Que é un hacker ético?

É doado ter a simple visión de que todos os piratas informáticos son malos que provocan violacións de datos e implementan ransomware. Isto non é certo, porén. Hai moitos hackers malos por aí. Algúns hackers usan as súas habilidades de forma ética e legal. Un "hacker ético" é un hacker que piratea dentro do ámbito dun acordo legal co propietario lexítimo do sistema.

Consello: ao contrario dun hacker de sombreiro negro , un hacker ético adoita chamarse pirata informático de sombreiro branco.

O núcleo disto é comprender o que fai ilegal a piratería. Aínda que hai variacións en todo o mundo, a maioría das leis de piratería redúcense a que "é ilegal acceder a un sistema se non tes permiso para facelo". O concepto é sinxelo. As accións de hackeo reais non son ilegais; só o fai sen permiso. Pero iso significa que se pode conceder permiso para permitirche facer algo que doutro xeito sería ilegal.

Este permiso non pode vir de calquera persoa aleatoria na rúa ou en liña. Nin sequera pode vir do goberno ( aínda que as axencias de intelixencia operan baixo regras lixeiramente diferentes ). O permiso debe ser concedido polo propietario lexítimo do sistema.

Consello: para que quede claro, "propietario lexítimo do sistema" non se refire necesariamente á persoa que comprou o sistema. Refírese a alguén que lexitimamente ten a responsabilidade legal de dicir; isto está ben para ti. Normalmente este será o CISO, CEO ou o consello, aínda que a capacidade de conceder permiso tamén se pode delegar máis abaixo na cadea.

Aínda que o permiso podería simplemente darse verbalmente, isto nunca se fai. Dado que a persoa ou empresa que realiza a proba sería legalmente responsable de probar o que se supón que non debe facer, é necesario un contrato por escrito.

Ámbito de actuación

Non se pode exagerar a importancia do contrato. É o único que outorga legalidade ás accións de hackeo do hacker ético. O contrato de subvención outorga indemnización polas actuacións especificadas e contra os obxectivos especificados. Polo tanto, é fundamental entender o contrato e o que abrangue, xa que saír do ámbito do contrato supón saír do ámbito da indemnización legal e incumprir a lei.

Se un hacker ético sae fóra do alcance do contrato, está a correr unha corda fluída legal. Calquera cousa que fagan é tecnicamente ilegal. En moitos casos, un paso deste tipo sería accidental e rapidamente auto-captado. Cando se manexa axeitadamente, isto pode non ser necesariamente un problema, pero dependendo da situación, certamente podería serlo.

O contrato ofrecido non ten que ser necesariamente adaptado específicamente. Algunhas empresas ofrecen un esquema de recompensa por erros. Isto implica a publicación dun contrato aberto, que permite que calquera persoa intente piratear o seu sistema de forma ética, sempre que cumpra coas regras especificadas e informe de calquera problema que identifique. Os problemas de informes, neste caso, adoitan ser recompensados ​​financeiramente.

Tipos de Hacking Ético

A forma estándar de hacking ético é a "proba de penetración" ou pentest. Aquí é onde un ou máis hackers éticos están comprometidos para tentar penetrar nas defensas de seguridade dun sistema. Unha vez que se completa o compromiso, os piratas informáticos éticos, chamados pentesters neste papel, informan dos seus descubrimentos ao cliente. O cliente pode usar os detalles do informe para corrixir as vulnerabilidades identificadas. Aínda que se pode facer traballo individual e por contrato, moitos pentesters son recursos internos da empresa ou contratanse empresas especializadas en pentesting.

Consello: é "pentesting" non "pentest". Un probador de penetración non proba os bolígrafos.

Nalgúns casos, probar se unha ou máis aplicacións ou redes son seguras non é suficiente. Neste caso, pódense realizar probas máis profundas. Un compromiso do equipo vermello normalmente implica probar unha gama moito máis ampla de medidas de seguridade. As accións poden incluír realizar exercicios de suplantación de identidade contra os empregados, tentar facer un enxeñeiro social para entrar nun edificio ou mesmo entrar físicamente. Aínda que cada exercicio do equipo vermello varía, o concepto adoita ser moito máis unha proba do peor dos casos "e se" . Na liña de "esta aplicación web é segura, pero que pasa se alguén só entra na sala de servidores e leva o disco duro con todos os datos nel".

Case calquera problema de seguridade que se poida usar para prexudicar a unha empresa ou sistema está teoricamente aberto ao hacking ético. Isto supón que o propietario do sistema concede permiso, con todo, e que está preparado para pagar por iso.

Dar cousas aos malos?

Os piratas informáticos éticos escriben, usan e comparten ferramentas de hacking para facilitarlles a vida. É xusto cuestionar a ética disto, xa que os sombreiros negros poderían cooptar estas ferramentas para causar máis estragos. Porén, de xeito realista, é perfectamente razoable asumir que os atacantes xa teñen estas ferramentas, ou polo menos algo parecido, mentres intentan facilitarlles a vida. Non ter ferramentas e tentar dificultar os sombreiros negros é depender da seguridade a través da escuridade. Este concepto está moi mal visto na criptografía e na maior parte do mundo da seguridade en xeral.

Divulgación responsable

Un hacker ético ás veces pode tropezar cunha vulnerabilidade cando navega por un sitio web ou utiliza un produto. Neste caso, normalmente tratan de denuncialo de forma responsable ao propietario lexítimo do sistema. A clave despois é como se xestiona a situación. O ético que hai que facer é divulgarllo de forma privada ao propietario lexítimo do sistema para permitirlle solucionar o problema e distribuír un parche de software.

Por suposto, calquera hacker ético tamén é responsable de informar aos usuarios afectados por tal vulnerabilidade para que poidan optar por tomar as súas propias decisións conscientes da seguridade. Normalmente, un período de tempo de 90 días desde a divulgación privada considérase un período de tempo adecuado para desenvolver e publicar unha corrección. Aínda que se poden conceder extensións se se precisa un pouco máis de tempo, isto non se fai necesariamente.

Aínda que non estea dispoñible unha solución, pode ser ético detallar o problema publicamente. Non obstante, isto supón que o hacker ético intentou revelar o problema de forma responsable e, en xeral, que está tentando informar aos usuarios normais para que poidan protexerse. Aínda que algunhas vulnerabilidades poden detallarse con exploits de proba de concepto funcional, isto moitas veces non se fai se aínda non hai unha solución dispoñible.

Aínda que isto non soe completamente ético, en última instancia, beneficia ao usuario. Nun escenario, a empresa está baixo a presión suficiente para ofrecer unha solución oportuna. Os usuarios poden actualizar a unha versión fixa ou polo menos implementar unha solución alternativa. A alternativa é que a empresa non poida implementar unha solución para un problema de seguridade grave de inmediato. Neste caso, o usuario pode tomar unha decisión informada sobre seguir usando o produto.

Conclusión

Un hacker ético é un hacker que actúa dentro das limitacións da lei. Normalmente, o propietario lexítimo do sistema contrata ou concede permiso para piratear un sistema. Isto faise coa condición de que o hacker ético informe dos problemas identificados de forma responsable ao propietario lexítimo do sistema para que poidan ser solucionados. A piratería ética baséase en "configurar a un ladrón para atrapar a un ladrón". Usando o coñecemento dos piratas informáticos éticos, pode resolver os problemas que os hackers de sombreiro negro poderían ter explotado. Os hackers éticos tamén se denominan hackers de sombreiro branco. Tamén se poden usar outros termos en determinadas circunstancias, como "pentesters" para contratar profesionais.