sombrero gris

Tipo de hacker informático

Un sombrero gris ( greyhat o sombrero gris ) es un hacker informático o un experto en seguridad informática que en ocasiones puede violar leyes o estándares éticos típicos , pero normalmente no tiene la intención maliciosa típica de un hacker de sombrero negro .

El término entró en uso a finales de la década de 1990 y se derivó de los conceptos de hackers de " sombrero blanco " y "sombrero negro". ^[1] Cuando un hacker de sombrero blanco descubre una vulnerabilidad , la explotará sólo con permiso y no divulgará su existencia hasta que se haya solucionado, mientras que el hacker de sombrero negro la explotará ilegalmente y/o dirá a otros cómo hacerlo. El sombrero gris no lo explotará ilegalmente ni dirá a otros cómo hacerlo. ^[2]

Otra diferencia entre estos tipos de piratas informáticos radica en sus métodos para descubrir vulnerabilidades. El sombrero blanco irrumpe en sistemas y redes a petición de su empleador o con permiso explícito con el fin de determinar qué tan seguro es contra los piratas informáticos, mientras que el sombrero negro irrumpirá en cualquier sistema o red para descubrir información confidencial para beneficio personal. . El sombrero gris generalmente tiene las habilidades y la intención del sombrero blanco, pero puede ingresar a cualquier sistema o red sin permiso. ^{[3] [4]}

Según una definición de hacker de sombrero gris, cuando descubren una vulnerabilidad, en lugar de decirle al proveedor cómo funciona el exploit, pueden ofrecer repararla por una pequeña tarifa. Cuando alguien obtiene acceso ilegal a un sistema o red, puede sugerirle al administrador del sistema que contrate a uno de sus amigos para solucionar el problema; sin embargo, esta práctica ha ido disminuyendo debido a la creciente disposición de las empresas a enjuiciar. Otra definición de sombrero gris sostiene que los hackers de sombrero gris sólo violan la ley en un esfuerzo por investigar y mejorar la seguridad: la legalidad se establece de acuerdo con las ramificaciones particulares de cualquier ataque en el que participen. ^[5]

En la comunidad de optimización de motores de búsqueda (SEO), los hackers de sombrero gris son aquellos que manipulan la clasificación de los sitios web en los motores de búsqueda utilizando medios inadecuados o poco éticos, pero que no se consideran spam en los motores de búsqueda . ^[6]

Un estudio de investigación reciente analizó las características psicológicas de las personas que participan en la piratería laboral. Los hallazgos indican que los hackers de sombrero gris suelen ir en contra de la autoridad, los hackers de sombrero negro tienen una fuerte tendencia a la búsqueda de emociones y los hackers de sombrero blanco a menudo exhiben rasgos narcisistas . ^[7]

Historia

La frase sombrero gris se utilizó públicamente por primera vez en el contexto de la seguridad informática cuando DEF CON anunció las primeras reuniones informativas de Black Hat programadas en 1996, aunque es posible que haya sido utilizada por grupos más pequeños antes de ese momento. ^{[1] [8]} Además, en esta conferencia se realizó una presentación en la que Mudge, un miembro clave del grupo de piratería L0pht , discutió su intención como hackers de sombrero gris de proporcionar a Microsoft descubrimientos de vulnerabilidades para proteger a la gran cantidad de usuarios. de su sistema operativo. ^[9] Finalmente, Mike Nash, director del grupo de servidores de Microsoft, afirmó que los hackers de sombrero gris se parecen mucho a los técnicos de la industria del software independiente en el sentido de que "son valiosos al darnos retroalimentación para mejorar nuestros productos". ^[10]

La frase sombrero gris fue utilizada por el grupo de hackers L0pht en una entrevista de 1999 con The New York Times ^[11] para describir sus actividades de hacking.

