IL GRANDE
INFORMATICO
CHIARA BRESCIANI
3810822
Kristin (Chris) Paget
white hacker al servizio della
sicurezza
Kristin Paget
Come grande informatico ho deciso di intervistare Kristin Paget,
l'hacker transgender famosa nel mondo dell’informatica per
essere stata una delle salvatrici di Windows Vista che anni fa ha
salvato W. Vista da gravissimi bug di sicurezza per l'utente, e
oggi sembra sia stata assunta da Apple che ha deciso di
investire maggiori risorse sulla sicurezza.
Una delle migliori ricercatrici al mondo impegnata sulla
sicurezza informatica per scovare le falle dei sistemi
Buongiorno Kristin Paget la
ringrazio per la sua
disponibilità nel porLe
qualche domanda.
Lei è famosa come “hacker”, termine che nel sentire della
gente viene associato a “criminale”, ma dal suo punto di
.
vista come definirebbe un hacker?
L’associazione del termine hacker con quello di “criminale
informatico” è in realtà un luogo comune, creato soprattutto dai media
negli USA, a partire dagli anni ottanta, mentre la definizione corretta
di ”criminale informatico” è “cracker”.
Per quel che mi riguarda preferisco vedermi come una persona che si
impegna, e si è impegnata, nell'affrontare sfide intellettuali per
aggirare o superare creativamente le limitazioni che mi vengono e
che mi sono state imposte, in tutti gli aspetti della mia vita.
Esser hacker per me significa essere indipendenti da un sistema
sovrimposto e poter creare e sviluppare il proprio: hacking vuol dire
distruggere e ricreare, un moto continuo che ti attrae verso sistemi
esterni per capire la loro natura e il loro funzionamento. Solo così si
raggiunge la conoscenza di ciò che ci circonda e la si può, infine,
condividere con un'intera comunità e scambiarsi informazioni, e se
questo vuol dire essere sovversivi, forse visto l’utilità e il
riconoscimento che sto vivendo, allora sono fiera di aver avuto questa
forza.
Di cosa ha paura un hacker, perché non agisce alla luce
del sole, visto che da come lo definisce Lei, non avrebbe
motivo di nascondersi?
•
•
La necessità di “proteggersi” c’è..perchè il tutto nasce anche, ma non
solo, come lotta psicologica..certo bisogna anche dire che il tutto nasce
da una voglia di rivalsa sulle istituzioni autoritarie mediante il pc e le
tecnologie dell'informazione,
In un certo senso essere hacker, e quindi essere “invisibile”, mi ha
permesso di mettere assieme la mia passione per la programmazione e il
mio interesse per gli studi umanistici oltre che il mio personale percorso
di formazione e la mia militanza politica. Con il pc potevo finalmente
sentirmi libera da stereotipi eteropsessisti, secondo i quali i sessi
dell’essere umano sono solo due e che l’identità di genere di una
persona debba necessariamente combaciare con il sesso biologico, il
tutto in una immobilità mentale deprimente.
•
Un Hacker in senso stretto è colui che associa ad una profonda
conoscenza dei sistemi una intangibilità dell'essere, esso è invisibile a
tutti eccetto che a sé stesso. Non sono certamente Hacker in senso
stretto tutti coloro che affermano di esserlo, in un certo senso gli Hacker
in senso stretto non esistono, perché se qualcuno sapesse della loro
esistenza per definizione non esisterebbero.
•
Purtroppo, un hacker è un genio informatico, e come tutte le persone ci
sono quelle che utilizzano il proprio sapere in modo costruttivo e quelle
che agiscono in maniera distruttiva..appunto qui sta la distinzione tra i
white hat e i black hat..
Dunque vuoi dire che anche all’interno del termine
Hacker c’è un a distinzione di azione? Chi sono i white ed
i black hat?
Il termine deriva dai film western dove il buono indossava un tipico cappello da
cowboy bianco, mentre l’antagonista uno nero, da qui black hat..
Un white hat, chiamato anche hacker etico, è un hacker che si oppone
all'abuso dei sistemi informatici.
Molte di queste persone sono impiegate in aziende di sicurezza informatica e
lavorano nella completa legalità. Gli altri vengono definiti "black hat hacker"
sebbene spesso il termine venga connotato anche in maniera più negativa del
semplice "aiutare i proprietari di sistemi di rete" e collegato al vero e proprio
vandalismo. Ma questo è un discorso che esula dalle abilità informatiche..
Mi ritrovo più nelle definizioni di due importanti giornalisti Americani di
informatica; Randolph Ryan e Steven Levy..
•
•
"Nella
cultura dell‘hacking, ogni creazione
semplice ed elegante riceve un'alta valutazione
come si trattasse di scienza pura"
"L'azione di hack differisce da una comune
goliardata perché richiede attenta
pianificazione, organizzazione e finezza, oltre a
fondarsi su una buona dose di arguzia e
inventiva. La norma non scritta vuole che ogni
hack sia divertente, non distruttivo e non rechi
danno. Anzi, talvolta gli stessi hacker aiutano
nell'opera di smantellamento dei propri
manufatti".
