Hackers Eticos versus los Black HaT

Hackers Eticos versus los Black Hat Hay mucho escrito, e incluso filmado, sobre los hackers pero en muchos casos carente de sentido o alterando la realidad por eso me parece que vale la pena hacer un repaso de las principales posiciones, tampoco es un tema donde hay un límite tan claro. Hackers Eticos Vs los Black Hat http://www.lastdragon.net/?p=335 Escuchar el término provocaría de inmediato un pensamiento contradictorio, pero a la luz de la vulnerabilidad de los sistemas de información todo es posible. Ha surgido el concepto “hackers éticos”, personas con conocimientos de informática que pueden obtener una certificación oficial y dedicarse a detectar los puntos quebrantables de las redes de una empresa o institución pública para defenderse y pelear día a día en batallas contra los que han llamado “ciberdelincuentes” o hackers no éticos. Diariamente la gente común y las empresas están expuestas a este tipo de espionaje y robo de información al simplemente digitar botones o teclas, asegura el ingeniero Carlos Lang, director general de Damage Control, quien recuerda que el correo enviado hace algunos días con la noticia de que Roberto Gómez Bolaños Chespirito había muerto, era un archivo espía que muchos ejecutaron. Advierte también que desde diciembre de 2008 a la fecha sigue circulando un virus llamado “Confliker”, que hoy tiene infectadas millones de computadoras en México. Esta dinámica diaria del hacking, que deriva algunas veces en fraudes y ganancias económicas importantes para quienes lo organizan, ha generado el surgimiento de profesionales con estas características y, en consecuencia, de empresas y organizaciones que certifican y asesoran a las personas para enfrentar este tipo de amenazas, que dice Lang, en su mayoría vienen de parte del crimen organizado. En México la Policía Cibernética, recuerda Lang, es la que realiza “patrullajes antihacker”, no obstante sus alcances en la red son limitados por el reducido número de elementos que pertenecen a la institución, frente al alto número de usuarios de redes. Claudia Martínez, quien estudió Ingeniería en Informática en el Instituto Politécnico Nacional (IPN), decidió estar del lado de los buenos o conocidos como White hats, también hackers éticos. Certificada en el tema, ha trabajado en la iniciativa privada y en el gobierno aplicando sus conocimientos en seguridad, lo que le ha permitido reconocer que las vulnerabilidades de las redes en ambos sectores se concentran mayormente en errores humanos. A sus 26 años es responsable de seguridad y redes en una institución de gobierno y señala que “día a día” hackers éticos y no éticos mantienen una especie de juego o competencia en la que sólo hay un vencedor. “Claro que me han ganado, hicieron un deface (desconfiguración) del portal en la institución en la que trabajaba, pero también he ganado muchas batallas”, señala. De acuerdo con Jorge Alberto Vázquez, especialista en ventas de EC-Council, representada en México por Elevaria, una de las empresas que certifica a hackers éticos, sus mayores clientes son instituciones financieras y de valores. De 2004 a la fecha esta institución ha certificado a 300 mexicanos. Roberto Martínez, entrenador de EC-Council, explica que los hackers éticos pueden especializarse en cierta área de la seguridad con lo que se vuelven mayormente calificados, pero con la advertencia de usar de manera ética la información. “El curso consiste en dar a conocer las herramientas necesarias para poder repeler ataques ilegales y saber cómo responder ante tales situaciones. Se dan nociones de cómo poder introducirse a sitios corporativos pero con la advertencia de que nuestros nombres están registrados en una base de datos del FBI, por si hacemos un mal uso y abuso de los conocimientos adquiridos”, señala Arturo Gómez, que tomó un curso de hackeo ético. Para Héctor López, fundador de la Organización Mexicana de Hackers Éticos, que tiene 150 afiliados, el hackeo debe ser abordado desde el entendimiento de que en el ecosistema de internet “nosotros somos el perro doméstico que necesita aprender cómo funciona la vida salvaje para poder anticiparse y tratar de protegerse”. Asegura que los encargados de los