Peiter Zatko è uno degli hacker più famosi al mondo. Un tempo era conosciuto con il nome di “Mudge” ed era il leader del gruppo cyber-crminale di Boston L0pht, che vent’anni fa minacciò il Congresso di fare collassare l’internet in soli 30 minuti.
Oggi l’ormai ex fuorilegge informatico è di nuovo nei titoli delle cronache internazionali in quanto è stato nominato alla guida di un programma di sicurezza informatica promosso dal Dipartimento della Difesa americano. Insieme alla moglie – ex agente della sicurezza nazionale e matematica – e ad altri esperti sta infatti lavorando a un sistema di rating per la sicurezza dei software.
La scorsa settimana in occasione dell’evento di Black Hat, la convention sulla sicurezza informatica che si tiene ogni anno a Las Vegas, Zatko e la moglie hanno reso noti alcuni dei primi risultati del loro lavoro. Stando alla loro analisi sui computer Machintosh, Google Chrome è molto più sicuro del browser di Apple Safari, che però è a sua volta migliore di Firefox. Nel complesso invece i prodotti Microsoft hanno ricevuto valutazioni positive, fatta eccezione per la suite per Mac che è stata definita “terribile” dal punto di vista dell’esposizione agli attacchi.
Il sistema in fase di studio vorrebbe risolvere un problema che affligge i consumatori da decadi, ovvero il fatto che non esista un metodo imparziale, obiettivo ed efficace per valutare la sicurezza dei programmi. Zatko ha dichiarato a tale proposito che il suo lavoro è volto a fornire una sorta di corrispettivo informatico della tabella dei valori nutrizionali dei prodotti alimentari. Quello che manca al momento infatti è un mezzo che fornisca informazioni complete su un vasto numero di parametri, in modo che i clienti evitino di focalizzarsi solo su una dimensione tralasciandone altre. Il successo dell’operazione sarebbe una piccola grande rivoluzione, in quanto nessuno dei sistemi di rating esistenti pare funzionare adeguatamente.
L’approccio del team di Zatko si differenzia da tutti i tentativi precedenti in quanto non si concentra sulla struttura dei codici in sé bensì sui loro output digitali, ovvero il linguaggio macchina (binario) - il codice che comunica alle macchine cosa devono fare. In sostanza la differenza tra le due modalità è la stessa che intercorre tra l’agire sulla teoria e sulla pratica. Il valore aggiunto starebbe nel fatto che in questo modo è possibile monitorare il ruolo dei compilatori (i sistemi che traducono il codice sorgente in linguaggio macchina): nonostante siano stati fatti enormi progressi nel risolvere gli errori, persistono molti elementi di vulnerabilità.
Quello assicurativo è uno dei settori che trarrebbe maggiori benefici dalla messa a punto di un sistema efficace di rating, in quanto le compagnie sono da tempo alle prese con le difficoltà di stima dei premi e delle condizioni per le polizze assicurative contro gli attacchi degli hacker, che stanno prendendo sempre più piede a causa della diffusione delle tecnologie IT in ogni campo di business.