Hackear

El hackeo es inicialmente hackeo y experimentación , cuyos motivos son la pasión, el juego, la diversión, el intercambio y el compartir. En parte, es similar a piratear . En este caso, es una práctica para un intercambio "discreto" de información ilegal o confidencial. Esta práctica, establecida por piratas informáticos , apareció con las primeras computadoras domésticas . El hacking es así, generalmente, un conjunto de técnicas para aprovechar oportunidades, debilidades y vulnerabilidades de un elemento o grupo de elementos materiales y humanos.

Histórico

La historia de la piratería tiene sus raíces en los descifradores de códigos o crackers . The Economist traza el paralelismo entre los dos fenómenos tomando el caso de la piratería del telégrafo Chappe por Joseph y François Blanc , quienes en 1834 utilizaron una "laguna" en el código utilizado por dicho telégrafo para hacer fortuna al hacer circular información relativa a cotizaciones de acciones .

Alrededor de 1960, el MIT introdujo los términos hacker y hacker . Se refieren a piratear y experimentar por diversión. En 1969, John Draper logró, usando un silbato que tenía el mismo tono que la red telefónica estadounidense, hacer llamadas de larga distancia gratis cuando silbó en el auricular. Esta técnica lleva el nombre, por su creador, phreaking e inspira a una nueva ola de piratas informáticos . Estos buscan modificar y desarrollar una primera computadora.

No fue hasta 1980 que los medios empezaron a publicar artículos sobre piratería. Publican sobre Kevin Poulsen , quien logra irrumpir en una red reservada para militares, universidades y empresas. En 1983 se estrenó la película Wargames , cuya historia se centra en un hacker que logra acceder al sistema informático del ejército estadounidense. El primer virus informático también aparece en estos años. Como resultado, los piratas informáticos son considerados personas peligrosas e irresponsables.

Muchos crackers comienzan su negocio tratando de romper las restricciones anti-copia o secuestrando las reglas de los juegos de computadora. Pero cuando los medios de comunicación revelaron a principios de la década de 1990 que el Chaos Computer Club France era un grupo falso de piratas informáticos que trabajaban en colaboración con la gendarmería , la comunidad de piratas informáticos francesa en cambio recurrió al software libre y muchas comunidades independientes han visto el día.

El nacimiento de Internet en la década de 1990 estuvo acompañado de los primeros casos de ciberdelito . Los seguidores del dominio están inicialmente divididos. El sombrero negro a la actividad delictiva, mientras que el sombrero blanco busca las vulnerabilidades del equipo para hacerlas públicas y así repararlas.

En la década de 2000, los piratas informáticos querían una vez más impulsar la tecnología y "romper las barreras impuestas por los fabricantes" . Por ejemplo, Jon Johansen logra eludir las protecciones de los DVD y copia el contenido. Otra tendencia que apareció en la década de 2000 es el uso de la piratería para hacer campaña, como los grupos Anonymous , Rtmark  (en) o el Chaos Computer Club .

En 2017, estos piratas informáticos continúan poniendo sus recursos a disposición, a menudo en forma de wiki o repositorio . Los ataques informáticos en la época de Kevin Mitnick , Kevin Poulsen o Jon Lech Johansen ("DVD Jon") fueron pocos en comparación con los lanzados en la década de 2000. En 2017, la amenaza es menos virulenta, pero mucho más masiva, en particular por el creciente aumento de "  script kiddies  " o hackers neófitos .

Hackers

Detrás del término "hacker" "acechan usuarios especiales, que prefieren profundizar en las entrañas de una computadora en lugar de simplemente usarla" . Las principales motivaciones del hacker son "pasión, juego, placer, intercambio y compartir" .

Pirata o hacker

En términos generales, los medios modernos parecen vincular a los piratas informáticos con los piratas informáticos , aunque la traducción de "pirata informático" no coincide con las definiciones de "entrometido" o "hacker" que se puede encontrar en instituciones que hacen referencia en francés .

La piratería a menudo coexiste con la seguridad informática , pero estas dos áreas son distintas. Esto no impide que los piratas informáticos sean también especialistas en informática. La diferencia notable entre estas dos prácticas es que el hacker ayuda a tapar estas lagunas mientras que el hacker busca explotarlas.

