Sempre più ragazze smanettano con i Pc eppure sono ancora poche a voler diventare hacker. Ma quelle che ci riescono poi lasciano il segno!
L’ Italia ha una nazionale degli hacker, che partecipa ai giochi europei e mondiali. Una nazionale tutta al maschile, fatta da dieci ragazzi tra i 16 e i 25 anni. Ma sempre maschi. Perché neanche selezionando tra i licei, le scuole superiori e le università di tutto il paese siamo riusciti a mettere assieme non dico cinque ma almeno una o due ragazze che potessero rappresentare l’Italia, o perlomeno quel pezzettino di cultura hacker femminile che viene da lontano e che oggi sembra destinata ad essere rappresentata solo da quote rosa, riserve indiane e squadre “al femminile”.
Non è del resto un caso
E non bisognerebbe stupirsi, perché neanche tra i due allenatori, o i quattro selezionatori, o se è per questo tutto il comitato scientifico e accademico dietro alla nazionale italiana di hacking, c’è una donna. No, sono tutti uomini. Eppure non è un problema di tutto il settore informatico o ingegneristico. Perché di donne che insegnano nelle università italiane materie strane e complesse come algoritmi o sistemi operativi, programmazione o database ce ne sono parecchie e molto brave.
Sono tante anche le donne che vengono dalla parte “debole” dello STEM (Science, technology, engineering e mathematics, cioè la parte di biologia, scienze naturali e matematica). La distribuzione delle donne tra le discipline ad esempio in Europa è alquanto discontinua e dipende dai settori. Ad esempio, nel 2012 nell’Unione europea le donne erano il 47,3% della popolazione totale, con il 51% impegnata nelle scienze sociali, economia e diritto. Il 42% in scienze, matematica e informatica. Il 28% in ingegneria e costruzioni. E costituivano il 59% di tutti i dottorati di ricerca in salute e benessere.
La sicurezza è solo per maschi?
Invece, è proprio la security in generale e l’hacking in particolare a discriminare le donne. Perché quando una categoria di persone che si differenziano per genere, provenienza etnica, orientamento sessuale o religione non compare nelle percentuali che le sono naturali, vuol dire che c’è una discriminazione.
Ad esempio, nella Silicon Valley c’è un profondo divario razziale tra chi si occupa di informatica: scarseggiano i neri. A fronte di una percentuale dell’11% rispetto ai vari lavori negli Stati Uniti, nella Silicon Valley i neri arrivano a malapena al 6%. Asiatici e indiani sono invece sovra-rappresentati.
E le donne? Non vanno male, sino a quando non arriviamo a parlare di hacking. Eppure, disegnare soluzioni inedite a problemi vecchi e nuovi è una vecchia abitudine del gentil sesso, come i maschi bianchi amano chiamarlo con una sfumatura di denigrazione neanche troppo velata.
A partire da Ada Lovelace, la contessa figlia di Lord Byron e “assistente” di Charles Babbage. In realtà la donna era una matematica e scrittrice di notevoli qualità e fu anche la prima programmatrice della storia, visto che fu lei a mettere sulla carta algoritmi e “codice” per far funzionare il motore differenziale e il motore analitico, i primi due calcolatori pensati e progettati (come logica e hardware) da Babbage nel 1800 e realizzati solo negli anni Settanta del secolo scorso (sorpresa: i programmi della Lovelace funzionano alla grande).
Casio Orologio Vintage
Tanto che uno dei primi linguaggi di programmazione al mondo fu chiamato “Ada” proprio in suo onore.
Una moderna Ipazia, insomma. Al giorno d’oggi a fare hacking non ci sono percentuali chiare e condivise. Un rapporto di ricerca, ma riguarda solo il mercato americano (è del Center for Cyber Safety and Education), ferma all’11% la percentuale delle donne presente nella sicurezza, molto poche, e con stipendi fermi a meno della metà di quelli dei colleghi maschi parigrado.
