É fácil ter a visão simples de que todos os hackers são bandidos para causar violações de dados e implantar ransomware. Isso não é verdade, no entanto. Há muitos hackers malvados por aí. Alguns hackers usam suas habilidades de forma ética e legal. Um “hacker ético” é um hacker que hackeia no âmbito de um acordo legal com o proprietário legítimo do sistema.
Dica: Como o oposto de um hacker de chapéu preto, um hacker ético costuma ser chamado de hacker de chapéu branco.
O núcleo disso é uma compreensão do que torna o hacking ilegal. Embora existam variações em todo o mundo, a maioria das leis de hackers se resume a “é ilegal acessar um sistema se você não tiver permissão para fazê-lo”. O conceito é simples. As ações reais de hacking não são ilegais; está apenas fazendo isso sem permissão. Mas isso significa que a permissão pode ser concedida para permitir que você faça algo que de outra forma seria ilegal.
Essa permissão não pode vir de qualquer pessoa aleatória na rua ou online. Não pode vir nem do governo (
Dica: Para ser claro, “proprietário legítimo do sistema” não se refere necessariamente à pessoa que comprou o sistema. Refere-se a alguém que legitimamente tem a responsabilidade legal de dizer; está tudo bem para você. Normalmente, será o CISO, o CEO ou o conselho, embora a capacidade de conceder permissão também possa ser delegada mais abaixo na cadeia.
Embora a permissão possa ser simplesmente dada verbalmente, isso nunca é feito. Como a pessoa ou empresa que realiza o teste seria legalmente responsável por testar o que não deveria, é necessário um contrato por escrito.
Âmbito das Ações
A importância do contrato não pode ser exagerada. É a única coisa que garante legalidade às ações de hacking do hacker ético. A outorga do contrato dá indenização pelas ações especificadas e contra as metas especificadas. Como tal, é essencial compreender o contrato e o que ele abrange, pois sair do âmbito do contrato significa sair do âmbito da indemnização legal e infringir a lei.
Se um hacker ético se desviar do escopo do contrato, ele estará em uma corda bamba legal. Tudo o que eles fazem é tecnicamente ilegal. Em muitos casos, tal passo seria acidental e rapidamente auto-capturado. Quando tratado adequadamente, isso pode não ser necessariamente um problema, mas dependendo da situação, certamente pode ser.
O contrato oferecido não precisa necessariamente ser especificamente adaptado. Algumas empresas oferecem um esquema de recompensas por bugs. Isso envolve a publicação de um contrato aberto, permitindo que qualquer pessoa tente hackear eticamente seu sistema, desde que siga as regras especificadas e relate qualquer problema que identifique. Os problemas de relatórios, nesse caso, geralmente são recompensados financeiramente.
Tipos de Hacking Ético
A forma padrão de hacking ético é o “teste de penetração” ou pentest. É aqui que um ou mais hackers éticos são contratados para tentar penetrar nas defesas de segurança de um sistema. Depois que o envolvimento é concluído, os hackers éticos, chamados de pentesters nessa função, relatam suas descobertas ao cliente. O cliente pode usar os detalhes do relatório para corrigir as vulnerabilidades identificadas. Embora o trabalho individual e por contrato possa ser feito, muitos pentesters são recursos internos da empresa ou empresas especializadas em pentesting são contratadas.
Dica: É “pentesting” e não “pentest”. Um testador de penetração não testa canetas.
Em alguns casos, testar se um ou mais aplicativos ou redes são seguros não é suficiente. Neste caso, testes mais aprofundados podem ser realizados. Um engajamento red-team normalmente envolve o teste de uma gama muito mais ampla de medidas de segurança. As ações podem incluir a realização de exercícios de phishing contra funcionários, tentando entrar em um prédio com engenharia social ou até mesmo invadir fisicamente. Embora cada exercício de equipe vermelha varie, o conceito é tipicamente muito mais um teste de “e daí se” do pior caso. Na linha de “este aplicativo da web é seguro, mas e se alguém simplesmente entrar na sala do servidor e pegar o disco rígido com todos os dados nele”.
Praticamente qualquer problema de segurança que possa ser usado para prejudicar uma empresa ou sistema está teoricamente aberto ao hacking ético. No entanto, isso pressupõe que o proprietário do sistema conceda a permissão e que esteja disposto a pagar por isso.
Dando coisas para os bandidos?
Os hackers éticos escrevem, usam e compartilham ferramentas de hacking para facilitar suas vidas. É justo questionar a ética disso, pois os chapéus negros podem cooptar essas ferramentas para causar mais estragos. Realisticamente, porém, é perfeitamente razoável supor que os invasores já tenham essas ferramentas, ou pelo menos algo parecido, enquanto tentam facilitar suas vidas. Não ter ferramentas e tentar dificultar as coisas para os chapéus pretos é confiar na segurança por meio da obscuridade. Esse conceito é profundamente desaprovado na criptografia e na maior parte do mundo da segurança em geral.
Divulgação Responsável
Às vezes, um hacker ético pode se deparar com uma vulnerabilidade ao navegar em um site ou usar um produto. Nesse caso, eles normalmente tentam denunciá-lo de forma responsável ao proprietário legítimo do sistema. O importante depois disso é como a situação é tratada. A coisa ética a fazer é divulgá-lo em particular ao proprietário legítimo do sistema para permitir que ele corrija o problema e distribua um patch de software.
Claro, qualquer hacker ético também é responsável por informar os usuários afetados por tal vulnerabilidade para que eles possam tomar suas próprias decisões conscientes da segurança. Normalmente, um prazo de 90 dias a partir da divulgação privada é considerado um período de tempo apropriado para desenvolver e publicar uma correção. Embora extensões possam ser concedidas se for necessário um pouco mais de tempo, isso não é necessariamente feito.
Mesmo que uma correção não esteja disponível, pode seja ético detalhar o assunto publicamente. Isso, no entanto, pressupõe que o hacker ético tentou divulgar o problema de forma responsável e, geralmente, está tentando informar os usuários normais para que possam se proteger. Embora algumas vulnerabilidades possam ser detalhadas com explorações de prova de conceito, isso geralmente não é feito se uma correção ainda não estiver disponível.
Embora isso possa não parecer totalmente ético, em última análise, beneficia o usuário. Em um cenário, a empresa está sob pressão suficiente para fornecer uma correção oportuna. Os usuários podem atualizar para uma versão corrigida ou pelo menos implementar uma solução alternativa. A alternativa é que a empresa não pode implantar uma correção para um problema de segurança grave imediatamente. Nesse caso, o usuário pode tomar uma decisão informada sobre continuar a usar o produto.
Conclusão
Um hacker ético é um hacker que age dentro das restrições da lei. Normalmente, eles são contratados ou recebem permissão do proprietário legítimo do sistema para invadir um sistema. Isso é feito com a condição de que o hacker ético relate os problemas identificados de forma responsável ao proprietário legítimo do sistema para que possam ser corrigidos. O hacking ético baseia-se em “colocar um ladrão para pegar um ladrão”. Usando o conhecimento de hackers éticos, você pode resolver os problemas que os hackers black hat poderiam ter explorado. Os hackers éticos também são chamados de hackers de chapéu branco. Outros termos também podem ser usados em determinadas circunstâncias, como “penters” para contratação de profissionais.