Luigi Auriemma e Donato Ferrante sono due fra gli hacker più gettonati del momento, negli ambienti governativi e industriali di tutto il mondo. Sabato scorso un lungo articolo pubblicato sul New York Times ha svelato come il mercato delle consulenze informatiche, legate a falle, cyber-attacchi e difesa, sia diventato un business come altri.
20/30 anni fa l'hacker svelava bug o altre magagne senza farsi pagare. Ne faceva una questione di ego: magari voleva essere il migliore, oppure dimostrare alle grandi aziende quello che poteva fare un ragazzetto. In ogni caso raramente si trattava di una questione di soldi. Al massimo a distanza di tempo il giovane accettava qualche proposta di assunzione, a volte anche dopo aver assaggiato un po' di galera. Oggi è tutto diverso. Anche questo è diventato un business.
Luigi Auriemma
Auriemma e Ferrante hanno rispettivamente 32 e 28 anni. Da Malta gestiscono la loro società ReVuln. Fra i loro più importanti clienti ci sono la National Security Agency, l'Iran e anche colossi come Google. I più appassionati magari si ricordano di Auriemma, perché nel 2011 ha scoperto e segnalato almeno una dozzina di falle di sicurezza relative ai sistemi SCADA (Supervisory Control and Data Acquisition).
Nel 2012 ha individuato una vulnerabilità nel firmware delle Smart TV Samsung che consentiva il loro controllo tramite smartphone iOS e Android su rete LAN. Lo stesso anno ReVuln ha trovato un'altra falla in Call of Duty Modern Warfare 3 e nella piattaforma grafica del CryEngine 3. Insomma, sono diventati delle star come la Vupen di Montpellier in Francia, Exodus Intelligence ad Austin (Texas), Endgame in Virginia, etc.
Secondo il New York Times queste società lavorano un po' per tutti: buoni e cattivi. Individuano le falle zero-day e le passano a chi le richiede. Dopodiché possono vendere eventuali contromisure a chi è afflitto dal problema. Viene da pensare che l'attività non sia così spregiudicata. Probabilmente alcuni paesi richiedono un minimo di esclusiva. Ma questa comunque è una supposizione. Magari a tutti gli effetti lavorano senza alcun pregiudizio etico o morale.
ReVuln
Il business comunque è maturo poiché la segnalazione di bug o falle rende tra i pochi migliaia di dollari fino a 150mila dollari. Apple però quando si trovò di fronte alla sua prima falla zero-day ne pagò 500mila. Ormai si parla anche di intermediari e agenti. Se non hai un nome e operi come un battitore libero vali una cifra; se sei in un portfolio prestigioso guadagni di più.
"Operare come contrattista con una agenzia di spionaggio ti dà più soddisfazione. Compi una missione per conto di uno Stato, da pirata informatico diventi corsaro, cioè hai una sorta di licenza per rovistare nei codici sorgente di sistemi enormi e sensibili, con i quali si gestisce ad esempio una centrale nucleare", sostiene Umberto Rapetto, ex comandante del Gruppo anticrimine tecnologico della Finanza e adesso manager di Telecom Italia.
E come si fanno a reclutare gli hacker migliori? Basta andare nelle convention per hacker, come quella di Las Vegas che coinvolge i "black hat". Ovvero i più cattivi.
In Italia ne abbiamo qualche migliaio ma secondo Rapetto i più bravi sono solo una ventina.