در اوایل سال جاری، زمانی که باند سایبری بین المللی Lapsus$ به برندهای بزرگ فناوری از جمله حمله کرد سامسونگ، مایکروسافت، انویدیا و مدیر رمز عبور Okta، به نظر می رسید که یک خط اخلاقی برای بسیاری از مجرمان سایبری رد شده است.
حتی با توجه به استانداردهای مبهم آنها، میزان نقض، اختلال ایجاد شده و مشخصات مشاغل درگیر بسیار زیاد بود. بنابراین، جامعه جرایم سایبری گرد هم آمدند تا Lapsus$ را با افشای اطلاعات در مورد این گروه مجازات کنند، حرکتی که در نهایت منجر به دستگیری آنها شد و انحلال.
پس شاید بالاخره در بین دزدها شرافتی وجود داشته باشد؟ حالا، اشتباه نکنید؛ این کار برای مجرمان سایبری نیست، اما نشان می دهد که حداقل برخی از کدهای حرفه ای دنبال می شود.
این سوالی را برای جامعه هکرهای قانونمند بیشتر ایجاد می کند: آیا ما باید منشور اخلاقی خود را داشته باشیم؟ و اگر چنین است، چه چیزی ممکن است به نظر برسد؟
هک اخلاقی چیست؟
ابتدا اجازه دهید هک اخلاقی را تعریف کنیم. این فرآیند ارزیابی یک سیستم کامپیوتری، شبکه، زیرساخت یا برنامه با نیت خوب است تا آسیبپذیریها و نقصهای امنیتی را که توسعهدهندگان نادیده گرفتهاند، پیدا کنند. اساساً، این است که نقاط ضعف را قبل از انجام کار افراد بد پیدا کنید و به سازمان هشدار دهید، بنابراین می تواند از هر گونه ضرر بزرگ اعتباری یا مالی جلوگیری کند.
هک اخلاقی حداقل نیازمند دانش و اجازه کسب و کار یا سازمانی است که موضوع تلاش شما برای نفوذ است.
در اینجا پنج اصل راهنمای دیگر برای فعالیتی که باید هک اخلاقی در نظر گرفته شود، آورده شده است.
هک برای ایمن کردن
یک هکر اخلاقی و کلاه سفید که برای ارزیابی امنیت هر شرکتی می آید، نه تنها در سیستم، بلکه در فرآیندهای گزارش دهی و مدیریت اطلاعات نیز به دنبال آسیب پذیری خواهد بود. هدف این هکرها کشف آسیبپذیریها، ارائه اطلاعات دقیق و ارائه توصیههایی برای ایجاد یک محیط امن است. در نهایت، آنها به دنبال ایجاد امنیت بیشتر سازمان هستند.
هک مسئولانه
هکرها باید اطمینان حاصل کنند که مجوز دارند و به وضوح میزان دسترسی شرکت و همچنین محدوده کاری که انجام می دهند را مشخص کنند. این بسیار مهم است. دانش هدف، و محدوده روشن، به جلوگیری از هرگونه مصالحه تصادفی کمک می کند و اگر هکر چیز هشدار دهنده ای را کشف کند، خطوط ارتباطی محکمی ایجاد می کند. مسئولیت پذیری، ارتباط به موقع و گشودگی اصول اخلاقی حیاتی هستند که باید از آنها تبعیت کرد و به وضوح یک هکر را از یک مجرم سایبری و از بقیه تیم امنیتی متمایز کرد.
همه چیز را مستند کنید
همه هکرهای خوب یادداشتهای دقیقی از هر کاری که در طول ارزیابی انجام میدهند نگه میدارند و تمام خروجیهای دستور و ابزار را ثبت میکنند. اول از همه، این برای محافظت از خود است. به عنوان مثال، اگر مشکلی در طول تست نفوذ رخ دهد، کارفرما ابتدا به هکر نگاه می کند. داشتن یک گزارش دارای مهر زمانی از فعالیتهای انجام شده، اعم از سوء استفاده از یک سیستم یا اسکن بدافزار، با یادآوری اینکه هکرها با آنها کار میکنند، نه علیه آنها، ذهنیت را به سازمانها میدهد.
یادداشت های خوب جنبه اخلاقی و قانونی چیزها را حفظ می کند. آنها همچنین اساس گزارشی هستند که هکرها ارائه خواهند کرد، حتی زمانی که هیچ یافته مهمی وجود نداشته باشد. یادداشتها به آنها اجازه میدهد تا مشکلاتی را که شناسایی کردهاند، مراحل مورد نیاز برای بازتولید مشکلات و پیشنهادات دقیق در مورد نحوه رفع آنها را برجسته کنند.
ارتباطات را فعال نگه دارید
ارتباطات باز و به موقع باید به وضوح در قرارداد تعریف شود. برقراری ارتباط در طول ارزیابی کلیدی است. تمرین خوب این است که همیشه هنگام ارزیابی ها اطلاع دهید. یک ایمیل روزانه با زمان اجرای ارزیابی حیاتی است.
در حالی که هکر ممکن است نیازی نداشته باشد تمام آسیبپذیریهایی را که پیدا میکند فوراً به مخاطب مشتری خود گزارش دهد، اما همچنان باید در طول تست نفوذ خارجی، هرگونه نقص مهم و متوقفکننده را علامتگذاری کند. این می تواند یک RCE یا SQLi تایید نشده قابل بهره برداری، یک اجرای کد مخرب، یا آسیب پذیری افشای داده های حساس باشد. هنگام مواجهه با این موارد، هکرها آزمایش را متوقف می کنند، یک اخطار کتبی آسیب پذیری از طریق ایمیل صادر می کنند و با یک تماس تلفنی پیگیری می کنند. این به تیمهای طرف تجاری این فرصت را میدهد که در صورت تمایل فوراً مشکل را متوقف کرده و آن را برطرف کنند. این غیرمسئولانه است که اجازه دهیم یک نقص به این بزرگی تا زمانی که این گزارش هفتهها بعد منتشر نشود، آشکار نشود.
هکرها باید نقاط اصلی تماس خود را از پیشرفت خود و هرگونه مشکل عمده ای که در حین انجام کار کشف می کنند آگاه نگه دارند. این اطمینان می دهد که همه از هر گونه مشکلی قبل از گزارش نهایی آگاه هستند.
ذهنیت هکری داشته باشید
اصطلاح هک حتی قبل از اینکه امنیت اطلاعات اهمیت پیدا کند استفاده می شد. این فقط به معنای استفاده از چیزها به روش های ناخواسته است. برای این کار، هکرها ابتدا به دنبال درک همه موارد استفاده مورد نظر از یک سیستم و در نظر گرفتن تمام اجزای آن هستند.
هکرها باید به توسعه این طرز فکر ادامه دهند و هرگز یادگیری را متوقف نکنند. این به آنها امکان می دهد هم از منظر تدافعی و هم از منظر تهاجمی فکر کنند و وقتی به چیزی نگاه می کنند که قبلاً هرگز تجربه نکرده اید مفید است. با ایجاد بهترین شیوه ها، درک هدف و ایجاد مسیرهای حمله، یک هکر می تواند نتایج شگفت انگیزی را ارائه دهد.