sistemas de información, lejos de tomar un curso deberían de tomar un descanso y analizar el problema de raíz, pues una certificación no les brindará el conocimiento para proteger un sistema contra una persona experta en espionaje, tal como pasa en la naturaleza. “Si confrontamos a un lobo salvaje contra un perro doméstico creo que se puede asumir rápidamente cuál de ellos tiene más posibilidades de ganar”. Los especialistas identifican que además de los motivos de ganancias económicas ilícitas, los hackers pueden modificar contenidos o quebrantar un sistema por el simple reto de hacerlo. Cada año se organiza un reto a nivel mundial llamado Hacker Defacement Challenge, que consiste en que cada individuo debe hackear el mayor número de páginas posibles. Los motivos políticos no se descartan en el hackeo. Héctor López asegura que la palabra hacker se ha prostituido y distorsionado. “Un hacker no es alguien que pretenda hacer algún daño, sino una persona que con diversas habilidades y técnicas puede hacer que las cosas funcionen de manera diferente a lo tradicional”. Aclara que un black hat no necesariamente es un ciberdelincuente. En Estados Unidos cada año se realiza un magno evento llamado Black hat, donde especialistas comparten estrategias “oscuras” de defensa, incluso para empresas o gobiernos. Sin duda, algunos de los white hats fueron en su vida pasada no éticos o identificados como black hats. Tal es el caso de Kevin Mitnick en Estados Unidos, quien tras haber hecho penetraciones ilegales en sistemas informáticos del FBI y el Pentágono, por ejemplo, que le valieron la cárcel, actualmente ofrece, a través de su consultoría, servicios de seguridad a diversas empresas. El dilema de los hackers éticos http://comunidad.dragonjar.org/f152/el-dilema-de-los-hackers-eticos-4789/ Pese a su mala fama, no todos los hackers son delincuentes cibernéticos, algunos ayudan a las empresas a reforzar su seguridad. “La revolución de la computación se ha logrado gracias a los hackers”, afirman categóricamente los famosos investigadores de virus informáticos y pioneros de la era de la micro computación, Rob Rosenberg y Ross Greenberg. De hecho, de acuerdo a la historia, la primera persona sindicada como “hacker” fue una respetable y sabia mujer: la almirante de la Armada de los Estados Unidos, Grace Hooper, quien creía firmemente que las computadoras podían servir para aplicaciones en favor de la humanidad y no sólo para el uso que se les daba en los campos científicos y militares. Así que, finalizadas sus labores en el Bureau of Ordenance Computation, Hooper, se dedicó a investigar las posibilidades de programación en las computadoras de la Primera y Segunda Generación. Sus compañeros comentaban que ella trabajaba como un “hacker” (persona con un alto nivel de conocimientos en tecnología, quien puede hacer que ésta funcione diferente para aquello para lo que cual fue diseñada). Hooper creó el lenguaje Flowmatic, con el cual desarrolló muchas aplicaciones y en 1951 produjo el primer compilador, denominado A-0 (Math Matic). En 1960 presentó su primera versión del lenguaje COBOL (Common Business-Oriented Language). Otros hackers celebres son: Dennis Ritchie y Keneth Thompson quienes desarrollaron, de 1969 a 1971, el famoso sistema operativo UNIX. Como ellos, muchos otros hackers han hecho (jugando, penetrando y manipulando sistemas) valiosas aportaciones a la computación. “Incluso muchos han ayudado a sacar nuevas versiones de sistemas operativos que tenían serios problemas de vulnerabilidad”, apunta Roberto Gómez, experto en seguridad y catedrático del Tecnológico de Monterrey. Sin embargo, “el término se deformó y terminó por aplicarse a aquellas personas que utilizaban su elevado conocimiento tecnológico para lanzar ataques maliciosos o penetrar los sistemas de las compañías o las instituciones financieras para sacar algún provecho económico”, explica el hacker ético, Víctor Chapela. Y dado que en la historia lo malo es comúnmente lo más destacable, el término se satanizó en los medios de comunicación y las noticias de ataques o intrusiones a las cuentas de los bancos se multiplicaron. Así todos aquellos que utilizaban su habilidad para irrumpir o modificar los sistemas