La frase se utilizó para describir a los piratas informáticos que apoyan la notificación ética de vulnerabilidades directamente al proveedor de software, en contraste con las prácticas de divulgación completa que prevalecían en la comunidad de sombrero blanco de que las vulnerabilidades no se divulgaran fuera de su grupo. ^[2]

En 2002, sin embargo, la comunidad Anti-Sec publicó el uso del término para referirse a las personas que trabajan en la industria de la seguridad durante el día, pero que participan en actividades de sombrero negro durante la noche. ^[12] La ironía fue que para los sombreros negros, esta interpretación fue vista como un término despectivo; mientras que entre los sombreros blancos era un término que daba sensación de notoriedad popular.

Tras el auge y eventual declive de la "era dorada" de divulgación total frente a la anti-sec (y el posterior crecimiento de una filosofía de "hacking ético"), el término sombrero gris comenzó a adquirir todo tipo de significados diversos. El procesamiento en Estados Unidos de Dmitry Sklyarov por actividades que eran legales en su país de origen cambió la actitud de muchos investigadores de seguridad. A medida que Internet se empezó a utilizar para funciones más críticas y crecieron las preocupaciones sobre el terrorismo, el término "sombrero blanco" comenzó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación completa. ^[13]

En 2008, la EFF definió a los sombreros grises como investigadores de seguridad ética que inadvertidamente o posiblemente violan la ley en un esfuerzo por investigar y mejorar la seguridad. Abogan por leyes sobre delitos informáticos que sean más claras y más estrictas. ^[14]

Ejemplos

En abril de 2000, unos piratas informáticos conocidos como "{}" y "Hardbeat" obtuvieron acceso no autorizado a Apache.org . ^[15] Eligieron alertar al equipo de Apache sobre los problemas en lugar de intentar dañar los servidores Apache.org. ^[dieciséis]

En junio de 2010, un grupo de expertos en informática conocido como Goatse Security expuso una falla en la seguridad de AT&T que permitía revelar las direcciones de correo electrónico de los usuarios de iPad . ^[17] El grupo reveló la falla de seguridad a los medios poco después de notificar a AT&T. Desde entonces, el FBI abrió una investigación sobre el incidente y allanó la casa de weev , el miembro más destacado del nuevo grupo. ^[18]

En abril de 2011, un grupo de expertos descubrió que el iPhone de Apple y los iPad 3G "registraban las visitas del usuario". Apple emitió un comunicado diciendo que el iPad y el iPhone sólo estaban registrando las torres a las que podía acceder el teléfono. ^[19] Ha habido numerosos artículos sobre el tema y se ha visto como un problema de seguridad menor. Este caso se clasificaría como "sombrero gris" porque, aunque los expertos podrían haberlo utilizado con intenciones maliciosas, el problema fue reportado. ^[20]

En agosto de 2013, Khalil Shreateh, un investigador de seguridad informática desempleado, hackeó la página de Facebook de Mark Zuckerberg para forzar la acción para corregir un error que descubrió y que le permitía publicar en la página de cualquier usuario sin su consentimiento. Había intentado repetidamente informar a Facebook sobre este error solo para que Facebook le dijera que el problema no era un error. Después de este incidente, Facebook corrigió esta vulnerabilidad que podría haber sido un arma poderosa en manos de spammers profesionales . Shreateh no fue compensado por el programa White Hat de Facebook porque violó sus políticas, lo que convierte este incidente en un incidente de sombrero gris. ^[21]

Ver también

• Anónimo (grupo de hackers)
• cibercrimen
• Guerra cibernética
• Hacktivismo
• riesgo de TI
• metasploit
• Travesura
• Prueba de penetración

