La domanda di professionisti nel settore della cybersecurity è in costante crescita. Ogni giorno, infatti, reti, siti web e sistemi aziendali vengono colpiti da migliaia di attacchi esterni. Per questo motivo, avere infrastrutture sicure e difficili da violare dovrebbe essere una priorità concreta per qualsiasi impresa.
Tra le figure più interessanti e strategiche di questo settore c’è il Bug Hunter: un hacker etico che lavora in modo legale per individuare vulnerabilità nei sistemi di aziende e istituzioni, segnalare i problemi e contribuire alla loro risoluzione prima che possano essere sfruttati da malintenzionati.
Di seguito l’intervista a Touseef Gul, esperto di cybersecurity, bug hunter, ricercatore e divulgatore nel campo della sicurezza informatica.
Intervista esclusiva a Touseef Gul, esperto di cybersecurity
Come si chiama esattamente la tua professione?
Touseef Gul: Sono un bug hunter, ma non solo. Sono anche un ricercatore e un comunicatore nel settore della sicurezza informatica.
Di me e della mia attività hanno scritto anche testate e realtà conosciute nel mondo della sicurezza, come Graham Cluley, magazine online specializzato in computer security, e TheJournal.ie.
Come promuovi la tua attività?
Touseef Gul: Non seguo una strategia di promozione precisa. In molti casi sono alcuni siti autorevoli che parlano di me, come le Hall of Fame, a darmi visibilità. Anche alcune aziende che ho contattato e con cui ho collaborato hanno poi scritto della mia attività.
Quali caratteristiche e competenze dovrebbe avere una persona che fa il tuo lavoro?
Touseef Gul: Prima di tutto, bisogna evitare di diffamare o danneggiare in qualsiasi modo l’azienda sul cui sito è stato scoperto il problema. Chi lavora seriamente in questo settore deve sempre contattare l’azienda in modo diretto e responsabile.
Se un’azienda continua a ignorarti, puoi provare a contattarla attraverso altri canali di supporto o riferimenti alternativi. Inoltre, bisogna conoscere bene le vulnerabilità e le web application, ma senza affidarsi solo agli strumenti automatici.
Per esempio, in alcune situazioni mi è capitato di dover contattare direttamente alcuni utenti affinché avvisassero l’azienda che gestiva il sito, perché dopo ripetute segnalazioni non ricevevo alcuna risposta.
In altri casi, invece, ho ricevuto risposte del tipo: ci dispiace, pensiamo che tu non sia reale; oppure la tua email è finita nello spam; o ancora abbiamo già corretto questa vulnerabilità. Ma in realtà il problema spesso continuava a esistere.
Quanto è importante questa professione per le aziende?
Touseef Gul: Per qualsiasi azienda che voglia avere successo, è una figura assolutamente essenziale. In Europa, ad esempio, se non si rispettano correttamente gli standard di sicurezza legati al GDPR, si rischiano sanzioni molto pesanti nel caso in cui i dati gestiti dall’azienda vengano violati.
Non importa quanto sia solido o redditizio un business: può essere compromesso seriamente se gli hacker riescono ad accedere ai dati e poi a rivenderli a concorrenti o ad altri soggetti interessati.
Inoltre, come ho già detto in altre occasioni, anche se possiedi solo un sito di una pagina, se esiste un modo per accedere al tuo server un hacker tenterà comunque di farlo, magari per usare quello spazio per attività di spamming, phishing o altro. Insomma, la presenza online non va mai sottovalutata.
Quali aziende di solito ti contattano? Puoi essere utile anche alle piccole imprese?
Touseef Gul: Può aver bisogno di me chiunque prenda sul serio la propria sicurezza, indipendentemente dal settore o dalla dimensione aziendale. Come dicevo, per un hacker è sempre utile riuscire ad accedere a un server, anche quando non contiene dati particolarmente sensibili.
Ho lavorato con molte PMI europee, quindi sì: anche le piccole aziende possono trarre un grande vantaggio da questo tipo di attività.
Le aziende sono generalmente consapevoli dei rischi?
Touseef Gul: No, nella maggior parte dei casi non lo sono. Almeno questa è la mia impressione. Se lo fossero davvero, correggerebbero più rapidamente gli errori che segnalo.