•
Randolph Ryan, Boston Globe, 1993
•
« L'hacker pratica l'esplorazione
intellettuale a ruota libera delle più alte e
profonde potenzialità dei sistemi di
computer, o la decisione di rendere
l'accesso alle informazioni quanto più
libera e aperta possibile. Ciò implica la
sentita convinzione che nei computer si
possa ritrovare la bellezza, che la forma
estetica di un programma perfetto possa
liberare mente e spirito »
•
Steven Levy
Ma cosa si conosce mediante l’hacking?
•
Una delle prime cose che insegna questa attività è
che i sistemi informatici di cui sono dotate le aziende
non sono mai del tutto sicuri. Ci sono ad esempio
alcuni sistemi dotati di sottoprogrammi che si infilano
nei sistemi informatici dei cittadini per rubarne le
informazioni o acquisire dati a nostra insaputa.
•
Il problema di Internet è proprio questo: attraverso di
esso si possono scambiare e acquisire illegalmente
informazioni senza che le persone possano fare
nulla per impedirlo ed è qui che il discorso diventa
poco informatico e molto politico.
Qual è dunque il tuo lavoro?
•
La mia attività è di verifica coordinata e complessiva
della sicurezza di una rete e dei sistemi che la
compongono, al fine di delineare il livello effettivo di
rischio cui sono esposti i dati, e proporre eventuali
azioni correttive per migliorare il grado di sicurezza.
•
Riesco ad inserirmi in un sistema o in una rete per
aiutare i proprietari a prendere coscienza di un
problema di sicurezza…scovo i “bug”..
Cosa si intende per BUG? Da dove deriva questo
termine?
•
L'uso del termine bug, che in inglese indica genericamente un piccolo
insetto, è legato ad un curioso aneddoto risalente ai tempi pionieristici
dell'informatica: il 9 settembre 1947 il tenente Grace Hopper ed il suo
gruppo stavano cercando la causa del malfunzionamento di un
computer quando, con stupore, si accorsero che una falena si era
incastrata tra i circuiti. Dopo aver rimosso l'insetto, il tenente incollò la
falena rimossa sul registro del computer e annotò:
•
«1545. Relay #70 Panel F (moth) in relay. First actual case of bug being
found».
•
Nell‘informatica il termine bug o baco identifica un errore nella scrittura
di un programma software. Meno comunemente, il termine bug può
indicare un difetto di progettazione in un componente hardware, che ne
causa un comportamento imprevisto o comunque diverso da quello
specificato dal produttore. La causa del maggior numero di bug è spesso
il codice sorgente scritto da un programmatore, ma può anche accadere
che venga prodotto dal compilatore. Un programma che contiene un gran
numero di bug che interferiscono con la sua funzionalità è detto
bacato (in inglese "to be buggy").
•
In certi casi, i bug in un programma possono essere particolarmente
gravi, fino al punto di rendere vulnerabile ad attacchi informatici anche il
computer che ospita il software.
Smithsonian National Museum of America History: THE BUG!
Come ti hanno “scovato”?
•
Sono entrata nel mito degli hacker, dopo che nel 2010
realizzai in casa una stazione base cellulare in grado di
intercettare le telefonate effettuate alla conferenza sulla
sicurezza che si teneva a Defcon.
•
Mentre il mio primo lavoro legalmente riconosciuto, lo
ottenni quando al comando di un gruppo di altri hacker,
decisi di uscire allo scoperto, di rendere costruttiva la mia
capacità informatica, e fronteggiare direttamente Microsoft.
•
Rea di aver dichiarato ai media che Windows Vista fosse
un sistema operativo totalmente insicuro fui subito
interpellata dalla grande Azienda..e in pochissimi giorni io e
il mio team scovammo centinaia di bug molto gravi,
riuscendo a far posticipare la data di lancio del sistema
operativo e ottenendo un lavoro in Microsoft.
Con che occhi guardavano una “hacker” che entra a
lavorare per la sicurezza della Microsoft?
•
In effetti all’inizio c’è stata diffidenza, mi trattavano come un genio
“pericoloso”..mi hanno fatto molte domande, volevano sapere tutto
sul mio operato volevano essere sicuri che io fossi la persona
giusta.. Ho avuto la sensazione che mi stimassero tanto quanto mi
temessero..
•
Capivano di avere di fronte qualcuno che sarebbe stato in grado di
prevedere l’imprevedibile, di vedere dove loro non sarebbero
arrivati..la mia fortuna è la libertà nel non aver paura di sbagliare,
ma nel sapere che gli altri, nei loro limiti, sbagliano..
•
Quando hanno capito che si potevano fidare mi hanno finalmente
aperto le porte a tutti i loro dubbi e problemi..La mia sete di sfida
continua ad essere colmata dalla ricerca di errori..e dall’altra parte
l'industria del software è continuamente impegnata nella ricerca sul
prevenire l’introduzione di bug durante la scrittura del programma, e
ha bisogno di persone come me.
