lo sviluppo del software, perché individuare una falla quando questo è in produzione ha un costo estremamente più elevato, fino a 30 volte. Il nostro lavoro si ferma con la produzione di un report di dettaglio che riporta le vulnerabilità alle quali associamo le “Recommendations”, ossia azioni da intraprendere per rimuovere o mitigare le minaccia che non devono essere svolte dal medesimo soggetto (anche se qualcun lo fa). È una questione quasi etica, non devo cercare vulnerabilità per procacciarmi poi altro lavoro». Un progetto di Offensive security costa mediamente da 20 a 100mila euro, ma il costo per porre dei rimedi può essere di svariati ordini di grandezza superiore, quindi molto appetibile per le aziende.