No início deste ano, quando a gangue cibernética internacional Lapsus$ atacou grandes marcas de tecnologia, incluindo Samsung, Microsoft, Nvidia e gerenciador de senhas Octa, uma linha ética parecia ter sido ultrapassada por muitos cibercriminosos.
Mesmo para os seus padrões obscuros, a extensão da violação, a perturbação causada e o perfil das empresas envolvidas eram demasiado grandes. Assim, a comunidade do crime cibernético se uniu para punir Lapsus$ vazando informações sobre o grupo, um movimento que acabou levando à sua prisão e rompimento.
Então talvez haja honra entre os ladrões, afinal? Agora, não me interpretem mal; isso não é um tapinha nas costas dos cibercriminosos, mas indica que pelo menos algum código profissional está sendo seguido.
O que levanta uma questão para a comunidade hacker que cumpre a lei em geral: deveríamos ter o nosso próprio código de conduta ética? E se sim, como seria isso?
O que é hackeamento ético?
Primeiro, vamos definir o hacking ético. É o processo de avaliar um sistema de computador, rede, infraestrutura ou aplicativo com boas intenções, para encontrar vulnerabilidades e falhas de segurança que os desenvolvedores possam ter esquecido. Essencialmente, trata-se de encontrar os pontos fracos antes que os bandidos o façam e alertar a organização, para que ela possa evitar qualquer grande perda de reputação ou financeira.
O hacking ético requer, no mínimo, o conhecimento e a permissão da empresa ou organização que é objeto da sua tentativa de infiltração.
Aqui estão cinco outros princípios orientadores para que a atividade seja considerada hacking ético.
Hackear para proteger
Um hacker ético e de chapéu branco que venha avaliar a segurança de qualquer empresa irá procurar vulnerabilidades, não apenas no sistema, mas também nos processos de relatórios e tratamento de informações. O objetivo desses hackers é descobrir vulnerabilidades, fornecer insights detalhados e fazer recomendações para a construção de um ambiente seguro. Em última análise, eles procuram tornar a organização mais segura.
Hackear com responsabilidade
Os hackers devem garantir que possuem permissão, descrevendo claramente a extensão do acesso que a empresa está concedendo, bem como o escopo do trabalho que estão realizando. Isto é muito importante. O conhecimento do alvo e um escopo claro ajudam a evitar qualquer comprometimento acidental e a estabelecer linhas sólidas de comunicação caso o hacker descubra algo alarmante. Responsabilidade, comunicação oportuna e abertura são princípios éticos vitais a serem respeitados e distinguem claramente um hacker de um cibercriminoso e do restante da equipe de segurança.
Documentar tudo
Todos os bons hackers mantêm anotações detalhadas de tudo o que fazem durante uma avaliação e registram todos os comandos e saídas de ferramentas. Em primeiro lugar, isto é para se protegerem. Por exemplo, se ocorrer um problema durante um teste de penetração, o empregador procurará primeiro o hacker. Ter um registro com data e hora das atividades realizadas, seja na exploração de um sistema ou na verificação de malware, dá tranquilidade às organizações, lembrando-as de que os hackers trabalham com elas, e não contra elas.
Boas notas defendem o lado ético e legal das coisas; eles também são a base do relatório que os hackers produzirão, mesmo quando não há descobertas importantes. As notas permitir-lhes-ão destacar os problemas que identificaram, os passos necessários para reproduzir os problemas e sugestões detalhadas sobre como corrigi-los.
Mantenha as comunicações ativas
As comunicações abertas e oportunas devem ser claramente definidas no contrato. Manter a comunicação durante uma avaliação é fundamental. Uma boa prática é sempre notificar quando as avaliações estiverem em andamento; um e-mail diário com os tempos de execução da avaliação é vital.
Embora o hacker possa não precisar relatar todas as vulnerabilidades que encontrar imediatamente ao contato do cliente, ele ainda deve sinalizar qualquer falha crítica e marcante durante um teste de penetração externo. Isso pode ser um RCE ou SQLi não autenticado explorável, uma execução de código malicioso ou uma vulnerabilidade de divulgação de dados confidenciais. Ao encontrar isso, os hackers param os testes, emitem uma notificação de vulnerabilidade por escrito por e-mail e fazem o acompanhamento com um telefonema. Isso dá às equipes do lado comercial a oportunidade de fazer uma pausa e corrigir o problema imediatamente, se assim desejarem. É irresponsável deixar que uma falha desta magnitude passe despercebida até que o relatório seja publicado semanas depois.
Os hackers devem manter seus principais pontos de contato cientes de seu progresso e de quaisquer problemas importantes que descubram à medida que avançam. Isso garante que todos estejam cientes de quaisquer problemas antes do relatório final.
Tenha uma mentalidade hacker
O termo hacking foi usado antes mesmo de a segurança da informação ganhar importância. Significa apenas usar as coisas de maneiras não intencionais. Para isso, os hackers procuram primeiro compreender todos os casos de uso pretendidos de um sistema e levar em consideração todos os seus componentes.
Os hackers devem continuar desenvolvendo essa mentalidade e nunca parar de aprender. Isto permite-lhes pensar tanto de uma perspectiva defensiva como ofensiva e é útil quando olham para algo que nunca experimentaram antes. Ao criar melhores práticas, compreender o alvo e criar caminhos de ataque, um hacker pode entregar resultados surpreendentes.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