Hackeo moderno

La piratería coloca a los piratas informáticos "en el centro del desarrollo de nuestras sociedades" , es decir, en el centro del intercambio de información y de información. Este lugar en el centro del desarrollo de las empresas se debe principalmente a la curiosidad de los hackers. Algunas comunidades de piratas informáticos promueven el intercambio y el intercambio para la resolución de problemas; el software gratuito es una excelente ilustración de esto.

Ética

Según Pekka Himanen , la función de la piratería es resolver o ayudar a resolver problemas, en muchas áreas. La piratería tiene varios aspectos ideológicos que son la extensión de la ética creada en el MIT:

• el aspecto de la comunidad forma uno de los puntos fuertes de la piratería. La organización comunitaria permite la extensión del intercambio de información, las comunidades están interconectadas y la propagación de la información es muy rápida. La organización comunitaria permite la ayuda mutua entre personas, pero también a personas jóvenes que deseen aprender. La interconexión de personas que no se conocen permite una asistencia que pone a los individuos al mismo nivel y sin juicio de valor. Este aspecto favorece la generalización y el intercambio de conocimientos sin que ello se haga en base a criterios como “cargo, edad, nacionalidad o títulos”  ;
• el underground en el sentido de comunidad local, es decir, la difusión de información en un círculo restringido de personas, encontramos este comportamiento en el intercambio de contenidos considerados ilegales por las autoridades, o en el intercambio de 0 días . De hecho, uno de los aspectos de la piratería es lo que podemos llamar Warez . Esta actitud solo se hace eco de la expresión "La información debe ser libre y gratuita" que también se encuentra en la red de intercambio P2P . La comunidad local se volverá global a medida que avance la tecnología;
• el aspecto social. La dinámica comunitaria implica un intercambio constante de información entre los diversos actores de la comunidad. Este intercambio a veces requiere la intervención de piratería, y solo es posible si la información a intercambiar incluye una cláusula de no divulgación. Por lo tanto, la piratería puede forzar pacíficamente el intercambio mediante el uso de la ingeniería social, que es la técnica que tiene el mayor impacto en la comunidad, porque utiliza la "debilidad humana". El aspecto social se basa principalmente en el intercambio de información en un entorno más o menos independiente;
• en principio, la piratería debe encontrar un agujero de seguridad y encontrar una forma de explotarlo. Una buena forma de encontrar una laguna en el software es enviarle cualquier cosa hasta que se produzca un error. Entonces solo queda entender por qué falla o al menos cómo explotar este caso imprevisto por parte del programador. La laguna puede ser insignificante y proporcionar acceso a muy poca información o energía, pero al usar bien este sistema, puede derribar toda la infraestructura. Por ejemplo, el simple hecho de poder poner fuera de servicio un sitio web inalcanzable mediante denegación de servicio puede ser el único objetivo, pero también puede hacer posible ocultar otra actividad (humanos ocupados y software fuera de servicio) o simplemente poner el Sistema en mal estado Estado no planificado que permite comprobar todo el sistema.

Sin embargo, estos aspectos no se aplican a todos los piratas informáticos. Las motivaciones varían entre las comunidades de hackers, al igual que su ideología.

Técnica actual

La piratería reúne muchas técnicas utilizadas con diversos grados de éxito, algunas de las cuales son:

• ingeniería social  ;
• desbordamiento de pilas y desbordamiento de montón ( desbordamiento de búfer );
• escribir shellcode  ;
• explotación de "errores de formato";
• olfatear , gruñir, escanear, suplantar  ;
• secuestro  ;
• phishing  ;
• Toma de huellas dactilares ;
• Apropiación y uso indebido de datos WEB ( Cookie , CSS , CGI , vulnerabilidades relativas a los lenguajes PHP , ASP , SQL , etc.);
• Ataques de red que unen
  • Denegación de servicio distribuida (DDoS). Reúne muchas técnicas. El objetivo es sobrecargar el servidor (programa) para apagarlo.
  • ataque man-in-the-middle (MITM),
  • ARP Spoofing o ARP Poisoning ,
  • ataques de fragmentos, fragmentos minúsculos, fragmentos superpuestos,
  • Secuestro de sesión TCP, suplantación de DNS, suplantación de identidad de DNS y envenenamiento de caché de DNS ( envenenamiento de caché de DNS )
  • Suplantación de IP (suplantación de IP)
  • secuencias de comandos entre sitios (XSS)
  • salto de puerto

Hacktivismo

El hacktivismo es el acto de piratear un sistema informático para enviar un mensaje, una opinión. La misión puede ser defender la libertad de expresión y actuar como control de las empresas y el gobierno.

