sombrero blanco

Un sombrero blanco (en francés: "sombrero blanco") es un hacker ético o un experto en seguridad informática que realiza pruebas de penetración y otros métodos de prueba para garantizar la seguridad de los sistemas de información de la organización. Por definición, los "  sombreros blancos  " advierten a los autores cuando se descubren vulnerabilidades. Se oponen a los sombreros negros , que son piratas informáticos maliciosos.

Métodos y tácticas

Lista no exhaustiva :

• Ataques de denegación de servicio (DDoS);
• Ingeniería social ( ingeniería social );
• Escáneres de vulnerabilidad o analizador de red (ejemplos: w3af, Nessus , Nmap ): escaneo de puertos abiertos en una máquina o en una red determinada;
• Frameworks , como por ejemplo Metasploit .

Un hacker siendo un "hacker" informático, los "  sombreros negros  " como los "  sombreros blancos  " pueden asimilarse a los hackers , en el sentido de que piratean los sistemas de información, llegando incluso a descubrir vulnerabilidades que no se hacen públicas y nunca se explotan, que en La jerga informática se denomina "  día cero  " o "día cero" de uso. Hasta esta etapa aún no se ha hecho la diferencia entre los colores de los sombreros. Entonces surge la pregunta de si esta vulnerabilidad debe hacerse pública o no.

En términos absolutos, los "  sombreros blancos  " abogado divulgación completa (en Inglés divulgación completa ), mientras que los "  sombreros negros  " abogan por la restricción de la información (con el fin de tomar ventaja de estas vulnerabilidades mayor tiempo posible).

También aparece una distinción entre "  sombreros blancos  ", que generalmente harán que la vulnerabilidad sea pública de inmediato (a menudo con el código fuente de un programa llamado "  exploit  " para resolver el error ), y "  sombreros grises  " que generalmente darán un tiempo razonable para que las empresas resuelvan el problema antes de hacer pública la vulnerabilidad, y rara vez liberan al público el código fuente que explota la vulnerabilidad de seguridad . Sin embargo, las personas malintencionadas pueden apropiarse del código informático hecho público por ciertos "  sombreros blancos  ", con el objetivo de provocar fallas en el sistema, "  enraizamiento masivo  ", etc. Estos individuos luego son calificados como "  script-kiddies  ".

Algunos famosos sombreros blancos

• Jack Barnaby
• Kevin mitnick
• Robert Tappan Morris
• Kevin poulsen

Riesgos legales

Desde que se aprobó la Ley de Economía Digital (LCEN) en Francia, está prohibido el hecho de divulgar públicamente en Internet las vulnerabilidades acompañadas de un código de explotación, así como el hecho de poseer herramientas que permitan la piratería . Esta nueva ley causó malestar en la   comunidad de los " sombreros blancos ".

Notas y referencias

1. El hecho de importar, poseer, ofrecer, transferir o poner a disposición equipos, instrumentos, programas informáticos o cualquier dato diseñado o especialmente adaptado para cometer uno o más de los delitos previstos en los artículos 323-1, sin causa legítima. a 323-3 se castiga con las penas previstas respectivamente por la infracción en sí o por la infracción más severamente castigada.

Artículos relacionados

• Hacker ético certificado  (es)
• Hacker (seguridad informática)
• Hacker (universidad)
• Hackeo ético
• Manifiesto del hacker
• Hacktivismo , el sombrero negro , sombrero gris y sombrero azul
• Recompensa de errores
• Administrador de seguridad
• Seguridad de los sistemas de información