Duela urte batzuk, zibersegurtasuna gutxi batzuek baino ez zuten kontuan hartzen. Teknologiaren aurrerapenak, mundu osoa uneoro konektatuta egotera ekartzearekin batera, zenbait arrisku ere ekarri ditu. Hainbestekoa da teknologiaren erabilera gaur egun edozein momentutan zibererasotuak izan gaitezkeela; gailu kopuruaren igoerarekin zibererasoen arriskua ere handiagoa izango delarik. Hala ere, komunikazio-sareen segurtasuna hasieratik existitzen den kontzeptu bat den arren, IoT delakoaren (Internet of Things, Gauzen Interneta) izugarrizko bilakaerarekin ezinbesteko tresna bihurtu da.
Hacking kontzeptuari buruz asko eztabaidatu da. Ez da erraza denen gustuko definizioa aurkitzea. Batzuen ustez, jokabide maltzur batekin lotuta dago. Beste batzuentzat, ordea, portaera adimentsua eta dibertigarria da. Kontzeptu hau argitzeko Richard Stallmanen iritzia nabarmendu behar da:
“Zaila da hacking-a bezain askotarikoa den zerbaiten definizio soila ematea, baina uste dut jarduera horiek guztiek izaera dibertigarria, adimentsua eta esploratzeko gogoa dutela. Beraz, hacking-ak posible denaren mugak aztertzea esan nahi du, izpiritu dibertigarri eta adimentsu batekin”.
Hacking-a komunikazio-sistema batean baimenik gabeko sarbidea lortzean oinarritzen den prozesua da, eta hackerra, berriz, ekintza hori aurrera eramaten duen pertsona. Sisteman aurkitutako ahultasunez baliatzen da sarbide hori eskuratzeko. Askotan, helburua ondo pasatzea da, erronka gainditzea eta ez dago asmo txarrik.
Sisteman sartzen denean asmo maltzurrekin, cracker kontzeptuari buruz hitz egiten ari gara. Sistemako fitxategiak ezabatzetik informazio sentikorra lapurtzera arte joan daitezke burutzen diren ekintzak. Hala ere, komunikazio-sisteman asmo onarekin eta baimenarekin sartzen garenean hacking etikoari buruz hitz egiten ari gara.
Hacking etikoa erasotzaile batek topatu eta exekutatu ditzakeen erasoek sor ditzaketen galera ekonomikoak edo beste kalte handiagoak gertatu baino lehen, sare edo sistema baten mehatxuak, hau da, ahultasunak bilatzeko ekintza bat da.
Hacking etikoa aurrera eramateko, ohikoen diren teknikak ahultasunen analisia eta sarbide-testa edo pentestinga dira. Sarbide-testa sistemaren ahultasunak bilatzeko tresna erabilgarrienetariko bat bilakatu da. Bertan, sistemaren aurkako erasoak egiten dira sistemaren ahultasunak aurkitzeko. Teknika honek segurtasun erroreak eta hutsuneak konpontzeko balio du. Gainera, erasoetatik babesteko eta sistemaren ahalmena balioztatzeko ere balio du. Sisteman ahultasunak egotearen arrazoiak hurrengoak izan daitezke, esate baterako, diseinu erroreak, txarto babestutako sareko konexioak, gizakiak sortutako erroreak, pasahitzen erabilera txarra eta abar. Sarbide-testak fase desberdinez osatuta daude, erabiltzen den metodologiaren arabera. Horietako bat PTES (Penetration Testing Execution Standard) metodologia da. Zazpi atal bereizten ditu, eta edozein ingurunetan garatu daiteke, emaitza eraginkorrak lortuz.
Datuen segurtasuna lortu ahal izateko erasotzaileek erabiltzen dituzten metodo berdinak erabiltzea beharrezkoa da sarearen babesa bermatzeko. Hori dela eta, gero eta erakunde gehiagok hacking etikoaz jakitunak diren pertsonak kontratatzen dituzte, beraien segurtasuna ziurtatzeko. Sarbide-testen azkeneko txostenean aurkitutako ahultasun guztiak biltzen dira eta horietako bakoitza konpontzeko irizpideak zehazten dira.
Beraz, hacking etikoari esker, enpresek eta erakundeek edozein motatako datuak (pertsonalak, ekonomikoak,…) modu seguruagoan kudeatzeko aukera dute, eta, horrela, beren jardueraren etorkizuna bermatzeko behar-beharrezkoa den konfiantza irabazten dute. Gainera, beren eguneroko aktibitatea geldiaraz dezaketen zibererasoetatik babesten dira, horrek dakarren mota guztietako kostu handia saihestuz.
Artikuluaren fitxa
- Aldizkaria: Ekaia
- Zenbakia: Ekaia 39
- Artikuluaren izena: Zibererasoetatik babesteko, hacking etikoaren balioa.
- Laburpena: 2020an, teknologiak bultzatutako gizarte batean bizi gara, eta datuak komunikatzeko sistemak funtsezkoak bihurtu dira gure eguneroko bizitzaren alderdi guztietan. Covid19-k erakutsi digu ezagutzen ez dugunak agertoki eta bizimodu berrietara eraman gaitzakeela, duela hilabete batzuk imajinatu ere ezin genituen lekuetara. Gaur egun, pertsonen, enpresen eta erakundeen arteko harremanak inoiz baino gehiago oinarritzen dira telekomunikazio-sareetan, eta, beraz, zibersegurtasun sofistikatuaren beharra oso garrantzitsua bihurtzen ari da gero eta handiagoak diren zibererasoetatik babesteko. Enpresak eta erakundeak diru kopuru handiak inbertitzen ari dira beren segurtasun zibernetikoan. Egoera horretan, hacking etikoa ohiko tresna bihurtu da behar den segurtasun-maila zehazteko. Hacking etikoaren helburua da sare informatikoetan ahuleziak eta kalteberatasunak aurkitzea, hackerrek sareetan sartzeko eta softwarearen ahuleziak azaltzeko erabiltzen dituzten ezagutza eta tresna berberak erabiliz. Dibulgazio-artikulu honek hacking etikoa zer den, zer onura dituen eta zergatik den beharrezkoa azaltzen du. Hacking etikoari buruzko artearen egoera bat aurkezten du, eta erakusten du enpresek eta erakundeek nola inplementa lezaketen hacking etikoa, sarbide-testetan (Penetration Testing Execution Standard, PTES) oinarritutako metodologia erabiliz.
- Egileak: Ainhoa Etxeberria, Iñaki Goirizelaia, Juan Jose Unzilla, Jasone Astorga, Maider Huarte
- Argitaletxea: UPV/EHUko argitalpen zerbitzua
- ISSN: 0214-9001
- eISSN: 2444-3255
- Orrialdeak: 313-326
- DOI: 10.1387/ekaia.21939
Egileez
Ainhoa Etxeberria, Iñaki Goirizelaia, Juan Jose Unzilla, Jasone Astorga eta Maider Huarte EHUko Bilboko Ingeniaritza Eskolako ikertzaileak dira
Ekaia aldizkariarekin lankidetzan egindako atala.