Algunos grupos de hacktivistas

Uno de los primeros grupos es el CCC ( Chaos Computer Club ), creado en Berlín en la década de 1980. Su principal objetivo es defender la libertad de información y mostrar que la piratería puede utilizarse para defender intereses ideológicos. En 1984, la CCC logró penetrar en la red de un banco alemán, robándole 134.000 marcos alemanes (68.500 euros) que devolvería al día siguiente.

Otro grupo apareció en la década de 1990 bajo el nombre de Rtmark  (en) y cuyo objetivo era "luchar contra los abusos de las empresas comerciales hacia la ley y la democracia" .

Anonymous reúne a muchos ciberactivistas y afirma operar contra todos aquellos que se oponen a la libertad de expresión.

Ejemplos de acciones

En 2011, los piratas informáticos de Anonymous se introducen en el servidor de Internet HBGary Federal  (en) , una empresa de seguridad informática. De este modo obtienen acceso a las contraseñas de dos ejecutivos de la empresa. Ambas personas tenían contraseñas simples que constaban de dos números y seis letras minúsculas. Por lo tanto, los piratas informáticos tuvieron acceso, gracias a estas contraseñas, a los documentos de investigación de la empresa y sus correos electrónicos.

También en 2011, la PlayStation Network (PSN) de Sony fue pirateada . Posteriormente, la empresa reconoció que se robaron números de tarjetas de crédito. Los informes revelan que se han puesto a la venta 2,2 millones de números de tarjetas de crédito en un sitio de piratería.

Mercados

Existen muchos mercados, ya sea para proteger tu ordenador personal o tu negocio ( antivirus , cortafuegos , VPN, etc.), o por el contrario para realizar ataques (ciberespionaje, robo de información, denegación de servicios , etc.). Los mercados relacionados con la ciberseguridad aparecieron antes de la década de 2000, con empresas como IBM , Microsoft , Cisco y muchas otras ofreciendo sus servicios a empresas externas. La NSA respalda muchas nuevas empresas de seguridad de TI, incluido Trusted Information System, establecido en 1983, que trabaja principalmente en cuatro áreas de seguridad: firewalls, antivirus, VPN y software de detección de intrusos de piratas informáticos. En 1998, Microsoft adquirió un grupo interno de piratas informáticos.

Uso por gobiernos

A partir de 6 de junio de 2013, Edward Snowden publica documentos que revelan numerosos métodos de ciberespionaje llevados a cabo por la NSA. En 2013, Mandiant (una empresa FireEye ) publica un informe en el que afirma tener pruebas que vinculan la unidad 61398 del Ejército Popular de China y una campaña de ciberespionaje en general. Este informe impulsará efectivamente el mercado de seguros para la piratería. En 2015, The Wall Street Journal encontró al menos 29 países con una unidad militar dedicada a la guerra cibernética . En 2016, Estados Unidos gastó $ 14 mil millones en seguridad informática. La7 de marzo de 2017, 8761 documentos que incriminan a la CIA de ciberespionaje global son revelados por WikiLeaks .

Uso defensivo

Como nos dicen Tom McCourt y Patrick Burkart en una publicación, las vulnerabilidades informáticas se descubren constantemente, por lo que la información personal está altamente expuesta. Un primer mercado consiste en detectar estas fallas y corregirlas, antes de que se publiquen software o actualizaciones . Dado que no se pueden encontrar todas las lagunas, se han creado seguros contra pérdidas debidas a piratería informática y robo de identidad . Las empresas tienen que invertir dos veces, primero para tratar de evitar estos defectos, pero también para recuperar la confianza de los clientes o inversores después de una infracción informática. Las inversiones que Sony tuvo que hacer tras el hack de PlayStation Network para intentar compensar la caída de la bolsa por esta falla es un buen ejemplo de este último punto.

Uso ofensivo

La empresa italiana Hacking Team vende software utilizado para el ciberespionaje. En 2015, este software puede apuntar desde uno a varios cientos de miles de personas, y costará entre 50.000 y 2 millones de dólares estadounidenses por año, dependiendo de la cantidad de objetivos a atacar.

