Skip to main content
Il Quotidiano Online
dell'Ateneo Niccolò Cusano di Roma

Tag: hacker white hat

Hacker white hat criptovalute

Kraken, gli hacker white hat ora si rifiutano di restituire tre milioni sottratti all’exchange

Scritto da Dario Marchetti il . Pubblicato in Senza Categoria. Nessun commento su Kraken, gli hacker white hat ora si rifiutano di restituire tre milioni sottratti all’exchange

Nick Percoco, il principale responsabile della sicurezza dell’exchange di criptovalute Kraken, ha rivelato che un gruppo di hacker white-hat si è rifiutato di restituire risorse digitali per un valore di circa 3 milioni di dollari, sottratte alla piattaforma sfruttando un bug nel suo sistema.

La rivelazione è stata affidata a X, ex Twitter, con una serie di post, dallo stesso Percoco. È stato proprio lui a rendere noto come i ricercatori sulla sicurezza chiedono che l’exchange di criptovalute fornisca una determinata quantità di denaro, di cui non è stato rivelato l’importo, per non rivelare pubblicamente la falla del suo sistema.

Kraken alle prese con un tentativo di estorsione da parte di hacker white hat

Stando alla ricostruzione di Percoco, un ricercatore di sicurezza ha inviato un avviso del programma Bug Bounty a Kraken, il 9 giugno. La comunicazione era relativa all’individuazione di un bug “estremamente critico”, tale da consentire agli utenti di gonfiare artificialmente il proprio saldo sulla piattaforma.

Nonostante le tante segnalazioni false arrivate all’interno del programma, l’exchange ha deciso di prendere sul serio il reclamo e ha riunito di conseguenza un team al fine di indagare sul problema.

La squadra raccolta per l’occasione ha in effetti riscontrato un bug il quale rendeva possibile ai criminali informatici l’avvio di depositi su Kraken e la ricezione di fondi sui propri conti, senza però dover completare i depositi.

In pratica, la falla riscontrata non mette a rischio i fondi dei clienti, ma consente agli utenti malintenzionati di stampare risorse nei propri conti. Per poi concludere l’operazione effettuando prelievi dalla tesoreria di Kraken.

Problema risolto? Tutt’altro

Il problema è stato quindi risolto in meno di due ore dall’identificazione. Il team ha infatti scoperto che il bug derivava da un difetto nell’ultima esperienza utente (UX) di Kraken. Nelle successive indagini, però, l’exchange si è trovato di fronte ad una sorpresa: tre utenti avevano già sfruttato la falla. Uno degli account era collegato a un utente il quale affermava di essere un ricercatore di sicurezza.

Scavando a fondo, è poi emerso che proprio questo ricercatore è stato il primo a individuare il bug. Pensando bene di sfruttarlo per accreditarsi quattro milioni di dollari in criptovalute sul proprio account, senza segnalare il rinvenimento al team preposto. E, ancora, ha informato due suoi colleghi, che sono a loro volta passati all’incasso per somme maggiori. Insieme, hanno in seguito ritirato circa tre milioni di dollari in criptovalute dai conti incriminati.

Kraken ha naturalmente contattato i ricercatori al fine di chiedere loro un resoconto delle proprie attività e la restituzione dei beni ritirati. Trovandosi però di fronte a un rifiuto. La beffa è stata completata dall’accusa rivolta alla piattaforma di irragionevolezza e scarsa professionalità. Infine, hanno chiesto all’azienda di fornire una stima dei danni che il bug avrebbe potuto causare.

Lo stesso Percoco ha puntualizzato che Kraken ha affrontato il caso con le forze dell’ordine, trattandosi con tutta evidenza di un caso di estorsione. Questa la sua dichiarazione, al proposito: “Trattiamo questo come un procedimento penale e ci stiamo coordinando di conseguenza con le forze dell’ordine. Siamo grati che questo problema sia stato segnalato, ma questo è dove finisce il nostro pensiero.” Il sottinteso è abbastanza evidente: la palla passa ora alle forze dell’ordine e alla magistratura.

Hacker white hat, cosa sono e a cosa servono

Per hacker white hat si intendono quegli specialisti che conducono i loro raid informatici a scopi etici. Di solito si mettono al servizio delle aziende incaricandosi di testare e verificare le vulnerabilità della sicurezza e, di conseguenza, porre rimedio a eventuali bugs riscontrati.

Il loro modus operandi, teso a dare risposte al committente, prevede la conduzione di esperimenti, indicati con il termine di “pen test”. In buona sostanza si tratta di simulare veri e propri attacchi informatici ai sistemi aziendali, i quali prevedono metodi identici a quelli degli hacker veri e propri. Un novero in cui rientrano ad esempio il phishing, il social engineering e gli attacchi DDoS.