empezaron a cargar con el estigma de entes cibernéticos extraños y maliciosos. La luz vs. El lado oscuro Es por eso que, tratando de diferenciar a un grupo de otro, se introdujo el término crakers (para los maliciosos) y hackers éticos para quienes no hacían ataques. Aunque también se generó una segmentación más al estilo de la Guerra de las Galaxias o de las películas del Viejo Oeste, donde existe el grupo que se mueve en el lado oscuro, a quienes también se les conoce como los de sombrero negro y otro ubicado en el bando de los buenos o de sombrero blanco. Cuando, en 1997, la cultura de la seguridad informática comenzó a tomar fuerza se pensó en que los hackers éticos podían ofrecer sus servicios a las empresas para ayudarlas a ser menos vulnerables y en el 2001 arrancaron en forma este tipo de asesorías. Así los hackers blancos, ya sea trabajando en solitario, dentro de una empresa bien organizada o dentro de diversas consultoras comenzaron a ofrecer sus servicios “para ayudar a las compañías a encontrar fallas y actuar en consecuencia”, precisa Luis Guillermo Castañeda, consultor en seguridad. Pese a esta segmentación, la sola palabra hacker impone, porque finalmente no hay una escuela donde se aprenda a penetrar los sistemas, eso sólo se logra con la práctica. De manera que tanto un bando como el otro ha realizado en algún momento intrusiones sin permiso. “Tienes que haber penetrado sistemas, jugado con ellos y poseer la malicia para encontrar la técnica más apropiada o inventar nuevas maneras para entrar. La diferencia aquí es que algunos iniciamos haciendo esto por diversión, como una forma de vencer un reto y probar nuestros conocimientos, pero sin causar daño y otros para descubrir vulnerabilidades y lanzar ataques, ya sea para obtener un beneficio económico o para poder jactarse de que lograron burlar las medidas de seguridad de una empresa”, explica Luis Alberto Cortés, consultor en seguridad y hacker ético. Al respecto, Chapela expresa que precisamente para tratar de formar hackers éticos de una manera más estructurada, su empresa consultora forma grupos de “estudiantes” y los deja practicar dentro de sus laboratorios o con sus clientes, pero siempre en un ambiente controlado. Además, el experto aclara que para esto se seleccionan a personas casadas con hijos y una vida estable, con la intención de bajar el nivel de probabilidades de que se pasen al lado oscuro. La fuerza del estigma Convencer a las compañías de contratar un hacker, por mucho que se llame ético, y conseguir el permiso para penetrar y jugar con sus sistemas no ha sido fácil. “No puedes llegar y simplemente decir te ofrezco un hackeo ético, debes explicar muy bien qué es esto y cuáles son los objetivos”, comenta Cortés. Sobre tal punto, Chapela subraya que el término poco a poco se ha ido desmitificando, “los clientes ya empiezan a conocer a los hackers éticos y buscan sus servicios”, asevera el consultor. Por otra parte, las grandes empresas de seguridad como Ernest & Young o PriceWaterhouse han empezado a ofrecer servicios de hackeo ético, lo cual ayuda a generar mayor confianza en este tipo de asesoría. Además se ha desarrollado alrededor de todo esto una especie de código de honor y contratos especiales que se firman entre los hackers blancos y las compañías usuarias, para mayor protección de estas últimas. En este contrato se estipula que la empresa da permiso para realizar la intrusión, se marca el tiempo de duración del ataque, disponibilidad de fechas para hacerlos y la forma en cómo se van a entregar los resultados, que generalmente es a manera de un reporte, donde se enumeran las vulnerabilidades y fallas encontradas, así como las recomendaciones para mitigar los problemas y optimizar la seguridad. Aparte, dice Cortés, se incluye una cláusula de confidencialidad, donde se asienta que la empresa no puede revelar el tipo de servicio que se les ofreció, esto por propia protección del hacker, puesto que alguien podría intentar coercionarlo para revelar lo encontrado y atacar a la empresa. De igual forma, el contrato estipula que el hacker no puede hacer públicas las vulnerabilidades encontradas en la empresa cliente, ni quedarse con una copia del reporte final generado