El problema con el software de este tipo es que puede tener doble uso. Básicamente, están destinados a detectar amenazas, pero se pueden utilizar para monitorear actividades domésticas. Si bien los usuarios de este tipo de software (agencias de seguridad en algunos países) abogan por su uso contra el terrorismo o la delincuencia, resulta que los usos son principalmente la vigilancia domiciliaria o la vigilancia con fines políticos. Un archivo de WikiLeaks también revela que empresas independientes venden vulnerabilidades de día cero , malware o spyware .

Profesionalización de los piratas informáticos

Hay 4 tipos de profesionalización que puede seguir un hacker: una actividad asalariada, una actividad independiente, una actividad estafadora, dos actividades en paralelo y por tanto una doble identidad.

Empleado

Se pueden contratar piratas informáticos para tareas de seguridad de TI, incluido el desarrollo de software. También pueden ser convocados por empresas de consultoría de seguridad de TI o incluso como consultores . Por ejemplo, la empresa Secure Point contrató a Sven Jaschan , arrestado cuatro meses antes por la policía por propagar virus informáticos.

Actividad independiente

Algunos piratas informáticos se niegan a ser empleados con el argumento de que quieren seguir siendo libres. El trabajo por cuenta propia a menudo comienza con el deseo de contribuir a la seguridad de TI poniendo a disposición licencias gratuitas. Entonces, el autor se siente insatisfecho de que su trabajo se utilice sin consideración. Es así como comienza a crear su propio negocio. La independencia es una forma de ideal para algunos piratas informáticos.

Actividad del estafador

La creación de botnets , redes informáticas infectadas y controladas de forma remota por el pirata informático , es una actividad de delincuentes . Este tipo de piratería se basa en la ingenuidad y negligencia de los usuarios. A continuación, el hacker ofrece sus servicios a empresas de spam (correo electrónico no deseado), en particular para que el ataque se difunda rápidamente. También se pueden contratar botnets para lanzar ataques de denegación de servicio o robar información.

Identidad dual

La doble identidad de un hacker es el hecho de que tiene una actividad profesional y una actividad de delincuente.

Legislación

Los ciberataques son difíciles de clasificar. Puede ser robo, espionaje, terrorismo, vandalismo o protesta, pero los límites entre estos diferentes ataques no siempre están bien definidos ni tampoco las motivaciones de los piratas informáticos . Los sombreros blancos y negros deben utilizar las mismas herramientas, lo que dificulta la diferenciación. Además, estos ataques pueden ser llevados a cabo por una sola persona o por toda una organización, lo que complica aún más la forma en que se juzgan los delitos cibernéticos .

El anonimato de los ataques producidos por piratas informáticos también plantea un problema con respecto a la ley aplicable. Nicolas Auray explica este anonimato de la siguiente manera: “Al proporcionar rastros de forma“ anónima ”, [los hackers ] se negarían a comparecer ante instituciones político-judiciales, desafiando la legitimidad de su veredicto. Rechazarían un poco lo que todavía aceptan los desobedientes civiles: reconocer la legitimidad del castigo y dejarse castigar ” .

