stringtranslate.com

Sombrero blanco (seguridad informática)

Un hacker de sombrero blanco (o un hacker de sombrero blanco , un whitehat ) es un hacker de seguridad ético . [1] [2] Hacking ético es un término que implica una categoría más amplia que las simples pruebas de penetración. [3] [4] Con el consentimiento del propietario, los piratas informáticos de sombrero blanco tienen como objetivo identificar cualquier vulnerabilidad o problema de seguridad que tenga el sistema actual. [5] El sombrero blanco se contrasta con el sombrero negro , un hacker malicioso; Esta dicotomía definitoria proviene de las películas occidentales , donde los vaqueros heroicos y antagónicos tradicionalmente podían usar un sombrero blanco y uno negro, respectivamente . [6] Existe un tercer tipo de hacker conocido como sombrero gris que piratea con buenas intenciones pero a veces sin permiso. [7]

Los hackers de sombrero blanco también pueden trabajar en equipos llamados " zapatillas y/o clubes de hackers ", [8] equipos rojos o equipos tigre . [9]

Historia

Uno de los primeros casos de hackeo ético fue una "evaluación de seguridad" realizada por la Fuerza Aérea de los Estados Unidos , en la que se probaron los sistemas operativos Multics para su "uso potencial como sistema de dos niveles (secreto/ultrasecreto). " La evaluación determinó que, si bien Multics era "significativamente mejor que otros sistemas convencionales", también tenía "... vulnerabilidades en la seguridad del hardware, la seguridad del software y la seguridad de los procedimientos" que podían descubrirse con "un nivel de esfuerzo relativamente bajo". [10] Los autores realizaron sus pruebas bajo una pauta de realismo, por lo que sus resultados representarían con precisión los tipos de acceso que un intruso podría lograr potencialmente. Realizaron pruebas que implicaban ejercicios sencillos de recopilación de información, así como ataques directos al sistema que podrían dañar su integridad; ambos resultados fueron de interés para el público objetivo. Hay varios otros informes ahora no clasificados que describen actividades de piratería ética dentro del ejército estadounidense .

En 1981, The New York Times describió las actividades de sombrero blanco como parte de una "tradición 'hacker' traviesa pero perversamente positiva". Cuando un empleado de National CSS reveló la existencia de su descifrador de contraseñas , que había utilizado en cuentas de clientes, la empresa lo reprendió no por haber escrito el software sino por no revelarlo antes. La carta de amonestación decía: "La empresa se da cuenta del beneficio para NCSS y alienta los esfuerzos de los empleados para identificar las debilidades de seguridad del vicepresidente, el directorio y otro software confidencial en los archivos". [11]

El 20 de octubre de 2016, el Departamento de Defensa (DOD) anunció "Hackear el Pentágono". [12] [13]

La idea de utilizar esta táctica de hacking ético para evaluar la seguridad de los sistemas y señalar vulnerabilidades fue formulada por Dan Farmer y Wietse Venema . Para elevar el nivel general de seguridad en Internet y las intranets , procedieron a describir cómo pudieron recopilar suficiente información sobre sus objetivos para poder comprometer la seguridad si así lo hubieran decidido. Proporcionaron varios ejemplos específicos de cómo se podría recopilar y explotar esta información para obtener el control del objetivo y cómo se podría prevenir un ataque de este tipo. Reunieron todas las herramientas que habían utilizado durante su trabajo, las empaquetaron en una única aplicación fácil de usar y se la regalaron a cualquiera que decidiera descargarla. Su programa llamado Herramienta de administrador de seguridad para el análisis de redes , o SATAN, recibió una gran atención de los medios de comunicación en todo el mundo en 1992. [9]

Táctica

Si bien las pruebas de penetración se concentran en atacar software y sistemas informáticos desde el principio (escanear puertos, examinar defectos conocidos en protocolos y aplicaciones que se ejecutan en el sistema e instalaciones de parches, por ejemplo), el hacking ético puede incluir otras cosas. Un hackeo ético a gran escala podría incluir enviar correos electrónicos al personal para solicitar detalles de la contraseña y hurgar en los contenedores de basura de los ejecutivos, generalmente sin el conocimiento y el consentimiento de los objetivos. Sólo los propietarios, directores ejecutivos y miembros de la junta directiva (partes interesadas) que solicitaron una revisión de seguridad de esta magnitud lo saben. Para intentar replicar algunas de las técnicas destructivas que podría emplear un ataque real, los piratas informáticos éticos pueden clonar sistemas de prueba u organizar un ataque a altas horas de la noche, mientras los sistemas son menos críticos. [14] En los casos más recientes, estos ataques se perpetúan a largo plazo (días, si no semanas, de infiltración humana a largo plazo en una organización). Algunos ejemplos incluyen dejar unidades USB /llave flash con software de inicio automático oculto en un área pública como si alguien hubiera perdido el disco pequeño y un empleado desprevenido lo encontrara y se lo llevara.

