Il mondo dell’ethical hacking è una realtà in continua evoluzione, che richiede aggiornamento, passione e molta curiosità, le pratiche di ethical hacking sono sempre più richieste e permettono di completare un quadro generale sul grado di esposizione che ha un’azienda ad attacchi informatici.
Oggi parliamo di questo mondo con Michael Caruso Ethical Hacker di professione, con un’esperienza di più di 10 anni nel mondo della Cybersecurity, che ricopre i ruoli di Practice Manager e Product Specialist guidando il team di Ethical Hacking di Advantio, azienda fondata nel 2009, leader nel mondo della Payment Compliance, Ethical Hacking e servizi gestiti.
Come si diventa un penetration tester ed Ethical Hacker?
Per diventare un vero Hacker serve la curiosità e la passione, etico è quando si sceglie di farlo diventare una professione e di fare del bene, proteggere e prevenire attacchi hacker. Bisogna studiare molto ma bisogna anche partire dal principio, molti ragazzi oggi iniziano questo percorso saltando parti importanti, quali networking, sviluppo e la parte sistemistica. Ognuno può avvicinarsi in maniera diversa al mondo dell’hacking, c’è chi nasce come sviluppatore e poi grazie alla curiosità e passione cerca di andare sempre più oltre e capire come le applicazioni e sistemi funzionino più nel profondo e quali siano i modi per “aggirare” protezioni o funzionalità facendo compiere ad applicazioni, script o macchine operazioni per cui non erano state progettate e ricavarne un beneficio. Altri partono dal mondo sistemistico ed altri da quello networking o dal mondo del SOC (Security Operation Center) ovvero la parte di “difesa” e monitoraggio dei sistemi informatici.
Lo studio però non è tutto, perché serve una grandissima quantità di pratica, molto più di quella dello studio, perché un hacker ha bisogno di “toccare” e provare con le proprie mani come cercare di hackerare, aggirare gli ostacoli per raggiungere il suo obiettivo, che sia pacifico, goliardico o malevolo.
Purtroppo oggi giorno, molte aziende effettuano quello che si chiama “body rental” e questi giovani ragazzi non hanno la possibilità in tante aziende del settore di testare diversi ambienti, applicazioni e sistemi, spendendo tutto il tempo di pratica su portali di training delle singole aziende cui sono “rivenduti” che non danno la stessa esperienza di un attività di hacking professionale. In Advantio, i nostri ragazzi in un solo anno di lavoro, riescono a vedere più di 50 diverse realtà, diversi clienti e tecnologie, crescendo sempre di più affiancando il lavoro allo studio e le certificazioni di hacking.
Qual è il tuo ruolo in Advantio?
Sono il Practice Manager e Product Specialist del team di Ethical Hacker di Advantio.
Come la tecnologia sta influendo sui metodi di penetration testing?
La tecnologia diventa sempre più chiusa, più automatizzata e con l’ingresso delle Intelligenze Artificiali e del “machine learning” molti sistemi diventano sempre più sicuri e richiedono meno tempo di configurazione e/o escono di fabbrica già con pre-configurazioni progettate per essere sicure seguendo i maggiori standard e best practice di sicurezza. Il “problema” è che tutto questo sarà, almeno per molti anni, progettato e pensato da menti umane che posso fare errori e sbagliare. Da qui nasceranno sempre bug e/o problemi di sicurezza che verranno scoperti e sfruttati su piccola e larga scala. Per questo è veramente importante investire nelle attività di ethical hacking ed effettuare periodicamente dei test di sicurezza come penetration test per prevenire perdite sia economiche che di immagine. Oggi la maggior parte degli hacker, quelli non etici, preferiscono attaccare le persone e non le macchine, perché più si va avanti e si automatizza la sicurezza, meno le persone tendono a studiare, informarsi ed aggiornarsi. Quindi attacchi come Social Engineering, Phishing e Red Team stanno diventando sempre più frequenti, basta guardare come grandi aziende come Uber, Riot Games e molte altre, siano state attaccate prendendo di mira le persone e non i sistemi. Questo perché molte aziende preferiscono investire tutto il budget in software ed hardware di nuova generazione, pensando che questo possa proteggerli da qualsiasi attacco hacker ma poi basta una sola email di phishing per far cadere grandi colossi internazionali.
