stringtranslate.com

Sombrero blanco (seguridad informática)

Un hacker de sombrero blanco (o hacker de sombrero blanco , un whitehat ) es un hacker de seguridad ético . [1] [2] El hacking ético es un término que implica una categoría más amplia que solo las pruebas de penetración. [3] [4] Con el consentimiento del propietario, los hackers de sombrero blanco tienen como objetivo identificar cualquier vulnerabilidad o problemas de seguridad que tenga el sistema actual. [5] El sombrero blanco se contrasta con el sombrero negro , un hacker malicioso; esta dicotomía definitoria proviene de las películas del Oeste , donde los vaqueros heroicos y antagónicos tradicionalmente podrían usar un sombrero blanco y uno negro, respectivamente . [6] Hay un tercer tipo de hacker conocido como sombrero gris que hackea con buenas intenciones pero a veces sin permiso. [7]

Los hackers de sombrero blanco también pueden trabajar en equipos llamados " clubs de zapatillas y/o hackers ", [8] equipos rojos o equipos tigre . [9]

Historia

Uno de los primeros casos de uso de un hack ético fue una "evaluación de seguridad" realizada por la Fuerza Aérea de los Estados Unidos , en la que se probaron los sistemas operativos Multics para "un uso potencial como un sistema de dos niveles (secreto/alto secreto)". La evaluación determinó que si bien Multics era "significativamente mejor que otros sistemas convencionales", también tenía "... vulnerabilidades en la seguridad del hardware, la seguridad del software y la seguridad de procedimiento" que podrían descubrirse con "un nivel de esfuerzo relativamente bajo". [10] Los autores realizaron sus pruebas bajo una directriz de realismo, por lo que sus resultados representarían con precisión los tipos de acceso que un intruso podría lograr potencialmente. Realizaron pruebas que implicaban ejercicios simples de recopilación de información, así como ataques directos al sistema que podrían dañar su integridad; ambos resultados fueron de interés para el público objetivo. Hay varios otros informes ahora no clasificados que describen actividades de hacking ético dentro del ejército de los EE. UU .

En 1981, The New York Times describió las actividades de sombrero blanco como parte de una "tradición 'hacker' maliciosa pero perversamente positiva". Cuando un empleado de National CSS reveló la existencia de su descifrador de contraseñas , que había utilizado en cuentas de clientes, la empresa lo reprendió no por escribir el software sino por no revelarlo antes. La carta de reprimenda decía: "La empresa se da cuenta del beneficio para NCSS y alienta los esfuerzos de los empleados para identificar las debilidades de seguridad del VP, el directorio y otro software sensible en los archivos". [11]

El 20 de octubre de 2016, el Departamento de Defensa (DOD) anunció "Hackear el Pentágono". [12] [13]

La idea de aplicar esta táctica de hacking ético para evaluar la seguridad de los sistemas y señalar vulnerabilidades fue formulada por Dan Farmer y Wietse Venema . Para aumentar el nivel general de seguridad en Internet y las intranets , procedieron a describir cómo pudieron reunir suficiente información sobre sus objetivos para haber podido comprometer la seguridad si hubieran elegido hacerlo. Proporcionaron varios ejemplos específicos de cómo se podía reunir y explotar esta información para obtener el control del objetivo, y cómo se podía prevenir un ataque de este tipo. Recopilaron todas las herramientas que habían utilizado durante su trabajo, las empaquetaron en una única aplicación fácil de usar y se la regalaron a cualquiera que decidiera descargarla. Su programa llamado Security Administrator Tool for Analyzing Networks , o SATAN, recibió una gran atención de los medios de comunicación de todo el mundo en 1992. [9]

Táctica

Mientras que las pruebas de penetración se concentran en atacar el software y los sistemas informáticos desde el principio (escaneando puertos, examinando defectos conocidos en protocolos y aplicaciones que se ejecutan en el sistema e instalando parches, por ejemplo), el hacking ético puede incluir otras cosas. Un hacking ético a gran escala puede incluir enviar correos electrónicos al personal para solicitar detalles de contraseñas, hurgar en los basureros de los ejecutivos, generalmente sin el conocimiento y consentimiento de los objetivos. Solo los propietarios, directores ejecutivos y miembros de la junta directiva (partes interesadas) que solicitaron una revisión de seguridad de esta magnitud están al tanto. Para intentar replicar algunas de las técnicas destructivas que podría emplear un ataque real, los hackers éticos pueden organizar sistemas de prueba clonados u organizar un hackeo a altas horas de la noche cuando los sistemas son menos críticos. [14] En los casos más recientes, estos hackeos se perpetúan a largo plazo (días, si no semanas, de infiltración humana a largo plazo en una organización). Algunos ejemplos incluyen dejar unidades USB / flash con software de inicio automático oculto en un área pública como si alguien hubiera perdido la pequeña unidad y un empleado desprevenido la hubiera encontrado y se la hubiera llevado.