Algunos otros métodos para llevarlos a cabo incluyen:


Estos métodos identifican vulnerabilidades de seguridad conocidas e intentan evadir la seguridad para ingresar a áreas seguras. Pueden hacerlo ocultando software y 'puertas traseras' del sistema que pueden usarse como enlace a información o acceso al que un hacker no ético, también conocido como 'sombrero negro' o 'sombrero gris', podría querer acceder.

Legalidad

Bélgica

Bélgica legalizó el hacking de sombrero blanco en febrero de 2023. [15]

Porcelana

En julio de 2021, el gobierno chino pasó de un sistema de presentación de informes voluntarios a uno que exige legalmente que todos los piratas informáticos de sombrero blanco informen primero de cualquier vulnerabilidad al gobierno antes de tomar medidas adicionales para abordar la vulnerabilidad o darla a conocer al público. [16] Los comentaristas describieron el cambio como la creación de un "doble propósito" en el que la actividad de sombrero blanco también sirve a las agencias de inteligencia del país. [dieciséis]

Reino Unido

Struan Robertson, director legal de Pinsent Masons LLP y editor de OUT-LAW.com dice: "En términos generales, si el acceso a un sistema está autorizado, el pirateo es ético y legal. Si no lo está, existe un delito según la ley". Ley de uso indebido de computadoras . El delito de acceso no autorizado cubre todo, desde adivinar la contraseña hasta acceder a la cuenta de correo web de alguien o violar la seguridad de un banco. La pena máxima por acceso no autorizado a una computadora es de dos años de prisión y una multa. Hay penas más altas. – hasta 10 años de prisión – cuando el hacker también modifique datos". El acceso no autorizado, incluso para exponer vulnerabilidades en beneficio de muchos, no es legal, afirma Robertson. "No hay defensa en nuestras leyes de piratería informática de que su comportamiento sea por un bien mayor. Incluso si es lo que usted cree". [4]

Empleo

La Agencia de Seguridad Nacional de los Estados Unidos ofrece certificaciones como la CNSS 4011. Dicha certificación cubre técnicas de piratería informática ordenadas y éticas y gestión de equipos. Los equipos agresores se denominan equipos "rojos". Los equipos defensores se denominan equipos "azules". [8] Cuando la agencia reclutó en DEF CON en 2020, prometió a los solicitantes que "si tiene algunas, digamos, indiscreciones en su pasado, no se alarme. No debe asumir automáticamente que no será contratado". [17]

Un buen "sombrero blanco" es un empleado hábil y competitivo para una empresa, ya que puede ser una contramedida para encontrar errores para proteger el entorno de red empresarial. Por lo tanto, un buen "sombrero blanco" podría aportar beneficios inesperados al reducir el riesgo en todos los sistemas, aplicaciones y puntos finales de una empresa. [18]

Investigaciones recientes han indicado que los hackers de sombrero blanco se están convirtiendo cada vez más en un aspecto importante de la protección de la seguridad de la red de una empresa. Más allá de las pruebas de penetración, los hackers de sombrero blanco están desarrollando y cambiando sus habilidades, ya que las amenazas también están cambiando. Sus habilidades ahora involucran ingeniería social , tecnología móvil y redes sociales . [19]

