15
d'Octubre
de
2014
Un estudiant rus, Serguey Glazunov, va ser el primer en hackejar el sistema de seguretat de Chrome, el navegador de Google. Va entendre millor que els seus propis creadors com funcionava el sistema i quines vulnerabilitats patia. Gràcies a aquesta descoberta, Glazunov es va endur 60.000 euros. Pagats per Google. El hacker rus havia ajudat l'empresa a trobar un error greu en un dels seus productes i es va endur un merescut premi per fer-ho.
Un hacker és "algú que accedeix de forma no autoritzada a un sistemainformàtic - i per conseqüència a les dades que hi conté - mitjançant el descobriment i utilització de les vulnerabilitats dels sistemes". Així ho defineix Miguel Ángel Martínez, de la consultoria en seguretat TIC Tarsys. La cultura popular associa el hacker a la figura del delinqüentinformàtic, que s'aprofita de les escletxes dels sistemes de seguretat per penetrar en els sistemes interns de tot tipus d'empreses i organitzacions i "piratejar-los", amb objectius diversos (transaccions econòmiques falsificades, robatori de dades, finalitats polítiques...). Un dels casos més recents i mediàtics ha estat el del robatori de fotografies de famoses nues sostretes de l'iCloud d'Apple.
Però també hi ha hackers "bons", el que es coneix avui en dia com a hackerètic o hacker de barret blanc (que es contraposa al que rebenta sistemes, a qui s'anomena cracker o de barret negre). Hackers que, com és el cas de Glazunov, exploren aquestes falles per advertir de la seva existència a l'administrador del sistema i trobar la manera com tapar-les. Sovint ho fan per pura afició, o pel compromís que manifesta aquest col·lectiu vers el coneixementlliure i l'accés obert a la informació. Però, com és fàcil d'entendre, l'expertesa en aquesta tasca és cada cop és més buscada i valorada per les empreses que temen ser víctimes d'atacs als seus sistemes.
Virus i malware, robatori o corrupció d'informació i dades, atacs externs com ara phishing o denegació d'accés, estafes en el cas de bancs o portals de compra... "Les empreses que basen la seva activitat a la xarxa tenen un nivell alt d'exposició del seu negoci al risc d'un incident de seguretat" explica ToniHaro, col·laborador de Neotica Solutions, consultora especialista en la seguretat dels sistemes d'informació. Conscients d'aquesta situació, les grans empreses ja solen disposar de personalespecífic encarregat de la seguretatinformàtica, el que es coneix com a CISO (Chief Information Security Officer) o, a una escala per sota, CISM (Certified Information Security Manager). "La seva missió és mantenir l'estratègia de l'empresa per protegir els seus sistemes i reduir els riscos", destaca Haro. Les grans corporacions dediquen molts recursos a evitar els incidents de seguretat, i no tan sols pels problemes operatius que es poden ocasionar. També poden comportar-los una repercussiómediàtica molt negativa que els faci perdre reputació i la confiança dels seus clients. Que li diguin a Apple si no.
Treballadors qualificats
Els hackersètics poden complir a la perfecció els requisits que es demanen per a aquest tipus de feines. "Els hackers de barret blanc poden ajudar a millorar la seguretat de les aplicacions i sistemes informàtics" expliquen des de Tarsys. Ho fan aplicant els seus coneixements i habilitats en la detecció dels punts febles, portes d'entrada i fallides del programari. Per això en els darrers anys estan esdevenint treballadorsqualificats. De fet, ja disposen de diversos certificatspropis, com ara el CEH (Certified Etical Hacker). Per treballar com a CISO o CISM "és convenient tenir una certificació reconeguda i de prestigi, encara que l'experiència i currículum en el sector hi compta molt", destaca Haro. És una feina llaminera: als EstatsUnits, el sou d'un bon CEH ronda els 92.000 dòlars anuals.
Entre els hackers que han acabat treballant per a grans corporacions, un dels més famosos és George Hotz, alias geohot, un jove nord-americà que va ser el primer a desbloquejar l'Iphone i vulnerar la PS3. Des de llavors, ha treballat per a Facebook i per a Google. També destaca el cas de Kevin Mitnick, segurament el hacker més famós de la història (n'han fet fins i tot una pel·lícula, Takedown), que va ser empresonat l'any 1999 després d'haver comès múltiples intrusions en sistemes informàtics de tota mena, entre ells el del Pentagon. Avui, Mitnick lidera Zimperium, una empresa que desenvolupa sistemes per prevenir la intrusió a dispositius mòbils. D'experiència acumulada en el sector no n'hi falta.
Analistes externs i forenses
Més enllà d'exercir de CISO, els experts en seguretatinformàtica com els hackers ètics poden ser requerits en altres àmbits com a professionals de la seguretat informàtica. Per exemple, poden treballar per a les consultories de seguretat que entre altres tasques realitzen tests de penetració real als sistemes d'empreses, per tal de trobar vulnerabilitats i corregir-les. És el que es coneix com a pentesting i es recomana que sigui personal extern al sistema qui ho realitzi. El hackerètic també pot ser contractat per realitzar anàlisis post-incident, com si es tractés d'un forense, a requeriment d'un procedimentjudicial o bé per part d'alguna organització que hagi estat víctima d'un atac, de cara a dictaminar com s'ha produït. Un bon hacker, per tant, té cada dia més portes obertes en el món laboral.
