IL GRANDE INFORMATICO CHIARA BRESCIANI 3810822

Kristin (Chris) Paget white hacker al servizio della sicurezza

Kristin Paget Come grande informatico ho deciso di intervistare Kristin Paget, l'hacker transgender famosa nel mondo dell’informatica per essere stata una delle salvatrici di Windows Vista che anni fa ha salvato W. Vista da gravissimi bug di sicurezza per l'utente, e oggi sembra sia stata assunta da Apple che ha deciso di investire maggiori risorse sulla sicurezza. Una delle migliori ricercatrici al mondo impegnata sulla sicurezza informatica per scovare le falle dei sistemi

Buongiorno Kristin Paget la ringrazio per la sua disponibilità nel porLe qualche domanda.

Lei è famosa come “hacker”, termine che nel sentire della gente viene associato a “criminale”, ma dal suo punto di vista come definirebbe un hacker? . L’associazione del termine hacker con quello di “criminale informatico” è in realtà un luogo comune, creato soprattutto dai media negli USA, a partire dagli anni ottanta, mentre la definizione corretta di ”criminale informatico” è “cracker”. Per quel che mi riguarda preferisco vedermi come una persona che si impegna, e si è impegnata, nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che mi vengono e che mi sono state imposte, in tutti gli aspetti della mia vita. Esser hacker per me significa essere indipendenti da un sistema sovrimposto e poter creare e sviluppare il proprio: hacking vuol dire distruggere e ricreare, un moto continuo che ti attrae verso sistemi esterni per capire la loro natura e il loro funzionamento. Solo così si raggiunge la conoscenza di ciò che ci circonda e la si può, infine, condividere con un'intera comunità e scambiarsi informazioni, e se questo vuol dire essere sovversivi, forse visto l’utilità e il riconoscimento che sto vivendo, allora sono fiera di aver avuto questa forza.

Di cosa ha paura un hacker, perché non agisce alla luce del sole, visto che da come lo definisce Lei, non avrebbe motivo di nascondersi? La necessità di “proteggersi” c’è..perchè il tutto nasce anche, ma non solo, come lotta psicologica..certo bisogna anche dire che il tutto nasce da una voglia di rivalsa sulle istituzioni autoritarie mediante il pc e le tecnologie dell'informazione, In un certo senso essere hacker, e quindi essere “invisibile”, mi ha permesso di mettere assieme la mia passione per la programmazione e il mio interesse per gli studi umanistici oltre che il mio personale percorso di formazione e la mia militanza politica. Con il pc potevo finalmente sentirmi libera da stereotipi eteropsessisti, secondo i quali i sessi dell’essere umano sono solo due e che l’identità di genere di una persona debba necessariamente combaciare con il sesso biologico, il tutto in una immobilità mentale deprimente. Un Hacker in senso stretto è colui che associa ad una profonda conoscenza dei sistemi una intangibilità dell'essere, esso è invisibile a tutti eccetto che a sé stesso. Non sono certamente Hacker in senso stretto tutti coloro che affermano di esserlo, in un certo senso gli Hacker in senso stretto non esistono, perché se qualcuno sapesse della loro esistenza per definizione non esisterebbero. Purtroppo, un hacker è un genio informatico, e come tutte le persone ci sono quelle che utilizzano il proprio sapere in modo costruttivo e quelle che agiscono in maniera distruttiva..appunto qui sta la distinzione tra i white hat e i black hat..

Dunque vuoi dire che anche all’interno del termine Hacker c’è un a distinzione di azione? Chi sono i white ed i black hat? Il termine deriva dai film western dove il buono indossava un tipico cappello da cowboy bianco, mentre l’antagonista uno nero, da qui black hat.. Un white hat, chiamato anche hacker etico, è un hacker che si oppone all'abuso dei sistemi informatici. Molte di queste persone sono impiegate in aziende di sicurezza informatica e lavorano nella completa legalità. Gli altri vengono definiti "black hat hacker" sebbene spesso il termine venga connotato anche in maniera più negativa del semplice "aiutare i proprietari di sistemi di rete" e collegato al vero e proprio vandalismo. Ma questo è un discorso che esula dalle abilità informatiche.. Mi ritrovo più nelle definizioni di due importanti giornalisti Americani di informatica; Randolph Ryan e Steven Levy..