Se poi si va a DefCon e si getta lo sguardo sulla platea, di donne se ne vede qualcuna, ma mica tante. Eppure, quelle che ci sono lasciano un segno. Forse perché, per sopravvivere alla pressione sociale e alle discriminazioni di genere, bisogna essere proprio brave. Altro che quote rosa.
NON SOLO LIBRI
Ada Lovelace è ricordata come scrittrice, eppure è stata la prima scienziata a realizzare un algoritmo
Poche ma buone
Tre esempi: la prima è Jesse Kinser, ricercatrice di security, che si occupa di cybersecurity da tempo. Quando si è laureata in informatica, nel 2010, la sua alma mater, la università di Indiana-Bloomington, non aveva un corso di cybersecurity.
Ma con l’aiuto di un’altra donna, la sua professoressa Jean Camp, ha trovato il modo di fare digital forensic, ricerche per aziende che lavoravano per il governo degli Stati Uniti, con il quale ha lavorato per cinque anni. Sino a quando non si è decisa a fare cose “più tecniche”, come le chiama lei: pen test e cose del genere.
Al punto che, un una serie di test di sistemi ha portato via il codice di diecimila siti web a causa di una serie di debolezze e cattive configurazioni. Con i soldi ricevuto come “bug bounty” si è comprata la Tesla (“Il mio sogno di macchina”) e, nonostante abbia fatto arrabbiare parecchia gente, ha anche guadagnato molti soldi.
Oggi lavora per LifeOmic, azienda del settore della salute e sanità, cioè dove i dati privati più sensibili devono essere trattati e protetti. Averla come direttrice della sicurezza digitale non è male. Secondo lei il pendolo sta girando e il numero di donne nel settore della cybersecurity sta aumentando.
“Le difficoltà sono tante – dice – ma non sono barriere impossibili. Bisogna semplicemente andare avanti e insistere un po’ di più, però entrare e lavorare bene è sempre possibile”.
Discorso simile per Alyssa Herrera, anche lei americana ma di origini messicane. Che a sedici anni ha scoperto le gioie dell’hacking e da allora non ha più smesso. Dopo essere diventata una piccola celebrità nel settore dei programmi di bug bounty, che negli Usa sono anche un modo veloce per guadagnare un po’ di soldi e farsi un nome. Senza contare che permettono di fare qualcosa di potenzialmente illegale – entrare nei sistemi altrui, trovare le debolezze – a fin di bene.
Oggi Alyssa vive di questo: lavora soprattutto sulla piattaforma HackerOne e altre simili, sostanzialmente trovando debolezze nei sistemi di aziende o enti pubblici. “È come risolvere dei puzzle”, spiega. E si sta facendo conoscere.
Ad esempio, è stata lei che ha scoperto come fare a entrare in decine e decine di siti web e server militari che contengono materiale sensibile.
Il Dipartimento della Difesa americano è stato colpito da questo tipo di scoperta. Ma anche una azienda di assicurazioni, che non vuole che il suo nome venga reso noto, è stata penetrata in lungo e in largo semplicemente con delle semplici azioni di command injection nel browser, che hanno permesso di aprire decine di server senza problemi.
jesse kinser Appassionata di sicurezza fin dai tempi del’università, collabora con il Governo USA prima di dedicarsi alla ricerca di vulnerabilità aziendali. Grazie alla fama raggiunta come Bug Bounty (cercatrice di bug) viene assunta come responsabile della sicurezza in una delle maggiori aziende americane della sanità.
Bug Bounty Girl
Alyssa, come Jessica, ritengono che ci siano sempre nuove sfide che possono essere affrontate e nuovi puzzle logici che si possono risolvere. La stessa opinione è anche quella di Katie Moussouris, una delle figure più importanti del settore.
Più grande delle giovani colleghe, è stata una classica bambina degli anni Ottanta, solitaria e con il suo personal computer come unico amico.
