Πρέπει το Hacking να έχει Κώδικα Δεοντολογίας;

Νωρίτερα φέτος, όταν η διεθνής κυβερνοσυμμορία Lapsus$ επιτέθηκε σε μεγάλες τεχνολογικές μάρκες, συμπεριλαμβανομένων Samsung, Microsoft, Nvidia και διαχείριση κωδικών πρόσβασης ΟΚΤΑ, μια ηθική γραμμή φαινόταν να έχει ξεπεραστεί για πολλούς εγκληματίες στον κυβερνοχώρο.

Ακόμη και με τα θολά πρότυπα τους, η έκταση της παραβίασης, η αναστάτωση που προκλήθηκε και το προφίλ των εμπλεκόμενων επιχειρήσεων ήταν απλώς υπερβολικά. Έτσι, η κοινότητα του εγκλήματος στον κυβερνοχώρο συγκεντρώθηκε για να τιμωρήσει τον Lapsus$ με τη διαρροή πληροφοριών για την ομάδα, μια κίνηση που τελικά οδήγησε στη σύλληψή τους και διάλυση.

Μήπως τελικά υπάρχει τιμή μεταξύ των κλεφτών; Τώρα, μην με παρεξηγείτε. Αυτό δεν είναι ένα χτύπημα στην πλάτη για τους εγκληματίες του κυβερνοχώρου, αλλά δείχνει ότι ακολουθείται τουλάχιστον κάποιος επαγγελματικός κώδικας.

Κάτι που εγείρει ένα ερώτημα για την ευρύτερη κοινότητα των hacking που συμμορφώνεται με το νόμο: Πρέπει να έχουμε τον δικό μας ηθικό κώδικα συμπεριφοράς; Και αν ναι, πώς μπορεί να μοιάζει;

Τι είναι το Ethical Hacking;

 Πρώτα ας ορίσουμε το ηθικό hacking. Είναι η διαδικασία αξιολόγησης ενός συστήματος υπολογιστή, ενός δικτύου, μιας υποδομής ή μιας εφαρμογής με καλές προθέσεις, για την εύρεση τρωτών σημείων και ελαττωμάτων ασφαλείας που οι προγραμματιστές μπορεί να έχουν παραβλέψει. Ουσιαστικά, είναι να βρείτε τα αδύναμα σημεία πριν το κάνουν οι κακοί και να ειδοποιήσετε τον οργανισμό, ώστε να αποφύγει οποιαδήποτε μεγάλη απώλεια φήμης ή οικονομικής φήμης.

Η ηθική εισβολή απαιτεί, τουλάχιστον, τη γνώση και την άδεια της επιχείρησης ή του οργανισμού που αποτελεί το αντικείμενο της απόπειρας διείσδυσής σας.

Ακολουθούν πέντε άλλες κατευθυντήριες αρχές για τη δραστηριότητα που πρέπει να θεωρείται ηθική πειρατεία.

Hack To Secure

Ένας ηθικός χάκερ που έρχεται να αξιολογήσει την ασφάλεια οποιασδήποτε εταιρείας θα αναζητήσει τρωτά σημεία, όχι μόνο στο σύστημα αλλά και στις διαδικασίες αναφοράς και διαχείρισης πληροφοριών. Ο στόχος αυτών των χάκερ είναι να ανακαλύψουν τρωτά σημεία, να παρέχουν λεπτομερείς πληροφορίες και να κάνουν συστάσεις για τη δημιουργία ενός ασφαλούς περιβάλλοντος. Τελικά, προσπαθούν να κάνουν τον οργανισμό πιο ασφαλή.

Hack Υπεύθυνα

Οι χάκερ πρέπει να διασφαλίσουν ότι έχουν άδεια, περιγράφοντας με σαφήνεια την έκταση πρόσβασης που παρέχει η εταιρεία, καθώς και το εύρος της εργασίας που κάνουν. Αυτό είναι πολύ σημαντικό. Η γνώση των στόχων και το σαφές πεδίο εφαρμογής συμβάλλουν στην αποφυγή τυχόν τυχαίων συμβιβασμών και στη δημιουργία σταθερών γραμμών επικοινωνίας εάν ο χάκερ αποκαλύψει οτιδήποτε ανησυχητικό. Η υπευθυνότητα, η έγκαιρη επικοινωνία και η διαφάνεια είναι ζωτικής σημασίας ηθικές αρχές που πρέπει να τηρούνται και να διακρίνουν σαφώς έναν χάκερ από έναν εγκληματία στον κυβερνοχώρο και από την υπόλοιπη ομάδα ασφαλείας.

