Tidigare i år när det internationella cybergänget Lapsus$ attackerade stora tekniska varumärken, inklusive Samsung, Microsoft, Nvidia och lösenordshanterare Okta, verkade en etisk gräns ha passerats för många cyberbrottslingar.
Även med deras skumma standarder, var omfattningen av intrånget, störningen som orsakades och profilen för de inblandade företagen alldeles för mycket. Så, cyberbrottsgemenskapen gick samman för att straffa Lapsus$ genom att läcka information om gruppen, ett drag som i slutändan ledde till att de arresterades och uppbrott.
Så det kanske finns heder bland tjuvar trots allt? Nu, missförstå mig inte; detta är inte en klapp på axeln för cyberbrottslingar, men det tyder på att åtminstone någon professionell kod följs.
Vilket väcker en fråga för det bredare laglydiga hackarsamhället: Bör vi ha vår egen etiska uppförandekod? Och i så fall, hur kan det se ut?
Vad är etisk hacking?
Låt oss först definiera etisk hacking. Det är processen att utvärdera ett datorsystem, nätverk, infrastruktur eller applikation med goda avsikter, för att hitta sårbarheter och säkerhetsbrister som utvecklare kan ha förbisett. I huvudsak handlar det om att hitta de svaga punkterna innan skurkarna gör det och att varna organisationen, så att den kan undvika stora anseende eller ekonomiska förluster.
Etisk hackning kräver, som ett minimum, kunskap och tillstånd från företaget eller organisationen som är föremål för ditt försök till infiltration.
Här är fem andra vägledande principer för att aktivitet ska betraktas som etisk hacking.
Hacka för att säkra
En etisk hackare som kommer för att bedöma säkerheten för alla företag kommer att leta efter sårbarheter, inte bara i systemet utan också i rapporterings- och informationshanteringsprocesserna. Målet med dessa hackare är att upptäcka sårbarheter, ge detaljerade insikter och ge rekommendationer för att bygga en säker miljö. I slutändan vill de göra organisationen säkrare.
Hacka ansvarsfullt
Hackare måste se till att de har tillstånd och tydligt beskriva omfattningen av åtkomst företaget ger, samt omfattningen av det arbete de utför. Det här är väldigt viktigt. Målkunskap och en tydlig omfattning hjälper till att förhindra oavsiktliga kompromisser och etablera solida kommunikationslinjer om hackaren upptäcker något alarmerande. Ansvar, snabb kommunikation och öppenhet är viktiga etiska principer att följa och tydligt skilja en hackare från en cyberbrottsling och från resten av säkerhetsteamet.
Dokumentera allt
Alla bra hackare håller detaljerade anteckningar om allt de gör under en bedömning och loggar alla kommandon och verktygsutdata. Först och främst är detta för att skydda sig själva. Till exempel, om ett problem uppstår under ett penetrationstest, kommer arbetsgivaren att se till hackaren först. Att ha en tidsstämplad logg över de aktiviteter som utförs, vare sig det är att utnyttja ett system eller söka efter skadlig programvara, ger organisationer sinnesro genom att påminna dem om att hackare arbetar med dem, inte mot dem.
Bra anteckningar upprätthåller den etiska och juridiska sidan av saken; de är också grunden för den rapport som hackare kommer att producera, även när det inte finns några större fynd. Anteckningarna gör det möjligt för dem att lyfta fram de problem de har identifierat, de steg som krävs för att återskapa problemen och detaljerade förslag på hur de kan åtgärda dem.
Håll kommunikationen aktiv
Öppen och aktuell kommunikation bör tydligt definieras i kontraktet. Att hålla sig i kommunikationen under en bedömning är nyckeln. God praxis är att alltid meddela när bedömningar körs; ett dagligt e-postmeddelande med bedömningens körtider är avgörande.
Även om hackaren kanske inte behöver rapportera alla sårbarheter de hittar omedelbart till sin kundkontakt, bör de fortfarande flagga alla kritiska, show-stoppande brister under ett externt penetrationstest. Detta kan vara en oautentiserad RCE eller SQLi som kan utnyttjas, en skadlig kodexekvering eller sårbarhet för avslöjande av känslig data. När de stöter på dessa slutar hackare att testa, utfärdar ett skriftligt sårbarhetsmeddelande via e-post och följer upp med ett telefonsamtal. Detta ger team på affärssidan chansen att pausa och åtgärda problemet omedelbart om de så önskar. Det är oansvarigt att låta ett fel av den här storleken försvinna tills rapporten publiceras veckor senare.
Hackare bör hålla sina huvudsakliga kontaktpunkter medvetna om sina framsteg och alla större problem de upptäcker när de fortsätter. Detta säkerställer att alla är medvetna om eventuella problem inför slutrapporten.
Ha ett hackertänkande
Termen hacking användes redan innan informationssäkerheten växte i betydelse. Det betyder bara att använda saker på oavsiktliga sätt. För detta försöker hackare först förstå alla avsedda användningsfall för ett system och ta hänsyn till alla dess komponenter.
Hackare måste fortsätta utveckla detta tänkesätt och aldrig sluta lära sig. Detta gör att de kan tänka både ur ett defensivt och ett offensivt perspektiv och är användbart när du tittar på något du aldrig upplevt tidigare. Genom att skapa bästa praxis, förstå målet och skapa attackvägar kan en hackare leverera fantastiska resultat.