La sua storia è certamente singolare..che aggiungere?
•
•
A tutto questo si aggiunge anche una spiritosa t-shirt
regalatami da Brian Valentine, vice presidente allo
sviluppo Windows, con la scritta:
“Ho posticipato Windows Vista”
•
La fiducia ormai era conclamata, Valentine mi era
grato perché gli ho salvato la faccia..abbiamo risolto
molti bug prima della consegna di Vista.
•
Sono davvero orgogliosa del numero di falle che
abbiamo trovato e che abbiamo permesso di
sistemare..
Tra i suoi mille exploit ha anche inventato una tecnica
chiama Shatter Attack, in cosa consiste?
•
Si tratta di una procedura che sfruttava delle falle di
sistema di Windows che non sono state colmate prima di
Vista. Lo shatter attack è una tipologia di attacco scoperta
in tempi recenti che permette di sfruttare una errata
gestione delle API di windows per iniettare in un
programma del codice eseguibile. I programmi vulnerabili
sono quelli che presentano una editbox (un area di testo
per intenderci). Se apriamo i programmi
sopracitati,notiamo che la maggioranza di essi
posseggono almeno una editbox (anche non abilitata,o
nella quale non si può scrivere).Questa, è sicuramente
una delle vulnerabilità più frequenti in questi tempi,
soprattutto per sistemi operativi windows, perché va ad
agire sulle GUI (Interfacce grafiche) dei programmi, tanto
di moda in questo momento.
E non è un caso:mi avevano ingaggiata per sistemare i
problemi del tartassato sistema operativo!
..anche i Mac sono diventati un target appetibile per i
malintenzionati?
•
Dal momento che la Apple sembra aver fatto lo
stesso genere di valutazione sul mio
curriculum..tanto da richiedermi espressamente, il
timore è quello..
•
Pian piano l’attenzione dei cybercriminali si è
spostata su OS X ed iOS,
•
Dopo un periodo in Recursion Ventures, una società
specializzata in sicurezza hardware, lo scorso
settembre sono stata assunta in pianta stabile in
quel di Cupertino, nel ruolo di ricercatrice per la
sicurezza dei sistemi operativi.
Qual è il tuo compito nella Apple?
•
Dei miei compiti non posso dire molto, come quando ho lavorato
per la Microsoft, il rapporto di fiducia sul mio delicato operato per la
tipologia di lavoro che mi è richiesto, non può mai venir
meno..anche per la mia scoperta prima come “hacker” e poi come
“risorsa”..
•
Posso solo dire che sono impiegata a tempo pieno per condurre dei
test sul cuore di UNIX e di OS X, alla ricerca di tutte le
problematiche che potrebbero minare l’utilizzo da parte dell’utente..
•
Anche alla Apple però la stima gli fa dire:
•
“ La paget è una dichiarazione di garanzia. Se c’è qualcuno che
può scovare con largo anticipo falle fino a oggi ignorate, è di certo
lei la persona giusta”.
•
Arrivederci Kristin Paget, la
ringrazio per la Sua
disponibilità nel risponderci.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
http://www.ol-service.com/sikurezza/doc/Hackers_in_rosa_pink.htm
http://www.hackgeek.it/con-gerix-wifi-cracker-anche-mia-nonna-saprebbecraccare-una-rete-wifi/
Hakers La storia, le storie.No Copyright.di Maya
Le prime computers erano donne. Nerina Milletti, 2003.
Gli albori dell'informatica si colorano di rosa.In: Hackers & C., anno 1, numero 5
http://linux-club.org/node/2722
http://www.webnews.it/2012/12/07/apple-assume-lhacker-che-salvowindows/?ref=post
http://www.repubblica.it/tecnologia/2012/12/07/foto/apple_assume_kristin_page
t_l_hacker_diventato_donna-48304660/1/
http://www.macitynet.it/macity/articolo/Apple-assume-un-hacker-ex-dipendenteMicrosoft/aA65019
http://www.downloadblog.it/post/36811/apple-assume-kristin-paget-lhackerbritannica-che-ha-blindato-windows-vista
http://www.ipaditalia.com/apple-assume-kristin-paget-lesperta-in-sicurezza-chelavorava-per-microsoft-137187.html
http://www.geekyourself.it/lhacker-kristin-paget-assunta-dalla-apple/
http://ctrlaltcanccorp.altervista.org/flatnuke2.5.8.1/sections/Download/Guide_e_Tools_Per_il_Programmatore/ShatterAttac
k.pdf
http://en.wikipedia.org/wiki/Shatter_attack
Chris Paget (August 2002). "Exploiting design flaws in the Win32 API for
privilege escalation.". Archived from the original on 2006-09-04.
http://duxhack.blogspot.it/2012/04/lo-shattering-e-il-code-injection.html
http://it.wikipedia.org/wiki/Hacker
Steven Levy, Hackers. Gli eroi della rivoluzione informatica, 1999, Shake
Editore,
http://it.wikipedia.org/wiki/Debugging
http://it.wikipedia.org/wiki/White_hat