Come è stato possibile verificare in questa occasione, però, il confine tra le due categorie di hacker può rivelarsi molto sottile. Generando situazioni come quella con cui sta combattendo Kraken, in questo frangente.

Hacker white hat criptovalute

Hacker white hat: cos’è e qual è la sua importanza

Scritto da Dario Marchetti il . Pubblicato in Economia. Nessun commento su Hacker white hat: cos’è e qual è la sua importanza

Non tutti gli hacker sono mossi da cattive intenzioni. Forse non molti lo sanno, ma ci sono quelli che usano i trucchi tipici dei pirati informatici per fini etici o, meglio ancora, per mettere in guardia aziende, privati ed enti pubblici dei pericoli connessi ad un utilizzo imprudente dei propri computer.

Stiamo parlando dei cosiddetti hacker white hat. Una categoria che può essere considerata il corrispondente di quei personaggi i quali conducono test sulle autovetture, tesi a cercare di capirne eventuali difetti e porvi rimedio. Andiamo quindi a fare la conoscenza con la categoria, per capire meglio di cosa si tratti.

Hacker white hat: cosa sono?

Per hacker white hat si intendono coloro che conducono i loro raid informatici a scopi etici. Solitamente sono assunti da un’azienda con un preciso compito: testare e verificare le vulnerabilità della sicurezza e porre rimedio a eventuali falle riscontrate.

Per riuscire a condurre in porto l’azione per cui è stato ingaggiato, l’hacker white hat conduce degli esperimenti, indicati con il termine di “pen test”. In pratica si tratta di simulare veri e propri attacchi informatici ai sistemi aziendali, condotti con gli stessi metodi tipici degli hacker veri e propri, ad esempio il social engineering, il phishing, gli attacchi DDoS e così via.

Questa particolare categoria di hacker, quindi, è molto diversa dalle altre due in cui si divide la categoria dei pirati informatici, ovvero:

  1. hacker grey hat, il quale si immette nei sistemi aziendali o di altro genere senza chiedere alcun genere di permesso. Non sottrae informazioni e non blocca il sistema attaccato, ma mette al corrente la parte attaccata delle vulnerabilità riscontrate;
  2. hacker black hat, che si immette egualmente e senza permesso nei sistemi informatici, ma con il preciso intento di attaccarli magari per chiedere un riscatto (ransomware) dopo averli bloccati , oppure sottraendo dati sensibili.

Perché le aziende si rivolgono agli hacker etici?

I motivi per cui le aziende si rivolgono agli hacker white hat sono facilmente comprensibili. Si tratta infatti di tecnici che possiedono le stesse competenze dei pirati informatici e possono individuare le vulnerabilità dei sistemi aziendali, consentendo a chi li ingaggia di correre ai ripari prima di essere vittima di attacchi.

Gli hacker etici sono anche in grado di porre rimedio all’evidente sottovalutazione in cui incorre parte del personale quando lavora nelle strutture aziendali. Individuare i lavoratori che devono essere messi al corrente della buone pratiche per evitare attacchi rappresenta un buon viatico per conseguire una certa tranquillità sotto questo particolare aspetto.

Evitando scorrerie informatiche, gli hacker white hat rendono un servizio molto prezioso non solo sotto il profilo finanziario, evitando che i sistemi attaccati possano restare fuori uso anche per archi prolungati di tempo, ma anche reputazionale. Essere individuati come un’azienda che non pone attenzione alla sicurezza non è esattamente il migliore dei biglietti da visita possibili.

Alcuni famosi hacker white hat

Per capire meglio l’utilità degli hacker etici, si può osservare un caso risalente al 2015. Proprio in quell’anno, infatti, Charlie Miller e Chris Valasek sono riusciti a penetrare nel sistema operativo di una Jeep Cherokee e a prendere il controllo dello sterzo, dei freni e di altri comandi importanti. Una volta terminato l’attacco, l’azienda ha dovuto ritirare ben 1,4 milioni di veicoli, evitando però conseguenze ancora più disastrose. Da quell’episodio è conseguito un interessante dibattito relativo alla sicurezza delle autovetture collegate al web.

Altro white hat molto famoso è poi Kevin Mitnick. La sua storia è emblematica: ha infatti iniziato come criminale informatico a tutto tondo, per poi essere colto in fallo da Tsutomu Shimomura, per conto dell’FBI. Dopo aver passato cinque anni in carcere, una volta uscito è passato dall’altra parte della barricata, mettendo la sua sapienza al servizio delle aziende. Ha anche scritto un libro, considerato una sorta di Bibbia sulla materia, dal titolo “L’arte dell’inganno”.

Infine, quel Tim Berners-Lee universalmente noto noto per aver inventato il World Wide Web. Meno conosciuta, se non all’ambiente degli hacker etici, è l’attività all’interno di un gruppo che raduna molti dei migliori specialisti in materia.