V začetku tega leta, ko je mednarodna kibernetska tolpa Lapsus$ napadla glavne tehnološke znamke, vključno z Samsung, Microsoft, Nvidia in upravitelj gesel Okta, se je zdelo, da so številni kiberkriminalci prestopili etično mejo.
Celo po njihovih mračnih standardih je bil obseg kršitve, povzročena motnja in profil vpletenih podjetij enostavno prevelik. Tako se je skupnost kibernetskega kriminala zbrala, da bi kaznovala Lapsus$ z razkritjem informacij o skupini, poteza, ki je na koncu privedla do njihove aretacije in razpadu.
So maybe there’s honor amongst thieves after all? Now, don’t get me wrong; this isn’t a pat on the back for cybercriminals, but it does indicate that at least some professional code is being followed.
Kar odpira vprašanje za širšo hekersko skupnost, ki spoštuje zakone: Ali bi morali imeti lasten etični kodeks ravnanja? In če je tako, kako bi to lahko izgledalo?
Kaj je etično hekanje?
First let’s define ethical hacking. It is the process of assessing a computer system, network, infrastructure, or application with good intentions, to find vulnerabilities and security flaws that developers might have overlooked. Essentially, it’s finding the weak spots before the bad guys do and alerting the organization, so it can avoid any big reputational or financial loss.
Etično vdiranje zahteva minimalno znanje in dovoljenje podjetja ali organizacije, ki je predmet vašega poskusa infiltracije.
Tukaj je pet drugih vodilnih načel za dejavnost, ki jo je treba šteti za etično vdiranje.
Hack To Secure
An ethical and white-hat hacker coming to assess the security of any company will look for vulnerabilities, not only in the system but also in the reporting and information handling processes. The goal these hackers is to discover vulnerabilities, provide detailed insights, and make recommendations for building a secure environment. Ultimately, they’re looking to make the organization more secure.
Hekajte odgovorno
Hekerji se morajo prepričati, da imajo dovoljenje, pri čemer morajo jasno opisati obseg dostopa, ki ga daje podjetje, kot tudi obseg dela, ki ga opravljajo. To je zelo pomembno. Ciljno znanje in jasen obseg pomagata preprečiti morebitne nenamerne kompromise in vzpostavita trdne komunikacijske linije, če heker odkrije kaj zaskrbljujočega. Odgovornost, pravočasna komunikacija in odprtost so bistvena etična načela, ki jih je treba spoštovati in jasno razlikujejo hekerja od kibernetskega kriminalca in preostale varnostne ekipe.
Dokumentirajte vse
Vsi dobri hekerji vodijo podrobne zapiske o vsem, kar počnejo med ocenjevanjem, in beležijo vse izhode ukazov in orodij. V prvi vrsti je to, da se zaščitijo. Na primer, če pride do težave med preizkusom prodora, se bo delodajalec najprej obrnil na hekerja. Če imate dnevnik izvedenih dejavnosti s časovnim žigom, pa naj gre za izkoriščanje sistema ali iskanje zlonamerne programske opreme, organizacije pomirjajo, saj jih opomnijo, da hekerji delajo z njimi, ne proti njim.
Dobre opombe podpirajo etično in pravno plat stvari; so tudi osnova za poročilo, ki ga bodo hekerji pripravili, tudi če ni večjih ugotovitev. Opombe jim bodo omogočile, da poudarijo težave, ki so jih odkrili, korake, potrebne za reprodukcijo težav, in podrobne predloge, kako jih odpraviti.
Naj bodo komunikacije aktivne
Odprta in pravočasna komunikacija mora biti jasno opredeljena v pogodbi. Ohranjanje komunikacije med ocenjevanjem je ključno. Dobra praksa je vedno obvestiti, ko se izvajajo ocene; dnevna e-pošta s časi izvajanja ocenjevanja je ključnega pomena.
While the hacker might not need to report all the vulnerabilities they find immediately to their client contact, they still should flag any critical, show-stopping flaw during an external penetration test. This could be an exploitable unauthenticated RCE or SQLi, a malicious code execution, or sensitive data disclosure vulnerability. When encountering these, hackers stop testing, issue a written vulnerability notification via email, and follow up with a phone call. This gives teams on the business side the chance to pause and fix the issue immediately if they choose. It’s irresponsible to let a flaw of this magnitude go unflagged until the report is issued weeks later.
Hekerji morajo svoje glavne kontaktne točke obveščati o svojem napredku in vseh večjih težavah, ki jih odkrijejo med nadaljevanjem. To zagotavlja, da so vsi seznanjeni z vsemi težavami pred končnim poročilom.
Imejte hekersko miselnost
Izraz vdiranje se je začel uporabljati, še preden je informacijska varnost pridobila pomen. To samo pomeni uporabo stvari na nenamenske načine. Za to si hekerji najprej prizadevajo razumeti vse predvidene primere uporabe sistema in upoštevati vse njegove komponente.
Hekerji morajo še naprej razvijati to miselnost in se nikoli ne prenehati učiti. To jim omogoča, da razmišljajo iz obrambne in ofenzivne perspektive in je uporabno, ko gledajo na nekaj, česar še niste doživeli. Z ustvarjanjem najboljših praks, razumevanjem cilja in ustvarjanjem napadalnih poti lahko heker doseže osupljive rezultate.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
