Home > Emprendedores > Gray Hat Hacking, los de la Ética Ambigua…

Gray Hat Hacking, los de la Ética Ambigua…

Los llamados “Hackers Tibios” un día pueden ser tus mejores amigos, tus empleados de confianza, y al otro, pueden diferir sobre el pago recibido, sobre la contraprestación de sus servicios, y convertirse en tu peor pesadilla. En esta oportunidad los Ingenieros Zarza nos ayudan a comprender esta categoría del Gray Hat Hacking, donde se albergan según las estadísticas la mayoría de hackers en la actualidad.

Gray Hat Hacking, ¿De dónde proviene el sombrero gris?

Los hackers con sombrero gris, son aquellos que un día son buenos, y quizás en el mismo día, son también malos. Su comportamiento se identifica cuando son los que detectan vulnerabilidades, y en el caso de que no se les contrate para subsanarlas, son los mismos que las explotan, y así consiguen su cometido a la buena o a la mala.

Los catalogados dentro del Gray Hat Hacking o Hackers de Sombrero Gris son los que “juegan” a ser los buenos y los malos, en otras palabras, tienen ética ambigua, y practican la doble moral, o moral a conveniencia.

Tienen los conocimientos de un Black Hat Hacker y los utilizan para penetrar en sistemas y encontrar vulnerabilidades para luego ofrecer sus servicios para repararlos bajo contrato, a una “módica tarifa”, usualmente más económica que la de un White Hacker, en virtud de que ellos ya conocen y han logrado explotar el sistema. Sin embargo, es bastante usual, que el sistema no sea reparado, si no que se mantenga una puerta trasera para estar solicitando dinero de vez en vez… Son en realidad poco confiables, aunque muchos, dicen serlo, y otros probablemente lo sean; esto es una característica del Gray Hat Hacking, la ambigüedad.

 El Sombrero Gris, y su historia

Quien luce un sombrero gris, en la comunidad hacker, hace referencia a un hacker talentoso que a veces actúa ilegalmente, pero con cuestionables intenciones. Son una mezcla entre el lado oscuro y los que practican el White Hacking.

Gray Hat HackingUsualmente no atacan por intereses personales o con malas intenciones, más si algunas veces por interés económicos, sin embargo están preparados para cometer delitos durante el curso de “sus hazañas”, siempre y cuando bajo su ética ambigua, el fin justifique los medios.

Mientras que los hacker de sombrero blanco suelen comunicar a las empresas sobre brechas de seguridad en forma silenciosa, los que practican el Gray Hat Hacking son más propensos a avisar a la comunidad hacker, pedir “rescates”, o avisar a las compañías, y simplemente observar las consecuencias.

El término sombrero gris fue acuñado por un grupo de hackers llamado L0pht en 1998, y desde ahí ha sido enlazado a aquellos que buscan por placer o por otras razones vulnerabilidades y las reportan, a veces pasando de un lado al otro, sin mayores remordimientos, y con tesis que muchas veces chocan entre uno y otro; formando todo un compendio del Gray Hat Hacking.

Algunas de estas catalogaciones, y/o características del Gray Hat Hacking, han sido sintetizadas en:

  • Hacker que se dedica a la investigación de seguridad con la intención de asegurar en lugar de explotar.
  • Lidia con cuestiones de ética y moral en materia de ataques y protección informática en la línea de su trabajo.
  • No aprueba la revelación completa de las vulnerabilidades, y gusta de mantener “accesos secundarios”.
  • Por lo general, reporta las vulnerabilidades a los vendedores de estos productos, en un momento no preciso, ni específico.

Gray Hat Hacking, ¿Buenos o malos?

Gray Hat HackingIntermedios. Sin embargo hay muchos casos, día a día, donde reportan vulnerabilidades a casas desarrolladoras que respetan, donde prefieren reportar el problema y así beneficiar sus propios intereses y los intereses de la comunidad en general, al considerar que la penetración puede generar mucho más daño del que valdría la pena al ocultar. En estos casos el respeto por el equipo y la casa desarrolladora son cruciales, y es donde realmente el Gray Hat Hacking toma razón de ser.

Hay casos que han pasado a la historia…

  • En abril de 2000, los hackers conocidos como “{}” y “Hardbeat” obtuvieron acceso no autorizado a apache.org, el popular servicio del servidor http, que es utilizado en la mayoría de sitios web del planeta. En esta oportunidad ellos eligieron avisar a la gente de Apache de los problemas en lugar de tratar de dañar los servidores.
  • En junio de 2010, Goatse Security revelaron una falla en la seguridad de AT&T que permitía obtener las direcciones de correo electrónico de los usuarios de iPad. El grupo reveló la falla de seguridad a los medios de comunicación después de que AT&T había sido notificado.
  • En abril de 2011, un grupo de expertos descubrió que el iPhone y el iPad 3G estaban “registrando” lo que el usuario visita. Apple entonces publicó una declaración diciendo que el iPad y el iPhone registraban sólo las torres donde el teléfono podía tener acceso.

En estos casos vemos como el Gray Hat Hacking ha beneficiado sin mayores complicaciones, ni segundas intensiones, o al menos, no tan evidentes…

¿Qué hacer si soy contactado por un Hacker Gris?

Si es cliente de Zarza Corp, le sugerimos copiar la comunicación a su Ingeniero de confianza, y así recibir asistencia y sugerencias especificas para su caso. En el caso de que esté por la libre, lo principal sería hacer un respaldo de sus contenidos a la brevedad, de tal forma si no sede ante los requerimientos del Gray Hat Hacking, pueda restablecer eventualmente su sistema.

Si el Gray Hacker le brinda información desinteresada, desconfíe, y haga que su desarrollador, o Ingeniero, busque y aplique según su experiencia, las mejores herramientas para corregir el problema detectado, y además buscar e identificar posibles accesos secundarios, creados a partir de esta circunstancia.