Cuando los hackers de sombrero blanco se vuelven malvados

En la mayoría de los casos, la ciberseguridad se puede lograr mediante el hacking ético, una práctica establecida que se utiliza para identificar debilidades y ofrecer orientación sobre vulnerabilidades. Pero, como ocurre con la mayoría de las cosas que tienen que ver con la cadena de bloques, el tema se convierte en una zona gris.

Para adelantarse a los atacantes, los considerados “piratas informáticos éticos” en el Cripto recurren a algunas tácticas cuestionables, como el uso de inspecciones de seguridad exhaustivas y las técnicas de seguridad ofensivas más recientes, como pruebas de penetración avanzadas (o pen-testing), para descubrir vulnerabilidades importantes antes de que sean explotadas.

Luis Llubeck es el especialista en educación técnica de Halborn. Este artículo es parte del blog de CoinDesk.Semana del pecado serie.

Para emular las acciones y métodos más recientes adoptados por los actores de amenazas, es necesario realizar pruebas de penetración en todo, desde aplicaciones web, aplicaciones móviles y API hasta billeteras y cadenas de bloques de capa 1.

Una aplicación, red o sistema descentralizado que utiliza Tecnología blockchain se somete a una auditoría de seguridad conocida como "prueba de penetración". El objetivo es encontrar y alertar sobre fallos de seguridad antes de que un usuario malintencionado pueda hacerlo.

Las pruebas de penetración tienen como objetivo reparar vulnerabilidades en el código explotando deliberadamente las debilidades del objetivo y adoptando la mentalidad de un adversario potencial. A veces es necesario pensar como un criminal para poder vencerlos.

Sigue leyendo: En defensa del crimenSemana del pecado

Obviamente, esto plantea la preocupación de que incluso los “piratas informáticos éticos” puedan obtener información sobre un sistema y luego explotarlo. Esto parece haber ocurrido en el pasado. Los piratas informáticos de sombrero blanco deben penetrar profundamente en un sistema y, al mismo tiempo, evitar las tentaciones de los siete pecados capitales:

ORGULLOEl principal pecado puede hacer que cualquier hacker se convierta en un objetivo. Si un hacker ético tiene la arrogancia de creer que su talento supera a todo lo demás (incluida la ley), puede convertirse en un objetivo para otros hackers, o algo peor.

Bajo ninguna circunstancia un evaluador de penetración debe intentar violar un sistema sin la debida autorización de la empresa o de la persona a cargo. Esto se considera una acción ilegal. Y para el sistema judicial, ninguna cantidad de buenas acciones en el pasado puede superar las consecuencias de cruzar la línea.

El hacker ético lleva consigo un equilibrio entre motivaciones internas y externas. Sobre un hombro se sienta el espectro de la recompensa y la fama, y ​​sobre el otro se sienta el compartir conocimiento en el acto de garantizar la seguridad social (o al menos la de la empresa para la que trabaja). Cuando este equilibrio se inclina y la fama personal o la ganancia monetaria se valoran por encima de compartir conocimiento y seguridad, el hacker cae en el pecado de CODICIA.

Sigue leyendo: El uso de Cripto por parte de criminales está creciendo, pero eso es solo la mitad de la historia

Para combatir esto, nunca utilizan una red privada virtual (VPN) para MASK la dirección IP del protocolo de Internet desde donde se realiza la prueba. Siempre dejan rastros para los observadores externos que facilitan reconocer un vector de ataque. La ofuscación del conocimiento llevará rápidamente a que los excluyan de las comunidades de hackers éticos, aquellos que crecen a través del conocimiento compartido.

Los grandes hackers tienen el impulso de querer más, saber más, Aprende más, romper más. Para no caer en el pecado de GLOTONERÍAEs imprescindible establecer límites. Un hacker ético debe asegurarse de afinar el alcance de la prueba de penetración que se va a realizar, estableciendo límites sobre lo que se puede hacer y hasta dónde ONE puede llegar para intentar violar el sistema.

Por supuesto, el conocimiento de piratería nunca debe usarse para obtener acceso no autorizado a material confidencial, también conocido como la tentación de...LUJURIAPor muy tentador que pueda resultar echar un vistazo o ir a donde ONE ha ido antes, un hacker ético debe establecer límites. Esto significa no compartir nunca documentación interna ni conocimiento no público ni siquiera con sus homólogos de confianza.

Ser un hacker ético es estar en un camino de aprendizaje constante, por lo tantoPEREZA Es ONE de los peores pecados imaginables. La Tecnología avanza a gran velocidad. Un hacker ético siempre supone que hay más que Aprende.

Sigue leyendo: Los efectos perversos del sistema antilavado de dineroSemana del pecado

Durante una prueba de penetración, deben asegurarse de Síguenos todos los procedimientos, atenerse a las reglas y nunca realizar experimentos en las mismas máquinas o sistemas que se utilizan en la producción en vivo o en las tareas diarias, ya que esto puede poner en riesgo el propio equipo del evaluador ante códigos maliciosos. Esta puede ser la diferencia entre la "vida y la muerte", ya que un atacante real podría obtener acceso al cliente antes de que se pueda detectar el fallo.

ENVIDIARTambién se debe evitar a toda costa el uso de información confidencial de una empresa que se encontró durante la prueba de penetración para beneficio personal no solo está prohibido, sino que es totalmente ilegal. Por otra parte, también se debe evitar no reconocer la experiencia de un compañero de equipo. El trabajo en equipo y la comprensión de las fortalezas y las áreas de crecimiento son esenciales para realizar pruebas integrales de alta calidad.

No todas las pruebas de penetración terminan con éxito; quizás no se encuentre ningún error o no se encuentre a tiempo. Bajo ninguna circunstancia el hacker ético debe seguir el camino de laENOJOPerder el control puede llevar a errores aún más peligrosos, como no poder responder a tiempo a un incidente, agravar el daño en respuesta a ese incidente o no aprender del evento.