En el artículo anterior veiamos una introducción al concepto del hacking ético, sus figuras y el dilema que causa en las empresas. En este artículo vamos a ver como operan.
El hacker ético experimentado pasa largas horas comprobando las nuevas aplicaciones que aparecen en el mercado buscando vulnerabilidades y la forma de explotarlas. Por supuesto, los hackers de sombrero negro también hacen lo mismo, por lo que muchas veces se convierte en una competición a ver quién es capaz de descubrir antes una vulnerabilidad, un hacker de sombrero blanco o uno de sombrero negro.
Si un hacker ético descubre una vulnerabilidad tiene varios caminos para comunicarlo, que se corresponden con unos protocolos estándar:
- Protocolo de CERT. El hacker comunica el hallazgo al CERT, que será publicado en un margen de 45 días, durante los cuales se le dará tiempo al fabricante del software de generar un parche que solucione el problema. La vulnerabilidad es publicada aunque no se halla generado el parche.
- Política de divulgación de toda la información confidencial (RainForest Puppy Policy). La colaboración del hacker con el fabricante del software para elaborar una solución es opcional, el hacker no está obligado. El autor del hallazgo debe ser paciente con el fabricante del software, y se espera que éste recompense al hacker por identificar el problema.
- Organización para la Seguridad en Internet (OIS). OIS es un conglomerado de varios investigadores y empresas importantes con presencia en Internet. Solamente personal próximo a OIS tienen acceso a información confidencial. Establece toda una serie de pasos: descubrimiento, notificación, validación e investigación, con sus aspectos concretos.
El problema de estas políticas, es que están surgiendo empresas de investigadores especializados en encontrar vulnerabilidades en nuevas aplicaciones, un trabajo que posteriormente es reclamado a los fabricantes que abonan el importe del descubrimiento de la vulnerabilidad, y estableciendo, lamentablemente, una duda razonable acerca de si se podría considerar un chantaje esta práctica.
Saludos,
El equipo de iSoluciones
No hay comentarios:
Publicar un comentario