¿Hacking Etical?
En los momentos de discordia, cuando nos vemos entre la espada y la pared... ¿qué hacer?
¿Penetrar el sistema?
¿Recordar el príncipio ético?
Surge la inóspíta encrucijada.
Tomado de Hacking Etico/Carlos Tori
Historia del Hacking Ético:
Si tu intención es describir la verdad, hazlo con secillez y la elegancia déjasela al sastre.
Albert Einstein.
Hace ya algún tiempo, cuando las empresas empezaban a introducir los sistemas informáticos para trabajar con ellos, eran sus propios administradores y analistas técnicos los encargados de buscar claras vulnerabilidades y agujeros en sus sistemas, los que representarían una inseguridad en sus sistemas, y eran ellos también los encargados de solucionarlos con sus propios medios o cómo podían. Cuando estas personas iniciaron no tenían las nociones concretadas en cuanto a los métodos y técnicas de seguridad así como también de las formas en cómo terceros podían ingresar a sus sistemas informáticos. A medida que pasó el tiempo, estas organizaciones se multiplicaron de manera notable y se informatizaron aún más, incluso tomando a Internet como plataforma de sus movimientos de información. Logrando con esto que hubiera mucha más comunicación a través de la red entre personas e instituciones, pero dejándo así mucha más información expuesta a terceros.
HACKERS (1983)
A razón de que los ataques e intrusiones aumentaron y grandes casos de intrusión se dieron a conocer al público en general por medio de la prensa (aunque muchos no salen a la luz para salvaguardar una imagen institucional de organización confiable), se hizo evidente y sumamente necesario el servicio profesional de analistas informáticos que imitaran esos ataques o capacitaran a sus personal con las mismas metodologias que utilizaba el intruso y de esa manera si se encontraban brechas o agujeros en sistema solucionarlos de forma preventiva.
Los accesos no autorizados, junto a una gama de vulnerabilidades y todo tipo de amenazas relacionads o dirigidas hacia la informacioón, estaban a la orden del día. Desde algunos años antes, mukchos especialiestas ligados a la sefguridad informática venían estudiando y practicando metodologias de intrusion en sus trabajos, laboratorios o casas. Para darle un nombre medianamente formal lo llamaron ethical hacking.
El concepto también incluye otros términos como vulnerability scanning y penetration test, mejor denominado network security assessment.
Aparecía malware más sofisticado, se publicaban novedosas técnicas de intrusión o explotación de vulnerabilidades y no había demasiada conciencia sobre la administración segura de los servidores.
Al mismo tiempo, jóvenes de todo el mundo se colocaban en Internet engañando las centrales telefónicas de sus países para divertirse con los sistemas informáticos e intercambiar conocimientos con sus pares del otro lado del globo. De ese grupo de gente, saldría lo que en esos días serían algunos de los mejores profesionales de la seguridad, así como también hábilies intrusos. Este fenomeno pudo ser posible gracias a la usencia de una plataforma educativa formal sobre el tema, ya que los recursos de aprendizaje eran, y a menudo son (hoy más que nunca), compartidos y muchos más comercializados. En aquel entonces, sobre seguridad no había educación formal más allá de un postgrado en alguna universidad de EE.UU. o la que ofreciera una institución privada para sus empleados. En un ámbito más informal, recién en el año 1993, nació Bugtraq, una conocida lista de correo en la que se tratan temas de seguridad. No fue todo de un día para el otro, pero tuvo marcada evolución.
Algunos sucesos importantes
1982 John Shoch (uno de los creadores de ethernet), junto a un colega, escribieron el primer reporte sobre un gusano (worm), tomando ese nombre
de una novela de ciencia ficción de 1975 en la que, bajo el nombre Tapeworms, describían a programas autómatas que viajaban por las redes t
transportando információn.
1984 Se creo la publicación 2600, el CCC chaos computer club /*/ Legion of doom y la división de fraude con tarjetas y computadoras del Servicio Secreto
1988 Robert Tappan Morris soltó un gusano en Arpanet (como se llamaba Internet antes) y de ese modo infectó miles de servidores Unix. Fue enjuiciado y condenado a cumplir 400 horas de trabajo social.
