Pietro Minniti, laurea in ingegneria elettronica, dal 2015 in Cybertech, azienda del gruppo Engineering specializzata in Cybersecuritry, si definisce un hacker. Ethical Hacker.
“Essere Hacker significa saper ragionare fuori dagli schemi, out of the box” – racconta Pietro – “La differenza tra un Ethical Hacker e un “black hat”, un hacker “cattivo”, è solo nelle intenzioni: il primo lo fa per migliorare il livello di sicurezza informatica delle aziende, il secondo compromette i sistemi per fini non leciti. Ma le tecniche e gli strumenti usati sono gli stessi”.
Il lavoro di un Ethical Hacker è, infatti, quello di tentare di violare una rete o un sistema aziendale per far comprendere alle società i rischi che si corrono e porre in atto i correttivi utili. “A differenza degli hacker che entrano nei sistemi con scopi illegali, noi abbiamo un documento di riferimento che specifica cosa violare e dove agire. Non possiamo ovviamente andare oltre il compito che ci è stato assegnato e questa, forse, è la parte più difficile del nostro lavoro, perché saremmo portati a scoprire tutte le falle possibili per dare l’opportunità di correggerle”.
Cosa c’è nella cassetta degli attrezzi di un Ethical Hacker?
“Sicuramente ci sono tantissimi strumenti, sia hardware che software e perfino servizi fruibili dal web, che utilizziamo per condurre le nostre attività. Quando necessario, siamo noi stessi a scrivere programmi specifici per le nostre esigenze. Naturalmente tutti questi strumenti da soli non bastano per compromettere i sistemi aziendali, ovvero eseguire un’attività di Penetration Test. Spetta all’analista il compito di individuare le possibili vulnerabilità e sfruttarle a proprio vantaggio. Oltre alle conoscenze e competenze tecniche, nella cassetta degli attrezzi ci vuole costanza e passione: si fanno spesso le ore piccole finché non si riesce a trovare la chiave giusta per aprire quella porticina che ti consente di fare breccia nei sistemi”.
Come si svolge il tuo lavoro? Quanto è routinario o quanto cambia, invece, a seconda dell’attività?
“Il nostro lavoro non è mai monotono: gli scenari sono sempre differenti e le esperienze pregresse spesso non sono riusabili perché ogni cliente possiede delle infrastrutture diverse tra di loro, quindi le azioni da compiere vanno sempre pianificate adeguatamente, sperimentando, provando, riprovando e tirando fuori nuove idee, a volte assurde, senza darsi mai per vinti. La parte più bella del lavoro, ovviamente, arriva nel momento in cui si riesce finalmente a trovare il modo di entrare dentro un sistema e venire in possesso di dati importanti. L’utilità di quello che facciamo è tutta qui”.
Quali le competenze necessarie? Ci si può improvvisare?
“Improvvisare sicuramente no. Penso che la mia laurea in ingegneria mi abbia aiutato molto, ma ciò che più mi ha fatto crescere è stata la passione per la sicurezza informatica che ho coltivato fin da ragazzino. Ho conosciuto anche ottimi hacker non laureati o con un percorso di studi umanistico, ma nessuno di noi può permettersi di sospendere, anche solo per poco, l’attività di studio e ricerca. Questo è un mestiere complesso, per il quale è indispensabile una conoscenza trasversale che abbraccia molti settori dell’informatica. Io ho voluto anche intraprendere un percorso di certificazione e ho scelto l’OSCP, tecnicamente la più avanzata oggi sul mercato, anche per mettermi alla prova. Ho sostenuto l’esame, che è durato 2 giorni interi, dopo aver compromesso tutte le macchine del laboratorio. È stata un’esperienza tanto faticosa quanto soddisfacente”.
Come si mantiene aggiornato un hacker?
“Quotidianamente mi trovo a consultare blog specialistici, canali Telegram, magazine di settore e gruppi di esperti con i quali ci si confronta anche per trovare soluzioni non convenzionali alle sfide che sorgono durante le attività. Erroneamente si pensa che il lavoro dell’hacker sia in solitaria, invece il rapporto con i colleghi è fondamentale per acquisire nuove competenze”.
Quali i siti che consiglieresti?
“Sono davvero tante le risorse che quotidianamente si consultano. Quelle che preferisco sono NetSec su Reddit, Hacker News, Exploit Database e Full Disclosure Mailing List“.
