Acerca de esta aplicación
Esta aplicación de información sobre piratería ética para principiantes -Guías, contenía información sobre piratería ética.¿Qué es la piratería ética?
La piratería ética, también conocida como prueba de penetración o prueba de penetración, consiste en irrumpir legalmente en computadoras y dispositivos para probar las defensas de una organización. Es uno de los trabajos de TI más emocionantes en los que puede participar cualquier persona. Literalmente le pagan para mantenerse al día con la última tecnología y poder ingresar a computadoras sin la amenaza de ser arrestado.
Las empresas contratan a piratas informáticos éticos para identificar vulnerabilidades en sus sistemas. Desde el punto de vista del probador de penetración, no hay inconveniente: si piratea más allá de las defensas actuales, le has dado al cliente la oportunidad de cerrar el agujero antes de que un atacante lo descubra. Si no encuentra nada, su cliente está aún más contento porque ahora puede declarar que sus sistemas son "lo suficientemente seguros como para que ni siquiera los piratas informáticos pagados puedan acceder". ¡Ganar-ganar!
¿Qué hacen los hackers éticos?
Alcance y establecimiento de objetivos
Es esencial para cualquier probador de lápiz profesional documentar el alcance y los objetivos acordados. Estos son los tipos de preguntas sobre el alcance que debe hacer:
* ¿Qué activos informáticos están dentro del alcance de la prueba?
* ¿Incluye todas las computadoras, solo una determinada aplicación o servicio, ciertas plataformas de SO o dispositivos móviles y servicios en la nube?
* ¿El alcance incluye solo un cierto tipo de activo informático, como servidores web, servidores SQL, todas las computadoras en un nivel de sistema operativo host, y están incluidos los dispositivos de red?
* ¿Las pruebas de lápiz pueden incluir un escaneo automatizado de vulnerabilidades?
* ¿Está permitida la ingeniería social y, de ser así, qué métodos?
* ¿En qué fechas se permitirán las pruebas de penetración?
* ¿Hay días u horas en los que no se deben probar las pruebas de penetración (para evitar cortes o interrupciones del servicio no intencionales)?
* ¿Deben los probadores hacer todo lo posible para evitar causar interrupciones en el servicio o está causando algún tipo de problema que un atacante real pueda hacer, incluidas las interrupciones del servicio, una parte crucial de la prueba?
* ¿Las pruebas de penetración serán de caja negra (lo que significa que el probador de lápiz tiene pocos o ningún detalle interno de los sistemas o aplicaciones involucrados) o caja blanca (lo que significa que tienen conocimiento interno de los sistemas atacados, posiblemente activos e involucrando el código fuente relevante)?
* ¿Se informará a los defensores de la seguridad informática sobre la prueba de penetración o parte de la prueba será para ver si los defensores se dan cuenta?
* ¿Deberían los atacantes profesionales (por ejemplo, el equipo rojo) intentar entrar sin ser detectados por los defensores (por ejemplo, el equipo azul), o deberían usar métodos normales que los intrusos reales podrían usar para ver si esto activa la detección y prevención existentes? defensas?
Cómo convertirse en un hacker ético
Cualquier pirata informático debe seguir algunos pasos comunes para convertirse en un pirata informático ético, el mínimo de los cuales es asegurarse de tener el permiso documentado de las personas adecuadas antes de entrar en algo. No infringir la ley es fundamental para ser un hacker ético. Todos los probadores de penetración profesionales deben seguir un código de ética para guiar todo lo que hacen. El EC-Council, creadores del examen Certificated Ethical Hacker (CEH), tiene uno de los mejores códigos de ética públicos disponibles.