para la empresa, si lo hiciera se haría acreedor a una demanda. Ante todo esto, el catedrático del Tec de Monterrey dice que el no encuentra mayor problema en contratar los servicios de un hacker ético. “Yo sí trabajo con algunos de ellos, claro que con protección legal, conociendo perfectamente su trayectoria y poniendo bien claros los límites de: qué quiero que haga y hasta dónde puede llegar”. Por su parte, Alejandro Arana, ex oficial de seguridad informática de una de las 20 compañías más importantes del país, dice que él ha tenido buenas experiencias trabajando con hackers éticos. “En la empresa creíamos que teníamos un buen nivel de seguridad, hasta que contratamos los servicios de un par de estos consultores, a quienes les pedimos pruebas de ataque y vulnerabilidad, de manera que desde Internet empezaron a atacarnos y después desde dentro, a través de un nodo de la red, además analizaron hasta donde podía llegar un usuario interno con bajos privilegios e hicieron un estudio de las contraseñas”, relata Arana. Claro que todos estos ataques son simulados, lo que el hacker ético hace es dejar un archivo con su nombre en el punto hasta donde pudo penetrar y con qué privilegios, pero sin causar ningún daño a la infraestructura. Como resultado de tales pruebas, continúa Arana, “encontramos que estábamos flacos en todos los puntos, por ejemplo, el 80% de nuestras contraseñas eran débiles. Así que estos consultores nos asesoraron y gracias a eso logramos elevar nuestro nivel de seguridad hasta en 50%. Por supuesto, no tuvimos ningún tipo de problema de robo de información ni de ningún otro tipo”. ¡A penetrar sistemas! Como menciona Arana, los servicios que más comúnmente ofrecen los hackers blancos a las empresas son las pruebas de penetración, con la intención de analizar si la compañía está preparada para soportar un ataque sofisticado perpetrado desde fuera, es decir por un hacker externo o por un atacante interno con conexión a la red. Durante las pruebas de penetración, enumera Chapela, se analizan: la red de Internet, aplicaciones expuestas, servidores, puertos y avenidas de acceso, además se hacen pruebas de contraseñas. Al mismo tiempo se analiza la red inalámbrica, de ésta se revisa la configuración, se hace sniffing de tráfico y contraseñas, se intenta penetrarla y romper cifrado. También se pone bajo la lupa a la red interna, en donde se intenta, la penetración, se prueban contraseñas, se analizan vulnerabilidades en servidores y aplicaciones, así como avenidas de acceso. El paquete incluye también revisar módems, VPN, página web, DMZ e incluso se hace ingeniería social, es decir se trabaja con el personal o con los asociados de la empresa para ver si se dejarían engañar para proporcionar contraseñas o acceso a la red. De igual forma se mide el nivel de respuesta a incidentes internos, también se busca emular si un empleado de bajos privilegios podría tener acceso a los estados financieros o a la nómina de la compañía. Se consideran además los valores de los activos, la criticidad de la vulnerabilidad y la probabilidad del ataque, su impacto, la forma de corregirlo y el esfuerzo requerido para esto. Claro que para evitar cualquier contratiempo o daño a la infraestructura o continuidad de negocio del cliente, tales pruebas siguen una metodología y manejan estándares, como Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, por sus siglas en inglés) o el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP), para reducir riesgos y evitar las fugas de información Puntos a considerar Fama del hacker, se debe buscar en Internet su currículo para ver que fallas ha detectado y si nunca ha realizado ataques, porque de lo contrario no puede pertenecer al bando de los blancos. Firma de un contrato donde se incluya una cláusula de confidencialidad. El sistemas y las instalaciones deben ser propiedad de la empresa, si ésta tiene un servidor en otro sitio, se hace también un contrato con la otra empresa para poder también hacer la intrusión y las dos deben dar su autorización. La empresa debe recibir un informe de todo lo encontrado y las recomendaciones, pero el hacker no puede quedarse con una copia de ese documento. Artículo por Andrea Vega en bsecure