هل يجب أن يكون للقرصنة مدونة لقواعد السلوك؟ ذكاء بيانات PlatoBlockchain. البحث العمودي. عاي.

هل يجب أن يكون للقرصنة مدونة لقواعد السلوك؟

الطابع الزمني: 26 سبتمبر 2022 10:00 صباحًا

في وقت سابق من هذا العام عندما هاجمت عصابة Lapsus $ الإلكترونية الدولية العلامات التجارية الكبرى للتكنولوجيا بما في ذلك سامسونج ومايكروسوفت ونفيديا ومدير كلمات المرور ثمن، يبدو أنه تم تجاوز الخط الأخلاقي بالنسبة للعديد من مجرمي الإنترنت.

وحتى وفقًا لمعاييرهم الغامضة، كان مدى الانتهاك والتعطيل الناتج عنه وملف الشركات المعنية كبيرًا جدًا. لذلك، اجتمع مجتمع الجرائم الإلكترونية معًا لمعاقبة Lapsus$ عن طريق تسريب معلومات عن المجموعة، وهي الخطوة التي أدت في النهاية إلى اعتقالهم واعتقالهم. تفكك.

إذن ربما هناك شرف بين اللصوص بعد كل شيء؟ الآن، لا تفهموني خطأ؛ هذه ليست تحية لمجرمي الإنترنت، ولكنها تشير إلى أنه يتم اتباع بعض التعليمات البرمجية المهنية على الأقل.

وهو ما يثير سؤالاً لمجتمع القرصنة الأوسع الملتزم بالقانون: هل يجب أن يكون لدينا مدونة سلوك أخلاقية خاصة بنا؟ وإذا كان الأمر كذلك، كيف يمكن أن يبدو ذلك؟

ما هو القرصنة الأخلاقية؟

 أولا دعونا نحدد القرصنة الأخلاقية. إنها عملية تقييم نظام الكمبيوتر أو الشبكة أو البنية التحتية أو التطبيق بحسن نية، للعثور على نقاط الضعف والعيوب الأمنية التي ربما تجاهلها المطورون. في الأساس، تتمثل المهمة في العثور على نقاط الضعف قبل أن يفعلها الأشرار وتنبيه المنظمة، حتى تتمكن من تجنب أي خسارة كبيرة تتعلق بالسمعة أو الخسارة المالية.

يتطلب الاختراق الأخلاقي، كحد أدنى، معرفة وإذن الشركة أو المؤسسة التي تكون موضوع محاولة التسلل الخاصة بك.

فيما يلي خمسة مبادئ توجيهية أخرى للنشاط الذي يعتبر قرصنة أخلاقية.

هاك لتأمين

إن المتسلل الأخلاقي ذو القبعة البيضاء الذي يأتي لتقييم أمان أي شركة سوف يبحث عن نقاط الضعف، ليس فقط في النظام ولكن أيضًا في عمليات إعداد التقارير ومعالجة المعلومات. هدف هؤلاء المتسللين هو اكتشاف نقاط الضعف وتقديم رؤى تفصيلية وتقديم توصيات لبناء بيئة آمنة. وفي نهاية المطاف، فإنهم يتطلعون إلى جعل المنظمة أكثر أمانًا.

هاك بمسؤولية

يجب على المتسللين التأكد من حصولهم على الإذن، الذي يحدد بوضوح مدى الوصول الذي تمنحه الشركة، بالإضافة إلى نطاق العمل الذي يقومون به. هذا مهم جدا. تساعد المعرفة المستهدفة والنطاق الواضح على منع أي تنازلات عرضية وإنشاء خطوط اتصال قوية إذا اكتشف المتسلل أي شيء مثير للقلق. تعد المسؤولية والتواصل في الوقت المناسب والانفتاح مبادئ أخلاقية حيوية يجب الالتزام بها، وتميز بوضوح بين المتسلل ومجرم الإنترنت وعن بقية فريق الأمن.

