Tidligere i år da den internasjonale cybergjengen Lapsus$ angrep store teknologiske merkevarer, inkludert Samsung, Microsoft, Nvidia og passordbehandler Okta, en etisk grense så ut til å ha blitt krysset for mange nettkriminelle.
Selv etter deres skumle standarder, var omfanget av bruddet, forstyrrelsen forårsaket og profilen til de involverte virksomhetene rett og slett for mye. Så nettkriminalitetssamfunnet kom sammen for å straffe Lapsus$ ved å lekke informasjon om gruppen, et trekk som til slutt førte til arrestasjonen og breakup.
Så kanskje det er ære blant tyvene likevel? Nå, misforstå meg rett; dette er ikke en klapp på skulderen for nettkriminelle, men det indikerer at i det minste noen profesjonelle retningslinjer blir fulgt.
Noe som reiser et spørsmål for det bredere lovlydige hackersamfunnet: Bør vi ha våre egne etiske retningslinjer? Og i så fall, hvordan kan det se ut?
Hva er etisk hacking?
La oss først definere etisk hacking. Det er prosessen med å vurdere et datasystem, nettverk, infrastruktur eller applikasjon med gode intensjoner, for å finne sårbarheter og sikkerhetsfeil som utviklere kan ha oversett. I hovedsak er det å finne de svake punktene før skurkene gjør det og varsle organisasjonen, slik at den kan unngå store omdømme- eller økonomisk tap.
Etisk hacking krever som et minimum kunnskap og tillatelse fra virksomheten eller organisasjonen som er gjenstand for infiltrasjonsforsøket ditt.
Her er fem andre veiledende prinsipper for at aktivitet skal anses som etisk hacking.
Hack for å sikre
En etisk hacker som kommer for å vurdere sikkerheten til ethvert selskap vil se etter sårbarheter, ikke bare i systemet, men også i rapporterings- og informasjonshåndteringsprosessene. Målet med disse hackerne er å oppdage sårbarheter, gi detaljert innsikt og komme med anbefalinger for å bygge et sikkert miljø. Til syvende og sist er de ute etter å gjøre organisasjonen sikrere.
Hack ansvarlig
Hackere må sikre at de har tillatelse, og tydelig beskrive omfanget av tilgang selskapet gir, samt omfanget av arbeidet de gjør. Dette er veldig viktig. Målrettet kunnskap og et klart omfang bidrar til å forhindre utilsiktede kompromisser og etablere solide kommunikasjonslinjer hvis hackeren avdekker noe alarmerende. Ansvar, rettidig kommunikasjon og åpenhet er viktige etiske prinsipper å følge, og skiller en hacker klart fra en nettkriminell og fra resten av sikkerhetsteamet.
Dokumenter alt
Alle gode hackere holder detaljerte notater om alt de gjør under en vurdering og logger alle kommandoer og verktøy. Først og fremst er dette for å beskytte seg selv. For eksempel, hvis det oppstår et problem under en penetrasjonstest, vil arbeidsgiveren se til hackeren først. Å ha en tidsstemplet logg over aktivitetene som utføres, det være seg utnyttelse av et system eller skanning etter skadelig programvare, gir organisasjoner sinnsro ved å minne dem på at hackere jobber med dem, ikke mot dem.
Gode notater opprettholder den etiske og juridiske siden av ting; de er også grunnlaget for rapporten hackere vil produsere, selv når det ikke er noen store funn. Notatene vil tillate dem å fremheve problemene de har identifisert, trinnene som trengs for å gjenskape problemene, og detaljerte forslag til hvordan de kan fikse dem.
Hold kommunikasjon aktiv
Åpen og rettidig kommunikasjon bør være klart definert i kontrakten. Å holde seg i kommunikasjon gjennom en vurdering er nøkkelen. God praksis er å alltid varsle når vurderinger kjører; en daglig e-post med vurderingskjøringstidene er viktig.
Selv om hackeren kanskje ikke trenger å rapportere alle sårbarhetene de finner umiddelbart til sin klientkontakt, bør de likevel flagge enhver kritisk, show-stoppende feil under en ekstern penetrasjonstest. Dette kan være en utnyttbar uautentisert RCE eller SQLi, en ondsinnet kodekjøring eller sårbarhet for avsløring av sensitive data. Når de støter på disse, slutter hackere å teste, utsteder et skriftlig sårbarhetsvarsel via e-post og følger opp med en telefonsamtale. Dette gir team på forretningssiden muligheten til å pause og fikse problemet umiddelbart hvis de ønsker det. Det er uansvarlig å la en feil av denne størrelsesorden forbli uflagget inntil rapporten utgis uker senere.
Hackere bør holde hovedkontaktpunktene sine klar over fremgangen deres og eventuelle større problemer de oppdager mens de fortsetter. Dette sikrer at alle er klar over eventuelle problemer i forkant av den endelige rapporten.
Ha en hacker-tankegang
Begrepet hacking ble brukt allerede før informasjonssikkerhet vokste i betydning. Det betyr bare å bruke ting på utilsiktede måter. For dette forsøker hackere først å forstå alle de tiltenkte brukstilfellene til et system og ta hensyn til alle dets komponenter.
Hackere må fortsette å utvikle denne tankegangen og aldri slutte å lære. Dette gjør at de kan tenke både fra et defensivt og et offensivt perspektiv og er nyttig når de ser på noe du aldri har opplevd før. Ved å lage beste praksis, forstå målet og lage angrepsveier, kan en hacker levere fantastiske resultater.
