Le professioni nel campo della cyber security stanno diventando sempre più importanti e richieste. Ogni giorno la rete di tutto il mondo subisce migliaia di attacchi esterni, ed avere i sistemi a prova di hacker è una priorità ed un dovere di ogni azienda. Colui che svolge la professione di Bug Hunter è quindi, in sostanza, un hacker etico che ricerca legalmente falle nella sicurezza delle aziende, compagnie e istituzioni trovando una soluzione che permetta di difenderle dagli attacchi informatici. Di seguito l’intervista ad uno dei massimi esperti in questo ambito.
Bug Hunting e sicurezza informatica: intervista esclusiva a Touseef Gul
Abbiamo intervistato in esclusiva uno dei più richiesti esperti in materia: Touseef Gul.
Helena: Qual è il nome esatto della tua attività?
Touseef: La mia professione è denominata Bug Hunting. In sostanza sono un cacciatore di bug. Ma non è tutto: sono anche un divulgatore e ricercatore nel campo della sicurezza. Graham Cluley, rivista online specializzata in Computer Security, e TheJournal.ie parlano di me e della mia professione.
Helena: Come promuovi la tua attività?
Touseef: Non ho una strategia precisa. A promuovermi sono, ad esempio, svariati importanti siti che mi hanno menzionato come: Hall of Fame, ed alcune aziende che ho contattato e in seguito hanno deciso di scrivere su di me.
Helena: Quali requisiti e atteggiamenti dovrebbe avere una persona che decide di fare il tuo lavoro?
Touseef: La prima cosa da evitare è quella di diffamare o danneggiare in alcun modo l’azienda sul cui sito si rivela il problema. Per dimostrare la tua professionalità in questo settore, devi avvicinarti sempre direttamente ed in modo responsabile. Se poi queste aziende ignorano la tua segnalazione, è possibile contattarli attraverso altri canali. Inoltre, dovresti conoscere bene le vulnerabilità e le applicazioni web, ma non affidarti solo a questi strumenti. Sono capitate, ad esempio, delle situazioni in cui ho dovuto contattare direttamente gli utenti in modo che loro potessero avvertire l’azienda che gestisce il web in quanto, dopo continue segnalazioni, non ho ricevuto alcuna risposta.
In altre situazioni ho avuto risposte diverse tipo: “Mi dispiace, pensiamo che non sia vero”; “Mi dispiace, la tua e-mail è andata nello Spam” oppure “Abbiamo già risolto (ma in realtà la vulnerabilità è ancora presente), quindi…”.
Helena: Quanto è importante la tua professione per le aziende?
Touseef: Per qualsiasi azienda di successo, è assolutamente fondamentale. Inoltre in Europa c’è il GDPR il quale, se non viene rispettato, si può essere sanzionati pesantemente nel caso in cui i dati vengano violati. Non importa quanto successo abbia la tua attività, essa può infatti essere rovinata se gli hacker continuano ad accedere ai tuoi dati e poi li vendono ai tuoi concorrenti oppure a chiunque abbia interesse ad entrarne in possesso. Oltre a questo, come ho affermato in un’intervista, anche se hai un sito di una sola pagina (e c’è un modo per accedere al tuo server) l’hacker proverà ad accedervi ed usarlo per spamming/phishing ecc. Quindi non prendere alla leggera la tua presenza su Internet.
Helena: Chi sono le aziende che di solito ti assumono? Potresti essere utile anche alle piccole aziende?
Touseef: Chiunque prenda sul serio la propria sicurezza, indipendentemente dalla categoria. Come ho detto prima, per gli hacker è sempre un beneficio quello di poter accedere al tuo server, indipendentemente dal fatto che tu non abbia dati sensibili al suo interno. Ho lavorato per molte PMI in tutta Europa.
Helena: Le aziende sono generalmente consapevoli dei potenziali rischi?
Touseef: No, la maggior parte di loro non ne è consapevole, almeno credo, altrimenti avrebbero potuto correggere gli errori che io ho segnalato loro. Magari hanno pensato che il loro sito era al sicuro e non hanno mai provato a verificarlo. Ho avvertito alcune aziende vulnerabili dal 2013 e 2015 e non ne erano a conoscenza. Ho mostrato loro le prove facendogli vedere che gli hacker avevao pubblicato i loro dati su Pastebin.
Helena: In quali paesi le persone sono più consapevoli dei rischi?
Touseef: Penso che la domanda dovrebbe essere: “Quali paesi danno la massima importanza ai rischi?”. Dalla mia esperienza rispetto alle segnalazioni, potrei citare Stati come: Spagna, Paesi Bassi, Belgio. Questi Paesi almeno sono consapevoli che potrebbero essere vulnerabili o almeno ne danno una certa importanza. L’Italia ha molti siti Web non sicuri. Purtroppo le segnalazioni che ho fatto non hanno avuto un riscontro soddisfacente in Italia. Sembra che le persone difficilmente diano importanza alla sicurezza. Un fornitore di servizi IT italiano mi ha confermato che, in Italia, è difficile convincere le persone della sicurezza, a meno che non rischino delle multe.
Helena: Che tipo di vulnerabilità sei in grado di rivelare?
Touseef: La maggior parte del mio lavoro è quello di trovare vulnerabilità che possono portare direttamente all’accesso ai dati di un sito Web, sebbene a volte, alcuni Bug Hunter convertano una vulnerabilità di livello medio-alto in altamente critica.
Helena: Quali sono i maggiori rischi che la compagnia sta assumendo quando decide di non fidarsi di tali segnalazioni o comunque di non reagire?
Touseef: Una persona può essere fittizia, senza identità, oppure può chiedere ransomware. Ma se hai allegato una prova alla prima e-mail, almeno possono confermarla dal loro Team IT. Mi è successo svariate volte che le aziende siano riuscite a risolvere il problema con successo, senza nemmeno rispondermi. Talvolta, invece, credono di aver risolto, ma in realtà non è così.
Helena: Quali sono i costi delle proiezioni e delle eventuali soluzioni?
Touseef: I costi variano dal tipo di sito ed ambito. Per un’agenzia, lavoro sempre a prezzo fisso al mese e testo tutti i loro siti Web.
Helena: Possono, le aziende o i manager di siti web, risolvere da soli alcuni problemi segnalati o hanno ancora bisogno di personale specializzato?
Touseef: Sì, possono, ma questo dipende dalle capacità dei loro sviluppatori.
Helena: Cosa stai facendo per guadagnare la fiducia delle persone, quale approccio usi?
Touseef: Quello che chiedono che io fornisca, per soddisfarli. Dato che non sono uno spammer o un hacker e non ho scopo di danneggiare le persone, non ho alcun problema a mostrare chi sono. Ho un profilo su siti per freelance, come Upwork e suggerisco anche di chiedere delle referenze su di me alle aziende con cui ho lavorato.
Cerchi un nuovo lavoro?
Per avere sempre offerte di lavoro reali e verificate nella tua casella email in linea con le tue esigenze: Registrati su Euspert Bianco Lavoro
