Què és un hacker ètic?

És fàcil tenir la visió senzilla que tots els pirates informàtics són dolents per provocar violacions de dades i desplegar ransomware. Això no és cert, però. Hi ha un munt de pirates informàtics dolents. Alguns pirates informàtics utilitzen les seves habilitats de manera ètica i legal. Un "hacker ètic" és un hacker que pirateja dins de l'àmbit d'un acord legal amb el propietari legítim del sistema.

Consell: com el contrari d'un pirata informàtic de barret negre , un pirata informàtic ètic sovint s'anomena pirata informàtic de barret blanc.

El nucli d'això és entendre què fa que la pirateria informàtica sigui il·legal. Tot i que hi ha variacions arreu del món, la majoria de les lleis de pirateria es redueixen a "és il·legal accedir a un sistema si no teniu permís per fer-ho". El concepte és senzill. Les accions de pirateig reals no són il·legals; només ho fa sense permís. Però això vol dir que es pot concedir permís per permetre't fer alguna cosa que d'altra manera seria il·legal.

Aquest permís no pot provenir de qualsevol persona aleatòria al carrer o en línia. Ni tan sols pot provenir del govern ( tot i que les agències d'intel·ligència operen sota regles lleugerament diferents ). El permís l'ha de concedir el propietari legítim del sistema.

Consell: per ser clar, "propietari legítim del sistema" no es refereix necessàriament a la persona que va comprar el sistema. Es refereix a algú que legítimament té la responsabilitat legal de dir; això està bé per a tu. Normalment, aquest serà el CISO, el CEO o la junta, tot i que la capacitat d'atorgar permís també es pot delegar més avall de la cadena.

Tot i que el permís es podria donar simplement verbalment, això no es fa mai. Com que la persona o l'empresa que realitza la prova seria legalment responsable de provar allò que no hauria de fer, cal un contracte per escrit.

Àmbit d'actuació

No es pot exagerar la importància del contracte. És l'únic que atorga la legalitat de les accions de pirateria informàtica del pirata informàtic ètic. La subvenció del contracte dóna indemnització per les actuacions especificades i contra els objectius especificats. Per tant, és fonamental entendre el contracte i què abasta, ja que sortir de l'àmbit del contracte significa sortir de l'àmbit de la indemnització legal i infringir la llei.

Si un pirata informàtic ètic s'allunya fora de l'abast del contracte, està executant una corda fluixa legal. Tot el que facin és tècnicament il·legal. En molts casos, aquest pas seria accidental i ràpidament s'aconseguiria. Quan es gestiona adequadament, pot ser que això no sigui necessàriament un problema, però depenent de la situació, sens dubte podria ser-ho.

El contracte ofert no necessàriament s'ha d'adaptar específicament. Algunes empreses ofereixen un esquema de recompensa d'errors. Això implica la publicació d'un contracte obert, que permet que qualsevol persona intenti piratejar el seu sistema èticament, sempre que compleixi les regles especificades i comuniqui qualsevol problema que identifiqui. Els problemes d'informe, en aquest cas, solen ser recompensats econòmicament.

Tipus de pirateria ètica

La forma estàndard de pirateria ètica és la "prova de penetració" o pentest. Aquí és on es comprometen un o més hackers ètics per intentar penetrar les defenses de seguretat d'un sistema. Un cop finalitzat el compromís, els pirates informàtics ètics, anomenats pentesters en aquest paper, informen de les seves troballes al client. El client pot utilitzar els detalls de l'informe per solucionar les vulnerabilitats identificades. Tot i que es poden fer treballs individuals i per contracte, molts pentesters són recursos interns de l'empresa o es contracten empreses especialitzades en pentesting.

Consell: és "pentesting" no "pentesting". Un provador de penetració no prova els bolígrafs.

