Sombrero blanco (seguridad informática)

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar
Hacker informático que hackea éticamente

A sombrero blanco (o un hacker de sombrero blanco, a whitehatEs un hacker de seguridad ético. El hackeo ético es un término destinado a implicar una categoría más amplia que pruebas de penetración. Bajo el consentimiento del propietario, los hackers de sombrero blanco buscan identificar cualquier vulnerabilidad o problemas de seguridad que el sistema actual tiene. El sombrero blanco se contrasta con el sombrero negro, un hacker malicioso; esta dicotomía definitoria viene de películas occidentales, donde los vaqueros heroicos y antagónicos tradicionalmente podrían usar un sombrero blanco y negro, respectivamente. Hay un tercer tipo de hacker conocido como un sombrero gris que hackea con buenas intenciones pero a veces sin permiso.

Los hackers de sombrero blanco también pueden trabajar en equipos llamados "clubes de zapatillas y/o hackers", equipos rojos o equipos tigre.

Historia

Uno de los primeros casos en los que se utilizó un truco ético fue una "evaluación de seguridad" realizado por la Fuerza Aérea de los Estados Unidos, en el que se probaron los sistemas operativos Multics para su "uso potencial como sistema de dos niveles (secreto/ultrasecreto)". La evaluación determinó que, si bien Multics era "significativamente mejor que otros sistemas convencionales", también tenía "... vulnerabilidades en seguridad de hardware, seguridad de software y seguridad de procedimientos" eso podría descubrirse con "un nivel relativamente bajo de esfuerzo". Los autores realizaron sus pruebas bajo una pauta de realismo, por lo que sus resultados representarían con precisión los tipos de acceso que un intruso podría lograr potencialmente. Realizaron pruebas que implicaban ejercicios sencillos de recopilación de información, así como ataques directos al sistema que podrían dañar su integridad; ambos resultados fueron de interés para el público objetivo. Hay varios otros informes ahora no clasificados que describen actividades de piratería ética dentro del ejército estadounidense.

En 1981, The New York Times describió las actividades de sombrero blanco como parte de una estrategia de 'hacker' traviesa pero perversamente positiva. tradición". Cuando un empleado de National CSS reveló la existencia de su descifrador de contraseñas, que había utilizado en cuentas de clientes, la empresa lo reprendió no por haber escrito el software sino por no revelarlo antes. La carta de amonestación decía: "La empresa se da cuenta del beneficio para NCSS y alienta los esfuerzos de los empleados para identificar las debilidades de seguridad en el vicepresidente, el directorio y otro software confidencial en los archivos".

El 20 de octubre de 2016, el Departamento de Defensa (DOD) anunció "Hackear el Pentágono".

La idea de utilizar esta táctica de hacking ético para evaluar la seguridad de los sistemas y señalar vulnerabilidades fue formulada por Dan Farmer y Wietse Venema. Para elevar el nivel general de seguridad en Internet y las intranets, procedieron a describir cómo pudieron recopilar suficiente información sobre sus objetivos para poder comprometer la seguridad si así lo hubieran decidido. Proporcionaron varios ejemplos específicos de cómo se podría recopilar y explotar esta información para obtener el control del objetivo y cómo se podría prevenir un ataque de este tipo. Reunieron todas las herramientas que habían utilizado durante su trabajo, las empaquetaron en una única aplicación fácil de usar y se la regalaron a cualquiera que decidiera descargarla. Su programa llamado Herramienta de administrador de seguridad para el análisis de redes, o SATAN, recibió una gran atención de los medios de comunicación en todo el mundo en 1992.

Tácticas

Si bien las pruebas de penetración se concentran en atacar software y sistemas informáticos desde el principio (escanear puertos, examinar defectos conocidos en protocolos y aplicaciones que se ejecutan en el sistema e instalar parches, por ejemplo), el hacking ético puede incluir otras cosas. Un hackeo ético a gran escala podría incluir enviar correos electrónicos al personal para solicitar detalles de la contraseña y hurgar en los contenedores de basura de los ejecutivos, generalmente sin el conocimiento y el consentimiento de los objetivos. Sólo los propietarios, directores ejecutivos y miembros de la junta directiva (partes interesadas) que solicitaron una revisión de seguridad de esta magnitud lo saben. Para intentar replicar algunas de las técnicas destructivas que podría emplear un ataque real, los piratas informáticos éticos pueden clonar sistemas de prueba u organizar un ataque a altas horas de la noche, mientras los sistemas son menos críticos. En los casos más recientes, estos ataques se perpetúan a largo plazo (días, si no semanas, de infiltración humana a largo plazo en una organización). Algunos ejemplos incluyen dejar unidades de memoria USB o flash con software de inicio automático oculto en un área pública como si alguien hubiera perdido la unidad pequeña y un empleado desprevenido la encontrara y se la llevara.