Algunos otros métodos para llevar esto a cabo incluyen:

Los métodos identificados explotan vulnerabilidades de seguridad conocidas e intentan evadir la seguridad para ingresar a áreas protegidas. Pueden hacerlo ocultando software y "puertas traseras" del sistema que pueden usarse como vínculo a información o acceso que un hacker no ético, también conocido como "sombrero negro" o "sombrero gris", podría querer alcanzar.

Legalidad

Bélgica

Bélgica legalizó el hacking de sombrero blanco en febrero de 2023. [15]

Porcelana

En julio de 2021, el gobierno chino pasó de un sistema de denuncia voluntaria a uno en el que se exige por ley que todos los piratas informáticos de sombrero blanco informen primero de cualquier vulnerabilidad al gobierno antes de tomar cualquier otra medida para abordar la vulnerabilidad o darla a conocer al público. [16] Los comentaristas describieron el cambio como la creación de un "doble propósito" en el que la actividad de sombrero blanco también sirve a las agencias de inteligencia del país. [16]

Reino Unido

Struan Robertson, director legal de Pinsent Masons LLP y editor de OUT-LAW.com , afirma: "En términos generales, si el acceso a un sistema está autorizado, el hackeo es ético y legal. Si no lo está, se comete un delito según la Ley de Uso Indebido de Computadoras . El delito de acceso no autorizado abarca todo, desde adivinar la contraseña hasta acceder a la cuenta de correo web de alguien o vulnerar la seguridad de un banco. La pena máxima por acceso no autorizado a un ordenador es de dos años de prisión y una multa. Hay penas más altas -hasta 10 años de prisión- cuando el hacker también modifica datos". El acceso no autorizado, incluso para exponer vulnerabilidades en beneficio de muchos, no es legal, afirma Robertson. "Nuestras leyes contra el hackeo no permiten defender que tu comportamiento sea por el bien común, incluso si es lo que crees". [4]

Empleo

La Agencia de Seguridad Nacional de los Estados Unidos ofrece certificaciones como la CNSS 4011. Dicha certificación cubre técnicas de piratería informática ordenadas y éticas y la gestión de equipos. Los equipos agresores se denominan equipos "rojos". Los equipos defensores se denominan equipos "azules". [8] Cuando la agencia reclutó en DEF CON en 2020, prometió a los solicitantes que "si tienen algunas, digamos, indiscreciones en su pasado, no se alarmen. No deben asumir automáticamente que no los contratarán". [17]

Un buen "sombrero blanco" es un empleado hábil y competitivo para una empresa, ya que puede ser una contramedida para encontrar errores y proteger el entorno de red de la empresa. Por lo tanto, un buen "sombrero blanco" podría traer beneficios inesperados en la reducción del riesgo en los sistemas, aplicaciones y puntos finales de una empresa. [18]

Investigaciones recientes han indicado que los hackers de sombrero blanco se están convirtiendo cada vez más en un aspecto importante de la protección de la seguridad de la red de una empresa. Más allá de las pruebas de penetración, los hackers de sombrero blanco están desarrollando y modificando sus conjuntos de habilidades, ya que las amenazas también están cambiando. Sus habilidades ahora incluyen ingeniería social , tecnología móvil y redes sociales . [19]