Cresciuta a Boston, ha messo le mani sul suo primo Commodore 64 a otto anni, ha iniziato subito a scrivere programmi in Basic, è rapidamente entrata nel mondo delle BBS e ha trovato come primo lavoro quello di amministratore di sistema al Mit, prima allo Whitehead Institute for Biomedical Research Genome Center e poi come sysadmin al Department of Aeronautics and Astronautics.
katie moussouris
Programma da quando aveva 8 anni e hackera dai 12. Oggi lavora alla Difesa USA come responsabile del programma Hack the Pentagon
Una esperienza che l’ha cambiata e fatta crescere, sino a che non è andata a San Francisco diventato una sviluppatrice Linux e focalizzandosi sulla security. A cavallo del 2000, dopo lo scoppio della bolla di Internet che l’ha costretta a trovarsi un “lavoro serio” anziché fare pen-test da indipendente, è entrata alla Microsoft.
Erano gli anni in cui Bill Gates si era accorto che la sua azienda aveva “un problema di sicurezza” e aveva lanciato l’iniziativa “Trustworthy Computing”. Katie è stata assunta per dare una mano a creare e far partire il primo programma di bug bounty della Microsoft.
“Una offerta che non si poteva rifiutare, e non solo perché era economicamente molto generosa”, ha detto.
Ma non era soltanto la sua capacità di manager o le sue abilità tecniche. Anche una vita passata nell’hacking, la rete di relazioni.
Appena fatto partire il programma Microsoft Bug Bounty, durante un viaggio di lavoro a Londra ha convinto un suo amico personale e noto hacker (oggi lavora per Google Project Zero), cioè James Forshaw, a partecipare al programma. James ci si è messo d’impegno e ha trovato quattro modi diversi di bucare la sandbox di Internet Explorer. Tutto questo ha ovviamente lasciato a bocca aperta gli ingegneri software di Microsoft e, a lui, è valso la taglia sui quattro bug pari a 100mila dollari. Per Kate invece è stata la dimostrazione che è possibile costruire una rete di relazioni. Ma non è finita qui.
Perché dopo Microsoft Kate è andata a lavorare per il primo programma di bug bounty del Dipartimento della Difesa americano, conosciuto come “Hack the Pentagon” Una rivoluzione per la pubblica amministrazione americana ma anche per il modo con il quale gli hacker entrano in relazione con i governi e le grandi aziende.
“Bisogna fare attenzione – dice Kate – perché i programmi di bug bounty non sono pen-test, sono invece analisi mirate a determinate aree”. Oggi Kate ha la sua azienda specializzata, che ha fondato e dirige: la Luta Security. Ma è convinta che le donne abbiamo un ruolo fondamentale: non solo per il coinvolgimento storico con la tecnologia, la matematica, le scienze computazionali e l’informatica in particolare (i primi calcolatori erano donne, cioè erano donne le persone incaricate di eseguire manualmente le operazioni matematiche ripetitive necessarie
a calcolare le maree durante l’anno piuttosto che le traiettorie dei lanciatori e dei vettori dei primi decenni del programma spaziale americano). No, quel che è rilevante secondo Kate è che le donne sono metà delle intelligenze del pianeta: discriminarle sistematicamente è semplicemente uno spreco, oltre che un controsenso.
Diminuisce la diversità e quindi la ricchezza (e quindi l’efficacia) della security, ad esempio. “I nostri modelli di rischio e di minaccia, in quanto donne, sono diversi da quelli maschili. Non ascoltarci, non lasciarci crescere, non sfruttare anche i nostri talenti e le nostre intelligenze, è semplicemente una scelta estremamente stupida”.
I modelli di rischio e minaccia delle donne sono diversi da quelli maschili. Non prenderli in considerazione è una scelta estremamente stupida.
LEGGI ANCHE: Un dispositivo che manda in tilt le Slot Machine