Referencias

1. De, Chu (2002). "¿Sombrero blanco? ¿Sombrero negro? ¿Sombrero gris?". ddth.com . Empresas Jelsoft . Consultado el 19 de febrero de 2015 .
2. Regalado; et al. (2015). Hacking de sombrero gris: el manual del hacker ético (4ª ed.). Nueva York: McGraw-Hill Education. pag. 18.
3. Más completo, Johnray; Ja, Juan; Zorro, Tammy (2003). "Guía de seguridad de Red Hat Enterprise Linux 3". Documentación del producto . Sombrero rojo. Sección (2.1.1). Archivado desde el original el 29 de julio de 2012 . Consultado el 16 de febrero de 2015 .
4. Cliff, A. "Terminología de detección de sistemas de intrusión, primera parte: AH". Conexión Symantec . Symantec. Archivado desde el original el 8 de junio de 2011 . Consultado el 16 de febrero de 2015 .
5. Moore, Robert (2011). Cibercrimen: investigación de delitos informáticos de alta tecnología (2ª ed.). Burlington, MA: Anderson Publishing. pag. 25.
6. AE (2014). Gray Hat SEO 2014: las técnicas más efectivas y seguras de 10 desarrolladores web. Secretos para alcanzar un puesto alto, incluidas las recuperaciones de sanciones más rápidas. Investigación y Co. ASIN  B0C83N8B8B.
7. "Rasgos oscuros y potencial de piratería". Revista de Psicología Organizacional . 21 (3). 9 de julio de 2021. doi :10.33423/jop.v21i3.4307. ISSN  2158-3609.
8. "Def Con Communications presenta las sesiones informativas de Black Hat". blackhat.com . blackhat.com. 1996.
9. Lange, Larry (15 de julio de 1997). "Microsoft abre un diálogo con los hackers de NT". blackhat.com . Consultado el 31 de marzo de 2015 .
10. Lange, Larry (22 de septiembre de 1997). "El ascenso del ingeniero subterráneo". blackhat.com . Consultado el 31 de marzo de 2015 .
11. "HacK, CounterHaCk". Revista del New York Times . 3 de octubre de 1999 . Consultado el 6 de enero de 2011 .
12. Digitalsec.net Archivado el 26 de diciembre de 2017 en el Alto Consejo de Wayback Machine #Phrack. 20 de agosto de 2002. "La lista greyhat-IS-whitehat"
13. "La delgada línea gris". Noticias CNET . 23 de septiembre de 2002 . Consultado el 6 de enero de 2011 .
14. Fundación Frontera Electrónica EFF.org (EFF). 20 de agosto de 2008. "Una guía de 'sombrero gris'"
15. Michelle Finley (28 de marzo de 2013). "Wired.com". Cableado . Cableado.com . Consultado el 1 de noviembre de 2013 .
16. "Archivos de texto.com" . Consultado el 1 de noviembre de 2013 .
17. El FBI abre una investigación sobre la infracción del iPad Wall Street Journal, Spencer Ante y Ben Worthen. 11 de junio de 2010.
18. Tate, Ryan (9 de junio de 2010). "La peor violación de seguridad de Apple: 114.000 propietarios de iPad expuestos". Gawker.com . Medios Gawker . Archivado desde el original el 12 de junio de 2010 . Consultado el 13 de junio de 2010 .
19. Harrison, Natalie; Kerris, Natalie (27 de abril de 2011). "Preguntas y respuestas de Apple sobre datos de ubicación". Información de prensa de Apple . Apple Inc.
20. "¿Apple te está rastreando?". hackfile.org . Archivado desde el original el 23 de marzo de 2012.
21. Gross, Doug (20 de agosto de 2013). "La página de Facebook de Zuckerberg fue pirateada para demostrar una falla de seguridad". CNN . Consultado el 4 de abril de 2015 .

Otras lecturas

• AE (2014). Gray Hat SEO 2014: las técnicas más efectivas y seguras de 10 desarrolladores web. Secretos para alcanzar un puesto alto, incluidas las recuperaciones de sanciones más rápidas. Investigación y Co. ASIN  B0C83N8B8B.
• Arquero Esser (2023). Se revela Gray Hat SEO. Haz que funcione la publicación. ISBN 9798398304732.