La protecció dels sistemes i xarxes actuals requereix una comprensió àmplia de les estratègies d’atac i un coneixement profund de les tàctiques, eines i motivacions del pirata informàtic. L’augment de d’utilització de metodologies d’atac d’enginyeria social exigeix que cada provador sigui conscient de l’organització i els hàbits dels seus usuaris de TI (personal).
QUÈ ÉS EL HACKING ÈTIC I PER QUÈ S’UTILITZA
Què és un hacking ètic es defineix a través del que fan els professionals que s’hi dediquen, és a dir, els pirates informàtics ètics. Aquestes persones són contractades per hackejar un sistema i identificar i reparar possibles debilitats, per tal de prevenir eficaçment l’entrada de hackers maliciosos. Són experts que s’especialitzen en les proves de penetració de sistemes informàtics i de programari per tal d’avaluar, enfortir i millorar la seguretat.
Aquest tipus de pirata informàtic sovint es denomina com hacker de ‘barret blanc‘ (White hat), per tal de diferenciar-los dels pirates informàtics criminals, que es coneixen com a hackers de ‘barret negre’.
Una de les armes més poderoses en la lluita contra els ciberdelinqüents ha estat l’ús dels pirates informàtics. Els professionals que coneixen perfectament totes de formes de vulnerar la seguretat d’una infraestructura en línia es posen a treballar de forma conjunta per trobar les debilitats que aquells de l’altre costat de l’espectre de pirateria moral buscarien explotar
TIPUS DE HACKERS
Si cal explicar què és el hacking ètic és perquè hi ha un altre tipus de pirateria que ha provocat la seva aparició
Dins de la comunitat de seguretat cibernètica, els pirates informàtics es divideixen en tres grups: pirates informàtics ‘barret negre’, ‘barret gris’ i ‘barret blanc’
Els barrets negres pirategen seus objectius per raons egoistes, com beneficis financers, per venjar-se o simplement per fer mal.
Els pirates informàtics de barret blanc, en canvi, apunten a millorar la seguretat, trobar forats en ella i notificar a la víctima perquè tingui l’oportunitat d’arreglar-ho abans que un hacker menys escrupolós els pugui fer mal
Els barrets grisos s’ubiquen en algun lloc entre els dos camps, sovint duent a terme operacions lleugerament més qüestionables des del punt de vista moral, com piratejar grups als quals s’oposen ideològicament, o llançar protestes hacktivistes.
La forma que utilitzen aquests professionals les seves habilitats per guanyar diners també explica què és el hacking ètic. Els que el practiquen, de forma freqüent, són contractats o assesoren per les companyies de seguretat cibernètica, o dins dels departaments de seguretat de les organitzacions més grans. El fet que ells sàpiguen com actuen els atacants, sovint els dóna una valuosa perspectiva sobre com prevenir els atacs
Una altra forma amb la qual els hackers ètics poden guanyar-se la vida és mitjançant la recopilació de “recompenses d’errors”. Les grans empreses, en particular les de tecnologia com Facebook, Microsoft i Google, ofereixen una recompensa als investigadors o hackers que descobreixen forats de seguretat dins de les seves xarxes o serveis
D’altra banda, els pirates informàtics dels hackers negres en general guanyen els seus diners a través del robatori, el frau, l’extorsió i altres mitjans igual de perjudicials.
ÉS LEGAL EL HACKING ÈTIC?
La majoria de les organitzacions creu que l’acte d’autoritzar a un hacker ètic per provar les defenses d’una companyia és suficient protecció legal per justificar tots dos tipus d’accions. En primer lloc, l’acció de contractar un hacker ètic i, en segon lloc, proporcionar la cobertura necessària per a les activitats qüestionables.
Òbviament, depèn de fins on estigui disposat el hacker a provar els sistemes. O, el que potser pitjor, per passar a la manera barret gris, decidit a entrar per demostrar que sí que poden penetrar en el sistema.
L’enginyeria social és una tècnica utilitzada pels pirates informàtics per enganyar a les persones perquè deixin informació confidencial. Els hackers de barret blanc l’utilitzen per ajudar a provar la seguretat d’una companyia. En un atac real, un hacker de barret negre podria fer el mateix.
Això sovint vol dir que el hacker ètic acaba entrant als sistemes utilitzant les credencials d’una altra persona, obtingudes utilitzant mètodes il·lícits. En aquest punt, les lleis s’estan vulnerant, ja que després tenen accés a informació confidencial. Si es tracta d’informació de clients o empleats, el hacker i l’empresa poden estar infringint les diverses legislacions de protecció de dades vigents.
Una tècnica comuna per provar els sistemes d’una empresa és obtenir accés a través dels seus socis comercials. Les grans organitzacions corporatives sovint compten amb fortes mesures de seguretat, per la qual cosa és natural centrar-se en els elements més febles de la cadena de subministrament, els seus proveïdors o clients. Poden ser companyies més petites amb una seguretat limitada, però que tenen accés privilegiat als sistemes proporcionats per la gran empresa.
Per tant, un hacker informàtic ètic pot piratejar (de qualsevol forma) en els sistemes d’un soci comercial per després poder saltar a l’objectiu desitjat a través d’aquesta porta del darrere privilegiada. Excepte en el cas de que el soci comercial hagi estat inclòs en l’abast de la prova de penetració, y el hacker ètic s’ha desviat dels límits de la llei per aconseguir els seus objectius.
CONCLUSIÓ
El hacking ètic neix com a mesura per lluitar contra els pirates informàtics amb males intencions. Les empreses contracten a aquests professionals perquè necessiten provar la seva seguretat. Al donar-los permís per actuar, es tapen els seus ulls i orelles corporatius mentre es duen a terme aquestes proves.
Finalment, el hacker ètic lliura a la companyia un informe detallat que assenyala les debilitats i les recomanacions associades. Al mateix temps, és molt probable que s’hagin saltat algunes lleis que el pirata de barret blanc no sàpiga (o no l’interessi saber). És un tema enfocat a generar controvèrsia.