Gente notable

Ver también

Referencias

  1. ^ "¿Qué es el sombrero blanco? - una definición de Whatis.com". Searchsecurity.techtarget.com. Archivado desde el original el 1 de febrero de 2011 . Consultado el 6 de junio de 2012 .
  2. ^ Okpa, John Thompson; Ugwuoke, Christopher Uchechukwu; Ajah, Benjamín Okorie; Eshioste, Emmanuel; Igbe, José Egidi; Ajor, Ogar James; Okoi, Ofem, Nnana; Eteng, María Juachi; Nnamani, Rebecca Ginikanwa (5 de septiembre de 2022). "Ciberespacio, piratería de sombrero negro y sostenibilidad económica de las organizaciones corporativas en el estado de Cross-River, Nigeria". SABIO Abierto . 12 (3): 215824402211227. doi : 10.1177/21582440221122739 . ISSN  2158-2440. S2CID  252096635.{{cite journal}}: CS1 maint: multiple names: authors list (link)
  3. ^ Ward, Mark (14 de septiembre de 1996). "Sabotaje en el ciberespacio". Científico nuevo . 151 (2047). Archivado desde el original el 13 de enero de 2022 . Consultado el 28 de marzo de 2018 .
  4. ^ ab Knight, William (16 de octubre de 2009). "Licencia para piratear". InfoSeguridad . 6 (6): 38–41. doi :10.1016/s1742-6847(09)70019-9. Archivado desde el original el 9 de enero de 2014 . Consultado el 19 de julio de 2014 .
  5. ^ Filiol, Eric; Mercaldo, Francisco; Santone, Antonella (2021). "Un método para mitigar y probar la penetración automática: un enfoque de Red Hat". Procedia Ciencias de la Computación . 192 : 2039-2046. doi : 10.1016/j.procs.2021.08.210 . S2CID  244321685.
  6. ^ Guillermo, Thomas; Andrés, Jason (2010). Ninja Hacking: tácticas y técnicas de pruebas de penetración no convencionales. Elsevier. págs. 26–7. ISBN 978-1-59749-589-9.
  7. ^ "¿Cuál es la diferencia entre los hackers negros, blancos y grises?". Norton.com . Seguridad Norton. Archivado desde el original el 15 de enero de 2018 . Consultado el 2 de octubre de 2018 .
  8. ^ ab "¿Qué es un sombrero blanco?". Secpoint.com. 2012-03-20. Archivado desde el original el 2 de mayo de 2019 . Consultado el 6 de junio de 2012 .
  9. ^ ab Palmer, CC (2001). "Hacking ético" (PDF) . Revista de sistemas IBM . 40 (3): 769. doi :10.1147/sj.403.0769. Archivado (PDF) desde el original el 2 de mayo de 2019 . Consultado el 19 de julio de 2014 .
  10. ^ Paul A.Karger; Roger R. Scherr (junio de 1974). EVALUACIÓN DE SEGURIDAD MULTICS: ANÁLISIS DE VULNERABILIDAD (PDF) (Reporte). Archivado (PDF) desde el original el 13 de noviembre de 2017 . Consultado el 12 de noviembre de 2017 .
  11. ^ McLellan, Vin (26 de julio de 1981). "Caso de la contraseña robada". Los New York Times . Archivado desde el original el 7 de marzo de 2016 . Consultado el 11 de agosto de 2015 .
  12. ^ "El Departamento de Defensa anuncia la iniciativa de seguimiento 'Hackear el Pentágono'". Departamento de Defensa de EE. UU . Consultado el 15 de diciembre de 2023 .
  13. ^ Pérez, Natasha Bertrand, Zachary Cohen, Alex Marquardt, Evan (13 de abril de 2023). "La filtración del Pentágono limita quién tiene acceso a los principales secretos militares | CNN Politics". CNN . Archivado desde el original el 15 de diciembre de 2023 . Consultado el 15 de diciembre de 2023 .{{cite web}}: CS1 maint: multiple names: authors list (link)
  14. ^ Justin Seitz, Tim Arnold (14 de abril de 2021). Black Hat Python, segunda edición: programación en Python para hackers y pentesters. Sin prensa de almidón. ISBN 978-1-7185-0112-6. Archivado desde el original el 26 de agosto de 2021 . Consultado el 30 de agosto de 2021 .
  15. ^ Drechsler, Charlotte Somers, Koen Vranckaert, Laura (3 de mayo de 2023). "Bélgica legaliza el hacking ético: ¿una amenaza o una oportunidad para la ciberseguridad?". Blog del CITIP . Archivado desde el original el 17 de mayo de 2023 . Consultado el 7 de mayo de 2023 .{{cite web}}: CS1 maint: multiple names: authors list (link)
  16. ^ ab Brar, Aadil (18 de enero de 2024). "China forma un ejército de piratas informáticos privados para investigar a gobiernos extranjeros". Semana de noticias . Archivado desde el original el 20 de enero de 2024 . Consultado el 20 de enero de 2024 .
  17. ^ "Atención asistentes a DEF CON® 20". Agencia de Seguridad Nacional. 2012. Archivado desde el original el 30 de julio de 2012.
  18. ^ Caldwell, Tracey (2011). "Hackers éticos: ponerse el sombrero blanco". Seguridad de la red . 2011 (7): 10-13. doi :10.1016/s1353-4858(11)70075-7. ISSN  1353-4858.
  19. ^ Caldwell, Tracey (1 de julio de 2011). "Hackers éticos: ponerse el sombrero blanco". Seguridad de la red . 2011 (7): 10-13. doi :10.1016/S1353-4858(11)70075-7. ISSN  1353-4858.