Awal tahun ini ketika geng dunia maya internasional Lapsus$ menyerang merek-merek teknologi besar termasuk Samsung, Microsoft, Nvidia dan pengelola kata sandi Okta, garis etika tampaknya telah dilanggar oleh banyak penjahat dunia maya.
Bahkan dengan standar keruh mereka, tingkat pelanggaran, gangguan yang disebabkan, dan profil bisnis yang terlibat terlalu banyak. Jadi, komunitas kejahatan dunia maya berkumpul untuk menghukum Lapsus$ dengan membocorkan informasi tentang grup tersebut, sebuah langkah yang akhirnya berujung pada penangkapan dan penangkapan mereka. perpisahan.
Jadi mungkin ada kehormatan di antara para pencuri? Sekarang, jangan salah paham; ini bukan tepuk tangan untuk penjahat dunia maya, tetapi ini menunjukkan bahwa setidaknya beberapa kode profesional diikuti.
Yang menimbulkan pertanyaan bagi komunitas peretas yang taat hukum: Haruskah kita memiliki kode etik sendiri? Dan jika ya, seperti apa bentuknya?
Apa itu Peretasan Etis?
โฏPertama mari kita definisikan peretasan etis. Ini adalah proses menilai sistem komputer, jaringan, infrastruktur, atau aplikasi dengan niat baik, untuk menemukan kerentanan dan kelemahan keamanan yang mungkin diabaikan oleh pengembang. Pada dasarnya, ini menemukan titik lemah sebelum orang jahat melakukannya dan mengingatkan organisasi, sehingga dapat menghindari kerugian reputasi atau finansial yang besar.
Peretasan etis membutuhkan, minimal, pengetahuan dan izin dari bisnis atau organisasi yang menjadi sasaran upaya penyusupan Anda.
Berikut adalah lima prinsip panduan lain agar aktivitas dianggap sebagai peretasan etis.
Retas Untuk Mengamankan
Peretas etis dan topi putih yang datang untuk menilai keamanan perusahaan mana pun akan mencari kerentanan, tidak hanya dalam sistem tetapi juga dalam proses pelaporan dan penanganan informasi. Tujuan para peretas ini adalah menemukan kerentanan, memberikan wawasan terperinci, dan membuat rekomendasi untuk membangun lingkungan yang aman. Pada akhirnya, mereka ingin membuat organisasi lebih aman.
Retas Secara Bertanggung Jawab
Peretas harus memastikan mereka memiliki izin, menguraikan dengan jelas sejauh mana akses yang diberikan perusahaan, serta ruang lingkup pekerjaan yang mereka lakukan. Ini sangat penting. Pengetahuan target, dan ruang lingkup yang jelas, membantu mencegah kompromi yang tidak disengaja dan membangun jalur komunikasi yang solid jika peretas mengungkap sesuatu yang mengkhawatirkan. Tanggung jawab, komunikasi tepat waktu, dan keterbukaan adalah prinsip etika penting yang harus dipatuhi, dan dengan jelas membedakan seorang peretas dari penjahat dunia maya dan dari tim keamanan lainnya.
Dokumentasikan Semuanya
Semua peretas yang baik menyimpan catatan terperinci tentang semua yang mereka lakukan selama penilaian dan mencatat semua keluaran perintah dan alat. Pertama dan terpenting, ini untuk melindungi diri mereka sendiri. Misalnya, jika terjadi masalah selama uji penetrasi, pemberi kerja akan melihat peretas terlebih dahulu. Memiliki catatan waktu aktivitas yang dilakukan, baik itu mengeksploitasi sistem atau memindai malware, memberikan ketenangan bagi organisasi dengan mengingatkan mereka bahwa peretas bekerja dengan mereka, bukan melawan mereka.
Catatan yang baik menjunjung tinggi sisi etika dan hukum; mereka juga menjadi dasar dari laporan yang akan dibuat oleh peretas, bahkan ketika tidak ada temuan besar. Catatan tersebut akan memungkinkan mereka menyoroti masalah yang telah mereka identifikasi, langkah-langkah yang diperlukan untuk mereproduksi masalah, dan saran mendetail tentang cara memperbaikinya.
Tetap Aktif Komunikasi
Komunikasi yang terbuka dan tepat waktu harus didefinisikan dengan jelas dalam kontrak. Tetap berkomunikasi selama penilaian adalah kuncinya. Praktik yang baik adalah selalu memberi tahu saat penilaian sedang berjalan; email harian dengan waktu pelaksanaan penilaian sangat penting.
Meskipun peretas mungkin tidak perlu melaporkan semua kerentanan yang mereka temukan segera ke kontak klien mereka, mereka tetap harus menandai cacat kritis yang menghentikan pertunjukan selama uji penetrasi eksternal. Ini bisa berupa RCE atau SQLi yang tidak diautentikasi yang dapat dieksploitasi, eksekusi kode berbahaya, atau kerentanan pengungkapan data sensitif. Saat menghadapi ini, peretas berhenti menguji, mengeluarkan pemberitahuan kerentanan tertulis melalui email, dan menindaklanjuti dengan panggilan telepon. Hal ini memberikan kesempatan kepada tim di sisi bisnis untuk berhenti sejenak dan segera memperbaiki masalah jika mereka menginginkannya. Tidak bertanggung jawab membiarkan cacat sebesar ini tidak terdeteksi sampai laporan dikeluarkan beberapa minggu kemudian.
Peretas harus menjaga titik kontak utama mereka mengetahui kemajuan mereka dan masalah besar apa pun yang mereka temukan saat mereka melanjutkan. Ini memastikan semua orang mengetahui masalah apa pun menjelang laporan akhir.
Memiliki Pola Pikir Peretas
Istilah peretasan digunakan bahkan sebelum keamanan informasi semakin penting. Itu hanya berarti menggunakan sesuatu dengan cara yang tidak diinginkan. Untuk ini, peretas pertama-tama berusaha memahami semua kasus penggunaan sistem yang dimaksudkan dan mempertimbangkan semua komponennya.
Peretas harus terus mengembangkan pola pikir ini dan tidak pernah berhenti belajar. Ini memungkinkan mereka untuk berpikir baik dari perspektif defensif maupun ofensif dan berguna saat melihat sesuatu yang belum pernah Anda alami sebelumnya. Dengan menciptakan praktik terbaik, memahami target, dan membuat jalur serangan, seorang peretas dapat memberikan hasil yang luar biasa.