وثق كل شيء

يحتفظ جميع المتسللين الجيدين بملاحظات تفصيلية عن كل ما يفعلونه أثناء التقييم ويسجلون جميع مخرجات الأوامر والأدوات. أولاً وقبل كل شيء، هذا لحماية أنفسهم. على سبيل المثال، إذا حدثت مشكلة أثناء اختبار الاختراق، فسوف ينظر صاحب العمل إلى المتسلل أولاً. إن وجود سجل ذو طابع زمني للأنشطة التي تم تنفيذها، سواء كان ذلك استغلالًا للنظام أو البحث عن البرامج الضارة، يمنح المؤسسات راحة البال من خلال تذكيرها بأن المتسللين يعملون معهم، وليس ضدهم.

الملاحظات الجيدة تدعم الجانب الأخلاقي والقانوني للأشياء؛ وهي أيضًا أساس التقرير الذي سيصدره المتسللون، حتى في حالة عدم وجود نتائج رئيسية. ستسمح لهم الملاحظات بتسليط الضوء على المشكلات التي حددوها، والخطوات اللازمة لإعادة إنتاج المشكلات، والاقتراحات التفصيلية حول كيفية إصلاحها.

حافظ على الاتصالات نشطة

يجب أن يتم تحديد الاتصالات المفتوحة وفي الوقت المناسب بشكل واضح في العقد. يعد البقاء على اتصال طوال فترة التقييم أمرًا أساسيًا. الممارسة الجيدة هي الإخطار دائمًا عند إجراء التقييمات؛ يعد البريد الإلكتروني اليومي الذي يتضمن أوقات تشغيل التقييم أمرًا حيويًا.

على الرغم من أن المتسلل قد لا يحتاج إلى الإبلاغ عن جميع نقاط الضعف التي يجدها على الفور إلى جهة اتصال العميل الخاصة به، إلا أنه لا يزال يتعين عليه الإبلاغ عن أي خلل خطير وملفت للنظر أثناء اختبار الاختراق الخارجي. قد يكون هذا عبارة عن ثغرة RCE أو SQLi غير مصادق عليها وقابلة للاستغلال، أو تنفيذ تعليمات برمجية ضارة، أو ثغرة أمنية للكشف عن البيانات الحساسة. عند مواجهة هذه المشاكل، يتوقف المتسللون عن الاختبار، ويصدرون إشعارًا مكتوبًا بالثغرات الأمنية عبر البريد الإلكتروني، ويتابعون الأمر بمكالمة هاتفية. يمنح هذا الفرق في جانب الأعمال الفرصة للتوقف مؤقتًا وإصلاح المشكلة على الفور إذا اختاروا ذلك. إنه أمر غير مسؤول أن نترك عيبًا بهذا الحجم دون الإبلاغ عنه حتى صدور التقرير بعد أسابيع.

يجب على المتسللين إبقاء نقاط الاتصال الرئيسية الخاصة بهم على علم بتقدمهم وأي مشكلات رئيسية يكتشفونها أثناء تقدمهم. وهذا يضمن أن الجميع على علم بأي مشاكل قبل التقرير النهائي.

امتلك عقلية الهاكر

تم استخدام مصطلح القرصنة حتى قبل أن تزداد أهمية أمن المعلومات. إنه يعني فقط استخدام الأشياء بطرق غير مقصودة. ولهذا يسعى المتسللون أولاً إلى فهم جميع حالات الاستخدام المقصودة للنظام ويأخذون في الاعتبار جميع مكوناته.

يجب على المتسللين الاستمرار في تطوير هذه العقلية وعدم التوقف عن التعلم أبدًا. وهذا يسمح لهم بالتفكير من منظور دفاعي وهجومي وهو مفيد عند النظر إلى شيء لم تختبره من قبل. ومن خلال إنشاء أفضل الممارسات وفهم الهدف وإنشاء مسارات الهجوم، يمكن للمتسلل تحقيق نتائج مذهلة.

الطابع الزمني:

اكثر من قراءة مظلمة