Chang Chi-yuan, l'hacker che aveva in pugno il profilo Facebook di Zuckerberg

Chang Chi-yuan è un giovane hacker di Taiwan che per un intero giorno ha tenuto sotto scacco un colosso del calibro di Facebook.

speciale Chang Chi-yuan, l'hacker che aveva in pugno il profilo Facebook di Zuckerberg
INFORMAZIONI SCHEDA
Articolo a cura di

Quella appena conclusa è stata una giornata infernale per Facebook. Non è bastata la scoperta di una delle più gravi falle nella sicurezza della sua storia. A questa si è aggiunta anche la minaccia del giovane hacker taiwanese Chang Chi-yuan, che aveva annunciato qualche giorno fa di voler cancellare in diretta la pagina ufficiale Facebook di Mark Zuckerberg. Un 24enne che da solo mette in ginocchio i sistemi di sicurezza di un'azienda dal fatturato trimestrale di 52,6 miliardi di dollari, cancellando lo specchio dell'immagine pubblica del suo CEO, che secondo Forbes risulta essere il quinto uomo più ricco al mondo.
Una trama degna di un film, che però ha avuto un lieto fine: il ragazzo ha deciso di togliere la diretta, segnalando il bug a Facebook e aspettando il via libera dell'azienda per dimostrare che è effettivamente riuscito a "bucare" i suoi sistemi. Chi-yuan non sta scherzando, viste le sue doti nel campo della sicurezza informatica, che lo hanno portato addirittura a essere inserito nel 2016 nella Hall of Fame di Line. Per questo motivo, riteniamo necessario non riportare solamente l'eclatante notizia, ma andare a fondo immergendovi nel mondo degli hacker.

Black Hat vs White Hat vs Grey Hat

Ne abbiamo lette di ogni tipo online, da complotti contro le multinazionali a improbabili accordi con Twitter, passando per l'immancabile "è stato pagato da Facebook per togliere la diretta". Niente di più lontano dalla realtà. Innanzitutto, è importante spiegare chi è Chang Chi-Yuan. Negli ultimi giorni, i mass media lo hanno spesso definito unicamente come "hacker", termine utile per collocare le attività svolte dal ragazzo ma che può trarre in inganno. Nella comunità hacker esiste infatti una netta divisione in ben tre "categorie": Black Hat Hacker, White Hat Hacker e Grey Hat Hacker. I primi sono esattamente quelli che rientrano nella concezione comune, malintenzionati che sfruttano le loro abilità in campo informatico per scrivere malware, mettere in atto truffe e in generale per trarre profitto.

I White Hat Hacker sono invece esattamente l'opposto, ovvero coloro che utilizzano le loro conoscenze per cercare di sistemare le falle di sicurezza delle varie piattaforme, in modo da non consentire ai Black Hat di sfruttarle per i propri illegali fini. Questo gruppo è spesso composto da quelli che potremmo definire come "volontari", che impiegano il loro tempo libero per cercare di rendere i software più sicuri. Ci sono, tuttavia, anche molte persone che fanno questo di lavoro, cercando di trovare le falle per conto delle società più in vista, disposte a pagare fior di quattrini per tenere la loro piattaforma alla larga dai Black Hat.
La loro attività, dunque, è svolta nella totale legalità ed esistono anche corsi di formazione, conferenze e certificazioni legate a questo ambito. Gli stessi bug bounty, citati in apertura, non sono altro che dei programmi messi in piedi dai grandi colossi del web per invitare i White Hat a scovare le falle di sicurezza, garantendo molte volte anche un compenso nel caso di successo.
Infine, la terza "categoria", i Grey Hat Hacker, sono coloro che iniziano la ricerca delle falle senza avere il permesso del proprietario del sistema, con intenzioni non truffaldine ma comunque al limite della legalità. Infatti, questi personaggi spesso sono unicamente alla ricerca di soldi, motivo per il quale a volte segnalano i bug scoperti alle società coinvolte chiedendo in cambio un compenso. Succede anche che, a seguito di un rifiuto dal proprietario della piattaforma, gli hacker in questione svolgano un'azione più vicina ai Black Hat, rendendo pubblica la falla scovata per "vendetta". Insomma, come avrete intuito, si tratta di un argomento complesso, con miriadi di situazioni da tenere a mente.

