¿Debe tener el hacking un código de conducta?



A principios de este año, cuando la banda cibernética internacional Lapsus$ atacó a las principales marcas tecnológicas, incluidas Samsung, Microsoft, Nvidia y el administrador de contraseñas Okta, muchos ciberdelincuentes parecían haber cruzado una línea ética.

Incluso para sus estándares turbios, el alcance de la violación, la interrupción causada y el perfil de las empresas involucradas fue demasiado. Entonces, la comunidad de ciberdelincuentes se unió para castigar a Lapsus$ filtrando información sobre el grupo, un movimiento que finalmente condujo a su arresto y disolución.

Entonces, ¿tal vez haya honor entre los ladrones después de todo? Ahora, no me malinterpreten esto no es una palmadita en la espalda para los ciberdelincuentes, pero indica que se está siguiendo al menos algún código profesional.

Lo que plantea una pregunta para la comunidad de piratas informáticos más amplia que respeta la ley: ¿Deberíamos tener nuestro propio código ético de conducta? Y si es así, ¿cómo podría ser eso?

¿Qué es el hacking ético?

Primero, definamos el hacking ético. Es el proceso de evaluar un sistema informático, una red, una infraestructura o una aplicación con buenas intenciones para encontrar vulnerabilidades y fallas de seguridad que los desarrolladores podrían haber pasado por alto. Esencialmente, se trata de encontrar los puntos débiles antes que los malos y alertar a la organización, para que pueda evitar grandes pérdidas financieras o de reputación.

La piratería ética requiere, como mínimo, el conocimiento y el permiso de la empresa u organización que es objeto de su intento de infiltración.

Aquí hay otros cinco principios rectores para que la actividad se considere piratería ética.

Hackear para asegurar

Un hacker ético y de sombrero blanco que venga a evaluar la seguridad de cualquier empresa buscará vulnerabilidades, no solo en el sistema sino también en los procesos de reporte y manejo de la información. El objetivo de estos piratas informáticos es descubrir vulnerabilidades, proporcionar información detallada y hacer recomendaciones para crear un entorno seguro. En última instancia, buscan hacer que la organización sea más segura.

Hackear responsablemente

Los piratas informáticos deben asegurarse de tener permiso, describiendo claramente el alcance del acceso que brinda la empresa, así como el alcance del trabajo que están realizando. Esto es muy importante. El conocimiento del objetivo y un alcance claro ayudan a prevenir compromisos accidentales y establecen líneas sólidas de comunicación si el hacker descubre algo alarmante. La responsabilidad, la comunicación oportuna y la franqueza son principios éticos vitales que se deben cumplir y distinguen claramente a un hacker de un ciberdelincuente y del resto del equipo de seguridad.

Documentar todo

Todos los buenos piratas informáticos toman notas detalladas de todo lo que hacen durante una evaluación y registran todos los resultados de los comandos y herramientas. En primer lugar, esto es para protegerse a sí mismos. Por ejemplo, si ocurre un problema durante una prueba de penetración, el empleador buscará primero al hacker. Tener un registro con marca de tiempo de las actividades realizadas, ya sea explotando un sistema o escaneando en busca de malware, les da tranquilidad a las organizaciones al recordarles que los piratas informáticos trabajan con ellas, no contra ellas.

Las buenas notas defienden el lado ético y lawful de las cosas también son la foundation del informe que producirán los piratas informáticos, incluso cuando no haya hallazgos importantes. Las notas les permitirán resaltar los problemas que han identificado, los pasos necesarios para reproducir los problemas y sugerencias detalladas sobre cómo solucionarlos.

Mantenga las comunicaciones activas

Las comunicaciones abiertas y oportunas deben estar claramente definidas en el contrato. Mantenerse en comunicación a lo largo de una evaluación es clave. Una buena práctica es notificar siempre cuando se están realizando evaluaciones un correo electrónico diario con los tiempos de ejecución de la evaluación es essential.

Si bien es posible que el pirata informático no necesite informar todas las vulnerabilidades que encuentre de inmediato al contacto de su cliente, aún debe señalar cualquier falla crítica y llamativa durante una prueba de penetración externa. Esto podría ser un RCE o SQLi no autenticado explotable, una ejecución de código malicioso o una vulnerabilidad de divulgación de datos confidenciales. Cuando los encuentran, los piratas informáticos dejan de realizar pruebas, emiten una notificación de vulnerabilidad por escrito por correo electrónico y hacen un seguimiento con una llamada telefónica. Esto les da a los equipos del lado comercial la oportunidad de hacer una pausa y solucionar el problema de inmediato si así lo desean. Es irresponsable dejar que un defecto de esta magnitud no se marque hasta que se emita el informe semanas después.

Los piratas informáticos deben mantener informados a sus principales puntos de contacto sobre su progreso y cualquier problema importante que descubran a medida que avanzan. Esto asegura que todos estén al tanto de cualquier problema antes del informe last.

Tener mentalidad de hacker

El término piratería se utilizó incluso antes de que la seguridad de la información cobrara importancia. Simplemente significa usar las cosas de maneras no deseadas. Para esto, los piratas informáticos primero buscan comprender todos los casos de uso previstos de un sistema y tener en cuenta todos sus componentes.

Los hackers deben seguir desarrollando esta mentalidad y nunca dejar de aprender. Esto les permite pensar tanto desde una perspectiva defensiva como ofensiva y es útil cuando miran algo que nunca antes han experimentado. Mediante la creación de mejores prácticas, la comprensión del objetivo y la creación de rutas de ataque, un pirata informático puede ofrecer resultados sorprendentes.



Enlace a la noticia initial