Randolph Ryan, Boston Globe, 1993 "Nella cultura dell‘hacking, ogni creazione semplice ed elegante riceve un'alta valutazione come si trattasse di scienza pura" "L'azione di hack differisce da una comune goliardata perché richiede attenta pianificazione, organizzazione e finezza, oltre a fondarsi su una buona dose di arguzia e inventiva. La norma non scritta vuole che ogni hack sia divertente, non distruttivo e non rechi danno. Anzi, talvolta gli stessi hacker aiutano nell'opera di smantellamento dei propri manufatti". Randolph Ryan, Boston Globe, 1993

« L'hacker pratica l'esplorazione intellettuale a ruota libera delle più alte e profonde potenzialità dei sistemi di computer, o la decisione di rendere l'accesso alle informazioni quanto più libera e aperta possibile. Ciò implica la sentita convinzione che nei computer si possa ritrovare la bellezza, che la forma estetica di un programma perfetto possa liberare mente e spirito » Steven Levy

Ma cosa si conosce mediante l’hacking? Una delle prime cose che insegna questa attività è che i sistemi informatici di cui sono dotate le aziende non sono mai del tutto sicuri. Ci sono ad esempio alcuni sistemi dotati di sottoprogrammi che si infilano nei sistemi informatici dei cittadini per rubarne le informazioni o acquisire dati a nostra insaputa. Il problema di Internet è proprio questo: attraverso di esso si possono scambiare e acquisire illegalmente informazioni senza che le persone possano fare nulla per impedirlo ed è qui che il discorso diventa poco informatico e molto politico.

Qual è dunque il tuo lavoro? La mia attività è di verifica coordinata e complessiva della sicurezza di una rete e dei sistemi che la compongono, al fine di delineare il livello effettivo di rischio cui sono esposti i dati, e proporre eventuali azioni correttive per migliorare il grado di sicurezza. Riesco ad inserirmi in un sistema o in una rete per aiutare i proprietari a prendere coscienza di un problema di sicurezza…scovo i “bug”..

Cosa si intende per BUG? Da dove deriva questo termine? L'uso del termine bug, che in inglese indica genericamente un piccolo insetto, è legato ad un curioso aneddoto risalente ai tempi pionieristici dell'informatica: il 9 settembre 1947 il tenente Grace Hopper ed il suo gruppo stavano cercando la causa del malfunzionamento di un computer quando, con stupore, si accorsero che una falena si era incastrata tra i circuiti. Dopo aver rimosso l'insetto, il tenente incollò la falena rimossa sul registro del computer e annotò: «1545. Relay #70 Panel F (moth) in relay. First actual case of bug being found». Nell‘informatica il termine bug o baco identifica un errore nella scrittura di un programma software. Meno comunemente, il termine bug può indicare un difetto di progettazione in un componente hardware, che ne causa un comportamento imprevisto o comunque diverso da quello specificato dal produttore. La causa del maggior numero di bug è spesso il codice sorgente scritto da un programmatore, ma può anche accadere che venga prodotto dal compilatore. Un programma che contiene un gran numero di bug che interferiscono con la sua funzionalità è detto bacato (in inglese "to be buggy"). In certi casi, i bug in un programma possono essere particolarmente gravi, fino al punto di rendere vulnerabile ad attacchi informatici anche il computer che ospita il software.

Smithsonian National Museum of America History: THE BUG!

Come ti hanno “scovato”? Sono entrata nel mito degli hacker, dopo che nel 2010 realizzai in casa una stazione base cellulare in grado di intercettare le telefonate effettuate alla conferenza sulla sicurezza che si teneva a Defcon. Mentre il mio primo lavoro legalmente riconosciuto, lo ottenni quando al comando di un gruppo di altri hacker, decisi di uscire allo scoperto, di rendere costruttiva la mia capacità informatica, e fronteggiare direttamente Microsoft. Rea di aver dichiarato ai media che Windows Vista fosse un sistema operativo totalmente insicuro fui subito interpellata dalla grande Azienda..e in pochissimi giorni io e il mio team scovammo centinaia di bug molto gravi, riuscendo a far posticipare la data di lancio del sistema operativo e ottenendo un lavoro in Microsoft.

Con che occhi guardavano una “hacker” che entra a lavorare per la sicurezza della Microsoft? In effetti all’inizio c’è stata diffidenza, mi trattavano come un genio “pericoloso”..mi hanno fatto molte domande, volevano sapere tutto sul mio operato volevano essere sicuri che io fossi la persona giusta.. Ho avuto la sensazione che mi stimassero tanto quanto mi temessero.. Capivano di avere di fronte qualcuno che sarebbe stato in grado di prevedere l’imprevedibile, di vedere dove loro non sarebbero arrivati..la mia fortuna è la libertà nel non aver paura di sbagliare, ma nel sapere che gli altri, nei loro limiti, sbagliano.. Quando hanno capito che si potevano fidare mi hanno finalmente aperto le porte a tutti i loro dubbi e problemi..La mia sete di sfida continua ad essere colmata dalla ricerca di errori..e dall’altra parte l'industria del software è continuamente impegnata nella ricerca sul prevenire l’introduzione di bug durante la scrittura del programma, e ha bisogno di persone come me. 

