Stanno dalla parte dei buoni: gli hacker etici individuano le vulnerabilità nelle applicazioni web, nelle reti e nei sistemi delle aziende prima che ci riescano i malintenzionati. Tra questi hacker etici c’è anche Philipp Rohrbach, che lavora nel red team di IT Security, presso PostFinance. Nell’intervista ci illustra in dettaglio in cosa consistono i suoi compiti e come svolge il suo lavoro.

Lavori nel red team di IT Security presso PostFinance. Cosa significa il colore rosso del team?

In qualità di red team, nel quadro della sicurezza informatica di PostFinance assumiamo il ruolo degli aggressori. Ci avvaliamo delle tecnologie o degli scenari di attacco impiegati durante attacchi «reali», colpendo in modo mirato i nostri sistemi. Proviamo ad es. a utilizzare i nostri servizi e sistemi per scopi per cui non erano stati progettati, con l’obiettivo di individuare i punti deboli prima che ci riescano altre persone. Nella gestione di servizi informatici che presentano aperture verso l’esterno, bisogna partire dal presupposto che si subiranno attacchi. La domanda non è se, bensì con che frequenza ciò si verificherà e in che misura tali attacchi possono essere riconosciuti, respinti e contenuti dal nostro blue team. Le denominazioni basate sui colori sono nate nel contesto militare: il red team è la componente offensiva della sicurezza informatica, mentre il blue team è quella difensiva.

Come procede il red team durante una verifica?

Supponiamo di dover testare un’app. In una prima fase ci consultiamo con gli specialisti che la progettano, la gestiscono o la sviluppano e fissiamo gli obiettivi dei test. Uno di questi obiettivi può essere manipolare una transazione finanziaria in un ambiente di test, oppure accedere a informazioni tramite un’interfaccia all’interno dell’app. In seguito definiamo l’approccio che intendiamo seguire, scegliendo tra black box, gray box o white box. Nell’approccio black box, per i test ci viene fornita l’app senza ulteriori informazioni sulla sua struttura interna. Nell’approccio gray box, molto più diffuso, ci viene offerto un po’ più di aiuto, ad es. la possibilità di lavorare con una versione dell’app in cui sono state disattivate determinate misure di sicurezza. Ciò ci consente di creare un vantaggio rispetto a potenziali malintenzionati, che in genere dispongono di più tempo di noi e possono sfruttare il prezioso periodo di test per effettuare verifiche anziché per raggirare le misure di sicurezza. Infine, nell’approccio white box ci si spinge oltre e si divulga il codice sorgente affinché, per chi svolge i test, sia più semplice eludere le misure di sicurezza. In seguito configuriamo i test e diamo il via alle verifiche. Controlliamo ad es. che non ci siamo errori di natura logica o divergenze dagli standard nell’autenticazione, nella procedura di login o nel ripristino della password. Oppure monitoriamo il comportamento dell’app quando le vengono sottoposte informazioni per cui in origine non era stata progettata. Se per esempio un pagamento da un cliente A a favore di un cliente B prevede che in background si svolgano più di dieci fasi, verifichiamo cosa succede se l’ordine di quest’ultime viene modificato. Una volta che abbiamo verificato un numero sufficiente di elementi, traiamo le conclusioni e le documentiamo. Se necessario, prendiamo poi misure per eliminare le falle di sicurezza.

Come è composto il red team?

La sua composizione varia di continuo a seconda dell’entità della verifica e degli oneri legati al test. Per piccoli test basta una persona, mentre per quelli più grandi sono necessari più specialisti. A tal fine ricorriamo a collaboratrici e collaboratori interni ed esterni. È particolarmente importante che un oggetto di test non venga analizzato sempre dalle stesse persone. Infatti, soprattutto nelle verifiche di sicurezza, è spesso richiesto anche il cosiddetto «out-of-the-box-thinking». Per questo, l’esperienza individuale e il know-how personale svolgono un ruolo significativo.

Di quali competenze si deve disporre per poter lavorare in un red team?

I prerequisiti sono conoscenze approfondite delle reti e un’ottima comprensione del funzionamento delle applicazioni web, nonché del modo in cui computer e server interagiscono e sono strutturati. (cfr. anche box). Uno degli aspetti più importanti è però la curiosità: un hacker etico deve comprendere il mondo cibernetico e assumere prospettive sempre nuove nella sua osservazione. Deve indagare dietro le quinte ed essere tenace e perseverante, confrontandosi con l’oggetto analizzato finché non accade qualcosa di inaspettato. Deve poi capire perché un determinato evento si è verificato. Il nostro obiettivo è individuare i punti deboli che erano precedentemente sfuggiti ad altre persone, ma anche a strumenti automatizzati per il controllo qualità.

Esiste una formazione ufficiale per diventare hacker etici?

Nell’ambito dei classicipenetration test  I penetration test sono una tipologia di verifica che, come anche le code review o il cosiddetto red teaming, si basa su uno scenario e segue procedure di attacco ben precise. Un penetration tester cerca di individuare tutte le falle di sicurezza possibili. si possono ottenere certificazioni riconosciute nel settore. Non esiste però una formazione che comprenda o si focalizzi sull’insieme della nostra sfera di competenza. Chi intende diventare un hacker etico può e deve acquisire molte competenze da autodidatta. A tal fine c’è una comunità di persone che condivide volentieri il proprio sapere. Le piattaforme come TryHackMe o Hack The Box, che offrono sfide o programmi bug bounty pubblici, rappresentano buone possibilità per allenarsi.

Cosa ti affascina della tua funzione di hacker etico?

La grande varietà. Da un lato posso confrontarmi sempre con tecnologie diverse, come vari linguaggi di programmazione, applicazioni o framework. Dall’altro entro continuamente in contatto con persone diverse. Non siamo specialisti in tutti gli ambiti, ma presso PostFinance abbiamo collaboratrici e collaboratori altamente competenti. Quando ci prepariamo per un test possiamo attingere alle loro conoscenze ed esperienze. È davvero molto interessante. Inoltre, pur seguendo una metodologia standardizzata nello svolgimento dei test, la applichiamo sempre a oggetti diversi. La gamma di casi possibili spazia dall’autenticazione con riconoscimento vocale a sistemi particolarmente complessi per l’elaborazione di transazioni finanziarie, passando dalle normali applicazioni web. E non da ultimo, non si tratta solo di un lavoro, ma anche di una vera e propria missione: voglio fare la mia parte per rendere il mondo cibernetico più sicuro, un passo alla volta.

Come sei entrato a far parte del red team di PostFinance?

Inizialmente ho svolto una formazione da elettricista e, nell’ambito della costruzione di impianti, ho proseguito la mia carriera nella direzione di progetti. Poiché mi mancava l’aspetto tecnico, ho studiato informatica e tecnica dei sistemi presso una scuola specializzata superiore e in seguito sono stato responsabile del settore new media presso un’agenzia, dove ho potuto acquisire conoscenze approfondite delle applicazioni web e mobili nel corso di numerosi progetti. Quindi ho svolto una formazione universitaria in informatica focalizzata sulla sicurezza IT. Il tema dell’hacking etico mi ha sempre accompagnato lungo il mio percorso. Per interesse personale ho acquisito autonomamente molte conoscenze in merito. Dopo gli studi sono infine passato all’IT della Posta come specialista dell’esercizio per il voto elettronico e ho avuto modo di svolgere verifiche di sicurezza. Quando poi la Posta cercava specialisti di sicurezza informatica per l’hacking etico, mi sono detto che era la mia occasione. Da allora posso dimostrare il mio valore in questo team.