ethical hacking
DESCRIPTION
UDEC 2012TRANSCRIPT
Ethical HackingUniversidad de Cundinamarca
Ingeniería de SistemasJeisson Herney Herrera Morales
Leonardo Sanabria HoyosFreddy Hernandez Rodriguez
1. Investigar la situación actual del tema. El tema seleccionado es ethical hacking. La práctica de “hackear” se ha convertido en un problema mundial. Los hackers (piratas informáticos) de hoy día pueden ser desde curiosos estudiantes de escuela, universitarios, hasta criminales profesionales. Entre las razones para “hackear” se encuentran: el que estos individuos puedan probar sus destrezas y habilidades técnicas así como también sus capacidades para cometer actos fraudulentos y dañinos. Así que, no es sorpresa que la defensa contra este tipo de personajes se haya convertido en un componente vital. Asimismo, durante los últimos años el término “hacking ético” ha despertado innumerables puntos de vista a favor y en contra. Por definición el hacking ético es conocido como una prueba de intrusión o “pentest”, que se define esencialmente como el “arte” de comprobar la existencia de vulnerabilidades de seguridad en una organización, para posteriormente a través de un informe se señalen los errores de seguridad encontrados, mitigarlos a la brevedad posible y evitar fugas de información y ataques informáticos. Muchas empresas han propuesto el tema de hacking ético mediante la capacitación de sus empleados a través de cursos cortos y certificaciones en el área de seguridad informática. También han invertido en capacitar a sus empleados para que piensen y actúen como los hackers maliciosos y sean capaces de proteger los activos más importantes de la empresa: la información digital. Pero este fenómeno trae como consecuencia, una pregunta incómoda para muchos y relevante para el tema: ¿cuál es la ética detrás del hacker ético?, ¿Acaso no, cuando capacitamos a un empleado para que actué y piense como un hacker malicioso no estamos arriesgando mucha de nuestra información y recursos? ¿Realmente estas capacitaciones nos están protegiendo o nos estamos arriesgando más? ¿Estamos durmiendo con el enemigo? ¿Cuál es el rol de las instituciones educativas mundiales en la enseñanza de hacking?
La ética hacker es una ética de tipo axiológico, es decir, una ética basada en una determinada serie de valores. Algunos puntos fundamentales, a saber:
● Pasión● Libertad● Conciencia social● Verdad● Anti-corrupción● Lucha contra la alienación del hombre● Igualdad social● Libre acceso a la información (conocimiento libre)● Valor social (reconocimiento entre semejantes)● Accesibilidad● Actividad● Preocupación responsable● Curiosidad● Creatividad● Interés
2. ¿Cuáles son los problemas éticos relacionados? De acuerdo a la Real Academia Española, la palabra ética proviene de la palabra “Ethos” que significa: “Conjunto de rasgos y modos de comportamiento que conforman el carácter o la identidad de una persona o una comunidad.” Lo que nosotros llamamos ética es la predisposición para hacer el bien. Ahora bien, cuando se habla de la ética en IT se refiere a: “el comportamiento en el uso de la tecnología informática”. Por lo tanto, existe un código de ética para todos los usuarios de la informática. Ese código se basa en principios éticos fundamentales y es aplicable a situaciones que caracterizan las actividades de esta tecnología. De acuerdo a esto la ética en la informática se sustenta en varios principios filosóficos: “Si una acción al menos contiene cualquiera de estas características es considerada una acción ética por ejemplo: promover la salud general de la sociedad, mantener o incrementar los derechos de los individuos, proteger las libertades, preservar a los individuos de daño, tratar a todos los humanos con valor dignidad y respeto, así como mantener el valor social, cultural y respetar las leyes.” Desde este punto de vista, en el Hacking Ético se puede definir que la ética consistiría en la práctica de “hackear” sin tener de por medio alguna intención maliciosa. Ahora bien, los
