Bruce Schneier: cos’è un hacker?
Inserito da Redazione il Gio, 2006-10-19 07:00
Antologia | Ottobre 2006 | Security
061019-crypto-gram
La versione originale, in lingua inglese, è stata pubblicata
sul numero del 15
settembre 2006 di Crypto-Gram. La traduzione
italiana è opera di Communication
Valley che si ringrazia.
Un hacker è qualcuno che sperimenta i limiti dei sistemi per curiosità intellettuale.
Ho scritto quest’ultima frase nel 2000, nel mio libro “Beyond Fear”, e confermo tale definizione.
In “Beyond Fear” ho anche scritto:
“Gli hacker sono vecchi quanto è vecchia la curiosità, anche se il termine è moderno. Galileo era un hacker. Anche Madame Curie lo era. Aristotele no. (Aristotele aveva una qualche prova teorica per cui le donne avevano meno denti degli uomini. Un hacker avrebbe semplicemente contato i denti di sua moglie. Un buon hacker avrebbe contato i denti di sua moglie senza che lei se ne accorgesse. Un buon pessimo hacker ne avrebbe estratti alcuni, per provare il suo punto di vista).
“Quando ero al college, conoscevo un gruppo di ragazzi simili agli hacker: i cosiddetti ‘key freaks’. Ricercavano l’accesso totale, e il loro obiettivo era avere una chiave per ogni serratura del campus.
Studiavano le tecniche di manomissione delle serrature e ne imparavano di nuove, si scambiavano le mappe dei condotti di aerazione e di dove conducevano, nonché copie delle chiavi che ottenevano.
Una porta chiusa era una sfida, un affronto personale alla loro abilità. Queste persone non avevano intenzione di fare danni o torti, il loro scopo non era rubare, anche se avrebbero potuto farlo. Il loro hobby consisteva nel poter andare dovunque volessero.
“Si ricordino i ‘phone phreaks’ di qualche tempo fa, quelli che potevano fischiare in un telefono pubblico ed effettuare chiamate gratis. Certo, rubavano servizio telefonico. Ma non è che avessero bisogno di fare chiamate di otto ore a Manila o McMurdo.
Il loro vero obiettivo era la conoscenza segreta: la rete telefonica era un enorme labirinto di informazioni. Volevano conoscere il sistema meglio di chi lo aveva progettato, e volevano avere la capacità di modificarlo a piacimento.
Comprendere il funzionamento del sistema telefonico, quello era il vero trofeo. Altri fra i primi hacker erano gli appassionati di radiocomunicazioni e di trenini elettrici.
"Richard Feynman era un hacker: leggete i suoi libri."
“Gli hacker informatici seguono questa direzione evolutiva. O meglio, sono lo stesso gene che opera in un sistema nuovo. I computer, e le reti in particolare, sono il nuovo territorio da esplorare. Le reti offrono il più grande labirinto di condotti di aerazione, in cui una nuova tecnica di hacking diventa una chiave che può aprire un computer dopo l’altro. E al suo interno vi è la conoscenza, la sapienza. L’accesso. Come funzionano le cose. Perché funzionano. È tutto là fuori, in attesa di essere scoperto”.
I computer sono il luogo di svago perfetto per gli hacker. I computer e le reti di computer sono tesori di conoscenza segreta. Internet è un immenso territorio di informazioni da scoprire. Più si conosce, più cose si possono fare.
E non dovrebbe sorprendere che molti hacker abbiano concentrato le proprie abilità sulla sicurezza informatica.
Non solo è spesso l’ostacolo che separa un hacker dalla conoscenza, e quindi qualcosa da sconfiggere, ma occorre aggiungere che la forma mentis necessaria per eccellere nella sicurezza è proprio la stessa che possiedono gli hacker: pensare in modo creativo, non rispettare le regole, esplorare i limiti di un sistema.
Il modo più semplice per sconfiggere un sistema di sicurezza è scoprire ciò a cui non hanno pensato i progettisti di quel sistema.
