Que opinan de los grey hat?

Iniciado por Ethicalsk, 24 Septiembre 2017, 03:06 AM

0 Miembros y 2 Visitantes están viendo este tema.

Ethicalsk

Buenas, quería saber su opinion respecto a los grey hat, es decir, aquellas personas que se ponen a realizar pruebas de penetración en un host o en una red, interactuando activamente con los servidores (fingerprint), y luego buscando vulnerabilidades y probando exploits, pero sin ser contratados ni haber pedido permiso al responsable de lo servidores (a diferencia de los white hat). Pero de todas formas un grey hat luego de descubrir y haber logrado explotar una vulnerabilidad, la reporta directamente al responsable del servidor para que la parchee, es decir, una vez que el grey hat se entretuvo y puso a prueba sus conocimientos en redes/hosts agenas, tiene una intención positiva y constructiva que es la de mejorar la segurida del servidor, en lugar de leer, escribir la información y controlar el servidor para un propósito poco ético que favoreciese al atacante ( a diferencia de los black hat).

Que opinan de las personas que se mueven asi? Son bien recibidas en ésta comunidad? Algunos de ustedes se mueven de ésta forma? Saludos!

engel lex

lo que describiste no es un grey... es un white


un grey hubiera vendido la vulnerabilidad
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Ethicalsk

#2
Pero el escaneo de puertos/hosts, y técnicas activas e intentos de explotación sin autorización no son consiedaradas ilegales? O sea por ahí yo me estoy confundiendo entre ético y legal. Tal vez una persona ética igual esté quebrantando la ley, pero sin malas intenciones. En tal caso, que opinan de la gente que no respeta del todo la ley pero tiene buenas intenciones?

engel lex

depende del pais, usualmente agarrar la manilla de la puerta de un carro y darle para ver si tiene seguro y abrirlo (si no tiene seguro) no es ilegal, ilegal es hacer algo con el conocimiento de eso...

usualmente el escaneo y ataque no es ilegal mientras no genere una degradación a la calidad de servicio prestado por el equipo

ilegal es entrar, tomar información, vender/publicar los métodos de acceso sin autorización del autor, usarlo para chantajear al adminitrador del servicio, en general es ilegal cualquier beneficio propio o de terceros
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Ethicalsk

#4
Excelente, muchas gracias por la respuesta, la última duda que me estaría quedando sería en que se diferencia un grey hat de un black hat. Recién leí éste artículo:

https://www.howtogeek.com/157460/hacker-hat-colors-explained-black-hats-white-hats-and-gray-hats/

CitarGray Hats

Very few things in life are clear black-and-white categories. In reality, there's often a gray area. A gray-hat hacker falls somewhere between a black hat and a white hat. A gray hat doesn't work for their own personal gain or to cause carnage, but they may technically commit crimes and do arguably unethical things.

For example, a black hat hacker would compromise a computer system without permission, stealing the data inside for their own personal gain or vandalizing the system. A white-hat hacker would ask for permission before testing the system's security and alert the organization after compromising it. A gray-hat hacker might attempt to compromise a computer system without permission, informing the organization after the fact and allowing them to fix the problem. While the gray-hat hacker didn't use their access for bad purposes, they compromised a security system without permission, which is illegal.

If a gray-hat hacker discovers a security flaw in a piece of software or on a website, they may disclose the flaw publically instead of privately disclosing the flaw to the organization and giving them time to fix it. They wouldn't take advantage of the flaw for their own personal gain — that would be black-hat behavior — but the public disclosure could cause carnage as black-hat hackers tried to take advantage of the flaw before it was fixed.

Según lo que leí y lo que entiendo un grey hat es más o menos como lo había descrito pero también había que tener en cuenta lo que remarqué en rojo, que publica la vulnerabilidad en lugar de hacerlo de forma privada...

Saludos!

D3Maxwell

Que me corrijan si me equivoco... Pero un black hat, sería quien dumpea un DB y la vende, la utiliza para lucrarse, etc... Un grey sería quien dumpea una BD por cualquier motivo ético. Es decir, ¿hasta qué punto está justificado ejercer de white hat a favor de una empresa que se dedica, por ejemplo, a espiarte? Yo pienso que los conceptos de white hat y black hat están muy esteriotipados. Se habla de hackers "éticos" sobre los white hats, que en muchos casos lo hacen todo simplemente por el dinero, sin importarles los más mínimo la ética.  Así que pienso que la única diferencia entre los white, y los blackhats son su "bando", por así decirlo.
Creo que los verdaderos hackers éticos son los que actúan con la base en la verdadera ética, la moral, que dicta lo que está bien y está mal.
¿Está bien proteger a un malo? No.
¿Está bien robar a un malo para lucrarte? No.
Pero quizá, y digo quizá, esté bien robar a un malo para evitar que lo haga más en el futuro y ya de paso si te ganas un dinerillo...
Al fin y al cabo el dinero mueve el mundo, y tristemente sin dinero no puedes vivir...