Algunos otros métodos para realizarlos incluyen:

  • Disk and memory forensics
  • DoS attacks
  • Marcos como:
    • Metasploit
  • Network Security
  • Ingeniería inversa
  • Escáneres de seguridad como:
    • Burp Suite
    • Nessus
    • W3af
  • Tácticas de ingeniería social como:
    • Phishing
    • Pretexto
  • Plataformas de capacitación
  • Investigación sobre vulnerabilidad

Los métodos identificados explotan vulnerabilidades de seguridad conocidas e intentan evadir la seguridad para ingresar a áreas seguras. Pueden hacerlo ocultando el software y las "puertas traseras" del sistema. que puede usarse como enlace a información o acceso que un hacker no ético, también conocido como 'sombrero negro' o 'sombrero gris', puede querer alcanzar.

Legalidad

Bélgica

Bélgica legalizó el white hat hacking en febrero de 2023.

China

En julio de 2021, el gobierno chino pasó de un sistema de informes voluntarios a uno que exige legalmente que todos los piratas informáticos de sombrero blanco informen primero de cualquier vulnerabilidad al gobierno antes de tomar medidas adicionales para abordar la vulnerabilidad o darla a conocer al público. . Los comentaristas describieron el cambio como la creación de un "doble propósito" en el que la actividad de sombrero blanco también sirve a las agencias de inteligencia del país.

Reino Unido

Struan Robertson, director legal de Pinsent Masons LLP y editor de OUT-LAW.com dice: "En términos generales, si el acceso a un sistema está autorizado, el pirateo es ético y legal". Si no lo es, existe un delito según la Ley de uso indebido de computadoras. El delito de acceso no autorizado abarca todo, desde adivinar la contraseña hasta acceder a la cuenta de correo web de alguien o vulnerar la seguridad de un banco. La pena máxima por acceso no autorizado a un ordenador es de dos años de prisión y multa. Hay penas más altas (hasta 10 años de prisión) cuando el hacker también modifica datos". El acceso no autorizado, incluso para exponer vulnerabilidades en beneficio de muchos, no es legal, afirma Robertson. "No hay ninguna defensa en nuestras leyes sobre piratería informática de que su comportamiento sea por un bien mayor". Incluso si es lo que crees."

Empleo

La Agencia de Seguridad Nacional de los Estados Unidos ofrece certificaciones como la CNSS 4011. Dicha certificación cubre técnicas de piratería informática ordenadas y éticas y gestión de equipos. Los equipos agresores se llaman equipos "rojos" equipos. Los equipos defensores se llaman equipos "azules" equipos. Cuando la agencia reclutó en DEF CON en 2020, prometió a los solicitantes que "si tiene algunas, digamos, indiscreciones en su pasado, no se alarme". No debes asumir automáticamente que no te contratarán".

Un buen "sombrero blanco" es un empleado hábil competitivo para una empresa, ya que puede ser una contramedida para encontrar errores para proteger el entorno de red empresarial. Por tanto, un buen "sombrero blanco" podría traer beneficios inesperados al reducir el riesgo en todos los sistemas, aplicaciones y puntos finales de una empresa.

Investigaciones recientes han indicado que los piratas informáticos de sombrero blanco se están convirtiendo cada vez más en un aspecto importante de la protección de seguridad de la red de una empresa. Más allá de las pruebas de penetración, los hackers de sombrero blanco están desarrollando y cambiando sus habilidades, ya que las amenazas también están cambiando. Sus habilidades ahora involucran ingeniería social, tecnología móvil y redes sociales.

Personas notables

  • Tamer Şahin (nacido 1981), un hacker de sombrero blanco turco

Contenido relacionado

Spl (Unix)

spl es el nombre de una colección de rutinas o macros del kernel de Unix utilizadas. para cambiar el nivel de prioridad de interrupción. Históricamente...

Lanzamiento de SQL

SQL Slammer es un gusano informático de 2003 que provocó una denegación de servicio en algunos hosts de Internet y redujo drásticamente el tráfico...

Protocolo Needham-Schroeder

El protocolo Needham-Schroeder es uno de los dos protocolos de transporte clave destinados a su uso en una red insegura, ambos propuestos por Roger Needham y...

Encuadernación tardía

En informática, el enlace tardío o enlace dinámico es un mecanismo de programación informática en el que el método que se invoca en un objeto, o la...

David A. Wagner

David A. Wagner es profesor de informática en la Universidad de California, Berkeley y un conocido investigador en criptografía y seguridad informática. Es...
Más resultados...
Te puede interesar
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save
cancelcheck_circle