Un poco de historia sobre Ethical Hacking

Ethical-Hacking

Hace algún tiempo, cuando algunas de las organizaciones apenas comenzaban a incrementar los procesos informatizados dentro de su sistema de información, sus propios administradores y analistas técnicos eran los encargados de buscar claras falencias o brechas de seguridad en el escenario para solucionarlas como podían.
En ese entonces, la mayoría no tenía una noción madura acerca de la seguridad de la información o de las intrusiones de terceros no autorizados en sus sistemas. A medida que pasó el tiempo, estas organizaciones se multiplicaron de manera notable y se informatizaron aún más, incluso tomando a Internet como plataforma de sus movimientos de información. De ese modo, se hicieron fluidas las comunicaciones interpersonales, intersucursales, transacciones o flujo digital de todo tipo y nivel de importancia, dejando, al mismo tiempo, muchos más datos expuestos a terceros, como nunca antes había sucedido. Como resultado de ello y debido a que grandes casos de intrusión se dieron a conocer al público en general a través de los medios de prensa (aunque muchos no salen a la luz para salvaguardar una imagen institucional de organización confiable), se hizo evidente la falta de algún servicio profesional que imitara esos ataques o capacitara a su personal con las mismas metodologías que utilizaba el intruso. De esa manera, se podían evaluar las reales condiciones de seguridad en las que se encontraba una organización y, de existir agujeros en el sistema o potenciales brechas, descubrirlos y solucionarlos de forma preventiva.
Los accesos no autorizados, junto a una gama de vulnerabilidades y todo tipo de amenazas relacionadas o dirigidas hacia la información, estaban a la orden del día. Desde algunos años antes, muchos especialistas ligados a la seguridad informática venían estudiando y practicando metodologías de intrusión en sus trabajos, laboratorios o casas. Así, comenzaron a brindar a las organizaciones un servicio a modo de proveedores externos o contratados y, para darle un nombre medianamente formal, lo llamaron Ethical Hacking. Este concepto incluye las denominaciones vulnerability scanning y penetration test, mejor denominado network security assessment.
Había una clara demanda de seguridad y, donde existe demanda, aparece una oferta. Por lo tanto, allí mismo nace un mercado. Apenas mediaban los años 90, ya asomaban las épocas de e-commerce, comenzaba la integración de las pequeñas y medianas empresas de todo el mundo a la red (e-organizaciones), a la que poco a poco se sumaba el público en general. Aparecía malware más sofisticado, se publicaban novedosas técnicas de intrusión o explotación de vulnerabilidades y no había demasiada conciencia sobre la administración segura de los servidores.
Al mismo tiempo, jóvenes de todo el mundo se colaban en Internet engañando las centrales telefónicas (por una cuestión de gastos) de sus países para divertirse con los sistemas informáticos e intercambiar conocimientos con sus pares del otro lado del globo. De ese grupo de gente, saldría lo que en esos días serían algunos de los mejores profesionales de la seguridad, así como también hábiles intrusos .
Este fenómeno pudo ser posible gracias a la ausencia de una plataforma educativa formal sobre el tema, ya que los recursos de aprendizaje eran, y a menudo son (hoy más que nunca), compartidos. En aquel entonces, sobre seguridad no había educación formal más allá de un postgrado en alguna universidad de EE.UU, o la que ofreciera una institución privada para sus empleados. En un ámbito más informal, recién en el año 1993, nació Bug traq, una conocida lista de correo en la que se tratan temas de seguridad. No fue to do de un día para el otro, pero tuvo una marcada evolución.

Algunos hechos importantes de la historia del hacking:

1982: John Shoch (uno de los creadores de ethernet), junto a un colega, escribieron el primer reporte sobre un gusano (worm), tomando ese nombre de una novela de ciencia ficción de 1975 en la que, bajo el nombre Tapeworms, describían a programas autómatas que viajaban por las redes transportando información.
1983: Ese año se estrenó la famosa película War Games, en la que el actor Matthew Broderick interpretaba a un chico que ingresaba en una base militar a través de su computadora y casi desata una guerra nuclear.
1984: Se crearon la publicación 2600, el CCC chaos computer club, Legion of doom y la división de fraude con tarjetas y computadoras del Servicio Secreto.
1988: Robert Tappan Morris soltó un gusano en Arpanet (como se llamaba Internet antes) y de ese modo infectó miles de servidores Unix. Fue enjuiciado y condenado a cumplir 400 horas de trabajo social.
1992: Kevin Mitnick, luego de estar prófugo y ser atrapado por el FBI, fue sentenciado por robo de software e intrusiones en organizaciones.
1994: Vladimir Levin robó, desde San Petersburgo, a través de los sistemas de Citibank, más de 10 millones de dólares por me dio de transferencias a sus cuentas.
En los dos años siguientes, desde otros bancos de los Estados Unidos, 300 millones de dólares se movilizaban electrónicamente de modo fraudulento.

¿ Por qué ético ?