Un saludete.

engel lex

Empiezo diciendo, claramente estás confundiendo el concepto de "ética" con algún otro, recomiendo investigar sobre la naturaleza y origen de este concepto... creo que confunde "white hat" con "hacktivista" y no son lo mismo

Citar¿hasta qué punto está justificado ejercer de white hat a favor de una empresa que se dedica, por ejemplo, a espiarte?

es ético que un doctor salve la vida de un asesino?

CitarYo pienso que los conceptos de white hat y black hat están muy esteriotipados

aboviamente, son esterotipos

CitarEstereotipo: Idea, expresión o modelo estereotipados de cualidades o de conducta.

CitarSe habla de hackers "éticos" sobre los white hats, que en muchos casos lo hacen todo simplemente por el dinero sin importarles los más mínimo la ética.

Creo que confundes el concepto de "ética" con "altruismo" o alguna especie de concepto de "bien supremo", ética no excluye la obtención de dinero, en hecho todo trabajador debe tener etica, cada trabajo tiene su respectivo código de ética, son éticos siempre y cuando la sigan todas las acciones que no dañen, ni causen detrimento. El hecho mismo que con informaciòn confidencial o cosas con las que puedan destruir a sus clientes (a cambio de muhco dinero), no lo hagan sino se atengan a su contrato, los mantiene dentro de la ética, ya que eso es ética de trabajo...

CitarCreo que los verdaderos hackers éticos son los que actúan con la base en la verdadera ética, la moral, que dicta lo que está bien y está mal.

insisto, un hacker ético hace lo bueno, actua bien, sigue la ley... que no vaya por el bien mayor  no lo saca de ser ético, solo no lo hace altruista y ese es un concepto diferente dentro de la moral...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

D3Maxwell

Buen tema me has tocado amigo! :D

En primer lugar, voy a emperzar por lo último que has dicho:
"un hacker ético hace lo bueno, actua bien, sigue la ley..." Bueno, es un buen tema sin duda, pero no siempre lo que dice la ley es lo que dice la ética. Muchas leyes se basan en conceptos que no son muy éticos. Pero ese es otro tema y no voy a centrarme en eso.

En cuanto a lo de la ética: ética es el estudio del bien. Es la concreción de los conceptos de bien y mal y de lo que está mal y bien. Así que quizá la pregunta que debamos hacernos es, y corrigiendome: "¿Eesta bien proteger a una empresa 'mala' a cambio de un salario que podrías ganarte en una empresa menos mala?" Y ahora pensarás -¿Y si me pagan más?- Pues he ahí la ambición, pero ¿no es cierto que te convertirías un poco en cómplice? Quizá no directamente, pero ¿esta bien venderse de esa forma? Bueno, todo es discutible y cada persona puede pensar lo que quiera... Lo que hablas sobre los códigos éticos y esas cosas... Eso no es ética. En cuanto a lo de
-Creo que confundes el concepto de "ética" con "altruismo" o alguna especie de concepto de "bien supremo"- Pues yo te digo que deberías aprender sobre lo que es la ética.

En cuanto a lo del hacktivismo... Al poner el ejemplo reconozco que yo también pensé en eso. Pero en absoluto. Hay una ligera linea entre ser un Robin Hood de la vida, a ser un "activista". Es decir, el activismo, como el hacktivismo, requiere de otras cosas... No obstante, es interesanre mencionar que no me refiero a eso en concreto, pondré un ejemlo: Un ingeniero o hacker, si lo preferís, trabajando para X agencia, cuyo trabajo es ayudar a protejer a una larga lista de gente cuyo trabajo es permitir injusticias varias que 'no están bien, luego están mal' en pro de, por ejemplo, una nación, el benificio propio. Puesto ese ejemplo: ¿Serías un hacker ético o withe hat en ese caso? Porque yo creo que no... Sin embargo ellos se lo considerarán así, y la gente cuando pinsa en ingenireros como los del ejemplo, no piensa precisamente en un hacker black hat. Por eso decía que están muy estereotipados, pero tienes razón, en sí son estereotipos. No obstante, ciertos modelos éticos establecidos en la sociedad son errores lógicos (De la lógica. Sentía la necesidad de puntualizar eso), como por ejemplo el pensamiento de que lo que dice la ley es lo 'ético'.

No iba a responder a eso de "es ético que un doctor salve la vida de un asesino?", y no voy a esmerarme mucho porque sé que es otro tema (muy interesante, por cierto). Todos tenemos vida, digamos que es tu único bien, tu única posesión real. Por mucho que esa persona haya quitado una vida, él no va a tener dos... Sigue siendo una vida, y si matar es malo (aquí ya se podría abrir el debate a según que circunstancias) y apelamos a eso de que "todo ser humano tiene derecho a la vida"... En fin, pero en filosofía, y en el pensamiento humano en general, es dificil establecer bases totalmente solidas, pues siempre entra algo a debate.

Un saludo, y muy interesante tema.