Come le aziende stanno diventando sempre più consapevoli dell'importanza dei test di penetrazione e come questo sta influendo sulla richiesta di professionisti del settore?
Nel tempo, molte più aziende stanno prendendo coscienza che la sicurezza sta diventando un requisito fondamentale e non più opzionale come qualche anno fa. Adesso molte aziende stanziano nuovi budget dedicati alla sicurezza, cosa che prima accadeva solo per le grandi aziende. Anche l’evolversi delle tecnologie ha comportato un grosso adeguamento nelle aziende, anche quelle con pochi dipendenti. La crescita è evidentemente esponenziale e negli ultimi anni la richiesta di nuovi esperti nel settore cybersecurity ha superato la disponibilità. Questo è un momento molto importante per i giovani che possono cavalcare l’onda e trovare velocemente lavoro nel settore cybersecurity.
Come la domanda di professionisti della sicurezza informatica sta crescendo e come ti prepari per questo cambiamento? Come vedi il tuo ruolo all'interno dell'industria dei penetration testing?
La domanda di professionisti sta crescendo a ritmo esponenziale e si sta scontrando con la inevitabile carenza cronica di profili adeguati. Il mio modo di adeguarmi a tale cambiamento passa da un approccio più a lungo termine sui nuovi potenziali talenti: preferisco dare spazi a profili Junior e formarli internamente, senza cercare, come molte aziende, profili “mitologici” con skill elevate e praticamente introvabili o fuori mercato. Il mio ruolo all’interno del mondo di pentesting è prevaletemente orientato alla gestione di un gruppo di ethical hacking che a differenza di altre posizioni di people management deve avere una preparazione tecnica adeguata alla gestione di un team tecnico di altissimo livello e saper gestire talenti del mondo dell’hacking e saperli guidare nel percorso formativo e professionale che è in continuo aggiornamento.
Le persone sono facilmente raggirabili con le tecniche di social engineering? Come reagiscono in genere alle simulazioni di attacchi o social engineering?
Le persone sono molto più influenzabili e vulnerabili delle macchine, hanno dei sentimenti, degli stati d’animo. Le tecniche di social engineering sfruttano proprio questo, manipolano le persone e sfruttano la loro bontà e non conoscenza delle minacce odierne per arrivare al loro obiettivo. Tutti pensano al phishing come la solita email che ti comunica che hai vinto uno smartphone di ultima generazione o che un pacco che stai aspettando è bloccato alla dogana. I veri attacchi sono molto più avanzati e quando accadono purtroppo non tutti sanno quali sono le azioni che vanno prese immediatamente per mitigare il problema. Durante le nostre campagne di phishing, dove simuliamo per i nostri clienti diversi attacchi, quando gli chiediamo a fine attività quanti dipendenti, che hanno cliccato sui nostri finti link malevoli, o aperto file con finti virus, la loro risposta in molti casi è stata: nessuno. Questo perché o per paura di essere licenziati o per ignoranza o per mancanza di procedure, molti dipendenti non segnalano alla propria azienda questo tipo di attacchi, lasciando tutto il tempo agli attaccanti di completare ulteriori attacchi.
Qual è il tuo scopo quando fai formazione su questi argomenti?
Il principale scopo è quello di far capire, sensibilizzare e anche far appassionare le persone alla cybersecurity, specialmente i più giovani che poi vogliono intraprendere un percorso nella cybersecurity. Cerco anche di far arrivare il messaggio sia a persone tecniche che non e di come la sicurezza informatica sia qualcosa che ormai fa parte delle nostre vite. L’esempio che faccio più spesso è quello di mia nonna, che a quasi ottanta anni ha iniziato ad usare i nuovi smartphone. Quando le arrivano link sospetti ha imparato a non aprirli e capire se sono malevoli o meno, ma la cosa più importante è che quando non è sicura li manda a me per controllare. Usare parole semplici ed esempi pratici è la cosa più efficiente per trasmettere la propria conoscenza.