Questo è lo hacking nell’ambito della sicurezza. Gli hacker giocano sporco.
E per violare la sicurezza si gioca sempre sporco. Scoprire la chiave RSA di una smart card osservando le fluttuazioni di energia, perché chi ha ideato la card non si è mai reso conto che qualcuno avrebbe potuto fare una cosa del genere.
Auto-firmare una porzione di codice, perché il sistema di verifica della firma non pensava che qualcuno avrebbe potuto fare un simile tentativo. Utilizzare una parte di un protocollo per violarne uno completamente diverso, perché tutte le precedenti analisi di sicurezza hanno sempre considerato i protocolli individualmente invece che a coppie.
Questo è hacking nella sicurezza: penetrare in un sistema pensando in modo differente.
Suona tutto assai criminoso: ricuperare testo crittografato, ingannare algoritmi di firma, violare protocolli. Ma onestamente è soltanto il gergo di noi esperti di sicurezza.
L’hacking non è criminoso.
Tutti gli esempi elencati nel paragrafo precedente sono stati effettuati da rispettati professionisti di sicurezza, e sono stati tutti presentati a conferenze di sicurezza.
Ricordo una conversazione a una Crypto conference, agli inizi della mia carriera. Avvenne fuori, fra gamberoni, fragole ricoperte di cioccolato e altre golosità.
Un gruppo di noi esperti stava parlando di un certo sistema crittografico, e fra i presenti c’era Brian Snow della NSA.
Qualcuno descrisse un attacco non convenzionale, che non seguiva affatto le solite regole della crittanalisi. Non ricordo i particolari, ma ricordo come reagii dopo aver sentito la descrizione dell’attacco.
"Così vuol dire imbrogliare", dissi. Perché era proprio così. Ricordo anche come Brian si girò verso di me. Non disse nulla, ma il suo sguardo parlava chiaramente.
"In questo lavoro non esiste il concetto di imbrogliare".
Perché davvero non esiste.
Hacking significa imbrogliare, giocare sporco, ed è il sistema per migliorare nel campo della sicurezza. È solo quando qualcuno inventa un nuovo attacco che il resto di noi può scoprire come difendersi contro di esso.
Per anni mi sono rifiutato di giocare con la semantica di "hacker" contro "cracker".
Vi sono ottimi hacker e pessimi hacker, proprio come vi sono ottimi elettricisti e pessimi elettricisti.
"Hacker" è una forma mentale e un insieme di capacità; come si impiegano tali capacità è un altro discorso. E credo che i migliori esperti di sicurezza informatica possiedano la forma mentis dell’hacker.
Quando devo assumere nuovi impiegati, cerco qualcuno che, entrando in un negozio, non possa fare a meno di pensare a un modo per rubacchiare. Cerco qualcuno che non possa fare a meno di testare un programma di sicurezza informatica senza provare ad aggirarlo.
Cerco qualcuno che, quando gli si dice che le cose funzionano in un certo modo, mi chieda immediatamente in che modo le cose smettono di funzionare se si fa qualcos’altro.
Abbiamo bisogno di queste persone nel campo della sicurezza, e abbiamo bisogno che stiano dalla nostra parte. I criminali sono sempre alla ricerca di nuovi metodi per violare i sistemi di sicurezza. Si implementi un nuovo sistema (uno sportello bancomat, un sistema di internet banking, una macchina per il gioco d’azzardo) e i criminali cercheranno di trarne profitti illeciti. E alla fine scopriranno comefarlo, perché alcuni hacker sono anche dei criminali. Ma se abbiamo degli hacker che lavorano per noi, lo scopriranno per primi e quindi potremo difenderci.
È la nostra unica speranza per la sicurezza in questo modo tecnologico che si muove sempre più velocemente.
Questo intervento è apparso nel numero dell’estate 2006 di “2600”.
Bruce Schneier, settembre 2006
Che cos’è un hacker?