Un hacker és "algú que accedeix de forma no autoritzada a un sistemainformàtic - i per conseqüència a les dades que hi conté - mitjançant el descobriment i utilització de les vulnerabilitats dels sistemes". Així ho defineix Miguel Ángel Martínez, de la consultoria en seguretat TIC Tarsys. La cultura popular associa el hacker a la figura del delinqüentinformàtic, que s'aprofita de les escletxes dels sistemes de seguretat per penetrar en els sistemes interns de tot tipus d'empreses i organitzacions i "piratejar-los", amb objectius diversos (transaccions econòmiques falsificades, robatori de dades, finalitats polítiques...). Un dels casos més recents i mediàtics ha estat el del robatori de fotografies de famoses nues sostretes de l'iCloud d'Apple.
Però també hi ha hackers "bons", el que es coneix avui en dia com a hackerètic o hacker de barret blanc (que es contraposa al que rebenta sistemes, a qui s'anomena cracker o de barret negre). Hackers que, com és el cas de Glazunov, exploren aquestes falles per advertir de la seva existència a l'administrador del sistema i trobar la manera com tapar-les. Sovint ho fan per pura afició, o pel compromís que manifesta aquest col·lectiu vers el coneixementlliure i l'accés obert a la informació. Però, com és fàcil d'entendre, l'expertesa en aquesta tasca és cada cop és més buscada i valorada per les empreses que temen ser víctimes d'atacs als seus sistemes.
Virus i malware, robatori o corrupció d'informació i dades, atacs externs com ara phishing o denegació d'accés, estafes en el cas de bancs o portals de compra... "Les empreses que basen la seva activitat a la xarxa tenen un nivell alt d'exposició del seu negoci al risc d'un incident de seguretat" explica ToniHaro, col·laborador de Neotica Solutions, consultora especialista en la seguretat dels sistemes d'informació. Conscients d'aquesta situació, les grans empreses ja solen disposar de personalespecífic encarregat de la seguretatinformàtica, el que es coneix com a CISO (Chief Information Security Officer) o, a una escala per sota, CISM (Certified Information Security Manager). "La seva missió és mantenir l'estratègia de l'empresa per protegir els seus sistemes i reduir els riscos", destaca Haro. Les grans corporacions dediquen molts recursos a evitar els incidents de seguretat, i no tan sols pels problemes operatius que es poden ocasionar. També poden comportar-los una repercussiómediàtica molt negativa que els faci perdre reputació i la confiança dels seus clients. Que li diguin a Apple si no.
Treballadors qualificats
Els hackersètics poden complir a la perfecció els requisits que es demanen per a aquest tipus de feines. "Els hackers de barret blanc poden ajudar a millorar la seguretat de les aplicacions i sistemes informàtics" expliquen des de Tarsys. Ho fan aplicant els seus coneixements i habilitats en la detecció dels punts febles, portes d'entrada i fallides del programari. Per això en els darrers anys estan esdevenint treballadorsqualificats. De fet, ja disposen de diversos certificatspropis, com ara el CEH (Certified Etical Hacker). Per treballar com a CISO o CISM "és convenient tenir una certificació reconeguda i de prestigi, encara que l'experiència i currículum en el sector hi compta molt", destaca Haro. És una feina llaminera: als EstatsUnits, el sou d'un bon CEH ronda els 92.000 dòlars anuals.
Entre els hackers que han acabat treballant per a grans corporacions, un dels més famosos és George Hotz, alias geohot, un jove nord-americà que va ser el primer a desbloquejar l'Iphone i vulnerar la PS3. Des de llavors, ha treballat per a Facebook i per a Google. També destaca el cas de Kevin Mitnick, segurament el hacker més famós de la història (n'han fet fins i tot una pel·lícula, Takedown), que va ser empresonat l'any 1999 després d'haver comès múltiples intrusions en sistemes informàtics de tota mena, entre ells el del Pentagon. Avui, Mitnick lidera Zimperium, una empresa que desenvolupa sistemes per prevenir la intrusió a dispositius mòbils. D'experiència acumulada en el sector no n'hi falta.
Analistes externs i forenses
Més enllà d'exercir de CISO, els experts en seguretatinformàtica com els hackers ètics poden ser requerits en altres àmbits com a professionals de la seguretat informàtica. Per exemple, poden treballar per a les consultories de seguretat que entre altres tasques realitzen tests de penetració real als sistemes d'empreses, per tal de trobar vulnerabilitats i corregir-les. És el que es coneix com a pentesting i es recomana que sigui personal extern al sistema qui ho realitzi. El hackerètic també pot ser contractat per realitzar anàlisis post-incident, com si es tractés d'un forense, a requeriment d'un procedimentjudicial o bé per part d'alguna organització que hagi estat víctima d'un atac, de cara a dictaminar com s'ha produït. Un bon hacker, per tant, té cada dia més portes obertes en el món laboral.