¿Debe tener el hacking un código de conducta?

A principios de este año, cuando la banda cibernética internacional Lapsus$ atacó a importantes marcas tecnológicas, incluidas Samsung, Microsoft, Nvidia y administrador de contraseñas Okta, muchos ciberdelincuentes parecían haber cruzado una línea ética.

Incluso para sus turbios estándares, la magnitud de la infracción, la perturbación causada y el perfil de las empresas involucradas fueron simplemente demasiado. Entonces, la comunidad de ciberdelincuentes se unió para castigar a Lapsus$ filtrando información sobre el grupo, una medida que finalmente condujo a su arresto y ruptura.

Entonces, ¿tal vez, después de todo, haya honor entre los ladrones? Ahora, no me malinterpretes; Esto no es una palmadita en la espalda para los ciberdelincuentes, pero sí indica que al menos se está siguiendo algún código profesional.

Lo que plantea una pregunta para la comunidad de hackers respetuosa de la ley en general: ¿Deberíamos tener nuestro propio código ético de conducta? Y si es así, ¿cómo sería eso?

¿Qué es el hackeo ético?

 Primero definamos el hacking ético. Es el proceso de evaluar un sistema informático, red, infraestructura o aplicación con buenas intenciones, para encontrar vulnerabilidades y fallas de seguridad que los desarrolladores podrían haber pasado por alto. Básicamente, se trata de encontrar los puntos débiles antes de que lo hagan los malos y alertar a la organización, para que pueda evitar cualquier gran pérdida financiera o de reputación.

La piratería ética requiere, como mínimo, el conocimiento y el permiso de la empresa u organización que es objeto de su intento de infiltración.

Aquí hay otros cinco principios rectores para que una actividad se considere piratería ética.

Hackear para asegurar

Un hacker ético y de sombrero blanco que venga a evaluar la seguridad de cualquier empresa buscará vulnerabilidades, no sólo en el sistema sino también en los procesos de generación de informes y manejo de la información. El objetivo de estos piratas informáticos es descubrir vulnerabilidades, proporcionar información detallada y hacer recomendaciones para crear un entorno seguro. En última instancia, buscan hacer que la organización sea más segura.

Hackear responsablemente

Los piratas informáticos deben asegurarse de tener permiso, describiendo claramente el alcance del acceso que otorga la empresa, así como el alcance del trabajo que están realizando. Esto es muy importante. El conocimiento del objetivo y un alcance claro ayudan a prevenir compromisos accidentales y a establecer líneas sólidas de comunicación si el pirata informático descubre algo alarmante. La responsabilidad, la comunicación oportuna y la apertura son principios éticos vitales que se deben respetar y distinguen claramente a un hacker de un ciberdelincuente y del resto del equipo de seguridad.

Documentar todo

Todos los buenos hackers mantienen notas detalladas de todo lo que hacen durante una evaluación y registran todos los resultados de los comandos y herramientas. En primer lugar, se trata de protegerse. Por ejemplo, si ocurre un problema durante una prueba de penetración, el empleador buscará primero al hacker. Tener un registro con marca de tiempo de las actividades realizadas, ya sea explotar un sistema o escanear en busca de malware, da tranquilidad a las organizaciones al recordarles que los piratas informáticos trabajan con ellas, no contra ellas.

Las buenas notas defienden el lado ético y legal de las cosas; también son la base del informe que producirán los piratas informáticos, incluso cuando no haya hallazgos importantes. Las notas les permitirán resaltar los problemas que han identificado, los pasos necesarios para reproducirlos y sugerencias detalladas sobre cómo solucionarlos.

Mantenga las comunicaciones activas

Las comunicaciones abiertas y oportunas deben estar claramente definidas en el contrato. Mantener la comunicación durante una evaluación es clave. Una buena práctica es notificar siempre cuando se estén ejecutando evaluaciones; Un correo electrónico diario con los tiempos de ejecución de la evaluación es vital.

Si bien es posible que el pirata informático no necesite informar todas las vulnerabilidades que encuentre inmediatamente a su contacto con el cliente, aún así debe señalar cualquier falla crítica y espectacular durante una prueba de penetración externa. Esto podría ser un RCE o SQLi no autenticado explotable, una ejecución de código malicioso o una vulnerabilidad de divulgación de datos confidenciales. Cuando los encuentran, los piratas informáticos dejan de realizar pruebas, emiten una notificación de vulnerabilidad por escrito por correo electrónico y realizan un seguimiento con una llamada telefónica. Esto brinda a los equipos del lado empresarial la oportunidad de hacer una pausa y solucionar el problema de inmediato si así lo desean. Es irresponsable dejar que un defecto de esta magnitud pase desapercibido hasta que el informe se publique semanas después.

Los piratas informáticos deben mantener a sus principales puntos de contacto al tanto de su progreso y de cualquier problema importante que descubran a medida que avanzan. Esto garantiza que todos estén al tanto de cualquier problema antes del informe final.

Tener una mentalidad de hacker

El término hacking se utilizaba incluso antes de que la seguridad de la información adquiriera importancia. Simplemente significa usar las cosas de maneras no deseadas. Para ello, los piratas informáticos primero buscan comprender todos los casos de uso previstos de un sistema y tener en cuenta todos sus componentes.

Los piratas informáticos deben seguir desarrollando esta mentalidad y nunca dejar de aprender. Esto les permite pensar tanto desde una perspectiva defensiva como ofensiva y es útil cuando miran algo que nunca antes han experimentado. Al crear mejores prácticas, comprender el objetivo y crear rutas de ataque, un pirata informático puede ofrecer resultados sorprendentes.