Ethical hacking

823 views

Published on

UDEC 2012

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
823
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
30
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ethical hacking

  1. 1. Ethical Hacking Universidad de Cundinamarca Ingeniería de Sistemas Jeisson Herney Herrera Morales Leonardo Sanabria Hoyos Freddy Hernandez Rodriguez1. Investigar la situación actual del tema. El tema seleccionado es ethical hacking. La práctica de “hackear” se ha convertido en un problema mundial. Los hackers (piratasinformáticos) de hoy día pueden ser desde curiosos estudiantes de escuela, universitarios, hastacriminales profesionales. Entre las razones para “hackear” se encuentran: el que estos individuospuedan probar sus destrezas y habilidades técnicas así como también sus capacidades paracometer actos fraudulentos y dañinos. Así que, no es sorpresa que la defensa contra este tipo depersonajes se haya convertido en un componente vital. Asimismo, durante los últimos años el término “hacking ético” ha despertado innumerablespuntos de vista a favor y en contra. Por definición el hacking ético es conocido como una pruebade intrusión o “pentest”, que se define esencialmente como el “arte” de comprobar la existenciade vulnerabilidades de seguridad en una organización, para posteriormente a través de uninforme se señalen los errores de seguridad encontrados, mitigarlos a la brevedad posible y evitarfugas de información y ataques informáticos. Muchas empresas han propuesto el tema de hacking ético mediante la capacitación desus empleados a través de cursos cortos y certificaciones en el área de seguridad informática.También han invertido en capacitar a sus empleados para que piensen y actúen como los hackersmaliciosos y sean capaces de proteger los activos más importantes de la empresa: la informacióndigital. Pero este fenómeno trae como consecuencia, una pregunta incómoda para muchos yrelevante para el tema: ¿cuál es la ética detrás del hacker ético?, ¿Acaso no, cuando capacitamosa un empleado para que actué y piense como un hacker malicioso no estamos arriesgando muchade nuestra información y recursos? ¿Realmente estas capacitaciones nos están protegiendoo nos estamos arriesgando más? ¿Estamos durmiendo con el enemigo? ¿Cuál es el rol de lasinstituciones educativas mundiales en la enseñanza de hacking?
  2. 2. La ética hacker es una ética de tipo axiológico, es decir, una ética basada en una determinadaserie de valores. Algunos puntos fundamentales, a saber: ● Pasión ● Libertad ● Conciencia social ● Verdad ● Anti-corrupción ● Lucha contra la alienación del hombre ● Igualdad social ● Libre acceso a la información (conocimiento libre) ● Valor social (reconocimiento entre semejantes) ● Accesibilidad ● Actividad ● Preocupación responsable ● Curiosidad ● Creatividad ● Interés2. ¿Cuáles son los problemas éticos relacionados? De acuerdo a la Real Academia Española, la palabra ética proviene de la palabra “Ethos”que significa: “Conjunto de rasgos y modos de comportamiento que conforman el carácter o laidentidad de una persona o una comunidad.” Lo que nosotros llamamos ética es la predisposiciónpara hacer el bien. Ahora bien, cuando se habla de la ética en IT se refiere a: “el comportamiento en el uso dela tecnología informática”. Por lo tanto, existe un código de ética para todos los usuarios de lainformática. Ese código se basa en principios éticos fundamentales y es aplicable a situacionesque caracterizan las actividades de esta tecnología. De acuerdo a esto la ética en la informáticase sustenta en varios principios filosóficos: “Si una acción al menos contiene cualquiera de estas características es considerada unaacción ética por ejemplo: promover la salud general de la sociedad, mantener o incrementar losderechos de los individuos, proteger las libertades, preservar a los individuos de daño, tratar atodos los humanos con valor dignidad y respeto, así como mantener el valor social, cultural yrespetar las leyes.” Desde este punto de vista, en el Hacking Ético se puede definir que la ética consistiría enla práctica de “hackear” sin tener de por medio alguna intención maliciosa. Ahora bien, los