“Ho posticipato Windows Vista” La sua storia è certamente singolare..che aggiungere? A tutto questo si aggiunge anche una spiritosa t-shirt regalatami da Brian Valentine, vice presidente allo sviluppo Windows, con la scritta: “Ho posticipato Windows Vista” La fiducia ormai era conclamata, Valentine mi era grato perché gli ho salvato la faccia..abbiamo risolto molti bug prima della consegna di Vista. Sono davvero orgogliosa del numero di falle che abbiamo trovato e che abbiamo permesso di sistemare..

Tra i suoi mille exploit ha anche inventato una tecnica chiama Shatter Attack, in cosa consiste? Si tratta di una procedura che sfruttava delle falle di sistema di Windows che non sono state colmate prima di Vista. Lo shatter attack è una tipologia di attacco scoperta in tempi recenti che permette di sfruttare una errata gestione delle API di windows per iniettare in un programma del codice eseguibile. I programmi vulnerabili sono quelli che presentano una editbox (un area di testo per intenderci). Se apriamo i programmi sopracitati,notiamo che la maggioranza di essi posseggono almeno una editbox (anche non abilitata,o nella quale non si può scrivere).Questa,  è sicuramente una delle vulnerabilità più frequenti in questi tempi, soprattutto per sistemi operativi windows, perché va ad agire sulle GUI (Interfacce grafiche) dei programmi, tanto di moda in questo momento. E non è un caso:mi avevano ingaggiata per sistemare i problemi del tartassato sistema operativo!

..anche i Mac sono diventati un target appetibile per i malintenzionati? Dal momento che la Apple sembra aver fatto lo stesso genere di valutazione sul mio curriculum..tanto da richiedermi espressamente, il timore è quello.. Pian piano l’attenzione dei cybercriminali si è spostata su OS X ed iOS, Dopo un periodo in Recursion Ventures, una società specializzata in sicurezza hardware, lo scorso settembre sono stata assunta in pianta stabile in quel di Cupertino, nel ruolo di ricercatrice per la sicurezza dei sistemi operativi.

Qual è il tuo compito nella Apple? Dei miei compiti non posso dire molto, come quando ho lavorato per la Microsoft, il rapporto di fiducia sul mio delicato operato per la tipologia di lavoro che mi è richiesto, non può mai venir meno..anche per la mia scoperta prima come “hacker” e poi come “risorsa”.. Posso solo dire che sono impiegata a tempo pieno per condurre dei test sul cuore di UNIX e di OS X, alla ricerca di tutte le problematiche che potrebbero minare l’utilizzo da parte dell’utente.. Anche alla Apple però la stima gli fa dire: “ La paget è una dichiarazione di garanzia. Se c’è qualcuno che può scovare con largo anticipo falle fino a oggi ignorate, è di certo lei la persona giusta”.

Arrivederci Kristin Paget, la ringrazio per la Sua disponibilità nel risponderci.

http://www.ol-service.com/sikurezza/doc/Hackers_in_rosa_pink.htm http://www.hackgeek.it/con-gerix-wifi-cracker-anche-mia-nonna-saprebbe-craccare-una-rete-wifi/ Hakers La storia, le storie.No Copyright.di Maya Le prime computers erano donne. Nerina Milletti, 2003. Gli albori dell'informatica si colorano di rosa.In: Hackers & C., anno 1, numero 5 http://linux-club.org/node/2722 http://www.webnews.it/2012/12/07/apple-assume-lhacker-che-salvo-windows/?ref=post http://www.repubblica.it/tecnologia/2012/12/07/foto/apple_assume_kristin_paget_l_hacker_diventato_donna-48304660/1/ http://www.macitynet.it/macity/articolo/Apple-assume-un-hacker-ex-dipendente-Microsoft/aA65019 http://www.downloadblog.it/post/36811/apple-assume-kristin-paget-lhacker-britannica-che-ha-blindato-windows-vista http://www.ipaditalia.com/apple-assume-kristin-paget-lesperta-in-sicurezza-che-lavorava-per-microsoft-137187.html http://www.geekyourself.it/lhacker-kristin-paget-assunta-dalla-apple/ http://ctrlaltcanccorp.altervista.org/flatnuke-2.5.8.1/sections/Download/Guide_e_Tools_Per_il_Programmatore/ShatterAttack.pdf http://en.wikipedia.org/wiki/Shatter_attack Chris Paget (August 2002). "Exploiting design flaws in the Win32 API for privilege escalation.". Archived from the original on 2006-09-04. http://duxhack.blogspot.it/2012/04/lo-shattering-e-il-code-injection.html http://it.wikipedia.org/wiki/Hacker Steven Levy, Hackers. Gli eroi della rivoluzione informatica, 1999, Shake Editore,  http://it.wikipedia.org/wiki/Debugging http://it.wikipedia.org/wiki/White_hat