Muchas compañías ahora ofrecen recompensas por errores en forma de efectivo, equipo o reconocimiento a las personas que encuentran fallas en sus sitios o códigos. El tabú sobre la contratación de hackers se ha desvanecido. Pero, cómo lo hicieron, y cómo lo revelaron, sería una gran diferencia para mí.
Para empezar, aunque las intenciones pueden no ser muy importantes en un tribunal de justicia (como he dicho en otra parte, ” todos somos dueños de nuestras acciones, y las buenas intenciones son quizás su excusa más pobre “), pero en ciertos contextos pueden ser importantes para mí. personalmente. Ciertamente, no contrataría a alguien que se propuso hacer daño, o que nunca tuvo la intención de revelar de manera responsable y simplemente fue atrapado.
Pero incluso si fueran a hackear uno de mis activos de Internet sin mi permiso, no sería adverso establecer un precedente que demostrara que estaba dispuesto a ser comprensivo y, por lo tanto, alentar a futuros intrusos a presentarse de manera útil. La novedad de su técnica también marcaría una diferencia: si solo estuvieran usando una herramienta de piratería común sin comprender realmente cómo funcionaba, no habría nada significativo que ganar al contratarlos. Pero si me enseñaron algo sobre mis propios activos de red, sería un resultado positivo neto.
- ¿Cómo convertirse en un investigador forense informático?
- ¿Cómo evita Ingress hacer trampa a través de ubicaciones de red y GPS falsificadas?
- ¿Cuál es el mejor lenguaje de programación para hackear y por qué?
- ¿Tienes miedo de que Mark Zuckerberg piratee tu cuenta de Facebook?
- Cómo omitir la puerta de enlace de Cyberoam
Hace un tiempo, un hax0r moderadamente conocido utilizó una vulnerabilidad en AOL Lifestream para publicar contenido que se volvió a publicar automáticamente en mi cuenta de Twitter. Al darme cuenta de que mi cuenta no estaba comprometida en sí misma, inmediatamente adiviné que una de las aplicaciones conectadas a ella había sido comprometida y desautorizó a los sospechosos habituales, lo que impidió una mayor publicación no autorizada. Sin embargo, no eliminé la mayoría de los pocos tweets que habían publicado, tanto por falta de voluntad de parecer “encubrirlo”, como por el deseo de dejar que se quedaran con su trofeo, tal como estaba.
Me puse en contacto con ellos y les hablé un poco sobre la ética de Internet y lo mal que podría haber ido la situación si hubieran apuntado a alguien con una piel más delgada y tendencias más vengativas. Desde entonces, han comenzado a practicar la divulgación responsable después de encontrar errores en algunos de los principales ISP que les permitieron buscar información de clientes por dirección IP.
¿Habrían tomado un giro hacia la (algo más) ética si no hubiera estado entendiendo? No lo sé. No puedo saber Pero sí sé que leerlos en el acto antidisturbios y ceñirlos seguramente no los habría movido en esa dirección. Realmente no estoy en condiciones de contratar a nadie en este momento, incluso a los pasantes que considero que no tienen que pagar, pero si esa situación cambia, no tengo problemas para considerarlos para cualquier equipo futuro que pueda formar.
No todos son los mejores al considerar las consecuencias de sus acciones. Los jóvenes en particular aún carecen de cierto desarrollo de las funciones ejecutivas. Personalmente, no veo el valor de ignorar su potencial futuro sobre algunas indiscreciones relativamente menores (ver: ¿Debería legalizarse el pirateo? Un hacker Top-10 dice que no). Mejorarnos a nosotros mismos es un proceso constante, y con demasiada frecuencia el sistema legal estadounidense cojea a las personas por la vida en lugar de opciones que podrían haber superado por sí mismas.
Prefiero ver a las personas en términos de su potencial, no de sus errores existentes. Entonces, sí, por mucho que tenga que tragarme mi orgullo para hacerlo, trataría de ver elementos de mi antiguo yo en alguien que me hackeó, en lugar de verlos como merecedores de nada más que castigo.
Divulgación: el autor es un ex pirata informático criminal. Si bien siempre se acercó a las empresas con asistencia gratuita para reparar los agujeros que descubrió, y Google, MCI WorldCom y [correo electrónico protegido] le agradecieron, fue procesado por piratear la intranet del New York Times y comprende / acepta completamente por qué esto sucedió Desde entonces, ha trabajado con el Departamento de Defensa y otras autoridades en casos de piratería y espionaje.