hackers éticos emplean las mismas herramientas y técnicas que los cibercriminales o black hackers, pero no lo hacen con la meta de dañar el sistema o robar información. En su lugar su función principal es la de evaluar la seguridad de los sistemas y reportar sus hallazgos para que las vulnerabilidades puedan ser corregidas. La ética en este caso sería guardar de forma confidencial y privada toda la información que obtengo de la prueba realizada. El objetivo fundamental del hacking ético consiste en: Explotar las vulnerabilidades existentes en el sistema de interés, valiéndose de una prueba de intrusión, verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etcétera con la intención de ganar acceso y “demostrar” las vulnerabilidades en el sistema. Esta información es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados bien dice que para atrapar a un intruso primero debes pensar como uno, sin embargo, en términos de los aspectos legales y éticos que involucra esta práctica el mantener la confidencialidad y privacidad de los datos del cliente es un aspecto crítico a considerar. 3. ¿Este tema está contemplado en el código de ética? Este tema no esta contemplado como tal en el código de ética, pues es una práctica que conlleva un alto nivel técnico y de experticia y se encuentran aspectos muy básicos mencionados pero no al detalle. 4. Plantear un caso de estudio (diseñar el caso de estudio, recolectar los datos, analizar el caso de estudio y elaborar el reporte). CASO DE ESTUDIO
Cárcel por 'ética' hacker que omite la seguridad de Facebook desde su Dormitorio
Un estudiante británico que violó seguridad en Facebook el año pasado fue condenado a ocho meses de cárcel, a pesar de argumentar que sus intenciones no eran maliciosas. Glenn Mangham, que previamente habían sido recompensados por Yahoo para encontrar vulnerabilidades en sus sistemas, y acceder ilegalmente hackeado los sistemas informáticos de Facebook entre abril y mayo del año pasado de su dormitorio en New York.En concreto, Mangham violado un servidor web utilizado por Facebook para fijar rompecabezas para los ingenieros de software que podrían estar interesados en trabajar para la red social. Mangham entonces tuvo acceso a la cuenta de Facebook empleado Stefan Parker, y utiliza los privilegios del funcionario para acceder al servidor de Facebook Mailman (utilizado para ejecutar listas de correo electrónico interno y externo), y el servidor de Facebook Phabricator utilizado por los desarrolladores internos. Los fiscales alegaron que Facebook pasó EE.UU. $ 200.000 frente a las consecuencias de hack Mangham, lo que provocó una "investigación concertada, lento y costoso" por el FBI y la policía británica. Mangham equipo de la defensa argumentaron que era un hacker "ético" o "white hat-", cuyas intenciones - en lugar de ser malicioso - fueron a descubrir las vulnerabilidades de seguridad en Facebook con la intención de conseguir que fija.Southwark Crown Court oído que pensaba Mangham Facebook respondería positivamente a tener sus fallas de seguridad puestas en su conocimiento. El estudiante York explicó:
"Fue para identificar las vulnerabilidades del sistema para que pudiera preparar un informe por falta de una palabra mejor que yo podría agrupar de a Facebook y mostrarles lo que estaba mal en sus sistemas".
El juez Alistair McCreath, sin embargo, mostró poca simpatía por el argumento de que Mangham intentaba descubrir agujeros de seguridad:
"Esto no fue sólo un poco de experimentación inofensivo - accedió al corazón mismo del sistema de una empresa internacional de gran tamaño". "Esto no era más que tocar el violín alrededor en los registros comerciales de algunas empresas pequeñas de poca importancia y se ha adquirido una
gran cantidad de información sensible y confidencial a la que no fueron simplemente titulado ... Potencialmente lo que hizo podría haber sido absolutamente desastroso Facebook ".
Los usuarios que estén interesados en el descubrimiento de los agujeros de seguridad en los sistemas de Facebook sería prudente prestar atención a la historia de Mangham. Si ilegalmente acceder a los ordenadores de Facebook mientras investiga una vulnerabilidad potencial, la red social puede tener una visión muy oscura de sus acciones. De acuerdo con un informe del Daily Mail , Mangham se cree que tiene sydrome de Asperger, lo que lo coloca en común con otros hackers notables que han luchado con la policía.