Personas notables

Véase también

Referencias

  1. ^ "¿Qué es el sombrero blanco? Una definición de Whatis.com". Searchsecurity.techtarget.com. Archivado desde el original el 2011-02-01 . Consultado el 2012-06-06 .
  2. ^ Okpa, John Thompson; Ugwuoke, Christopher Uchechukwu; Ajah, Benjamín Okorie; Eshioste, Emmanuel; Igbe, José Egidi; Ajor, Ogar James; Okoi, Ofem, Nnana; Eteng, María Juachi; Nnamani, Rebecca Ginikanwa (5 de septiembre de 2022). "Ciberespacio, piratería de sombrero negro y sostenibilidad económica de las organizaciones corporativas en el estado de Cross-River, Nigeria". SABIO Abierto . 12 (3): 215824402211227. doi : 10.1177/21582440221122739 . ISSN  2158-2440. S2CID  252096635.{{cite journal}}: CS1 maint: multiple names: authors list (link)
  3. ^ Ward, Mark (14 de septiembre de 1996). «Sabotaje en el ciberespacio». New Scientist . 151 (2047). Archivado desde el original el 13 de enero de 2022 . Consultado el 28 de marzo de 2018 .
  4. ^ ab Knight, William (16 de octubre de 2009). "License to Hack". InfoSecurity . 6 (6): 38–41. doi :10.1016/s1742-6847(09)70019-9. Archivado desde el original el 9 de enero de 2014 . Consultado el 19 de julio de 2014 .
  5. ^ Filiol, Eric; Mercaldo, Francesco; Santone, Antonella (2021). "Un método para pruebas de penetración automáticas y mitigación: un enfoque de Red Hat". Procedia Computer Science . 192 : 2039–2046. doi : 10.1016/j.procs.2021.08.210 . S2CID  244321685.
  6. ^ Wilhelm, Thomas; Andress, Jason (2010). Ninja Hacking: tácticas y técnicas de pruebas de penetración no convencionales. Elsevier. pp. 26–7. ISBN 978-1-59749-589-9.
  7. ^ "¿Cuál es la diferencia entre hackers negros, blancos y grises?". Norton.com . Norton Security. Archivado desde el original el 15 de enero de 2018 . Consultado el 2 de octubre de 2018 .
  8. ^ ab "¿Qué es un White Hat?". Secpoint.com. 20 de marzo de 2012. Archivado desde el original el 2 de mayo de 2019. Consultado el 6 de junio de 2012 .
  9. ^ ab Palmer, CC (2001). "Ethical Hacking" (PDF) . IBM Systems Journal . 40 (3): 769. doi :10.1147/sj.403.0769. Archivado (PDF) desde el original el 2019-05-02 . Consultado el 2014-07-19 .
  10. ^ Paul A. Karger; Roger R. Scherr (junio de 1974). MULTICS SECURITY EVALUATION: VULNERABILITY ANALYSIS (PDF) (Informe). Archivado (PDF) del original el 13 de noviembre de 2017. Consultado el 12 de noviembre de 2017 .
  11. ^ McLellan, Vin (26 de julio de 1981). "Caso de la contraseña robada". The New York Times . Archivado desde el original el 7 de marzo de 2016. Consultado el 11 de agosto de 2015 .
  12. ^ "El Departamento de Defensa anuncia la iniciativa de seguimiento 'Hackear el Pentágono'". Departamento de Defensa de Estados Unidos . Consultado el 15 de diciembre de 2023 .
  13. ^ Pérez, Natasha Bertrand,Zachary Cohen,Alex Marquardt,Evan (13 de abril de 2023). "La filtración del Pentágono lleva a limitar quién tiene acceso a los secretos militares más importantes | CNN Politics". CNN . Archivado desde el original el 15 de diciembre de 2023 . Consultado el 15 de diciembre de 2023 .{{cite web}}: CS1 maint: multiple names: authors list (link)
  14. ^ Justin Seitz, Tim Arnold (14 de abril de 2021). Black Hat Python, 2.ª edición: programación en Python para hackers y pentesters. No Starch Press. ISBN 978-1-7185-0112-6Archivado del original el 26 de agosto de 2021 . Consultado el 30 de agosto de 2021 .
  15. ^ Drechsler, Charlotte Somers, Koen Vranckaert, Laura (3 de mayo de 2023). «Bélgica legaliza el hacking ético: ¿una amenaza o una oportunidad para la ciberseguridad?». Blog de CITIP . Archivado desde el original el 17 de mayo de 2023. Consultado el 7 de mayo de 2023 .{{cite web}}: CS1 maint: multiple names: authors list (link)
  16. ^ ab Brar, Aadil (18 de enero de 2024). «China crea un ejército de hackers privados para investigar a gobiernos extranjeros». Newsweek . Archivado desde el original el 20 de enero de 2024. Consultado el 20 de enero de 2024 .
  17. ^ "Atención a los asistentes a la DEF CON® 20". Agencia de Seguridad Nacional. 2012. Archivado desde el original el 30 de julio de 2012.
  18. ^ Caldwell, Tracey (2011). "Hackers éticos: poniéndose el sombrero blanco". Seguridad en redes . 2011 (7): 10–13. doi :10.1016/s1353-4858(11)70075-7. ISSN  1353-4858.
  19. ^ Caldwell, Tracey (1 de julio de 2011). "Hackers éticos: poniéndose el sombrero blanco". Seguridad en redes . 2011 (7): 10–13. doi :10.1016/S1353-4858(11)70075-7. ISSN  1353-4858.