Notas y referencias

1. Norma 2017 .
2. "Un  poco de historia de la piratería  " , en ARTE Información (consultado el 14 de mayo de, 2017 ) .
3. Éric Filiol, Virus informáticos: teorías, prácticas y aplicaciones , París, Springer,2009, 586  p. ( ISBN  978-2-287-98199-9 , leer en línea ) , pág.  485-507
4. Jean Guisnel , A Counter-History of the Internet , Arte France, 2013, 15 min 30 s.
5. "  Hacking: los 15 mayores hacks de la historia  " , en Tom's Guide ,22 de febrero de 2008(consultado el 14 de febrero de 2020 ) .
6. Florent LATRIVE , "  La" actitud hacker ", modelo social para la era postindustrial  " , Liberación ,25 de mayo de 2001(consultado el 14 de febrero de 2020 ) .
7. Delegación general para el idioma francés y los idiomas de Francia
8. "  hacker  " , Le Grand Dictionnaire terminologique , Office québécois de la langue française (consultado el 22/01/2021 ) .
9. piratería se puede traducir como "piratería", no "piratería".
10. "  hacker  " en Wiktionary .
11. Jean-Paul Kurtz, Diccionario etimológico, lexicológico e histórico de anglicismos y americanismos , París, Libro a pedido,2013, 1495  p. ( ISBN  978-2-322-03437-6 ) , pág.  587.
12. ITSecurite - Seguridad técnica y jurídica de los sistemas de información
13. Pekka Himanen , La ética del hacker .
14. Consultoría, integración de sistemas y servicios gestionados , Teamlog.com
15. El nombre en inglés se ha mantenido en la mayoría de los casos para evitar cualquier interpretación al traducir al francés.
16. "  Estos" hacktivistas "que ejercen una contra-poder  " , en ARTE Información (visitada 14 de mayo de, 2017 ) .
17. (in) "  Cyber-Threat Evolution: The last year  " en ResearchGate (consultado el 14 de mayo de 2017 ) .
18. (en) Laura DiDio , "  Los hacks importantes provocan problemas, estimulan a los defensores  " , Computers & Security , vol.  3, n o  17,1 st de enero de de 1998( ISSN  0167-4048 , leído en línea , consultado el 14 de mayo de 2017 )
19. Patrick Burkart y Tom McCourt , “  La economía política internacional de la corte: Una mirada más atenta en los mercados de software de seguridad cibernética  ”, Comunicación Popular , vol.  15, n o  1,2 de enero de 2017, p.  37–54 ( ISSN  1540-5702 , DOI  10.1080 / 15405702.2016.1269910 , leído en línea , consultado el 14 de mayo de 2017 )
20. (in) David P. Fidler, Ciberespionaje económico y derecho internacional: controversias que involucran la adquisición gubernamental de secretos comerciales a través de tecnologías cibernéticas , vol.  17,2013( leer en línea )
21. Damian Paletta , Danny Yadron y Jennifer Valentino-DeVries , "La  guerra cibernética enciende una nueva carrera armamentista  ", Wall Street Journal ,12 de octubre de 2015( ISSN  0099-9660 , leído en línea , consultado el 14 de mayo de 2017 )
22. (en-GB) Ewen MacAskill Defense , corresponsal de seguridad y Sam Thielman Philip Oltermann en Berlín , "  WikiLeaks publica 'la mayor filtración de documentos secretos de la CIA'  " , The Guardian ,7 de marzo de 2017( ISSN  0261-3077 , leído en línea , consultado el 14 de mayo de 2017 )
23. (en) David Kushner, "  Fear This Man Built a David Vincenzetti Spyware Empire". ¿Es el magnate italiano un descifrador de códigos o un traficante de armas?  " , Política exterior ,Mayo-junio de 2016
24. (in) Nicolas AURAY y Danielle KAMINSKY, Los caminos de profesionalización de los piratas informáticos en la seguridad informática: la sociología de una identidad dividida , el robo.  62, Springer, Heidelberg, ALEMANIA,2007, p.  1312-1326
25. Nicolas Auray, "  Hackers en el trabajo  ", laviedesidees.fr ,27 de abril de 2015( lea en línea , consultado el 14 de mayo de 2017 ).

Apéndices

 : documento utilizado como fuente para este artículo.

Bibliografía

• Revista Hacker News , traducción de Hacker Journal (italiano), WLF Publishing SRL (Roma), bimensual , 32 páginas, (Francia)
• Revista Hackers , producida por una comunidad , Editada por WLF Publishing SRL (Roma), bimensual, 32 páginas + 1 CD
• Hakin9 , publicado por Software SK, bimestral, 84 páginas + 1 CD
• HacKethic , publicado por La Pieuvre Noire, trimestral , 24 páginas de gran formato
• The Ethical hacker , traducción de The Hacker Ethic por Pekka Himanen
• (es) Tom Standage , "  La madera torcida de la humanidad  " , The Economist ,5 de octubre de 2017( leer en línea )

Artículos relacionados

• Jugando
• Biohacking
• Bricolaje
• Cracker (computadora)
• Guerra cibernética
• Terrorismo cibernético
• Hazlo tu mismo
• Cortar a tajos
• Hacker (seguridad informática)
• Hacker (subcultura)
• Ingeniería inversa
• Seguridad de los sistemas de información