Perché cancellare la pagina di Zuckerberg?

Ebbene, Chang Chi-yuan è conosciuto da diversi anni come appartenente ai White Hat Hacker, ma recentemente è finito nei guai per essersi infiltrato senza permesso nei sistemi di una compagnia di trasporti taiwanese acquistando biglietti per pochi centesimi di dollaro. Per questo motivo, in patria alcuni hanno iniziato a collocarlo nella categoria dei Grey Hat Hacker, ma alla fine sembra che il ragazzo non abbia chiesto soldi alla società in questione e non abbia nemmeno pubblicato il metodo per sfruttare la falla, agendo quindi in buona fede e nel rispetto della filosofia dei White Hat. Qui da noi il tema è ancora poco discusso, ma a Taiwan il ragazzo è piuttosto noto per le sue comparsate in programmi TV dove parla appunto delle sue scoperte. Insomma, tutto viene fatto alla luce del sole e Chi-yuan sembra avere buone intenzioni anche questa volta.
E' improbabile che il ragazzo abbia inizialmente chiesto e ottenuto il permesso da Facebook, ma l'intento è chiaramente quello di dimostrare la vulnerabilità della piattaforma, in modo che in futuro i Black Hat non siano in grado di sfruttarla a proprio vantaggio. Pensate, infatti, se la pagina di Zuckerberg cadesse nelle mani di alcuni malintenzionati e comparisse un post a nome del CEO di Facebook, che invita a cliccare su un link che installa uno spyware in grado di raccogliere le informazioni degli utenti. L'apocalisse.

In molti si staranno chiedendo, tuttavia, perché il ragazzo non sia subito andato direttamente da Zuckerberg & Co. senza far diventare la notizia di dominio pubblico. Ebbene, da anni i White Hat Hacker cercano di sensibilizzare le persone sul tema, provando a spiegare che, essenzialmente, ogni sistema informatico può essere "bucato" e che, quindi, il loro lavoro è importante e non devono essere associati ai malintenzionati. Capite bene che cancellare il profilo del quinto uomo più ricco al mondo, tra l'altro sulla sua piattaforma, è un atto che ha già fatto discutere il tema in tutto il mondo e continuerà a farlo. Ma allora perché "ritirarsi"?

Perché "ritirarsi"?

Il giorno successivo all'annuncio della diretta in cui il ragazzo avrebbe dovuto cancellare la pagina di Zuckerberg, molti messaggi sono giunti a Chang Chi-yuan. Tra questi, troviamo quelli di molti altri White Hat Hacker, che lo imploravano di non agire in quel modo, vista la criticità della falla. Inoltre, sono state portate diverse tesi per dimostrare al ragazzo che stava facendo una "bravata". Infatti, Chang Chi-yuan non avrebbe ottenuto nessuna ricompensa da parte di Facebook se avesse svelato quel problema di sicurezza a tutti, senza prima segnalarlo al team del social network. Infine, una cosa da tenere in considerazione, è il fatto che avrebbe attirato le ire di molti altri White Hat Hacker, visto che l'azione che stava per compiere poteva essere interpretata in modo negativo, andando "contro" la loro filosofia.

Questa miriade di fattori ha portato l'hacker 24enne a desistere, visto che non aveva in realtà alcun vantaggio nel mettere in piedi quella diretta. Insomma, il ragazzo ha fatto la scelta giusta, segnalando a Facebook la falla, ottenendo molto probabilmente una cospicua ricompensa (tramite il programma bug bounty della società) e potendo comunque dimostrare al mondo la sua scoperta, una volta che il bug sarà risolto. Siamo sicuri, inoltre, che Facebook si metterà al lavoro per risolvere quanto prima la falla scoperta da Chi-yuan, rendendo la sua piattaforma un posto più sicuro, anche se la "guerra" tra hacker buoni e cattivi è ancora molto lontana dal concludersi.