Eerder dit jaar viel de internationale cyberbende Lapsus$ grote technologiemerken aan, waaronder Samsung, Microsoft, Nvidia en wachtwoordbeheerder Oktaleek voor veel cybercriminelen een ethische grens te zijn overschreden.
Zelfs volgens hun duistere maatstaven waren de omvang van de inbreuk, de veroorzaakte verstoring en het profiel van de betrokken bedrijven gewoon te veel. Dus kwam de cybercriminaliteitsgemeenschap samen om Lapsus$ te straffen door informatie over de groep te lekken, een actie die uiteindelijk leidde tot hun arrestatie en uiteenvallen.
Dus misschien is er toch eer onder dieven? Begrijp me nu niet verkeerd; dit is geen schouderklopje voor cybercriminelen, maar het geeft wel aan dat er op zijn minst een bepaalde professionele code wordt gevolgd.
Dat roept een vraag op voor de bredere, gezagsgetrouwe hackgemeenschap: moeten we onze eigen ethische gedragscode hebben? En zo ja, hoe zou dat er uit kunnen zien?
Wat is ethisch hacken?
Laten we eerst ethisch hacken definiëren. Het is het proces waarbij met goede bedoelingen een computersysteem, netwerk, infrastructuur of applicatie wordt beoordeeld, om kwetsbaarheden en beveiligingsfouten te vinden die ontwikkelaars mogelijk over het hoofd hebben gezien. In wezen gaat het om het vinden van de zwakke plekken voordat de slechteriken dat doen en het waarschuwen van de organisatie, zodat grote reputatie- of financiële verliezen kunnen worden vermeden.
Ethisch hacken vereist op zijn minst de kennis en toestemming van het bedrijf of de organisatie die het onderwerp is van uw poging tot infiltratie.
Hier zijn vijf andere leidende principes voor activiteiten die als ethisch hacken kunnen worden beschouwd.
Hack om te beveiligen
Een ethische hacker met een witte hoed die de veiligheid van een bedrijf komt beoordelen, zal op zoek gaan naar kwetsbaarheden, niet alleen in het systeem, maar ook in de rapportage- en informatieverwerkingsprocessen. Het doel van deze hackers is om kwetsbaarheden te ontdekken, gedetailleerde inzichten te verschaffen en aanbevelingen te doen voor het bouwen van een veilige omgeving. Uiteindelijk willen ze de organisatie veiliger maken.
Verantwoord hacken
Hackers moeten ervoor zorgen dat ze toestemming hebben, waarbij duidelijk de mate van toegang die het bedrijf geeft, wordt aangegeven, evenals de reikwijdte van het werk dat ze doen. Dit is erg belangrijk. Doelgerichte kennis en een duidelijke reikwijdte helpen onbedoelde compromissen te voorkomen en solide communicatielijnen tot stand te brengen als de hacker iets alarmerends ontdekt. Verantwoordelijkheid, tijdige communicatie en openheid zijn essentiële ethische principes die we moeten naleven, en die een hacker duidelijk onderscheiden van een cybercrimineel en van de rest van het beveiligingsteam.
Alles documenteren
Alle goede hackers houden gedetailleerde aantekeningen bij van alles wat ze tijdens een beoordeling doen en registreren alle uitvoer van opdrachten en tools. Dit is in de eerste plaats om zichzelf te beschermen. Als zich bijvoorbeeld een probleem voordoet tijdens een penetratietest, zal de werkgever eerst naar de hacker kijken. Het hebben van een tijdstempel van de uitgevoerde activiteiten, of het nu gaat om het exploiteren van een systeem of het scannen op malware, geeft organisaties gemoedsrust door hen eraan te herinneren dat hackers met hen werken en niet tegen hen.
Goede aantekeningen ondersteunen de ethische en juridische kant van de zaak; ze vormen ook de basis van het rapport dat hackers zullen produceren, zelfs als er geen grote bevindingen zijn. Met de aantekeningen kunnen ze de problemen benadrukken die ze hebben geïdentificeerd, de stappen die nodig zijn om de problemen te reproduceren en gedetailleerde suggesties geven over hoe ze kunnen worden opgelost.
Houd de communicatie actief
Open en tijdige communicatie moet duidelijk in het contract worden vastgelegd. Het is van cruciaal belang dat u tijdens een assessment in communicatie blijft. Een goede praktijk is om altijd op de hoogte te stellen wanneer beoordelingen plaatsvinden; een dagelijkse e-mail met de doorlooptijden van de beoordeling is van cruciaal belang.
Hoewel de hacker misschien niet alle gevonden kwetsbaarheden onmiddellijk aan zijn klantcontact hoeft te melden, moet hij toch elke kritieke, opvallende fout melden tijdens een externe penetratietest. Dit kan een exploiteerbare, niet-geverifieerde RCE of SQLi zijn, een kwaadaardige code-uitvoering of een kwetsbaarheid voor het vrijgeven van gevoelige gegevens. Wanneer ze deze tegenkomen, stoppen hackers met testen, sturen ze een schriftelijke melding van de kwetsbaarheid via e-mail en nemen ze contact op met een telefoontje. Dit geeft teams aan de zakelijke kant de kans om te pauzeren en het probleem onmiddellijk op te lossen als ze dat willen. Het is onverantwoord om een tekortkoming van deze omvang onopgemerkt te laten totdat het rapport weken later verschijnt.
Hackers moeten hun belangrijkste contactpersonen op de hoogte houden van hun voortgang en eventuele grote problemen die ze onderweg ontdekken. Dit zorgt ervoor dat iedereen voorafgaand aan het eindrapport op de hoogte is van eventuele problemen.
Zorg voor een hackermentaliteit
De term hacking werd al gebruikt voordat informatiebeveiliging steeds belangrijker werd. Het betekent gewoon dat je dingen op onbedoelde manieren gebruikt. Hiervoor proberen hackers eerst alle beoogde gebruiksscenario's van een systeem te begrijpen en rekening te houden met alle componenten ervan.
Hackers moeten deze mentaliteit blijven ontwikkelen en nooit stoppen met leren. Hierdoor kunnen ze zowel vanuit een defensief als een offensief perspectief denken en is dit handig als je kijkt naar iets dat je nog nooit eerder hebt meegemaakt. Door best practices te creëren, het doelwit te begrijpen en aanvalspaden te creëren, kan een hacker verbluffende resultaten opleveren.