Τεκμηριώστε τα πάντα

Όλοι οι καλοί χάκερ κρατούν λεπτομερείς σημειώσεις για όλα όσα κάνουν κατά τη διάρκεια μιας αξιολόγησης και καταγράφουν όλα τα αποτελέσματα εντολών και εργαλείων. Πρώτα και κύρια, αυτό είναι για να προστατευτούν. Για παράδειγμα, εάν παρουσιαστεί ένα ζήτημα κατά τη διάρκεια μιας δοκιμής διείσδυσης, ο εργοδότης θα κοιτάξει πρώτα τον χάκερ. Έχοντας ένα ημερολόγιο με χρονική σήμανση των δραστηριοτήτων που εκτελούνται, είτε πρόκειται για εκμετάλλευση συστήματος είτε για σάρωση για κακόβουλο λογισμικό, δίνει προσοχή στους οργανισμούς υπενθυμίζοντάς τους ότι οι χάκερ συνεργάζονται μαζί τους, όχι εναντίον τους.

Οι καλές σημειώσεις υποστηρίζουν την ηθική και νομική πλευρά των πραγμάτων. αποτελούν επίσης τη βάση της αναφοράς που θα παράγουν οι χάκερ, ακόμη και όταν δεν υπάρχουν σημαντικά ευρήματα. Οι σημειώσεις θα τους επιτρέψουν να επισημάνουν τα ζητήματα που έχουν εντοπίσει, τα βήματα που απαιτούνται για την αναπαραγωγή των προβλημάτων και λεπτομερείς προτάσεις για τον τρόπο επίλυσής τους.

Διατηρήστε τις επικοινωνίες ενεργές

Οι ανοιχτές και έγκαιρες επικοινωνίες θα πρέπει να ορίζονται σαφώς στη σύμβαση. Η παραμονή σε επικοινωνία κατά τη διάρκεια μιας αξιολόγησης είναι το κλειδί. Η καλή πρακτική είναι να ειδοποιείστε πάντα όταν εκτελούνται αξιολογήσεις. Ένα καθημερινό email με τους χρόνους εκτέλεσης της αξιολόγησης είναι ζωτικής σημασίας.

Παρόλο που ο χάκερ μπορεί να μην χρειάζεται να αναφέρει όλα τα τρωτά σημεία που βρίσκει αμέσως στην επαφή με τον πελάτη του, θα πρέπει να επισημάνει οποιοδήποτε κρίσιμο ελάττωμα που θα σταματήσει την εμφάνιση κατά τη διάρκεια μιας δοκιμής εξωτερικής διείσδυσης. Αυτό μπορεί να είναι ένα εκμεταλλεύσιμο μη επαληθευμένο RCE ή SQLi, μια εκτέλεση κακόβουλου κώδικα ή ευπάθεια αποκάλυψης ευαίσθητων δεδομένων. Όταν αντιμετωπίζουν αυτά, οι χάκερ σταματούν τις δοκιμές, εκδίδουν γραπτή ειδοποίηση ευπάθειας μέσω email και συνεχίζουν με ένα τηλεφώνημα. Αυτό δίνει στις ομάδες από την επιχειρηματική πλευρά την ευκαιρία να διακόψουν παύση και να διορθώσουν το πρόβλημα αμέσως, εάν το επιθυμούν. Είναι ανεύθυνο να αφήνουμε ένα ελάττωμα αυτού του μεγέθους να μην επισημανθεί μέχρι να εκδοθεί η έκθεση εβδομάδες αργότερα.

Οι χάκερ θα πρέπει να έχουν ενήμερα τα κύρια σημεία επαφής τους για την πρόοδό τους και τυχόν σημαντικά ζητήματα που ανακαλύπτουν καθώς προχωρούν. Αυτό διασφαλίζει ότι όλοι γνωρίζουν τυχόν ζητήματα πριν από την τελική έκθεση.

Έχετε μια νοοτροπία χάκερ

Ο όρος hacking χρησιμοποιήθηκε πριν ακόμη αποκτήσει σημασία η ασφάλεια των πληροφοριών. Σημαίνει απλώς να χρησιμοποιείς τα πράγματα με ακούσιους τρόπους. Για αυτό, οι χάκερ επιδιώκουν πρώτα να κατανοήσουν όλες τις προβλεπόμενες περιπτώσεις χρήσης ενός συστήματος και να λάβουν υπόψη όλα τα στοιχεία του.

Οι χάκερ πρέπει να συνεχίσουν να αναπτύσσουν αυτή τη νοοτροπία και να μην σταματήσουν ποτέ να μαθαίνουν. Αυτό τους επιτρέπει να σκέφτονται τόσο από αμυντική όσο και επιθετική προοπτική και είναι χρήσιμο όταν κοιτάζουν κάτι που δεν έχετε ξαναζήσει. Δημιουργώντας βέλτιστες πρακτικές, κατανοώντας τον στόχο και δημιουργώντας μονοπάτια επίθεσης, ένας χάκερ μπορεί να προσφέρει εκπληκτικά αποτελέσματα.