Als die internationale Cyber-Gang Lapsus$ Anfang dieses Jahres große Technologiemarken angriff, darunter Samsung, Microsoft, Nvidia und Passwort-Manager Oktaschien für viele Cyberkriminelle eine ethische Grenze überschritten worden zu sein.
Selbst nach ihren düsteren Maßstäben waren das Ausmaß des Verstoßes, die verursachten Störungen und das Profil der beteiligten Unternehmen einfach zu groß. Also kam die Cybercrime-Community zusammen, um Lapsus$ zu bestrafen, indem sie Informationen über die Gruppe preisgab, was letztendlich zu ihrer Verhaftung führte Zerfall.
Vielleicht gibt es unter Dieben also doch Ehre? Verstehen Sie mich jetzt nicht falsch; Das ist kein Schulterklopfen für Cyberkriminelle, aber es zeigt, dass zumindest gewisse Berufsregeln befolgt werden.
Das wirft eine Frage für die breitere gesetzestreue Hacker-Community auf: Sollten wir einen eigenen ethischen Verhaltenskodex haben? Und wenn ja, wie könnte das aussehen?
Was ist ethisches Hacken?
Lassen Sie uns zunächst ethisches Hacken definieren. Dabei handelt es sich um den Prozess der Bewertung eines Computersystems, eines Netzwerks, einer Infrastruktur oder einer Anwendung mit guten Absichten, um Schwachstellen und Sicherheitsmängel zu finden, die Entwickler möglicherweise übersehen haben. Im Wesentlichen geht es darum, die Schwachstellen zu finden, bevor es die Bösewichte tun, und die Organisation zu alarmieren, damit große Reputations- oder finanzielle Verluste vermieden werden können.
Ethisches Hacking erfordert als absolutes Minimum das Wissen und die Erlaubnis des Unternehmens oder der Organisation, die Gegenstand Ihres Infiltrationsversuchs ist.
Hier sind fünf weitere Leitprinzipien für Aktivitäten, die als ethisches Hacking gelten.
Hack zum Sichern
Ein ethischer und White-Hat-Hacker, der die Sicherheit eines Unternehmens bewerten soll, sucht nach Schwachstellen, nicht nur im System, sondern auch in den Berichts- und Informationsverarbeitungsprozessen. Das Ziel dieser Hacker besteht darin, Schwachstellen zu entdecken, detaillierte Erkenntnisse zu liefern und Empfehlungen für den Aufbau einer sicheren Umgebung abzugeben. Letztendlich geht es ihnen darum, die Organisation sicherer zu machen.
Hacken Sie verantwortungsvoll
Hacker müssen sicherstellen, dass sie über eine Erlaubnis verfügen, indem sie den Umfang des Zugriffs, den das Unternehmen gewährt, sowie den Umfang der von ihnen ausgeführten Arbeit klar darlegen. Dies ist sehr wichtig. Zielgerichtetes Wissen und ein klarer Anwendungsbereich helfen dabei, unbeabsichtigte Kompromittierungen zu verhindern und solide Kommunikationswege aufzubauen, wenn der Hacker etwas Besorgniserregendes entdeckt. Verantwortung, zeitnahe Kommunikation und Offenheit sind wichtige ethische Grundsätze, die es einzuhalten gilt und die einen Hacker klar von einem Cyberkriminellen und vom Rest des Sicherheitsteams unterscheiden.
Alles dokumentieren
Alle guten Hacker machen sich detaillierte Notizen über alles, was sie während einer Bewertung tun, und protokollieren alle Befehls- und Toolausgaben. In erster Linie geht es dabei um den eigenen Schutz. Wenn beispielsweise während eines Penetrationstests ein Problem auftritt, wird sich der Arbeitgeber zuerst an den Hacker wenden. Ein mit einem Zeitstempel versehenes Protokoll der durchgeführten Aktivitäten, sei es die Ausnutzung eines Systems oder die Suche nach Malware, gibt Unternehmen Sicherheit, indem sie sie daran erinnert, dass Hacker mit ihnen und nicht gegen sie arbeiten.
Gute Notizen wahren die ethische und rechtliche Seite der Dinge; Sie sind auch die Grundlage für die Berichte, die Hacker erstellen, auch wenn keine wesentlichen Erkenntnisse vorliegen. Mithilfe der Notizen können sie die von ihnen identifizierten Probleme, die zur Reproduktion der Probleme erforderlichen Schritte und detaillierte Vorschläge zu deren Behebung hervorheben.
Halten Sie die Kommunikation aktiv
Offene und zeitnahe Kommunikation sollte im Vertrag klar definiert sein. Es ist wichtig, während der gesamten Beurteilung in Kommunikation zu bleiben. Eine bewährte Vorgehensweise besteht darin, immer zu benachrichtigen, wenn Bewertungen ausgeführt werden. Eine tägliche E-Mail mit den Bewertungslaufzeiten ist von entscheidender Bedeutung.
Auch wenn der Hacker möglicherweise nicht alle gefundenen Schwachstellen sofort seinem Kundenkontakt melden muss, sollte er dennoch jeden kritischen, auffälligen Fehler während eines externen Penetrationstests kennzeichnen. Dabei kann es sich um einen ausnutzbaren, nicht authentifizierten RCE oder SQLi, die Ausführung von Schadcode oder eine Sicherheitslücke bei der Offenlegung vertraulicher Daten handeln. Wenn Hacker auf solche Probleme stoßen, unterbrechen sie die Tests, verschicken eine schriftliche Schwachstellenbenachrichtigung per E-Mail und rufen anschließend an. Dies gibt den Teams auf der Unternehmensseite die Möglichkeit, das Problem sofort zu unterbrechen und zu beheben, wenn sie dies wünschen. Es ist unverantwortlich, einen Fehler dieser Größenordnung unentdeckt zu lassen, bis der Bericht Wochen später veröffentlicht wird.
Hacker sollten ihre Hauptansprechpartner über ihre Fortschritte und alle größeren Probleme, die sie dabei entdecken, auf dem Laufenden halten. Dadurch wird sichergestellt, dass jeder vor dem Abschlussbericht über alle Probleme informiert ist.
Haben Sie eine Hacker-Mentalität
Der Begriff Hacking wurde bereits verwendet, bevor die Informationssicherheit an Bedeutung gewann. Es bedeutet lediglich, Dinge auf unbeabsichtigte Weise zu verwenden. Dazu versuchen Hacker zunächst, alle beabsichtigten Anwendungsfälle eines Systems zu verstehen und alle seine Komponenten zu berücksichtigen.
Hacker müssen diese Denkweise weiterentwickeln und dürfen nie aufhören zu lernen. Dies ermöglicht es ihnen, sowohl aus einer defensiven als auch aus einer offensiven Perspektive zu denken, und ist nützlich, wenn Sie etwas betrachten, das Sie noch nie zuvor erlebt haben. Indem ein Hacker Best Practices entwickelt, das Ziel versteht und Angriffspfade erstellt, kann er erstaunliche Ergebnisse liefern.
