Revelando o Gray Hat Hacking: explorando dilemas éticos, práticas e implicações
O papel dos hackers no campo da segurança cibernética abrange um espectro amplo e variado: desde hackers de chapéu branco com objetivos nobres até hackers de chapéu preto maliciosos e perigosos. “Grey hat hacking” fica em algum lugar no meio, confundindo os limites entre os dois lados. Mas o que é exatamente o grey hat hacking e quais são as questões éticas e as implicações desta prática moralmente ambígua na segurança de TI? Abaixo, discutiremos a questão crucial das motivações e ações dos hackers de chapéu cinza.
O que é hacking de chapéu cinza?
O que é um hacker de chapéu cinza e quais são os diferentes tipos de hackers? Existem três tipos principais de hacking, que são classificados de acordo com suas intenções e práticas:
O hacking de chapéu branco (também conhecido como hacking ético ) envolve especialistas em segurança de TI que usam suas habilidades e técnicas com boas intenções. Eles têm o consentimento total dos seus “alvos” e trabalham com organizações que desejam fortalecer a sua segurança de TI. Ao investigar vulnerabilidades em sistemas e redes, o hacking de chapéu branco ajuda a identificar e resolver possíveis problemas antes que possam ser explorados por hackers com intenções nefastas.
O hacking black hat envolve hackers mal-intencionados que não têm o consentimento de seus alvos. Freqüentemente, eles têm motivações financeiras ou de reputação egoístas e, às vezes, também trabalham para uma causa política ou governamental. O hacking black hat envolve ataques cibernéticos , como violação de ambientes de TI, roubo de informações confidenciais e instalação de ransomware.
O hacking de chapéu cinza tem esse nome porque ocupa uma área moralmente “cinzenta” entre o hacking de chapéu branco e o hacking de chapéu preto. Ao contrário do hacking de chapéu branco, o hacking de chapéu cinza normalmente não exige autorização explícita das partes afetadas. No entanto, os hackers de chapéu cinza também não possuem as más intenções dos hackers de chapéu preto. Em vez disso, o grey hat hacking é motivado pela paixão, curiosidade ou desejo de melhorar a segurança cibernética.
Em que tipos de atividades os hackers Gray Hat se envolvem?
Num espectro, os hackers grey hat variam desde aqueles com motivações altruístas até aqueles que se envolvem em atividades limítrofes ou altamente questionáveis. Algumas das práticas comuns em hackers de chapéu cinza incluem:
Testes de segurança: hackers grey hat podem executar testes de penetração e outros testes de segurança em ambientes ou sistemas de TI disponíveis publicamente, identificando vulnerabilidades e pontos fracos. No entanto, ao contrário dos hackers de chapéu branco, os hackers de chapéu cinza operam sem o consentimento dos seus alvos. Por exemplo, as atividades de digitalização e sondagem de rede para localizar portas abertas podem ser vistas como intrusivas e indesejáveis, mesmo que sejam realizadas para fins de investigação.
Divulgação pública: os hackers Gray Hat podem tornar públicas suas descobertas em vez de entrar em contato diretamente com seus alvos. Embora isto possa ajudar a aumentar a sensibilização para o problema e criar pressão para o resolver, também abre a porta à exploração por agentes maliciosos. Um famoso exemplo de hacker de chapéu cinza neste contexto é Khalil Shreateh, um pesquisador de segurança que descobriu uma maneira de os usuários do Facebook postarem um link na página de qualquer outro usuário (Warren, 2017). Depois que a empresa não levou a sério o relatório de Shreateh, ele usou a vulnerabilidade para postar na página do CEO Mark Zuckerberg no Facebook.
Duplas intenções: alguns hackers de chapéu cinza são classificados como tal porque têm uma mistura de intenções éticas e antiéticas, dependendo da situação. Por exemplo, eles podem relatar algumas vulnerabilidades que descobrem imediatamente, enquanto mantêm outras em segredo para explorá-las para ganho pessoal. Uma figura notável é Marcus Hutchins, um pesquisador de segurança que ajudou a impedir o devastador ataque de ransomware WannaCry (Greenberg, 2020). Apesar dessa ação nobre, Hutchins também já havia trabalhado no desenvolvimento da variedade de ransomware Kronos, o que levou à sua prisão pelo FBI.