Un hacker è una persona che pensa in modo creativo. È una persona che rigetta le credenze convenzionali per fare qualcosa di completamente diverso. È un individuo che osserva un limite e si chiede che cosa vi è oltre. È un individuo che considera un insieme di regole e si chiede che cosa succede a non seguirle.Un hacker è qualcuno che sperimenta i limiti dei sistemi per curiosità intellettuale.
Ho scritto quest’ultima frase nel 2000, nel mio libro “Beyond Fear”, e confermo tale definizione.
In “Beyond Fear” ho anche scritto:
“Gli hacker sono vecchi quanto è vecchia la curiosità, anche se il termine è moderno. Galileo era un hacker. Anche Madame Curie lo era. Aristotele no. (Aristotele aveva una qualche prova teorica per cui le donne avevano meno denti degli uomini. Un hacker avrebbe semplicemente contato i denti di sua moglie. Un buon hacker avrebbe contato i denti di sua moglie senza che lei se ne accorgesse. Un buon pessimo hacker ne avrebbe estratti alcuni, per provare il suo punto di vista).
“Quando ero al college, conoscevo un gruppo di ragazzi simili agli hacker: i cosiddetti ‘key freaks’. Ricercavano l’accesso totale, e il loro obiettivo era avere una chiave per ogni serratura del campus.
Studiavano le tecniche di manomissione delle serrature e ne imparavano di nuove, si scambiavano le mappe dei condotti di aerazione e di dove conducevano, nonché copie delle chiavi che ottenevano.
Una porta chiusa era una sfida, un affronto personale alla loro abilità. Queste persone non avevano intenzione di fare danni o torti, il loro scopo non era rubare, anche se avrebbero potuto farlo. Il loro hobby consisteva nel poter andare dovunque volessero.
“Si ricordino i ‘phone phreaks’ di qualche tempo fa, quelli che potevano fischiare in un telefono pubblico ed effettuare chiamate gratis. Certo, rubavano servizio telefonico. Ma non è che avessero bisogno di fare chiamate di otto ore a Manila o McMurdo.
Il loro vero obiettivo era la conoscenza segreta: la rete telefonica era un enorme labirinto di informazioni. Volevano conoscere il sistema meglio di chi lo aveva progettato, e volevano avere la capacità di modificarlo a piacimento.
Comprendere il funzionamento del sistema telefonico, quello era il vero trofeo. Altri fra i primi hacker erano gli appassionati di radiocomunicazioni e di trenini elettrici.
"Richard Feynman era un hacker: leggete i suoi libri."
“Gli hacker informatici seguono questa direzione evolutiva. O meglio, sono lo stesso gene che opera in un sistema nuovo. I computer, e le reti in particolare, sono il nuovo territorio da esplorare. Le reti offrono il più grande labirinto di condotti di aerazione, in cui una nuova tecnica di hacking diventa una chiave che può aprire un computer dopo l’altro. E al suo interno vi è la conoscenza, la sapienza. L’accesso. Come funzionano le cose. Perché funzionano. È tutto là fuori, in attesa di essere scoperto”.
I computer sono il luogo di svago perfetto per gli hacker. I computer e le reti di computer sono tesori di conoscenza segreta. Internet è un immenso territorio di informazioni da scoprire. Più si conosce, più cose si possono fare.
E non dovrebbe sorprendere che molti hacker abbiano concentrato le proprie abilità sulla sicurezza informatica.
Non solo è spesso l’ostacolo che separa un hacker dalla conoscenza, e quindi qualcosa da sconfiggere, ma occorre aggiungere che la forma mentis necessaria per eccellere nella sicurezza è proprio la stessa che possiedono gli hacker: pensare in modo creativo, non rispettare le regole, esplorare i limiti di un sistema.
Il modo più semplice per sconfiggere un sistema di sicurezza è scoprire ciò a cui non hanno pensato i progettisti di quel sistema.
Questo è lo hacking nell’ambito della sicurezza. Gli hacker giocano sporco.
E per violare la sicurezza si gioca sempre sporco. Scoprire la chiave RSA di una smart card osservando le fluttuazioni di energia, perché chi ha ideato la card non si è mai reso conto che qualcuno avrebbe potuto fare una cosa del genere.
