Sus documentos, por favor
jueves, 5 de diciembre de 2019
Hay hackers de varios tipos. Pueden ser ciberdelincuentes (los así llamados Black Hat), y expertos de seguridad (White Hat) que hackean o analizan los sistemas del cliente por encargo. Los primeros infringen la ley y se dan cuenta de los mismo, por lo tanto, no necesitan ningún permiso para sus hackeos, y los segundos forman un acuerdo para cada paso suyo, para quitar la responsabilidad por acciones formalmente ilegales.
Para evitar posibles reclamaciones por parte de los cuerpos de seguridad y terceros, antes de empezar con el trabajo, tenemos que formalizar un permiso donde se indicarán los objetos en concreto y la hora para realizar las pruebas.
En el acuerdo se indicarán todos los requisitos importantes de nuestro acuerdo con el cliente:
- Objetivos de las pruebas.
- Criterios para obtener un resultado.
- Normas de recepción del trabajo.
Antes de empezar con las pruebas de vulnerabilidades, se necesita un consentimiento por escrito de la dirección de la empresa. Esto protegerá a la persona que hará las pruebas contra acciones judiciales y evitará cualquier malentendido porque todos los requisitos se indicarán por escrito y se indicará qué podrá y no podrá hacer la persona que se dedica a las pruebas.
Los expertos de seguridad antes de realizar las pruebas de penetración deben recibir un documento oficial (una carta) de la dirección de la empresa donde se indicarán, en particular, los permisos de estas pruebas. Este documento debe estar disponible para todos los miembros del equipo que participan en las pruebas. Este documento se llama a menudo «un pase para salir gratis de la cárcel» (Get Out of Jail Free Card).
Los participantes de las pruebas deben disponer de la información de contacto del personal clave de la empresa y el “árbol de llamadas” por si algo no va bien y habrá que recuperar el sistema.
«Un pase para salir de la cárcel» – es un documento que Vd. puede presentar a cualquiera que considere que su actividad es ilegal si en realidad Vd. se dedica a las pruebas permitidas. A veces pasaba lo siguiente: un experto (o un grupo de expertos) realizaba un test de penetración, se les acercaban los guardias que no sabían nada de eso y hubo malentendidos.
La razón por la cual los White Hats desean protegerse contra la responsabilidad por acciones ilegales es obvia:
El caso de Scott Moulton, presidente de la empresa "Network Installation Computer Services, Inc.", acusado de infringir varias actas legislativas:
- Georgia Unfair Trade Practices Act, O.C.G.A
- Section 10-1-372, Section 43(a) of the Lanham Act,
- U.S.C. Section 1125(a), the Georgia Computer Systems Protection Act,
- O.C.G.A. Section 16-6-90 et seq.,
- Computer Fraud and Abuse Act, 18 U.S.C. Section 1030.
La causa de la acusación es el escaneo de los puertos del contratista que afectó a los servidores de la tercera empresa.
Como resultado, hubo acciones judiciales muy largas, los jueces locales del estado Georgia consideraron a Scott Moulton culpable, pero la Corte suprema luego le dispensó.
Así mismo, no solo uno, sino varios documentos pueden reglamentar el trabajo de un hacker legal.
- Acuerdo de pentest (Pentest agreement)
- Acuerdo de no divulgación (non-Disclosure agreement)
- Acuerdo de cancelación (Cancellation agreement)
Para que sirven estos documentos, queda claro por sus nombres.
Pero existe otra categoría de hackers, los así llamados muy curiosos.
Grey Hat
Normalmente son jóvenes que siguen creyendo que este mundo es justo y están dispuestos a ayudar a los demás sin pedir nada a cambio. Investigan un sistema IT analizado con mucha curiosidad.
En caso de detectar alguna vulnerabilidad que los malintencionados pueden usar, intentan influir en la situación:
- Alguien le informa al dueño del sistema IT sobre este error
- Alguien intenta corregirlo si ayuda
- Alguien publica una descripción de este error en un recurso público.
Hemos encontrado un ejemplo de esta actividad y decidimos compartirlo con nuestros lectores.
RM: Buenos días, este servidor ya está offline. Por lo tanto, hasta si había algún error, ya no hay ningún problema. Valoro su intento de ayuda, pero este equipo ya no es peligroso
YO: y ¿qué opina Vd. de eso?
Una foto adjunta donde me conecté al servidor correctamente
RM: ¿Vd. sabe que sus acciones son ilegales? Es acceso no autorizado
Al investigar el tráfico sospechoso, detecté la dirección IP del enrutador.... un poco más tarde pude entrar en esta maldita IP por ssh, al usar un nombre de usuario y contraseña estándar.
En ambos casos no hubo mala intención. Y el joven realmente quería comprobar que el problema existe. Pero le informaron bien, «¿Vd. sabe que sus acciones son ilegales? ». El acceso no autorizado es un acceso no autorizado que supone responsabilidad penal, y no solo en Rusia.
En Gran Bretaña la responsabilidad por los delitos informáticos se indica en los estatutos aprobados por el Parlamentos. Las actas básicas que regulan la responsabilidad por delitos informáticos son:
- La ley sobre el abuso de equipos informáticos del año 1990,
- La ley sobre telecomunicaciones (engaño) del año 1997,
- La ley sobre la protección de datos del año 1998,
- La ley sobre comunicaciones electrónicas del año 2000
- etc.
El primer párrafo del Acto sobre el abuso de equipos informáticos se refiere al “acceso no autorizado a los datos del equipo informático”. Según el mismo, una persona comete un delito si usa el equipo para realizar alguna función deseando asegurar acceso a cualquier programa o datos de cualquier equipo, si este acceso es obviamente no autorizado.
En Gran Bretaña uno se responsabliliza de los delitos informáticos por difundir, usar y hasta ser dueño de “herramientas de hackeo”, es decir, las herramientas usadas para análisis de seguridad.
Entonces cada investigador autónomo de vulnerabilidades debe hacer dos preguntas a sí mismo:
- Si hay contacto con una persona de la empresa donde se detecta la vulnerabilidad, ¿es necesario recibir un documento que confirma el permiso de presentación de la vulnerabilidad
- Si no hay este contacto (hay un dispositivo vulnerable, pero no se saba a quién pertenece el mismo), ¿es necesario penetrar en el mismo para dejar un mensaje, por ejemplo, sobre la vulnerabilidad detectada?
#hacker #ciberseguridad #legislación #responsabilidad #hackeo
El mundo de antivirus recomienda
Nunca recomendamos penetrar en equipos o dispositivos sin autorización, es ilegal. Al mismo tiempo, entendemos que para tener un acuerdo completo, se requiere tiempo y procedimientos burocráticos. Por lo tanto, si un tester tiene contacto con una persona en la empresa donde se detecta la vulnerabilidad, sin falta se recomienda recibir su permiso por escrita, por lo menos, en un mensaje. Y no simplemente para presentar la vulnerabilidad, sino también para presentarla en un equipo en concreto y a la hora concreta.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
razgen
22:37:17 2019-12-05
EvgenyZ
21:37:00 2019-12-05
Шалтай Александр Болтай
21:28:40 2019-12-05
Татьяна
21:14:17 2019-12-05
Toma
15:23:56 2019-12-05
Masha
12:28:54 2019-12-05
Dmur
10:35:59 2019-12-05
Неуёмный Обыватель
09:25:30 2019-12-05
Пaвeл
07:56:32 2019-12-05