L’esercito Usa paga hacker per trovare bug nei suoi sistemi informatici

Se non puoi combatterli, fatteli amici. Di più: pagali. Negli ultimi anni, tech company e governi hanno capito che sul fronte della sicurezza, su Internet, non si è mai veramente inattaccabili. E che per difendersi veramente è necessario portare il “nemico” dalla tua parte. Si è cominciato a lanciare programmi diretti a hacker, smanettoni e ricercatori informatici: se trovate un bug, ditecelo, e noi vi paghiamo. Dopo Google nel 2010 e il Pentagono lo scorso anno, nel mese di dicembre 2016 il Dipartimento della Difesa degli Stati Uniti ha avviato Hack the Army, il primo programma per la ricerca di bug nei sistemi informatici dell’esercito statunitense. Il Dipartimento voleva capire le vulnerabilità dei siti dello USA Army, migliorarne la sicurezza e correggere i buchi informatici attraverso i quali un hacker potrebbe accedere a informazioni confidenziali o compromettere il sistema. Il programma, che si è chiuso il 21 dicembre, era aperto a tutti i cittadini, di qualsiasi estrazione culturale (anche gli stessi soldati potevano partecipare).

Dopo il Pentagono, gli hacker dell’esercito

“Ogni giorno persone che vogliono arrecarci danno cercano di hackerarci. Per questo abbiamo lanciato questa competition – ha detto il segretario generale dell’Esercito Eric Fanning – è bello sapere che se qualche bug verrà fuori, noi lo sapremo”. La visione di Fanning rispecchia l’atteggiamento che negli ultimi anni agenzie governative e colossi del tech hanno assunto verso il tema della sicurezza informatica, e che hanno favorito l’emergere di molte aziende che di lavoro offrono servizi di “bug bounty”, cioè di ricerca degli errori nei sistemi di sicurezza. Il Dipartimento della Difesa, infatti, si è affidato all’azienda HackerOne per lanciare i suoi programmi per arruolare hacker: il primo è stato Hack the Pentagon, nel marzo 2016, che invitava a segnalare vulnerabilità delle infrastrutture informatiche del governo e del sito della Difesa. In dicembre, poi, è stata la volta dell’esercito, con Hack the Army.

Il primo bug scoperto in 5 minuti

Gli informatici che si sono cimentati in Hack The Army non hanno avuto l’opportunità di cercare bug solo tra i siti defense.gov, ma anche in tutte le altre piattaforme relative all’esercito, come quella per il recruiting dei soldati, vere miniere di dati e informazioni personali. Secondo i dati ufficiali del programma, il primo bug è stato riportato dopo solo 5 minuti dal lancio della challenge. Ad un altro hacker, invece, è bastato solo un giorno per risalire a un router che permetteva dal sito d’arruolamento di entrare in un network interno che avrebbe dovuto richiedere credenziali.

Un cambio di mentalità

L’idea di chiedere agli hacker di attaccare deliberatamente i propri sistemi per migliorarli non è nuova. Sembra che addirittura nel 1983 la Volkswagen abbia lanciato la campagna “Get a bug if you find a bug” che invitava gli utenti a segnalare errori nel sistema operativo delle Beetles. Negli anni ’90 lo ha fatto Netscape, e poi a partire dal 2010 praticamente tutte le grandi tech company: Google, Facebook, Yahoo. Il Defense Digital Service, ovvero la sezione del Pentagono dell’agenzia per i servizi digitali USA ha sollecitato il Dipartimento della Difesa a intraprendere programmi di questo tipo, che richiedono senza dubbio un cambio di mentalità (in fin dei conti è come spingere le persone a entrare nei sistemi di sicurezza, con tutti i rischi che questo comporta). La Difesa spende milioni di dollari in programmi di scansione automatica per la cybersicurezza: tuttavia quello che si riesce a trovare con un gruppo di hacker è quasi impossibile per una macchina. Per una mancanza fondamentale: la logica umana. Non è chiaro l’approccio che adotterà Donald Trump verso questi programmi: il segretario Fanning è stato sostituito dal milionario Vincent Viola e l’avversione del neopresidente per gli attacchi hacker – veri o presunti – è ben nota fin dalla campagna elettorale. Bisogna vedere se vorrà farseli amici o nemici.

@carlottabalena