Sombrero Gris (seguridad informática)
| ||||||||
Sombrero Gris (seguridad informática). Un sombrero gris, en la comunidad hacker, hace referencia a un hacker talentoso que a veces actúa ilegalmente, pero con buenas intenciones. Son un híbrido entre los hackers de sombrero blanco y de sombrero negro.
Gray Hats o Hackers de sombrero gris
Este Hacker es una mezcla de los dos anteriores, se dedican a descubrir y explotar las vulnerabilidades y a corregir las vulnerabilidades. Normalmente descubren las vulnerabilidades y luego ofrecen sus servicios para solucionarlas.
Historia
El término sombrero gris fue acuñado por un grupo de hackers llamado L0pht en 1998. El grupo hace las referencias en una entrevista con el New York Times en 1999 donde describe su comportamiento de "sombrero gris". El primer uso conocido del término sombrero gris, en el contexto de la literatura de seguridad informática, se remonta a 2001.
La frase fue utilizada para describir a los hackers que apoyan la denuncia ética de vulnerabilidades directamente al proveedor de software. Esto en contraste con las prácticas de completa divulgación que prevalecían en la comunidad de sombrero blanco en el momento; y de los principios de los sombreros negros según la cual nadie debe estar al tanto de los agujeros de seguridad.
En 2002, sin embargo, la comunidad Anti-Sec usó el término para referirse a personas que trabajan en la industria de la seguridad durante el día, pero participar en actividades de sombrero negro por la noche. La ironía es que para los sombreros negros, esta interpretación era visto como un término despectivo, mientras que entre los sombreros blancos era un término que daba una sensación de notoriedad popular.
Después del ascenso y declive de la revelación completa vs Anti-Sec "época de oro" - y el posterior crecimiento de la filosofía del Hacking ético, la filosofía del sombrero gris plazo comenzó a tomar todo tipo de significados diversos. La persecución en los EE.UU. de Dmitry Sklyarov por actividades que eran legales en su país de origen cambió las actitudes de muchos investigadores de seguridad. A medida que Internet se hizo más utilizado para funciones críticas, y crecieron las preocupaciones sobre el terrorismo, el término sombrero blanco empezó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación completa.
Sin embargo, en 2004, Harris (et al.) publicó un libro sobre las metodologías de sombrero gris. Esto construyó sobre la idea de que sombrero negro tiene malas intenciones y que no revela sus secretos, mientras que los sombreros blancos siempre ocupados en la revelación pública y completa, difundiendo libremente las fallas de seguridad en la esperanza de que serían solucionadas. Los autores explicaban que los sombreros grises están en un punto intermedio, en el que obtienen ingresos al notificar a los proveedores de lo que necesita ser arreglado después de haber penetrado un sistema.
En 2006, el término se utiliza para describir los hackers independientes que navegan por Internet en busca de agujeros de seguridad y luego tratan de cobrarle al dueño del servidor de una cuota para reparar el problema. En 2008, la EFF define sombreros grises como los investigadores de seguridad éticos que sin darse cuenta o discutiblemente violan la ley, en un esfuerzo de investigación y de mejorar la seguridad. Ellos abogan porque las leyes de delitos informáticos sean más claras y de ámbito más reducido
Información
Quizás sean los más interesantes, ya que transitan entre los dos anteriores. No son tan malos como para robar tu número de tarjeta de crédito y dejarla seca pero tampoco son tan altruistas como para no esperar nada a cambio si descubren un agujero de seguridad en un software. Lo que sí hacen es buscar y descubrir fallas en el código que más tarde saben que podrán vender a los gobiernos, servicios de inteligencia, militares o la policía.
Según el Washington Post, los hackers que ayudaron al FBI a descifrar el iPhone 5c pertenecen a este grupo. El malware fabricado a partir del agujero de seguridad del teléfono solo funcionaría en aquellos con iOS 9. Si lo que cuenta el diario estadounidense es cierto, se trataría de una o varias personas que, nada más saltar la primera noticia en febrero, se dedicaron a buscar agujeros en el teléfono hasta descubrir uno. Sabedores de que, según el FBI, solo Apple podía abrir el teléfono, han esperado su oportunidad para vender sus servicios al Gobierno.
Hay compañías que se dedican profesionalmente a buscar agujeros de seguridad para luego negociar con gobiernos y agencias de inteligencia. Son grises porque, a diferencia de los blancos, que cumplen un servicio público, estos negocian con gobiernos. Y ya se sabe que no todos los gobiernos protegen los derechos y libertades de sus habitantes: los hay que espían a disidentes políticos o que vigilan a sus propios ciudadanos. Hay otros donde las garantías constitucionales no existen y en los que puedes ir a la cárcel por hacer algo que en tu país se considera legítimo.
Un buen ejemplo de estos hackers de sombrero gris son los italianos Hacking Team que, como contaba The Guardian el verano pasado, venden sus herramientas de espionaje a regímenes represivos como Azerbaiyán, Kazajistán, Uzbekistán, Bahréin o Arabia Saudí, entre otros.
Resumen
En resumen, el término sombrero gris puede referirse a un hacker que:
- Se dedica a la investigación de seguridad con la intención de asegurar en lugar de explotar
- Lidia con cuestiones de ética y derecho en la línea de su trabajo
- No aprueba la revelación completa de las vulnerabilidades
- Por lo general, reporta las vulnerabilidades a los vendedores de estos productos.
