Un sombrero blanco (o un hacker de sombrero blanco ) es un hacker de seguridad ético . [1] La piratería ética es un término que implica una categoría más amplia que solo las pruebas de penetración. [2] [3] En contraste con el sombrero negro , un pirata informático malicioso, el nombre proviene de las películas occidentales , donde los vaqueros heroicos y antagónicos tradicionalmente pueden usar un sombrero blanco y negro, respectivamente . [4] Hay un tercer tipo de pirata informático conocido como sombrero gris que piratea con buenas intenciones pero a veces sin permiso. [Grupo 1 de Symantec]
Los hackers de sombrero blanco también pueden trabajar en equipos llamados " zapatillas y/o clubes de hackers ", [5] equipos rojos o equipos tigre . [6]
Uno de los primeros casos en que se utilizó un truco ético fue una "evaluación de seguridad" realizada por la Fuerza Aérea de los Estados Unidos , en la que se probó el sistema operativo Multics para "uso potencial como un sistema de dos niveles (secreto/alto secreto). " La evaluación determinó que si bien Multics era "significativamente mejor que otros sistemas convencionales", también tenía "... vulnerabilidades en la seguridad del hardware, la seguridad del software y la seguridad de los procedimientos" que podían descubrirse con "un nivel de esfuerzo relativamente bajo". [7]Los autores realizaron sus pruebas bajo una pauta de realismo, por lo que sus resultados representarían con precisión los tipos de acceso que un intruso podría lograr. Realizaron pruebas que involucraron ejercicios simples de recopilación de información, así como ataques directos al sistema que podrían dañar su integridad; ambos resultados fueron de interés para el público objetivo. Hay varios otros informes ahora no clasificados que describen actividades de piratería ética dentro del ejército de EE . UU .
En 1981, The New York Times describió las actividades de sombrero blanco como parte de una "tradición de 'hacker' traviesa pero perversamente positiva". Cuando un empleado de National CSS reveló la existencia de su descifrador de contraseñas , que había utilizado en las cuentas de los clientes, la empresa lo reprendió no por escribir el software sino por no revelarlo antes. La carta de amonestación decía: "La empresa se da cuenta del beneficio para NCSS y, de hecho, alienta los esfuerzos de los empleados para identificar las debilidades de seguridad en el VP, el directorio y otro software sensible en los archivos". [8]
La idea de traer esta táctica de piratería ética para evaluar la seguridad de los sistemas fue formulada por Dan Farmer y Wietse Venema . Con el objetivo de elevar el nivel general de seguridad en Internet e intranets , procedieron a describir cómo pudieron recopilar suficiente información sobre sus objetivos para poder comprometer la seguridad si así lo hubieran elegido. Proporcionaron varios ejemplos específicos de cómo se podría recopilar y explotar esta información para obtener el control del objetivo, y cómo se podría prevenir tal ataque. Reunieron todas las herramientas que habían usado durante su trabajo, las empaquetaron en una sola aplicación fácil de usar y se la regalaron a cualquiera que decidiera descargarla. Su programa, llamadoSecurity Administrator Tool for Analyzing Networks , o SATAN, recibió una gran atención de los medios de todo el mundo en 1992. [6]