What a hacker is NOT: myths.

Shotokan - mercoledì 6 agosto

Caro lettore,
se stai leggendo queste righe il tuo pc sta venendo attaccato dal mio vairus ultrapwn che trasformera’ a breve il tuo PC in un tostapane. Cheers.

Ok, scherzi a parte:
la TV sta trasformando il mito degli hacker in un mito ancora piu’ distante dalla realta’. (NDA: la figura dell’hacker rimane comunque una figura mitologica, e’ una specie di “buddha” dell’informatico – – molti informatici in effetti cercano pure di raggiungere la figura fisica del buddha…)

Non voletemene troppo ma sta volta saro’ abbastanza narrativo, devo togliermi qualche peso di dosso, cose che pian piano danno fastidio a tutti quelli che come me sono nel settore della sicurezza informatica.

So… Hacker is wat?

 hqdefault

In effetti piu’ di parlare di cos’e’ un hacker, parliamo in brevis di cosa NON e’ un esperto di (in)sicurezza informatica.

  1. Non e’ un mago.
  2. Non e’ Neo.
  3. Non e’ necessariamente un maschio. (Ringraziamo WatchDogs questa volta)
  4. Non e’ in grado di farti esplodere il PC senza usare degli esplosivi veri e propri. No, niente boiate riguardanti alimentazioni strane. No, gli HDD non contengono C4. No.
  5. Non e’ onniscente. Ha solo studiato per passione un mestiere “al limite del legale”, ed e’ considerabile esperto nel suo settore, non in tutti i settori della terra che riguardano l’utilizzo di un PC/smartphone/tablet.

Perche’ il punto 5?
Ora, a quanti informatici e’ capitato di andare, per esempio, a sistemare un PC in una azienda con problemi di virus, o problemi di rete vari?

Praticamente e’ una routine.

Cio’ che pero’ non e’ routine… E’ quel che ci si ritrova davanti DOPO di quel lavoro di routine.

“Tu che sei smanettone, il mio programma ‘Cazzum XXX 2014 Fap Edition’ non funziona quando inserisco i dati ottenuti da questo calcolatore quantistico, come vedi gli ioni ciclano ma la mia stampante 3d non crea i modelli appropriati per…..” EH?

NOPENOPENOPE.

Tu sei li’ che li guardi, che ti spiegano tutto come se fosse la cosa piu’ semplice al mondo.

E intanto ti parlano di fisica, minerologia e chimica avanzata.

“Non ne ho idea sinceramente, e non metterei mano su di un software che gestisce acidi e basi per esempio, rischierei di far esplodere qualcosa a caso..”

Ed il cliente ti guarda della serie “non sai fare un cazzo.”

Torniamo per ordine agli altri risultati comunque.

Tengo a sottolineare che non solo non mi reputo un “Illuminato”: il mio wattaggio è lo stesso di prima e non irradio ancora nessuna particolare aura luminescente. In altre parole: sono stupido come prima.

“In Silenzio” – “L’Arte di Vivere Felice”

No, non siamo maghi. Non facciamo parte degli Illuminati e non abbiamo i poteri di Neo per modificare lo spazio/tempo. Non siamo qualche strana creatura mistica.
Sfatiamo i miti: non esiste una applicazione che la apri e puff! ‘hackera’ tutto.

Non esiste una applicazione che la apri e puff! hackeri proprio il telefono che stai guardando dall’altra parte della stanza in quel momento. (Sorry Person Of Interest)

Le operazioni di “hacking”/penetration testing richiedono tempo e lavoro.

A volte richiedono apparecchiature particolari e comunque un sistema potrebbe non essere attaccabile in quel determinato momento.

(Non e’ che perche’ un vostro collega ha un sito wordpress e chiedete al vostro amico smanettone di haquerarglielo lo puo’ buttar giu’ con cosi’ estrema facilita’. O scova uno 0-day su wordpress, o deve trovare delle vulnerabilita’ sul server.)

A volte sembra sicuramente che ci mettiamo poco tempo a recuperare una password di un server per esempio.

Ma quel tempo e’ relativo, il tempo del lavoro ok, saranno quei 5-10 minuti compreso il boot di una live *nix, ma il tempo perso ad imparare quei “trucchi del mestiere”… E’ tutto un altro paio di maniche.

E allora ti senti i clienti che: “50€?? Ma sei stato qui 10 minuti!”
I 4 gruppi di informatici che hai pagato profumatamente in precedenza e che per due settimane non hanno fatto altro che grattarsi ti hanno risolto il problema? No? Allora son 100€. (Quante volte vorrei…) (NDA: si, e’ successo realmente..)

watchdogs_badboy17

Il punto 3 e’ abbastanza semplice. Ci sono donne esperte in sicurezza informatica.

Ci sono donne che studiano informatica ed elettronica e che riescono ad emergere in questo settore, come in tutti gli altri settori.

Ringrazio e saluto a proposito la cara Yvette Agostini, rappresentante femminile del settore.

exploding-pc-hero

Cambiamo punto: i PC non sono oggetti detonanti.

E’ possibile “far friggere il pc??!?!?!?!?!?11111ONEONEONEONE” No….. Beh… In realta’ si. Dipende da che intendi per friggerlo.

E’ possibile installare una versione modificata del bios che, per esempio, manda in sovravoltaggio la CPU e disattiva il controllo delle ventole, possibilmente bruciando il processore e/o altri componenti.

MA–No, non e’ semplice. No, non puo’ essere eseguito senza 0-day dell’OS che state usando o senza farvi aprire una applicazione come amministratore. (ANCHE TU ABITARE AD ANONYMOUS PROXY? ECCO FOTO MIE NUDA! Allegato: tette.jpg.exe)

E comunque molti BIOS richiedono la firma degli aggiornamenti dalla casa madre, e addirittura molti altri richiedono l’aggiornamento direttamente da BIOS, non da OS gia’ avviato. Quindi Si, e’ possibile, Si, e’ altamente improbabile.

So… Again, wat?

Gli hacker non esistono. Sono degli esseri mitologici.

Gli esperti di sicurezza informatica sono esperti in un settore, per l’appunto, la sicurezza informatica.

Voi dagli esperti di chimica vi aspettate conoscenze estese dell’informatica forense? No?

Non pretendete il contrario. Grazie.

Theme made by Koala