» Etica y moral @ Hacking

Existe la ética y la moral a la hora de hackear?
Quien determina verdaderamente los limites? Las leyes, las demas personas, las emociones?

Seguramente, si alguna vez tuviste la experiencia de hackear algun sistema informatico, te habras preguntado hasta donde llegar, y ahi mismo, es donde empieza el problema.

Este paper difiere de muchos otros, que hablan sobre la etica hacker, ya que se tienen en cuenta cuestiones mentales y sociales del individuo, que siempre estan en él, y no siempre se tienen en cuenta, por eso, Cogito Alius.

Convengamos, en el caso de una intrusion, que el problema en realidad, no es la intrusion en si, sino las acciones que pueden realizarse una vez dentro del sistema, en otras palabras, el inconveniente no es lo que podria [potencialmente] llegar a hacer una persona que logro acceder a determinada informacion no es tanto problema, sino mas bien, las opciones desplegadas;
Robar esto o aquello, eliminar eso o esto otro, modificar tales archivos y configuraciones, hacer publico el ataque o no….pero en realidad el inconveniente se plantea con el intruso mismo, y un conjunto de variables que aumentan las probabilidades de que dicha persona, realice algun movimiento tajante para la empresa victima.
Por otro lado, la tecnologia avanza, las grandes compañias siguen creciendo, y las bases de datos tambien, debemos preocuparnos por los intrusos que ya estan en el sistema! ahi debemos hacer incapié, porque las vulnerabilidades explotadas por 0day son un hecho.
Esto, no es tenido en cuenta a la hora de hablar de etica del hacker, lo cual es un error garrafal, ya que como dijimos anteriormente, los hackers, los intrusos, los script kiddies, son personas, y como tales son seres que no solo se mueven por motivos bioticos, sino tambien mentales (psicologicos) y sociales (externos a ellos mismos).
Algunas de las variables pueden ser:
- La empresa victima:
Ej: No es lo mismo persona X en servidor de venta de pedofilia, que persona X en servidor de Caritas, o Unicef
- La persona-intruso:
Hay individuos que tienden a no importarle las consecuencias, otros que confian en si mismos demasiado y se arriesgan a hacer cosas que otros en su lugar no harian, como para nombrar solo un par.
- El entorno:
Personas que lograron la intrusion, y comunicaron el hecho a algun conocido/amigo, muy probablemente esa otra persona (o grupo de personas) tiñan con su subjetividad lo que el intruso debe hacer, y de esa forma modificar talvez el comportamiento inicial del atacante.
- El tiempo:
Me refiero al tiempo cronologico, no al climatico.
Mas especificamente, si uno sabe que consta de 1 hora hasta que el admin de la red atacada se de cuenta, cierre conexiones desconocidas y arregle la vulnerabilidad aprovechada, entonces el intruso debera seleccionar o realizar determinadas acciones con bastante habilidad, velocidad y seguridad propia.
- Golpe emocional:
Al hablar de golpe emocional, me refiero a la reaccion que tendra el sujeto al haber logrado la intrusion, si era un ataque que se creia satisfactorio, si era una apuesta, por sola curiosidad, por satisfaccion personal, o si obtener algun dato privado era la motivacion y el ingreso al sistema era imposible, fue realizable.

Precisamente, solo nombro algunas variables, pero debemos saber que existen muchas mas, y de cuestiones externas a uno mismo, puede depender el futuro de los datos "confidenciales" de su compañia.

Saber tener el control mayor posible de todas esas variables, es el arte del administrador, por eso va mucho mas alla de saber sobre protocolos, servicios, sistemas operativos, redes y demas, es necesario una mente abierta, creativa, y flexible, para poder pensar como el atacante, y emulando todas esas variables, lo cual es muy complicado si se carece de las caracteristicas mentales antes dichas.

Podemos concluir el tema en cuestion que la etica y la moral, va a depender de elementos que talvez nada tengan que ver con nosotros, o con el atacante en si.

Independientemente de ello, suele haber determinadas reglas virtuales que en algunos casos son internalizadas y en otras oportunidades no, algunas de ellas las enumero a continuacion, y por debajo, con una ">", respondo con una utopia.
1. Toda la información debe ser libre.
> Implica acaso, que la informacion de privada de una empresa debe ser publica tambien? Implica entonces que un programador que tiene ideas realmente brillantes y plantea nuevos conceptos en programacion, debe hacer libre esa informacion?
De todos modos, debemos recordar que libre no implica gratis.
2. Entrégate siempre al imperativo de TRANSMITIR el conocimiento.
> Perfecto, pero muchos individuos (en eso estoy personalmente de acuerdo) no van a decirte nunca (como se dice aqui en Argentina) la posta, sino que te dan un pie, para que te esfuerzes tambien y a futuro obtengas la informacion, de esta forma, se plantea una lucha contra el acceso facil a informacion sensible y peligrosa en manos inexpertas. Pero, no se opone acaso con el item 1?
3. Desconfía de las autoridades, promueve la descentralización.
En fin, la mayoria de los buenos hackers, terminan trabajando para el gobierno, y siendo ellos mismos autoridades.
4. Los hackers deben ser juzgados por su hacking, no por criterios de edad, títulos, raza o posición.
Considero que en este punto estan todos de acuerdo, pero debemos resaltar que las motivaciones por edades, titulos, razas y posiciones no son los mismos, si vamos al caso, no es lo mismo un estadounidense que logra hackear el sistema de computadoras del gobierno chino, que un uruguayo logre lo mismo, esa seria una variable mas a tener en cuenta para los motivos enumerados y ejemplificados anteriormente.
5. Puedes crear verdad y belleza en una computadora.
6. Las computadoras pueden mejorar tu vida.

Bueno, considero este el final del documento, por supuesto ampliable a posteriori, en funcion de que surjan nuevas ideas y este la intencion de plasmarlas en este paper :)

by Cyervo aka CyV
http://www.lcu.com.ar

Podes copiar / distribuir / linkear este articulo en tu sitio, el de tus amigos, y donde quieras, lo unico que te pediria, es que me avises si haces eso, con un email y la direccion de donde vas a subirlo, y dejes el nick del autor ;)