Auto-firmare una porzione di codice, perché il sistema di verifica della firma non pensava che qualcuno avrebbe potuto fare un simile tentativo. Utilizzare una parte di un protocollo per violarne uno completamente diverso, perché tutte le precedenti analisi di sicurezza hanno sempre considerato i protocolli individualmente invece che a coppie.
Questo è hacking nella sicurezza: penetrare in un sistema pensando in modo differente.
Suona tutto assai criminoso: ricuperare testo crittografato, ingannare algoritmi di firma, violare protocolli. Ma onestamente è soltanto il gergo di noi esperti di sicurezza.
L’hacking non è criminoso.
Tutti gli esempi elencati nel paragrafo precedente sono stati effettuati da rispettati professionisti di sicurezza, e sono stati tutti presentati a conferenze di sicurezza.
Ricordo una conversazione a una Crypto conference, agli inizi della mia carriera. Avvenne fuori, fra gamberoni, fragole ricoperte di cioccolato e altre golosità.
Un gruppo di noi esperti stava parlando di un certo sistema crittografico, e fra i presenti c’era Brian Snow della NSA.
Qualcuno descrisse un attacco non convenzionale, che non seguiva affatto le solite regole della crittanalisi. Non ricordo i particolari, ma ricordo come reagii dopo aver sentito la descrizione dell’attacco.
"Così vuol dire imbrogliare", dissi. Perché era proprio così. Ricordo anche come Brian si girò verso di me. Non disse nulla, ma il suo sguardo parlava chiaramente.
"In questo lavoro non esiste il concetto di imbrogliare".
Perché davvero non esiste.
Hacking significa imbrogliare, giocare sporco, ed è il sistema per migliorare nel campo della sicurezza. È solo quando qualcuno inventa un nuovo attacco che il resto di noi può scoprire come difendersi contro di esso.
Per anni mi sono rifiutato di giocare con la semantica di "hacker" contro "cracker".
Vi sono ottimi hacker e pessimi hacker, proprio come vi sono ottimi elettricisti e pessimi elettricisti.
"Hacker" è una forma mentale e un insieme di capacità; come si impiegano tali capacità è un altro discorso. E credo che i migliori esperti di sicurezza informatica possiedano la forma mentis dell’hacker.
Quando devo assumere nuovi impiegati, cerco qualcuno che, entrando in un negozio, non possa fare a meno di pensare a un modo per rubacchiare. Cerco qualcuno che non possa fare a meno di testare un programma di sicurezza informatica senza provare ad aggirarlo.
Cerco qualcuno che, quando gli si dice che le cose funzionano in un certo modo, mi chieda immediatamente in che modo le cose smettono di funzionare se si fa qualcos’altro.
Abbiamo bisogno di queste persone nel campo della sicurezza, e abbiamo bisogno che stiano dalla nostra parte. I criminali sono sempre alla ricerca di nuovi metodi per violare i sistemi di sicurezza. Si implementi un nuovo sistema (uno sportello bancomat, un sistema di internet banking, una macchina per il gioco d’azzardo) e i criminali cercheranno di trarne profitti illeciti. E alla fine scopriranno comefarlo, perché alcuni hacker sono anche dei criminali. Ma se abbiamo degli hacker che lavorano per noi, lo scopriranno per primi e quindi potremo difenderci.
È la nostra unica speranza per la sicurezza in questo modo tecnologico che si muove sempre più velocemente.
Questo intervento è apparso nel numero dell’estate 2006 di “2600”.
Bruce Schneier, settembre 2006
IsacaRoma Newsletter link
- Bruce Schneier: le certificazioni di sicurezza
- Bruce Schneier: Economia e Sicurezza delle Informazioni
- Bruce Schneier: domande e risposte
- Bruce Schneier: le vulnerabilità dei software e le responsabilità
- Il futuro della privacy, di Bruce Schneier
- Bruce Schneier: il phishing
- Beyond Fear di Bruce Schneier
» email this story | printer friendly version | 3023 reads
