El que no saps pot fer-te mal
Si la porta d'entrada a casa està coberta d'arbustos i arbres, ¿vol dir que no heu de bloquejar-la? Aquesta és una mena de base de seguretat per l'obscuritat. Essencialment, la seguretat per l'obscuritat es basa en el fet que una vulnerabilitat determinada està oculta o secreta com una mesura de seguretat. Per descomptat, si algú o qualsevol cosa descobreix accidentalment la vulnerabilitat, no hi ha protecció real per evitar l'explotació.
Hi ha aquells en el camp de la ciberseguretat i les organitzacions governamentals que prefereixen mantenir secrets els trucs i consells dels pirates informàtics i els crackers. Ells senten que compartir el coneixement és l'equivalent d'animar nous pirates informàtics i pirates informàtics malintencionats a provar les tècniques amb finalitats il·legals i no ètiques. Creuen que mantenint els trucs i tècniques fora del domini públic que protegeixen el món en general.
Estem més disposats a estar d'acord amb el costat que creu que la divulgació completa dels trucs i tècniques ofereix la millor possibilitat de poder protegir-los o anul·lar-los completament. Assumir que la seguretat per l'obscuritat ofereix protecció és assumir que cap altra persona del món pot descobrir els mateixos defectes o vulnerabilitats. Això sembla una hipòtesi d'engany.
El fet que no sàpiga com operar una pistola no evitarà que una persona no ètica o immoral que sàpiga utilitzar una pistola no us perjudiqui. De la mateixa manera, no saber com funcionen les tècniques de hackers no el protegirà d'una persona poc ètica o immoral que sap els trucs i tècniques d' hackear en el sistema informàtic o causar altres danys maliciosos a la vostra xarxa o ordinador.
Ètica vs. Coneixement
El que separa els lladres dels detectius i els pirates informàtics dels administradors de seguretat és l'ètica, no el coneixement. Has de conèixer al teu enemic per preparar una defensa adequada. Els pirates informàtics del món tenen el mateix coneixement que els pirates informàtics del món: simplement opten per utilitzar els seus coneixements per a finalitats ètiques, en lloc d'activitats malicioses o il·legals.
Alguns dels whites hackers han començat a iniciar negocis com a consultors de seguretat o formen companyies dedicades a ajudar altres empreses a protegir-se dels negres pirates informàtics del món. En comptes d'aplicar els seus coneixements per a una activitat il·legal que pot o no donar-li un cop d'ull ràpid, però amb tota seguretat aturar-los a la presó, opten per aplicar els seus coneixements per fer el que els agrada fer mentre fan molts diners fent-ho legalment .
Algunes d'aquestes persones també fan el que poden per compartir els consells, els trucs i les tècniques utilitzades pels hackers i galetes amb la resta del món per ensenyar-los a defensar-se també. George Kurtz i Stuart McClure van fundar la companyia de seguretat Foundstone (més tard adquirida per McAfee). Aquests dos veterans de seguretat de la informació, juntament amb Joel Scambray, consultor de seguretat de TI de Fortune 50, van escriure el llibre de seguretat informàtica més venut Hacking Exposed, recentment llançat en la seva sisena edició i origen de la exitosa sèrie Hacking Exposed.
La 6a edició de Hacking Exposed s'ha publicat recentment. Hacking Exposed també va generar una sèrie molt exitosa d'altres títols exposats per Hacking: Hacking Exposed - Wireless, Hacking Exposed - Linux, Hacking Exposed - Computer Forensics, i molt més. També hi ha llibres similars d'altres autors, com Hack Attacks Revelat per John Chirillo i Counter Hack Reloaded per Ed Skoudis.
Hacking Exposed és considerat per molts com el millor llibre sobre el tema. Aquests tres senyors, amb contribucions de molts altres experts en seguretat de la informació (la majoria dels quals també treballen per a Foundstone), han compilat una guia completa dels mètodes, trucs i tecnologia utilitzats pels pirates informàtics per entrar a la vostra xarxa o ordinador.
En el pròleg del llibre Patrick Heim, vicepresident de seguretat empresarial de McKesson Corporation, escriu "ara que l'art negre del pirateig ha estat demonitzat, diria que és essencial que els individus s'encarreguin de dissenyar, construir i mantenir informació infraestructura per ser plenament conscients de les veritables amenaces que els seus sistemes hauran de rebutjar ".
Quan vegeu un metge, espera que diagnostiqui adequadament els seus símptomes i determini el problema real abans de donar consells o prescriure medicaments. Per fer-ho, el metge ha de ser plenament conscient de les diverses amenaces que pot trobar el seu cos i quines són les contramedidas efectives per a aquestes amenaces específiques.
Igual que un detectiu ha de pensar com un lladre per atrapar un lladre i un metge ha de saber com els virus i les malalties funcionen i es comporten per diagnosticar-los i contrarestar-los, esperem que un expert en seguretat de la informació sigui un expert en l'ús dels trucs, eines i tècniques. se'ls demana que defensin. Només amb aquest coneixement podem esperar honestament que algú pugui defensar adequadament contra els pirates informàtics i detectar quan i com es produeix una intrusió si, de fet, la vostra xarxa està compromesa.
La ignorància no és una felicitat. La seguretat a través de la foscor no funciona. Només vol dir que els dolents coneixen coses que no facin i explotaran la vostra ignorància al màxim totes les oportunitats que obtenen.