Molte probabilmente pensano di essere al sicuro senza aver mai verificato davvero. Ho avvisato aziende vulnerabili tra il 2013 e il 2015 e in molti casi non sapevano assolutamente di esserlo. In alcuni casi ho perfino mostrato loro prove concrete del fatto che gli hacker avevano pubblicato i loro dati su Pastebin.
Ci sono Paesi più attenti di altri ai rischi informatici?
Touseef Gul: Più che parlare di consapevolezza, parlerei di importanza attribuita al rischio. In base alla mia esperienza, dai report e dai riscontri ricevuti, posso citare Paesi come Spagna, Paesi Bassi e Belgio.
Almeno in questi contesti c’è una maggiore attenzione al fatto che un’azienda possa essere vulnerabile. In media, il tema viene preso più seriamente.
Al contrario, ad esempio, in Italia ho trovato molti siti poco sicuri e, quando ho fatto segnalazioni, il feedback non è stato soddisfacente. Ho avuto la sensazione che la sicurezza venga ancora poco valorizzata. Un provider IT italiano mi ha confermato che in Italia è difficile convincere le persone dell’importanza della cybersecurity, a meno che non ci siano multe importanti o danni già subiti.
Che tipo di vulnerabilità riesci a individuare?
Touseef Gul: La parte principale del mio lavoro consiste nel trovare quelle vulnerabilità che possono portare direttamente all’accesso ai dati di un sito web. In alcuni casi, inoltre, alcuni bug hunter riescono a trasformare vulnerabilità medio-alte in criticità molto gravi.
Quali rischi corre un’azienda quando ignora una tua segnalazione o comunque non reagisce?
Touseef Gul: Chi segnala una vulnerabilità potrebbe anche essere una persona fittizia, senza identità reale. Oppure potrebbe cercare di ottenere un riscatto, ad esempio con richieste ransomware.
Però, se nella prima email sono già state allegate prove concrete, almeno il team IT dell’azienda ha la possibilità di verificare il problema. Mi è successo diverse volte che le aziende riuscissero a risolvere il problema senza nemmeno rispondermi. In altri casi, invece, erano convinte di averlo risolto, ma purtroppo non era vero.
Quanto costano i tuoi servizi e le possibili soluzioni?
Touseef Gul: I costi variano in base al tipo di sito web e all’obiettivo richiesto. Per le agenzie, ad esempio, di solito lavoro con un prezzo fisso mensile e controllo tutti i loro siti.
Le aziende o i gestori di siti possono risolvere da soli alcuni problemi segnalati oppure serve sempre un aiuto specialistico?
Touseef Gul: Sì, in alcuni casi possono risolverli anche da soli. Dipende molto dalle competenze tecniche dei loro sviluppatori.
Cosa fai per ottenere la fiducia delle aziende? Qual è il tuo approccio?
Touseef Gul: Il mio obiettivo è soddisfare le esigenze dei clienti. Non sono uno spammer e non sono un criminale informatico, quindi non ho alcun problema a mostrare chiaramente chi sono.
Ho un profilo su Upwork e suggerisco anche di chiedere referenze alle aziende con cui ho già lavorato, così da verificare direttamente la qualità del mio operato.
Perché il Bug Hunter è una figura sempre più importante
Quella del bug hunter è una professione ancora poco conosciuta al di fuori del mondo tech, ma sempre più importante per la tutela di dati, infrastrutture e reputazione aziendale.
Il punto è semplice: molte imprese pensano di essere troppo piccole per attirare hacker, oppure credono che basti avere un sito online e un antivirus per sentirsi protette. In realtà non è così. Anche una vulnerabilità apparentemente banale può diventare la porta d’ingresso per accessi non autorizzati, phishing, ransomware o furto di dati.
Per questo investire in prevenzione, test di sicurezza e competenze specialistiche non è un lusso per grandi aziende, ma una necessità concreta anche per PMI, professionisti e realtà locali. Ed è proprio qui che entra in gioco una figura come il bug hunter.
Super Poliglotta, parla fluentemente inglese, italiano, tedesco, spagnolo, ceco, slovacco, russo. Si occupa di tematiche legate a economia, impresa e start-up, specialmente in ambito internazionale. E’ co-fondatrice di Bianco Lavoro. Profilo linkedin