Ações de vigilantes: Os hackers grey hat podem fazer justiça com as próprias mãos, tentando expor ou vingar-se de indivíduos ou organizações que consideram malfeitores ou atores mal-intencionados. Isto pode envolver ações como “hackear os hackers” em retaliação, o que é ilegal e pode aumentar as tensões.
Quais são os dilemas éticos do Gray Hat Hacking?
Por ultrapassar os limites de ambos os extremos, o grey hat hacking pode apresentar uma série de dilemas éticos.
Esses incluem:
Falta de permissão: hackers de chapéu cinza se envolvem em atividades de hacking sem obter permissão prévia de seus alvos. Isto levanta a questão: é aceitável investigar vulnerabilidades em sistemas sem autorização, mesmo que as intenções da pessoa sejam boas?
Divulgação responsável: os hackers grey hat nem sempre seguem as melhores práticas para divulgação de vulnerabilidades (HackerOne, 2021). Por exemplo, podem divulgar as suas descobertas ao público antes de informarem a organização afetada. Como resultado, os usuários e os sistemas podem ficar expostos a ataques até que a vulnerabilidade seja corrigida.
Danos a partes inocentes: os hackers Gray Hat podem causar danos a pessoas ou organizações inocentes que sejam apanhadas no fogo cruzado. Isto é especialmente provável com ações retaliatórias, justiça vigilante e divulgação pública de vulnerabilidades de segurança .
Responsabilidade e transparência: Muitos hackers grey hat operam anonimamente ou sob pseudônimo, muitas vezes para evitar consequências legais ou acusações criminais. No entanto, isto torna mais difícil responsabilizar estes indivíduos pelas suas ações e ter transparência sobre as suas motivações.
Quais são as implicações do Gray Hat Hacking?
O hacking de chapéu cinza é uma prática complicada com implicações positivas e negativas para a segurança cibernética. As implicações positivas do hacking de chapéu cinza incluem:
Melhorias de segurança: Os hackers grey hat podem descobrir falhas de segurança anteriormente desconhecidas em um sistema ou rede de TI. Quando divulgam essas fraquezas de forma responsável, isso permite que as organizações resolvam o problema e reforcem sua postura de segurança.
Conscientização pública: Os hackers grey hat podem aumentar a conscientização sobre questões de segurança cibernética, destacando vulnerabilidades não corrigidas. Divulgações de alto perfil também podem motivar as organizações a agir rapidamente na abordagem da vulnerabilidade e a levar a segurança mais a sério.
Por outro lado, as implicações negativas do hacking de chapéu cinza incluem:
Consequências legais: Mesmo com boas intenções, os hackers grey hat podem enfrentar consequências legais por se envolverem em atividades de hacking não autorizadas . Podem criar tensão com as agências responsáveis pela aplicação da lei e com os governos, levando a divergências sobre a moralidade das suas ações.
Confiança e reputação: As ações dos hackers grey hat podem minar a confiança nos pesquisadores de segurança. Ao investigar pontos fracos e divulgar publicamente vulnerabilidades sem permissão, os hackers grey hat podem tornar as organizações mais relutantes em trabalhar com eles, apesar de seu conhecimento avançado.
Referências
Greenberg, A. (2020, 12 de maio). As confissões de Marcus Hutchins, o hacker que salvou a Internet. COM FIO. https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/
HackerOne. (2021, 28 de outubro). Divulgação de Vulnerabilidade | Qual é a solução responsável? HackerOne. https://www.hackerone.com/vulnerability-disclosure/vulnerability-disclosure-whats-responsible-solution
Warren, T. (2017, 15 de dezembro). LinkedIn ignorou falha de segurança do pesquisador que invadiu o mural de Zuckerberg no Facebook. A beira. https://www.theverge.com/2017/12/15/16776176/linkedin-security-flaw-security-khalil-shreateh
Nenhum comentário:
Postar um comentário