Tidligere i år, da den internationale cyberbande Lapsus$ angreb store tech-brands, bl.a Samsung, Microsoft, Nvidia og password manager Okta, syntes en etisk grænse at være blevet overskredet for mange cyberkriminelle.
Selv efter deres uklare standarder var omfanget af bruddet, forstyrrelsen og profilen af de involverede virksomheder bare for meget. Så cyberkriminalitetssamfundet gik sammen for at straffe Lapsus$ ved at lække oplysninger om gruppen, et skridt, der i sidste ende førte til deres anholdelse og breakup.
Så måske er der alligevel ære blandt tyvene? Nu, misforstå mig ikke; dette er ikke et skulderklap for cyberkriminelle, men det indikerer, at i det mindste nogle faglige regler bliver fulgt.
Hvilket rejser et spørgsmål for det bredere lovlydige hackersamfund: Skal vi have vores eget etiske adfærdskodeks? Og hvis ja, hvordan kan det se ud?
Hvad er etisk hacking?
Lad os først definere etisk hacking. Det er processen med at vurdere et computersystem, netværk, infrastruktur eller applikation med gode intentioner for at finde sårbarheder og sikkerhedsfejl, som udviklere måske har overset. I bund og grund handler det om at finde de svage punkter, før de onde gør det, og at advare organisationen, så den kan undgå ethvert stort omdømme eller økonomisk tab.
Etisk hacking kræver som minimum viden og tilladelse fra den virksomhed eller organisation, som er genstand for dit forsøg på infiltration.
Her er fem andre vejledende principper for, at aktivitet kan betragtes som etisk hacking.
Hack for at sikre
En etisk hacker med hvid hat, der kommer for at vurdere sikkerheden i enhver virksomhed, vil lede efter sårbarheder, ikke kun i systemet, men også i rapporterings- og informationshåndteringsprocesserne. Målet med disse hackere er at opdage sårbarheder, give detaljeret indsigt og komme med anbefalinger til opbygning af et sikkert miljø. I sidste ende søger de at gøre organisationen mere sikker.
Hack ansvarligt
Hackere skal sikre, at de har tilladelse, og tydeligt angive omfanget af adgang, virksomheden giver, samt omfanget af det arbejde, de udfører. Dette er meget vigtigt. Målrettet viden og et klart omfang hjælper med at forhindre utilsigtede kompromiser og etablere solide kommunikationslinjer, hvis hackeren afslører noget alarmerende. Ansvar, rettidig kommunikation og åbenhed er vitale etiske principper at overholde og klart adskille en hacker fra en cyberkriminel og fra resten af sikkerhedsteamet.
Dokumenter alt
Alle gode hackere holder detaljerede noter om alt, hvad de gør under en vurdering og logger alle kommandoer og værktøjsoutput. Først og fremmest er dette for at beskytte sig selv. For eksempel, hvis der opstår et problem under en penetrationstest, vil arbejdsgiveren først se til hackeren. At have en tidsstemplet log over de udførte aktiviteter, det være sig udnyttelse af et system eller scanning for malware, giver organisationer ro i sindet ved at minde dem om, at hackere arbejder med dem, ikke imod dem.
Gode noter fastholder den etiske og juridiske side af tingene; de er også grundlaget for den rapport, hackere vil producere, selv når der ikke er større fund. Noterne giver dem mulighed for at fremhæve de problemer, de har identificeret, de nødvendige trin for at genskabe problemerne og detaljerede forslag til, hvordan de løses.
Hold kommunikationen aktiv
Åben og rettidig kommunikation bør være klart defineret i kontrakten. At forblive i kommunikationen under en vurdering er nøglen. God praksis er altid at give besked, når vurderinger kører; en daglig e-mail med vurderingens køretider er afgørende.
Selvom hackeren måske ikke behøver at rapportere alle de sårbarheder, de finder med det samme, til deres klientkontakt, bør de stadig markere enhver kritisk, show-stoppende fejl under en ekstern penetrationstest. Dette kan være en uautoriseret RCE eller SQLi, der kan udnyttes, en ondsindet udførelse af kode eller sårbarhed ved offentliggørelse af følsomme data. Når de støder på disse, stopper hackere med at teste, udsteder en skriftlig sårbarhedsmeddelelse via e-mail og følger op med et telefonopkald. Dette giver teams på forretningssiden mulighed for at pause og løse problemet med det samme, hvis de vælger det. Det er uansvarligt at lade en fejl af denne størrelsesorden forsvinde uden flag, indtil rapporten udsendes uger senere.
Hackere bør holde deres vigtigste kontaktpunkter opmærksomme på deres fremskridt og alle større problemer, de opdager, mens de fortsætter. Dette sikrer, at alle er opmærksomme på eventuelle problemer forud for den endelige rapport.
Har et hacker mindset
Udtrykket hacking blev brugt allerede før informationssikkerhed voksede i betydning. Det betyder bare at bruge tingene på en utilsigtet måde. Til dette søger hackere først at forstå alle de tilsigtede anvendelsestilfælde af et system og tage alle dets komponenter i betragtning.
Hackere skal fortsætte med at udvikle denne tankegang og aldrig stoppe med at lære. Dette giver dem mulighed for at tænke både fra et defensivt og et offensivt perspektiv og er nyttigt, når de ser på noget, du aldrig har oplevet før. Ved at skabe bedste praksis, forstå målet og skabe angrebsstier kan en hacker levere fantastiske resultater.
