Parla il pirata informatico etico assoldato dalla Posta per testare la vulnerabilità del suo sistema di votazione.
BERNA - Da anni la Posta assolda degli hacker "buoni" - ribattezzati etici - per testare la vulnerabilità dei suoi sistemi informatici. Lo sta facendo anche per sondare le difese del software che dovrà garantire il corretto svolgimento delle operazioni di voto elettronico.
Per quattro settimane un gruppo di pirati informatici benigni cercherà di violare l’infrastruttura che sta alla base del futuro sistema di voto elettronico della Posta: della truppa fa parte anche Ruben Santamarta, 40 anni, cresciuto in Spagna ma "domiciliato" in varie parti del mondo per via della sua fama che gli ha aperto crediti di fiducia in tante aziende sparse qua e là in tante zone del pianeta.
Racconta, intervistato dalla Posta, nel giorno in cui sono cominciati i test di intrusione, diverse cose riguardo la sua professione e quella della concorrenza, i "colleghi" che si muovono negli abissi della rete con scopi però fraudolenti.
«Partiamo con il dire che, da un punto di vista tecnico, non c’è una grande differenza tra un hacker etico e un hacker non etico - spiana subito il preambolo - entrambi, infatti, usano le stesse procedure e gli stessi metodi per estrapolare informazioni a cui normalmente non dovrebbero avere accesso. La differenza sta nell’uso che se ne fa: un hacker etico le condivide con chi di dovere per migliorare un sistema e aiutare le aziende, mentre gli hacker non etici usano le informazioni ottenute per arrecare danno».
E qui sta il punto. Il sistema di cui sta testando le difese - stiamo parlando del sistema elettronico di voto implementato dalla Posta - quante possibilità ha di essere violato e subire danni ma anche azioni di sabotaggio informatico che potrebbero alterare l'esito dei risultati di voto? Ruben non esita un minuto a esprimere forti perplessità sulla riuscita di un'azione simile. «Non è per niente facile - spiega - un malintenzionato che cercasse di compromettere del tutto il sistema di voto elettronico della Posta in modo da poter alterare i risultati del processo elettorale avrebbe sicuramente bisogno di parecchie risorse anche solo per provarci».
Parola di uno che l'hackeraggio ce l'ha nel sangue, se già dall'età di 15 anni al posto di tirare calci al pallone o fare dei giri in bici con gli amici passava ore e ore a studiare le basi dei sistemi di programmazione e l'abc dei processi di cyber security, compresi i modi per fare rapine di dati. «Mi è sempre piaciuto capire come funzionassero le cose - racconta - e ogni volta che rilevavo delle vulnerabilità che nessuno prima di me aveva notato, provavo sempre una certa euforia, che mi spingeva a proseguire. E oggi è ancora così. Inoltre per me è una grande soddisfazione pensare che un’azienda possa migliorare i propri sistemi grazie al mio lavoro».
Terminata la scuola superiore inizia a lavorare come programmatore, un’occupazione che non aveva molto a che fare con la sicurezza informatica, ma che gli ha permesso di sviluppare notevolmente le sue capacità. Intorno ai 20 anni viene assunto da un’azienda specializzata in antivirus e dal 2006 fa il ricercatore indipendente nel settore della cyber security. Vanta una collaborazione con diverse organizzazioni e aziende a livello internazionale. Ma di cosa è fatta la quotidianità di un hacker? «Diciamo che non ho una vera e propria routine lavorativa - dice - essendo un ricercatore indipendente lavoro quando voglio. Ci sono giorni, e anche notti, in cui sono completamente concentrato su un progetto e non riesco a dedicarmi ad altro. Altri giorni invece faccio solo delle ricerche o do un’occhiata a qualche studio».
Il suo lavoro è simile a quello di un detective. Prima di passare all'azione indaga su ogni dettaglio, raccoglie prove cercando di ricostruire cosa sta succedendo. Solo dopo agisce.
«Solitamente inizio raccogliendo quante più informazioni possibili - entra un po' più nel dettaglio della sua professione - consulto studi in materia, documenti tecnici, video e così via. Questo mi aiuta ad avere una visione d’insieme del sistema che voglio prendere in esame. Una volta terminate le ricerche, inizio ad analizzare il codice. Cerco di capire come funziona e finché non è tutto chiaro non compio nessuna azione, come tentare di attaccare il sistema o di scovare eventuali punti deboli». Che ha già scovato e subito messo sotto la sua protezione di esperto nei primi test eseguiti sul sistema di voto elettronico.
«Nel programma bug bounty sono stati ad esempio segnalati dei punti deboli che ora bisogna eliminare, ma siccome la Posta sta continuando ad aggiungere funzionalità, ciò significa che il processo non è ancora finito. In generale, però - rassicura - devo dire che gli aspetti inerenti alla sicurezza del sistema mi hanno convinto».