Sombrero gris

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Un sombrero gris, en la comunidad hacker, hace referencia a un hacker talentoso que a veces actúa ilegalmente, pero con buenas intenciones. Son un híbrido entre los hackers de sombrero blanco y de sombrero negro. Usualmente no atacan por intereses personales o con malas intenciones, pero están preparados para cometer delitos durante el curso de sus hazañas tecnológicas con el fin de lograr una mayor seguridad.[1] Mientras que los hacker sombrero blanco suelen comunicar a las empresas sobre brechas de seguridad en forma silenciosa, los hackers sombrero gris son más propensos a avisar a la comunidad hacker, además de las compañías, y simplemente observar las consecuencias.

Historia[editar]

El término sombrero gris fue acuñado por un grupo de hackers llamado L0pht en 1998. El grupo hace las referencias en una entrevista con el New York Times[2] en 1999 donde describe su comportamiento de "sombrero gris". El primer uso conocido del término sombrero gris, en el contexto de la literatura de seguridad informática, se remonta a 2001. La frase fue utilizada para describir a los hackers que apoyan la denuncia ética de vulnerabilidades directamente al proveedor de software.[3] Esto en contraste con las prácticas de completa divulgación que prevalecían en la comunidad de sombrero blanco en el momento; y de los principios de los sombreros negros según la cual nadie debe estar al tanto de los agujeros de seguridad.

En 2002, sin embargo, la comunidad Anti-Sec usó el término para referirse a personas que trabajan en la industria de la seguridad durante el día, pero participar en actividades de sombrero negro por la noche.[4] La ironía es que para los sombreros negros, esta interpretación era visto como un término despectivo, mientras que entre los sombreros blancos era un término que daba una sensación de notoriedad popular.

Después del ascenso y declive de la revelación completa vs Anti-Sec "época de oro" - y el posterior crecimiento de la filosofía del Hacking ético, la filosofía del sombrero gris plazo comenzó a tomar todo tipo de significados diversos. La persecución en los EE.UU. de Dmitry Sklyarov por actividades que eran legales en su país de origen cambió las actitudes de muchos investigadores de seguridad. A medida que Internet se hizo más utilizado para funciones críticas, y crecieron las preocupaciones sobre el terrorismo, el término sombrero blanco empezó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación completa.[5]

Sin embargo, en 2004, Harris (et al.) publicó un libro sobre las metodologías de sombrero gris. Esto construyó sobre la idea de que sombrero negro tiene malas intenciones y que no revela sus secretos, mientras que los sombreros blancos siempre ocupados en la revelación pública y completa, difundiendo libremente las fallas de seguridad en la esperanza de que serían solucionadas. Los autores explicaban que los sombreros grises están en un punto intermedio, en el que obtienen ingresos al notificar a los proveedores de lo que necesita ser arreglado después de haber penetrado un sistema.[6]

En 2006, el término se utiliza para describir los hackers independientes que navegan por Internet en busca de agujeros de seguridad y luego tratan de cobrarle al dueño del servidor de una cuota para reparar el problema.[7]

En 2008, la EFF define sombreros grises como los investigadores de seguridad éticos que sin darse cuenta o discutiblemente violan la ley, en un esfuerzo de investigación y de mejorar la seguridad. Ellos abogan porque las leyes de delitos informáticos sean más claras y de ámbito más reducido.[8]

Resumen[editar]

En resumen, el término sombrero gris puede referirse a un hacker que:

  • Se dedica a la investigación de seguridad con la intención de asegurar en lugar de explotar
  • Lidia con cuestiones de ética y derecho en la línea de su trabajo
  • No aprueba la revelación completa de las vulnerabilidades
  • Por lo general, reporta las vulnerabilidades a los vendedores de estos productos.

Ejemplos[editar]

En abril de 2000, los hackers conocidos como "{}" y "Hardbeat" obtuvieron acceso no autorizado a apache.org.[9] Ellos eligieron alertar a la gente de Apache de los problemas en lugar de tratar de dañar los servidores.[10]

En junio de 2010, un grupo de expertos en computación conocido como Goatse Security revelaron una falla en la seguridad de AT&T que permitía revelar las direcciones de correo electrónico de los usuarios de iPad.[11] El grupo reveló la falla de seguridad a los medios de comunicación después de que AT&T había sido notificado. Desde entonces, el FBI ha abierto una investigación sobre el incidente y registraron la casa de weev, el miembro más prominente del grupo.[12]

En abril de 2011, un grupo de expertos descubrió que el iPhone y el iPad 3G estaban "registrando" lo que el usuario visita. Apple ha publicado una declaración diciendo que el iPad y el iPhone registraban sólo las torres donde el teléfono podía tener acceso. Ha habido numerosos artículos sobre el tema y que ha sido visto como un problema de seguridad menor. Esta instancia podría ser clasificado como "sombrero gris", porque aunque los expertos podrían haber utilizado este con fines malévolos, el tema se informó.[13]

Véase también[editar]

Referencias[editar]

  1. redhat.com (2011). «Breve historia de los hackers». Consultado el 20 de noviembre de 2011.
  2. Gottlieb, Bruce (03-10-1999). «HacK, CouNterHaCk» (en inglés). NY Times. Consultado el 20 de noviembre de 2011.
  3. Symantec.com (03-11-2010). «Intrusion Detection Systems Terminology, Part One: A - H» (en inglés). Consultado el 20 de noviembre de 2011.
  4. «The greyhat-IS-whitehat List» (en inglés). Consultado el 20 de noviembre de 2011.
  5. «The thin gray line». CNET News. 23 de septiembre de 2002. Consultado el 6 de enero de 2011. 
  6. Harris (et al.) (2004). McGraw-Hill Osborne Media. 
  7. Moore, Robert (2006) (en inglés). Cincinnati, Ohio: Anderson Publishing. 
  8. Electronic Frontier Foundation (EFF) (20-08-2008). «A "Grey Hat" Guide» (en inglés). Consultado el 20 de noviembre de 2011.
  9. Wired.com (05-05-2000). «Apache Site Defaced» (en inglés). Consultado el 19 de noviembre de 2011.
  10. textfiles.com (mayo 2010). «HWA.hax0r.news» (en inglés). Consultado el 19 de noviembre de 2011.
  11. Tate, Ryan (09-06-2010). Gawker.com (ed.): «Apple’s Worst Security Breach: 114,000 iPad Owners Exposed» (en inglés). Consultado el 19 de noviembre de 2011.
  12. WSJ.com (11-06-2010). «FBI Opens Probe of iPad Breach» (en inglés). Consultado el 19 de noviembre de 2011.
  13. hackfile.org (28-04-2011). «Is apple tracking you?» (en inglés). Consultado el 19 de noviembre de 2011.

Enlaces externos[editar]