Quale percorso suggerisci ai ragazzi che vorrebbero avvicinarsi a questa professione? E quali Certificazioni consiglieresti a un penetration tester?
Di partire dal principio, anche se questo può sembrare un percorso più lungo per avvicinarsi al mondo dell’ethical hacking. Senza basi di networking, dei sistemi operativi e linguaggi di programmazione l’ingresso nel mondo dell’hacking potrebbe risultare una parete insuperabile e portare molte persone ad arrendersi e cambiare percorso.
Se non si hanno basi di informatica, partire da certificazioni come la CCNA e qualche corso online da sviluppatore sono già un buon inizio, ovviamente tutto accompagnato da molta pratica. Poi per approcciare il mondo vero e proprio dell’ethical hacking, certificazioni come eJPT, eWPT e eCPPT oppure la CEH Master (sia pratica che teorica) o la CREST, danno le basi per iniziare ad eseguire le prime attività di hacking professionale. Queste poi aiutano molto nel prepararsi a certificazioni più difficili come OSCP e le altre che fanno parte della suite di offensive security
Cosa ti emoziona o appassiona di più di questo lavoro?
Quello che mi ha sempre emozionato da quando ero piccolo è sempre stata la tecnologia. Volevo capirne il funzionamento e la curiosità mi spingeva a cercare e studiare le varie cose non sapevo utilizzando internet. Sono sempre stato una persona che si annoiava facilmente e voleva imparare e fare nuove cose.
L’ingresso nel mondo dell’ethical hacking è iniziato quando ho fatto un corso ed ho aperto per la prima volta una macchina Kali Linux, uno dei sistemi operativi più utilizzati nel mondo dell’hacking. Quel giorno, sono riuscito ad hackerare la prima macchina e fargli fare quello che volevo. Da quel momento ho capito che era quello che avrei voluto fare per il resto della mia vita. Non l’ho mai visto veramente come un lavoro ma come una passione. Oggi giorno trovare un lavoro che quando ti alzi la mattina sei felice di doverlo fare, purtroppo è veramente difficile, invece per me è sempre stata una nuova giornata piena di cose da imparare e la curiosità di non sapere quello che avrei potuto scoprire mi affascinava.
Ad oggi avere la possibilità di gestire un team di ethical hacker è uno dei traguardi più grandi che ho raggiunto, ed avere la possibilità di far crescere ragazzi che, come il me stesso di tanti anni fa, sognavano di far diventare un lavoro il loro sogno è una delle cose che mi emoziona di più.
Il futuro della cybersecurity: quali sono le tendenze emergenti in materia di minacce alla sicurezza informatica? E come la tecnologia sta evolvendo per proteggere contro queste minacce?
L’intelligenza artificiale sta prendendo piede sempre più velocemente anche nel mondo della cybersecurity. Questo comporta attacchi molto più frequenti, automatizzati e più evoluti. Basta pensare a come già molti hacker utilizzino software di IA come ChatGPT per generare script in pochi secondi che possono eseguire qualsiasi cosa data una semplice spiegazione scritta. Ovviamente questo tool è stato anche pensato per non eseguire richieste ed azioni malevole, il problema è che gli hacker anche in questo caso hanno già trovato il modo di bypassare questi controlli e di sfruttarlo a loro piacimento con richieste malevole mascherate per innocue. Alla fine IA non è sempre sviluppata da umani?
Proteggersi, prevenire, monitorare ed informarsi, questo è quello che possiamo fare per tutelarci. Proteggerci con nuovi software e hardware sempre più tecnologici. Prevenire effettuando controlli di sicurezza periodici come attività di penetration testing, scan automatici ed altre attività di ethical hacking. Monitorare costantemente quello che vogliamo proteggere con servizi MDR e SOC. Informarsi quotidianamente ed essere sempre aggiornati sulle nuove minacce.
