All'inizio di quest'anno, quando la cyber-gang internazionale Lapsus $ ha attaccato i principali marchi tecnologici tra cui Samsung, Microsoft, Nvidia e gestore di password Okta, una linea etica sembrava essere stata superata per molti criminali informatici.
Anche per i loro oscuri standard, l'entità della violazione, l'interruzione causata e il profilo delle aziende coinvolte erano semplicemente eccessive. Quindi, la comunità del crimine informatico si è riunita per punire Lapsus $ facendo trapelare informazioni sul gruppo, una mossa che alla fine ha portato al loro arresto e rottura.
Quindi forse dopotutto c'è onore tra i ladri? Ora, non fraintendermi; questa non è una pacca sulla spalla per i criminali informatici, ma indica che almeno un codice professionale viene seguito.
Il che solleva una domanda per la più ampia comunità di hacker rispettosi della legge: dovremmo avere il nostro codice etico di condotta? E se sì, come potrebbe essere?
Che cos'è l'hacking etico?
Per prima cosa definiamo l'hacking etico. È il processo di valutazione di un sistema informatico, rete, infrastruttura o applicazione con buone intenzioni, per trovare vulnerabilità e difetti di sicurezza che gli sviluppatori potrebbero aver trascurato. Essenzialmente, sta trovando i punti deboli prima che lo facciano i cattivi e allertando l'organizzazione, in modo da evitare qualsiasi grande perdita di reputazione o finanziaria.
L'hacking etico richiede, come minimo, la conoscenza e l'autorizzazione dell'azienda o dell'organizzazione oggetto del tuo tentativo di infiltrazione.
Ecco altri cinque principi guida per l'attività da considerare hacking etico.
Hack per proteggere
Un hacker etico e con cappello bianco che viene a valutare la sicurezza di qualsiasi azienda cercherà vulnerabilità, non solo nel sistema ma anche nei processi di segnalazione e gestione delle informazioni. L'obiettivo di questi hacker è scoprire vulnerabilità, fornire approfondimenti dettagliati e formulare raccomandazioni per la creazione di un ambiente sicuro. In definitiva, stanno cercando di rendere l'organizzazione più sicura.
Hack responsabilmente
Gli hacker devono assicurarsi di avere il permesso, delineando chiaramente l'estensione dell'accesso che l'azienda sta fornendo, nonché l'ambito del lavoro che stanno svolgendo. Questo è molto importante. La conoscenza dell'obiettivo e un ambito chiaro aiutano a prevenire eventuali compromissioni accidentali e stabiliscono solide linee di comunicazione se l'hacker scopre qualcosa di allarmante. Responsabilità, comunicazione tempestiva e apertura sono principi etici fondamentali da rispettare e distinguere chiaramente un hacker da un criminale informatico e dal resto del team di sicurezza.
Documenta tutto
Tutti i bravi hacker tengono note dettagliate di tutto ciò che fanno durante una valutazione e registrano tutti i comandi e gli output degli strumenti. Prima di tutto, questo è per proteggere se stessi. Ad esempio, se si verifica un problema durante un test di penetrazione, il datore di lavoro esaminerà prima l'hacker. Avere un registro con data e ora delle attività svolte, sia che si tratti di sfruttamento di un sistema o di ricerca di malware, dà tranquillità alle organizzazioni ricordando loro che gli hacker lavorano con loro, non contro di loro.
Le buone note sostengono il lato etico e legale delle cose; sono anche la base del rapporto che gli hacker produrranno, anche quando non ci sono risultati importanti. Le note consentiranno loro di evidenziare i problemi che hanno identificato, i passaggi necessari per riprodurre i problemi e suggerimenti dettagliati su come risolverli.
Mantenere le comunicazioni attive
Le comunicazioni aperte e tempestive dovrebbero essere chiaramente definite nel contratto. Rimanere in comunicazione durante una valutazione è fondamentale. È buona prassi avvisare sempre quando le valutazioni sono in corso; un'e-mail giornaliera con i tempi di esecuzione della valutazione è fondamentale.
Sebbene l'hacker potrebbe non aver bisogno di segnalare immediatamente tutte le vulnerabilità che trova al proprio contatto con il cliente, dovrebbe comunque segnalare qualsiasi difetto critico durante un penetration test esterno. Potrebbe trattarsi di un RCE o SQLi non autenticato sfruttabile, un'esecuzione di codice dannoso o una vulnerabilità di divulgazione di dati sensibili. Quando li incontrano, gli hacker interrompono i test, emettono una notifica di vulnerabilità scritta via e-mail e danno seguito a una telefonata. Ciò offre ai team aziendali la possibilità di mettere in pausa e risolvere immediatamente il problema, se lo desiderano. È irresponsabile lasciare che un difetto di questa portata non venga segnalato fino a quando il rapporto non viene pubblicato settimane dopo.
Gli hacker dovrebbero mantenere i loro principali punti di contatto consapevoli dei loro progressi e di eventuali problemi importanti che scoprono mentre procedono. Ciò garantisce che tutti siano a conoscenza di eventuali problemi prima della relazione finale.
Avere una mentalità da hacker
Il termine hacking è stato utilizzato anche prima che la sicurezza delle informazioni diventasse importante. Significa solo usare le cose in modi non intenzionali. Per questo, gli hacker cercano prima di tutto di comprendere tutti i casi d'uso previsti di un sistema e di prendere in considerazione tutti i suoi componenti.
Gli hacker devono continuare a sviluppare questa mentalità e non smettere mai di imparare. Ciò consente loro di pensare sia da una prospettiva difensiva che offensiva ed è utile quando si guarda a qualcosa che non si è mai sperimentato prima. Creando best practice, comprendendo l'obiettivo e creando percorsi di attacco, un hacker può ottenere risultati sorprendenti.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
