L'hacker etico che ha "bucato" l'Olanda: "Vi spiego perché vado a caccia di falle"

«Io sto dalla parte dei buoni ma se trovi una falla in un sistema governativo italiano rischi azioni legali, questo per farti capire quanto siamo “primitivi”». Al Giornale parla Antonio Arlia Ciombo, uno dei tanti «hacker etici» che cercano le falle nei sistemi di sicurezza di governi, aziende e applicazioni, ma solo nel tempo libero, in cambio di qualche premio di poco conto come una lousy t-shirt. «In Italia ne servirebbero tanti», aveva detto nei giorni scorsi la presidente della commissione Antimafia Chiara Colosimo sul tema su dossieraggi e cyberattacchi. Lui preferisce farsi chiamare white hat o cacciatore di bug: «In particolare sono un bug hunter nel campo della sicurezza mobile android, cioè cerco falle su sistemi e/o applicazioni e in cambio le aziende mi danno dei riconoscimenti, premi o soldi, in modo del tutto legale e trasparente. Come me ce ne sono davvero tanti, in gamba, da cui prendo ispirazione ogni giorno». È una pratica che all’estero funziona eccome. «La maggior parte delle aziende estere (Google, Facebook, Apple, Microsoft e altre) ha dei programmi di Bug Bounty in cui dichiarano il premio che andrà al ricercatore che scopre una certa tipologia di falla all’interno del loro sistema», senza intentare alcuna azione legale. L’ultima «vittima» illustre è Oppo, cinque mesi fa. Gli chiediamo se teoricamente è possibile hackerare i siti del governo, senza lasciare tracce: «Sì, è possibile - ci risponde - ma solo dopo un’attività profonda del sistema, si deve capire il sistema/applicazione come funziona. Senza lasciare tracce? Mmmm, è impossibile non lasciare dei segni da parte dell’attaccante». Lui ne sa qualcosa. Nel 2019 fece uno scherzetto al governo olandese, che ha attivo ormai da anni un programma di Bug Bounty che premia chi scopre e segnala una falla di sicurezza all’interno di uno dei loro sistemi. «Era il 2019, avevo trovato una grave falla nel sistema del Meteo del governo olandese (era una Rce, un Remote command execution che poteva compromettere l’intero sistema)». E in cambio? «Mi hanno regalato (ride) una maglietta con scritto: Hai hackerato il governo olandese e noi ti mandiamo questo schifo di maglietta». I suoi successi e il suo curriculum è tutto su Linkedin, chissà che l’Antimafia o l’esecutivo non ci pensino. «Il nostro Paese è indietro anni luce rispetto agli altri. Sono davvero pochi i programmi di Bug Bounty in Italia a livello aziendale (Tim e Fastweb sono tra i pochi ad averne uno), per non parlare delle istituzioni statali». Quali sono le criticità? «Dipende sempre dal sistema che si tenta di hackerare e dagli errori che compiono gli sviluppatori nel farlo». I dati degli italiani fanno gola basti pensare a quelli sanitari, fiscali o economici - vedi il mercato delle Sos, segnalazioni di operazioni sospette di cui è accusato l’ufficiale Gdf Pasquale Striano a Perugia. «I dati personali sono un valore enorme per un attaccante perché si possono rivendere sul mercato nero con moneta virtuale (Bitcoin o altri pagamenti elettronici) in modo da non lasciare traccia o banalmente per screditare l’azienda a cui sono stati rubati i dati». È possibile un finale alla Fight Club, in cui scompaiono tutti i nostri dati? «Se esistesse una qualche falla critica sarebbe possibile mandare in blackout un sistema di una banca senza problemi.