En alguns casos, provar si una o més aplicacions o xarxes són segures no és suficient. En aquest cas, es poden fer proves més profundes. Un compromís amb l'equip vermell normalment implica provar una gamma molt més àmplia de mesures de seguretat. Les accions poden incloure la realització d'exercicis de pesca contra els empleats, l'intentar d'introduir-se en un edifici d'enginyeria social o fins i tot entrar físicament. Tot i que cada exercici de l'equip vermell varia, el concepte sol ser molt més una prova del pitjor dels casos "i si" . En la línia de "aquesta aplicació web és segura, però què passa si algú només entra a la sala de servidors i agafa el disc dur amb totes les dades".

Gairebé qualsevol problema de seguretat que es pugui utilitzar per danyar una empresa o sistema està teòricament obert a la pirateria ètica. Això suposa, però, que el propietari del sistema concedeix permís i que està disposat a pagar-lo.

Donar coses als nois dolents?

Els pirates informàtics ètics escriuen, utilitzen i comparteixen eines de pirateria informàtica per facilitar-los la vida. És just qüestionar l'ètica d'això, ja que els barrets negres podrien cooptar aquestes eines per causar més estralls. Tanmateix, de manera realista, és perfectament raonable suposar que els atacants ja disposen d'aquestes eines, o almenys alguna cosa semblant, mentre intenten facilitar-los la vida. No tenir eines i intentar dificultar els barrets negres és confiar en la seguretat a través de l'obscuritat. Aquest concepte està molt mal vist a la criptografia i la majoria del món de la seguretat en general.

Divulgació responsable

De vegades, un pirata informàtic ètic pot ensopegar amb una vulnerabilitat quan navega per un lloc web o utilitza un producte. En aquest cas, normalment intenten informar-ho de manera responsable al propietari legítim del sistema. La clau després d'això és com es gestiona la situació. La cosa ètica a fer és revelar-ho de manera privada al propietari legítim del sistema per permetre'ls solucionar el problema i distribuir un pedaç de programari.

Per descomptat, qualsevol hacker ètic també és responsable d'informar els usuaris afectats per aquesta vulnerabilitat perquè puguin decidir prendre les seves pròpies decisions conscients de la seguretat. Normalment, un període de temps de 90 dies des de la divulgació privada es considera una quantitat de temps adequada per desenvolupar i publicar una solució. Tot i que es poden concedir extensions si es necessita una mica més de temps, això no es fa necessàriament.

Fins i tot si no hi ha cap solució disponible, pot ser ètic detallar el problema públicament. Això, però, suposa que el pirata informàtic ètic ha intentat revelar el problema de manera responsable i, en general, que està intentant informar els usuaris normals perquè es puguin protegir. Tot i que algunes vulnerabilitats es poden detallar amb explotacions de prova de concepte funcionals, sovint això no es fa si encara no hi ha cap solució disponible.

Tot i que això pot no semblar completament ètic, en última instància, beneficia l'usuari. En un escenari, l'empresa està sota prou pressió per oferir una solució oportuna. Els usuaris poden actualitzar a una versió fixa o almenys implementar una solució alternativa. L'alternativa és que l'empresa no pugui implementar una solució per a un problema de seguretat greu ràpidament. En aquest cas, l'usuari pot prendre una decisió informada sobre continuar utilitzant el producte.

Conclusió

Un pirata informàtic ètic és un hacker que actua dins dels límits de la llei. Normalment, el propietari legítim del sistema els contracta o els concedeix permís per piratejar un sistema. Això es fa amb la condició que el pirata informàtic ètic informarà dels problemes identificats de manera responsable al propietari legítim del sistema perquè es puguin solucionar. La pirateria ètica es basa en "configurar un lladre per atrapar un lladre". Utilitzant el coneixement dels pirates informàtics ètics, podeu resoldre els problemes que els pirates informàtics de barret negre podrien haver explotat. Els pirates informàtics ètics també es coneixen com a hackers de barret blanc. També es poden utilitzar altres termes en determinades circumstàncies, com ara "pentesters" per contractar professionals.