  3. 3. hackers éticos emplean las mismas herramientas y técnicas que los cibercriminales o blackhackers, pero no lo hacen con la meta de dañar el sistema o robar información. En su lugarsu función principal es la de evaluar la seguridad de los sistemas y reportar sus hallazgos paraque las vulnerabilidades puedan ser corregidas. La ética en este caso sería guardar de formaconfidencial y privada toda la información que obtengo de la prueba realizada.El objetivo fundamental del hacking ético consiste en: Explotar las vulnerabilidades existentes en el sistema de interés, valiéndose de una prueba deintrusión, verifican y evalúan la seguridad física y lógica de los sistemas de información, redesde computadoras, aplicaciones web, bases de datos, servidores, etcétera con la intención de ganaracceso y “demostrar” las vulnerabilidades en el sistema. Esta información es de gran ayuda a las organizaciones al momento de tomar las medidaspreventivas en contra de posibles ataques malintencionados bien dice que para atrapar a unintruso primero debes pensar como uno, sin embargo, en términos de los aspectos legales yéticos que involucra esta práctica el mantener la confidencialidad y privacidad de los datos delcliente es un aspecto crítico a considerar.3. ¿Este tema está contemplado en el código de ética? Este tema no esta contemplado como tal en el código de ética, pues es una práctica queconlleva un alto nivel técnico y de experticia y se encuentran aspectos muy básicos mencionadospero no al detalle.4. Plantear un caso de estudio (diseñar el caso de estudio, recolectar los datos,analizar el caso de estudio y elaborar el reporte).CASO DE ESTUDIO Cárcel por ética hacker que omite la seguridad de Facebook desde su Dormitorio
  4. 4. Un estudiante británico que violó seguridad en Facebook el año pasado fue condenado a ochomeses de cárcel, a pesar de argumentar que sus intenciones no eran maliciosas. Glenn Mangham, que previamente habían sido recompensados ​por Yahoo para encontrarvulnerabilidades en sus sistemas, y acceder ilegalmente hackeado los sistemas informáticos deFacebook entre abril y mayo del año pasado de su dormitorio en New York.En concreto, Mangham violado un servidor web utilizado por Facebook para fijar rompecabezaspara los ingenieros de software que podrían estar interesados ​en trabajar para la red social. Mangham entonces tuvo acceso a la cuenta de Facebook empleado Stefan Parker, y utilizalos privilegios del funcionario para acceder al servidor de Facebook Mailman (utilizado paraejecutar listas de correo electrónico interno y externo), y el servidor de Facebook Phabricatorutilizado por los desarrolladores internos. Los fiscales alegaron que Facebook pasó EE.UU. $ 200.000 frente a las consecuencias dehack Mangham, lo que provocó una "investigación concertada, lento y costoso" por el FBI y lapolicía británica. Mangham equipo de la defensa argumentaron que era un hacker "ético" o "white hat-", cuyasintenciones - en lugar de ser malicioso - fueron a descubrir las vulnerabilidades de seguridad enFacebook con la intención de conseguir que fija.Southwark Crown Court oído que pensaba Mangham Facebook respondería positivamente atener sus fallas de seguridad puestas en su conocimiento. El estudiante York explicó: "Fue para identificar las vulnerabilidades del sistema para que pudiera preparar un informe por falta de una palabra mejor que yo podría agrupar de a Facebook y mostrarles lo que estaba mal en sus sistemas". El juez Alistair McCreath, sin embargo, mostró poca simpatía por el argumento de queMangham intentaba descubrir agujeros de seguridad: "Esto no fue sólo un poco de experimentación inofensivo - accedió al corazón mismo del sistema de una empresa internacional de gran tamaño". "Esto no era más que tocar el violín alrededor en los registros comerciales de algunas empresas pequeñas de poca importancia y se ha adquirido una