CONSEJO PROFESIONAL NACIONAL DE INGENIERÍA - COPNIA -
El Consejo Profesional Nacional de Ingeniería – COPNIA, en ejercicio de las atribuciones conferidas en los artículos 72 y 73 de la Ley 842 de 2003, en sesión ordinaria del 18 de agosto de 2005, en sede de apelación y previas las siguientes consideraciones: LA QUEJA. El dia 20 de febrero de 2012 el señor Stefan Parker presentó ante el Consejo Profesional Nacional de Ingeniería – Seccional Cundinamarca, un escrito en el que manifiesta que anexa las pruebas por la actuación indecorosa y antiética del Ingeniero de sistemas Glenn Mangham de la universidad de cundinamarca. Ya que el dia 1 de febrero tuvo acceso a la cuenta de Facebook del empleado Stefan Parker y utilizando los privilegios del funcionario accedió al servidor de Facebook. CARGOS. En ese sentido señaló que el ingeniero de sistemas Glenn Mangham con su conducta pudo haber violado el Código de Ética Profesional en su artículos: ley 842 de 2003 artículo 31 literal b Custodiar y cuidar los bienes, valores, documentación e información que por razón del ejercicio de su profesión, se le hayan encomendado o a los cuales tenga acceso; impidiendo o evitando su sustracción, destrucción, ocultamiento o utilización indebidos, de conformidad con los fines a que hayan sido destinados;
ley 842 de 2003 artículo 35 Velar por el buen prestigio de estas profesiones ley 842 de 2003 artículo 38 Utilizar sin autorización de sus legítimos autores y para su aplicación en trabajos profesionales propios, los estudios, cálculos, planos, diseños y software y demás documentación perteneciente a aquellos, salvo que la tarea profesional lo requiera, caso en el cual se deberá dar aviso al autor de tal utilización. CONSIDERACIONES En base a las pruebas presentas se considera que el ingeniero Glenn Mangham no infringió el código de ética en sus artículos artículo 31 literal b puesto que en ningún momento se le dieron a custodiar estos bienes o servicios. En cuanto al artículo 35 que menciona el velar por el buen prestigio de la profesión considera que su conducta va en contra de este principio. En cuanto al artículo 38 se ve claramente una violación a este artículo debido a que accedió al servidor sin las respectiva autorización de sus legítimos propietarios. RESUELVE ARTÍCULO PRIMERO: anotación en la base de datos de copnia. ARTÍCULO SEGUNDO: suspensión por 1 año de la tarjeta profesional. Conclusiones >> Como se trata de un problema informático y de seguridad, la universidad enseña a no entrar en cualquier red sin permiso de su propietario .Él fácilmente podría haber vulnerado una red extraer información confidencial para el negocio en una de las aventuras de su 'hackeo ético ", y habría sido responsable por eso.
>> para haber realizado este hacking verdaderamente ético el estudiante debió hacer una solicitud pidiendo el respectivo permiso para hacer el testeo de vulnerabilidades y una vez descubiertas haber informado pero sin ingresar al servidor ya que desde ese momento en el que accede sin autorización deja de ser un simple escaneo de vulnerabilidades y pasa a convertirse en un ataque. >> El joven Británico Debió haber seguido el debido proceso que rige su país de tal manera que pudiera obtener un permiso o autorización firmado por la empresa con la cual pensaba hacer los ataques informáticos y se demostrará por escrito que efectivamente el trabajo era estrictamente legal y se hacía con fines de seguridad para facebook.
Bibliografía
http://nakedsecurity.sophos.com/2012/02/20/jail-facebook-ethical-hacker/&ei=37iZUKm1OZGI9ASbvoGgBQ http://www.bsecure.com.mx/featured/hacking-etico-una-profesion-con-ciertos-claroscuros/
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://nakedsecurity.sophos.com/2012/02/20/jail-facebook-ethical-hacker/&ei=37iZUKm1OZGI9ASbvoGgBQ