Para emular la metodología de ataque de un intruso informático y no serlo, tiene que haber ética de por medio, más allá de todas las condiciones, términos y activos que haya alrededor del caso. Imaginemos que las autoridades de un banco contratan a alguien para que simule un robo (no a mano armada, claro está) y de ese modo se pruebe la eficiencia de su sistema de seguridad. Este supuesto ladrón profesional, luego de lograr su cometido, informa a sus dueños en detalle cómo pudo hacerlo y cómo ellos deberían mejorar su sistema de seguridad para que no volviera a pasar. Lógicamente, no se puede encargar de hacer esto una persona sin ética, alguien inmoral. La ética implica que el trabajo y la intervención del profesional en seguridad informática o de la información no comprometen de ningún modo los activos de la organización, que son los valiosos datos con los que ella cuenta.
Estos daños podrían ser hechos de varias maneras: alteración, modificando a conciencia registros o datos sensibles, borrado, destruyendo información, bases de datos o sobrescribiendo algún tipo de dato, dar a conocer información a terceros, incumpliendo las normas de confidencialidad, sustracción, robando o guardando datos en medios de almacenamiento externos. Todo esto, ya sea en la búsqueda de riesgos mediante un security assessment o comprobación de seguridad, como también en la divulgación de lo que se vio, habló, escuchó o manipuló en el transcurso, en la planificación o en el desarrollo de la tarea misma y en su análisis final. Más allá de la ética propia de cada profesional, existen conductas mínimas que éste debe cumplir:

• Hacer su trabajo de la mejor manera posible.
• Dar el mejor reporte.
• Acordar un precio justo.
• Respetar el secreto.
• No hablar mal ni inculpar a un administrador o equipo de programadores.
• No aceptar sobornos.
• No manipular o alterar resultados o análisis.
• Delegar tareas específicas en alguien más capacitado.
• No prometer algo imposible de cumplir.
• Ser responsable en su rol y función.
• Manejar los recursos de modo eficiente.

En nuestros tiempos, para la mayoría de la gente y de la prensa, la palabra hacking está ligada a delincuentes comunes, a personas de dudosa moralidad que utilizan conocimientos de informática o electrónica para delinquir. Por tal motivo, sólo citaremos como personajes a dos figuras: al profesional ético y a su opuesto, el intruso, para que no haya malentendidos de ningún tipo.

Ejemplo de ethical hacking:

Para comprender mejor el concepto de hacking ético, analicemos un caso:

¿ Es ético ingresar en una casilla de correo electrónico ajena sin conocer su password ? Bajo las posibilidades que brinda el ethical hacking, por supuesto. Esa situación puede darse siempre y cuando la casilla de e-mail sea de alguien que nos haya autorizado, como profesional ético, a demostrarle que su organización es vulnerable. Como una casilla es personal (quizás de un gerente o de un administrador de sistemas), posiblemente ese ingreso nos lleve a obtener acceso a determinado lugar o a datos sensibles. Éstos, a su vez, serán utilizados para lograr entrar en un servidor y de allí dirigirnos hacia la red interna, con todo el riesgo que significa para una organización formal altamente informatizada. De ese modo, descubriremos pequeños descuidos que, desde un lugar impensado, pueden exponer a la empresa por completo. Sin embargo, esta vez, ese riesgo pasaría rápido a la historia, ya que estamos hablando de un típico caso de ethical hacking, en donde el problema es intensamente buscado, descubierto, analizado, reportado y por último solucionado a la brevedad.
Para lograr algo así, se requieren dos elementos básicos: en principio, metodología para proceder. Esto es el resultado de un grupo de piezas previamente ensambladas: Habilidades personales de lógica y creatividad, técnicas propias de un network security assessment, reconocimiento o relevamiento de todos los componentes del escenario y herramientas como un intérprete de comandos del tipo prompt o shell, un web browser y un editor de texto, al menos para este caso.
Por otro lado, se requiere autorización, que es el elemento más importante. Esta autorización también tiene sus partes: un contrato de confidencialidad, coordinación, evaluación, procesos por seguir y todas las características internas (por ejemplo, el compromiso de la gerencia para con el proyecto es vital) o propias de las partes involucradas en este trabajo / desafío.

Para resumir, veamos el proceso de ethical hacking en pocas palabras:

1. La organización desea saber si sus sistemas son realmente seguros.

2. Selecciona y contrata un servicio profesional de ethical hacking.

3. Lo autoriza a realizar el trabajo mediante diversas pautas.

4. Planifican estratégicamente cómo se realizará y el alcance que tendrá.

5. El profesional, luego de llevar a cabo los análisis preliminares, realiza su tarea
imitando al atacante real, pero sin comprometer dato alguno.

6. Luego, analiza los resultados del security assessment.

7. Confecciona un reporte detallado para que la organización lo evalúe.

8. Soluciona lo vulnerable o mitiga lo potencial para dejar el sistema más seguro. Se reafirma la defensa del sistema en general.

9. Se adoptan políticas de control y seguimiento (normativa).

 

Bibliografía consultada: Hacking Ético – Carlos Tori

Anuncios


Categorías:Ethical hacking

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: