Un sombrero blanco (o un hacker de sombrero blanco ) es una ética hacker informático , o una seguridad informática experto, que se especializa en pruebas de penetración y otras metodologías de prueba que garantizan la seguridad de una organización de los sistemas de información . [1] El hackeo ético es un término destinado a implicar una categoría más amplia que las pruebas de penetración. [2] [3] En contraste con el sombrero negro , un hacker malicioso, el nombre proviene de películas occidentales , donde los vaqueros heroicos y antagónicos tradicionalmente pueden usar un sombrero blanco y negro respectivamente .[4] Hay un hacker de tercer tipo conocido como sombrero gris que hackea con buenas intenciones pero a veces sin permiso. [Symantec Group 1]
Los piratas informáticos de sombrero blanco también pueden trabajar en equipos llamados " zapatillas deportivas y / o clubes de piratas informáticos ", [5] equipos rojos o equipos tigre . [6]
Historia
Uno de los primeros casos en que se utilizó un truco ético fue una "evaluación de seguridad" realizada por la Fuerza Aérea de los Estados Unidos , en la que se probó el "uso potencial de los sistemas operativos Multics como un sistema de dos niveles (secreto / alto secreto)". " La evaluación determinó que, si bien Multics era "significativamente mejor que otros sistemas convencionales", también tenía "... vulnerabilidades en la seguridad del hardware, la seguridad del software y la seguridad de los procedimientos" que podían descubrirse con "un nivel de esfuerzo relativamente bajo". [7] Los autores realizaron sus pruebas bajo una pauta de realismo, por lo que sus resultados representarían con precisión los tipos de acceso que un intruso podría lograr. Realizaron pruebas que incluían simples ejercicios de recopilación de información, así como ataques directos al sistema que pudieran dañar su integridad; Ambos resultados fueron de interés para el público objetivo. Hay varios otros informes ahora sin clasificar que describen actividades de piratería ética dentro del ejército de los EE . UU .
En 1981, The New York Times describió las actividades de sombrero blanco como parte de una "tradición de 'hackers' traviesa pero perversamente positiva". Cuando un empleado de National CSS reveló la existencia de su descifrador de contraseñas , que había utilizado en las cuentas de los clientes, la empresa lo reprendió no por escribir el software, sino por no revelarlo antes. La carta de reprimenda decía "La Compañía se da cuenta del beneficio para NCSS y de hecho alienta los esfuerzos de los empleados para identificar las debilidades de seguridad del VP, el directorio y otro software sensible en archivos". [8]
La idea de llevar esta táctica de piratería ética para evaluar la seguridad de los sistemas fue formulada por Dan Farmer y Wietse Venema . Con el objetivo de elevar el nivel general de seguridad en Internet e intranets , procedieron a describir cómo pudieron recopilar suficiente información sobre sus objetivos para haber podido comprometer la seguridad si hubieran decidido hacerlo. Proporcionaron varios ejemplos específicos de cómo se podría recopilar y explotar esta información para obtener el control del objetivo, y cómo se podría prevenir un ataque de este tipo. Reunieron todas las herramientas que habían utilizado durante su trabajo, las empaquetaron en una única aplicación fácil de usar y las regalaron a cualquiera que eligiera descargarlas. Su programa, llamado Herramienta de administración de seguridad para analizar redes , o SATAN, fue recibido con una gran cantidad de atención de los medios de todo el mundo en 1992. [6]
Táctica
Si bien las pruebas de penetración se concentran en atacar software y sistemas informáticos desde el principio (escanear puertos, examinar defectos conocidos en protocolos y aplicaciones que se ejecutan en el sistema e instalaciones de parches, por ejemplo), la piratería ética puede incluir otras cosas. Un truco ético en toda regla podría incluir enviar correos electrónicos al personal para solicitar detalles de la contraseña, hurgar en los cubos de basura de los ejecutivos y, por lo general, entrar sin el conocimiento y el consentimiento de los objetivos. Solo los propietarios, directores ejecutivos y miembros de la junta (partes interesadas) que solicitaron una revisión de seguridad de esta magnitud lo saben. Para intentar replicar algunas de las técnicas destructivas que podría emplear un ataque real, los piratas informáticos éticos pueden organizar sistemas de prueba clonados u organizar un pirateo a altas horas de la noche mientras los sistemas son menos críticos. [3] En los casos más recientes, estos ataques se perpetúan a largo plazo (días, si no semanas, de infiltración humana a largo plazo en una organización). Algunos ejemplos incluyen dejar unidades de memoria USB / flash con software de inicio automático oculto en un área pública como si alguien hubiera perdido la unidad pequeña y un empleado desprevenido la encontrara y se la llevara.
Algunos otros métodos para llevar a cabo estos incluyen:
- Ataques DoS
- Tácticas de ingeniería social
- Ingeniería inversa
- Seguridad de la red
- Análisis forense de disco y memoria
- Investigación de vulnerabilidad
- Escáneres de seguridad como:
- Marcos como:
- Plataformas de formación
Estos métodos identifican y explotan vulnerabilidades de seguridad conocidas e intentan evadir la seguridad para acceder a áreas seguras. Pueden hacer esto ocultando software y 'puertas traseras' del sistema que pueden usarse como un enlace a información o acceso que un hacker no ético, también conocido como 'sombrero negro' o 'sombrero gris', puede quiero llegar.
Legalidad en el Reino Unido
Struan Robertson, director legal de Pinsent Masons LLP y editor de OUT-LAW.com , dice: "En términos generales, si el acceso a un sistema está autorizado, la piratería es ética y legal. Si no lo está, hay un delito bajo la Ley de Uso Indebido de Computadoras . El delito de acceso no autorizado abarca todo, desde adivinar la contraseña hasta acceder a la cuenta de correo web de alguien y violar la seguridad de un banco. La pena máxima por acceso no autorizado a una computadora es de dos años de prisión y una multa. penas más altas - hasta 10 años de prisión - cuando el hacker también modifica datos ". El acceso no autorizado, incluso para exponer vulnerabilidades en beneficio de muchos, no es legal, dice Robertson. "No hay defensa en nuestras leyes de piratería de que su comportamiento es para el bien mayor. Incluso si es lo que cree". [3]
Empleo
La Agencia de Seguridad Nacional de los Estados Unidos ofrece certificaciones como la CNSS 4011. Dicha certificación cubre técnicas de piratería informática ordenadas y éticas y gestión de equipos. Los equipos agresores se denominan equipos "rojos". Los equipos defensores se denominan equipos "azules". [5] Cuando la agencia reclutó en DEF CON en 2012, prometió a los solicitantes que "si tiene algunas, digamos, indiscreciones en su pasado, no se alarme. No debe asumir automáticamente que no será Contratado". [9]
Un buen "sombrero blanco" es un empleado hábil y competitivo para una empresa, ya que puede ser una contramedida para encontrar los errores y proteger el entorno de red empresarial. Por lo tanto, un buen "sombrero blanco" podría traer beneficios inesperados al reducir el riesgo en los sistemas, aplicaciones y puntos finales de una empresa. [10]
Ver también
- Programa de recompensas por errores
- Riesgo de TI
- Malware debe morir
- Robo de identidad inalámbrico
Notas
- ^ "¿Cuál es la diferencia entre los piratas informáticos negros, blancos y grises" . Norton.com . Norton Security . Consultado el 2 de octubre de 2018 .
Referencias
- ^ "¿Qué es sombrero blanco? - una definición de Whatis.com" . Searchsecurity.techtarget.com . Consultado el 6 de junio de 2012 .
- ^ Ward, Mark (14 de septiembre de 1996). "Sabotaje en el ciberespacio" . Nuevo científico . 151 (2047).
- ^ a b c Knight, William (16 de octubre de 2009). "Licencia para piratear" . InfoSecurity . 6 (6): 38–41. doi : 10.1016 / s1742-6847 (09) 70019-9 .
- ^ Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: Tácticas y técnicas de prueba de penetración no convencionales . Elsevier. págs. 26–7. ISBN 9781597495899.
- ^ a b "¿Qué es un sombrero blanco?" . Secpoint.com. 2012-03-20 . Consultado el 6 de junio de 2012 .
- ^ a b Palmer, CC (2001). "Hacking ético" (PDF) . Revista de sistemas de IBM . 40 (3): 769. doi : 10.1147 / sj.403.0769 .
- ^ Paul A. Karger, Roger R. Scherr (junio de 1974). EVALUACIÓN DE SEGURIDAD MÚLTICA: ANÁLISIS DE VULNERABILIDAD (PDF) (Informe) . Consultado el 12 de noviembre de 2017 .Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ McLellan, Vin (26 de julio de 1981). "Caso de la contraseña robada" . The New York Times . Consultado el 11 de agosto de 2015 .
- ^ "Atención asistentes al DEF CON® 20" . Agencia de Seguridad Nacional. 2012. Archivado desde el original el 30 de julio de 2012 .
- ^ Caldwell, Tracey (2011). "Hackers éticos: ponerse el sombrero blanco". Seguridad de la red . 2011 (7): 10–13. doi : 10.1016 / s1353-4858 (11) 70075-7 . ISSN 1353-4858 .