  5. 5. gran cantidad de información sensible y confidencial a la que no fueron simplemente titulado ... Potencialmente lo que hizo podría haber sido absolutamente desastroso Facebook ". Los usuarios que estén interesados ​en el descubrimiento de los agujeros de seguridad en lossistemas de Facebook sería prudente prestar atención a la historia de Mangham. Si ilegalmenteacceder a los ordenadores de Facebook mientras investiga una vulnerabilidad potencial, la redsocial puede tener una visión muy oscura de sus acciones. De acuerdo con un informe del Daily Mail , Mangham se cree que tiene sydrome deAsperger, lo que lo coloca en común con otros hackers notables que han luchado con la policía. CONSEJO PROFESIONAL NACIONAL DE INGENIERÍA - COPNIA - El Consejo Profesional Nacional de Ingeniería – COPNIA, en ejercicio de las atribucionesconferidas en los artículos 72 y 73 de la Ley 842 de 2003, en sesión ordinaria del 18 de agosto de2005, en sede de apelación y previas las siguientes consideraciones:LA QUEJA. El dia 20 de febrero de 2012 el señor Stefan Parker presentó ante el Consejo ProfesionalNacional de Ingeniería – Seccional Cundinamarca, un escrito en el que manifiesta que anexa laspruebas por la actuación indecorosa y antiética del Ingeniero de sistemas Glenn Mangham dela universidad de cundinamarca. Ya que el dia 1 de febrero tuvo acceso a la cuenta de Facebook del empleado Stefan Parker yutilizando los privilegios del funcionario accedió al servidor de Facebook.CARGOS. En ese sentido señaló que el ingeniero de sistemas Glenn Mangham con su conducta pudohaber violado el Código de Ética Profesional en su artículos: ley 842 de 2003 artículo 31 literal b Custodiar y cuidar los bienes, valores, documentación einformación que por razón del ejercicio de su profesión, se le hayan encomendado o a los cualestenga acceso; impidiendo o evitando su sustracción, destrucción, ocultamiento o utilizaciónindebidos, de conformidad con los fines a que hayan sido destinados;
  6. 6. ley 842 de 2003 artículo 35 Velar por el buen prestigio de estas profesiones ley 842 de 2003 artículo 38 Utilizar sin autorización de sus legítimos autores y para suaplicación en trabajos profesionales propios, los estudios, cálculos, planos, diseños y software ydemás documentación perteneciente a aquellos, salvo que la tarea profesional lo requiera, casoen el cual se deberá dar aviso al autor de tal utilización.CONSIDERACIONES En base a las pruebas presentas se considera que el ingeniero Glenn Mangham no infringió elcódigo de ética en sus artículos artículo 31 literal b puesto que en ningún momento se le dieron acustodiar estos bienes o servicios. En cuanto al artículo 35 que menciona el velar por el buen prestigio de la profesión consideraque su conducta va en contra de este principio. En cuanto al artículo 38 se ve claramente una violación a este artículo debido a que accedió alservidor sin las respectiva autorización de sus legítimos propietarios.RESUELVEARTÍCULO PRIMERO: anotación en la base de datos de copnia.ARTÍCULO SEGUNDO: suspensión por 1 año de la tarjeta profesional.Conclusiones>> Como se trata de un problema informático y de seguridad, la universidad enseña a noentrar en cualquier red sin permiso de su propietario .Él fácilmente podría haber vulneradouna red extraer información confidencial para el negocio en una de las aventuras de su hackeoético ", y habría sido responsable por eso.
  7. 7. >> para haber realizado este hacking verdaderamente ético el estudiante debió hacer unasolicitud pidiendo el respectivo permiso para hacer el testeo de vulnerabilidades y una vezdescubiertas haber informado pero sin ingresar al servidor ya que desde ese momento en el queaccede sin autorización deja de ser un simple escaneo de vulnerabilidades y pasa a convertirse enun ataque.>> El joven Británico Debió haber seguido el debido proceso que rige su país de tal maneraque pudiera obtener un permiso o autorización firmado por la empresa con la cual pensabahacer los ataques informáticos y se demostrará por escrito que efectivamente el trabajo eraestrictamente legal y se hacía con fines de seguridad para facebook. Bibliografíahttp://nakedsecurity.sophos.com/2012/02/20/jail-facebook-ethical-hacker/&ei=37iZUKm1OZGI9ASbvoGgBQhttp://www.bsecure.com.mx/featured/hacking-etico-una-profesion-con-ciertos-claroscuros/
  8. 8. http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://nakedsecurity.sophos.com/2012/02/20/jail-facebook-ethical-hacker/&ei=37iZUKm1OZGI9ASbvoGgBQ

×