Con 150 aziende e startup, 200 capi della sicurezza e oltre 15 mila partecipanti attesi anche quest’anno, la Black Hat Usa conference è «sold out».
La settimana più dura per il mondo della «cybersecurity» apre i battenti a Las Vegas dopodomani e preannuncia rivelazioni da brivido, compresa la scoperta di un intero set di vulnerabilità del sistema operativo di Apple iOS (da aggiornare subito per chi ce l’ha).
La conferenza, che deve il suo nome agli hacker ‘cattivi’, quelli col cappello nero, i «black hat», opposti agli «hacker bianchi» secondo una definizione criminologica che non piace a tutti, è un vero e proprio campo di battaglia per ingegneri, crittografi, avvocati e lupi solitari, i «lone wolf».
Come sempre da 22 anni a questa parte la conferenza è divisa in due momenti principali: la fase competitiva di addestramento e le presentazioni, i talk veri e propri.
La prima fase, dal 3 al 6 agosto offre opportunità pratiche per sperimentare tecniche di attacco e difesa, la seconda, 7 e 8 agosto, è incentrata su ricerche d’avanguardia, rischi e trend della sicurezza informatica del futuro.
Momenti in cui gli esperti di sicurezza di tutto il mondo condividono le ultime scoperte, strumenti open source, segreti informatici ed «exploit zero day» (le vulnerabilità hardware e software sconosciute agli stessi produttori).
Con una caratteristica: non basta essere sponsor dell’evento per tenerli, bisogna essere bravi.
Come i corsi pratici di attacco e difesa, le presentazioni sono tenute da esperti del settore e accuratamente controllati dalla Review Board che conta anche tre italiani e diversi nomi noti al grande pubblico come Alex Stamos, l’ex capo della sicurezza dimessosi da Facebook in polemica con Zuckerberg e Kimberlee Price di Microsoft, co-chair dell’evento.
Ad essere messi alla prova saranno sistemi wi-fi, IoT (Internet of Things, ndr), protocolli crittografici, macchine a guida autonoma e software Windows. Previsti anche anche moduli dedicati a smart contract e blockchain.
Un intero corso è dedicato alla propaganda, alla disinformazione e alle notizie false, alle Psy-ops, le operazioni psicologiche.
Il corso verte su tecniche di propagazione e guerriglia dell’informazione, perché, come annuncia il sito «in questo modo forse imparerai a difendere te stesso, il tuo datore di lavoro e la tua nazione dalle campagne di disinformazione». Per resistere alla manipolazione quotidiana delle nostre percezioni il prezzo «modico» del corso è di 3.900 dollari.
La conferenza Black Hat è un momento importante per la ricerca e la divulgazione delle vulnerabilità, dei difetti di progettazione e dei rischi che comporta l’utilizzo di qualsiasi dispositivo digitale ma secondo la logica della divulgazione responsabile.
A questo serve la collaborazione con la Electronic Frontier Foundation che fornisce consulenze legali gratuite ai ricercatori che fanno le presentazioni con l’obbiettivo di difendere la loro libertà di parola e facilitare la ricerca delle vulnerabilità stesse senza essere criminalizzati.
I Black Hat Briefings e Trainings non si svolgono solo negli Stati Uniti ma anche in Europa e in Asia per offrire al pubblico ricerche ‘rivoluzionarie’ e corsi di formazione individuali su argomenti che vanno dal «penetration testing» allo sfruttamento delle applicazioni Web fino alla difesa e alla costruzione di sistemi Scada (Supervisory Control And Data Acquisition ), quelli che, per capirci, aprono e chiudono i rubinetti dei bacini idrici per l’acqua potabile o fanno funzionare raffinerie e catene di montaggio, obiettivo quotidiano degli hacker di stato.