1992 Kevin Mitnick, luego de estar prófugo y ser atrapado por el FBI, fue sentenciado por robo de software e instrusiones en organizaciones.
1994 Vladimir Levin a través de los sistemas de Citi bank logró transferir más de 10 millones de dólares por medio de transferencias a sus cuentas.
En los dos años siguientes, desde otros bancos de los Estados Unidos, 300 millones de dólares se movilizaban electrónicamente de modo frau
dulento.
¿POR QUÉ ÉTICO?
Para emular la metodología de ataque de un intruso informático y no serlo, tiene que haber ética de por medio, más allá de todas las condiciones, términos y activos que haya alrededor del caso. En el caso de un banco que contrata a alguien para que simule un robo y de ese modo se pruebe la eficiencia de su sistema de seguridad. Este supuesto ladrón profesional, luego de lograr sus cometidos, informará a los dueños del banco en detalle cómo pudo hacerlo y luego mejorará el sistema de seguridad para que no vuelva a pasar.
No se habla de ética como rama dentro de la filosofía, entonces, claro está... ¿por qué? no sólo por la cuestión de espacio, sino también por respeto a los griegos. En cambiio diremos que la ética implica que el trabajo y la intervención del profesional en seguridad informática o de la información no comprometan de ningún modo los activos de la organización, que son los valiosos datos con los que ella cuenta.
Esto quiere decir que al no ser ético sino tomar el rol de intruso podriamos ocacionarle serios daños a la empresa, estos daños podrían ser hechos de varias maneras: alteración, modificando a conciencia registros o datos sensibles; borrado, destruyendo información, bases de datos o sobrescribiendo algún tipo de dato; dar a conocer información a terceros incumpliendo las normas de confidencialidad; sustracción, robando o guardando datos en medios de almacenamiento externos.
Más allá de la ética propia de cada profesional, existen conductas mínimas que éste debe cumplir:
- Hacer su trabajo de la mejor manera posible.
- Dar el mejor reporte.
- Respetar el secreto.
- Acordar un precio justo.
- No hablar mal ni inculpar a un administrador o equipo de programadores.
- No aceptar sobornos.
- No manipular o alterar resultados o análisis.
- Delegar tareas específicas en alguien más capacitado.
- No prometer algo imposible de cumplir.
- Ser responsable en su rol y función.
- Manejar los recursos de modo eficiente.
En nuestros tiempos, para la mayoría de la gente y de la prensa, la palabra hacking está ligada a delincuentes comunes, a personas de dudosa moralidad que utilizan conocimientos de informática o electrónica para delinquir. Por tal motivo, sólo citaremos como personajes a dos figuras: al profesional ético y a su opuesto, el instruso, para que no haya malentendidos de ningún tipo.
Ejemplo de Ethical Hacking
Para comprender mejor el concepto de hacking ético, analizaremos un caso que puede darse en ocaciones, que puede comprometernos muy facilmente; veámoslo... ¿Será ético ingresar a una casilla (o bandeja) de correo electrónico ajena sin conocer su password? ¿Cuál sería nuestra respuesta? Bueno, bajo las posibilidades que brinda el ethical hacking, por supuesto. Esa situación puede darse siempre y cuando la casilla de e-mail sea de alguien que nos haya autorizado, como profesional ético, a demostrarle que su organización es vulnerable. De este modo lograríamos descubrir pequeños descuidos, agujeros o vulnerabilidades que, desde un lugar impensado, pueden exponer a la empresa por completo. Sin embargo, esta vez, ese riesgo pasaría a la historia, ya que estamos hablando de un típíco caso de ethical hacking, en donde el problema es intensamente buscado, descubierto, analizado, reportado y por último solucionado a la brevedad que amerita cada caso.
Kevin Mitnick uno de los Hackers más conocidos y gran Pentesster de informática.
Tomado de Hacking Etico-Carlos Tori