การแฮ็กควรมีจรรยาบรรณหรือไม่?

เมื่อต้นปีที่ผ่านมา เมื่อ Lapsus$ แก๊งไซเบอร์ระดับนานาชาติโจมตีแบรนด์เทคโนโลยีรายใหญ่ ๆ เช่น ซัมซุง, Microsoft, Nvidia และตัวจัดการรหัสผ่าน Oktaดูเหมือนว่ามีการข้ามเส้นจริยธรรมสำหรับอาชญากรไซเบอร์จำนวนมาก

แม้ว่าตามมาตรฐานที่คลุมเครือของพวกเขา ขอบเขตของการละเมิด การหยุดชะงักที่เกิดขึ้น และโปรไฟล์ของธุรกิจที่เกี่ยวข้องก็มากเกินไป ดังนั้น ชุมชนอาชญากรรมไซเบอร์จึงรวมตัวกันเพื่อลงโทษ Lapsus$ ด้วยการปล่อยข้อมูลเกี่ยวกับกลุ่มรั่วไหล ซึ่งท้ายที่สุดก็นำไปสู่การจับกุมและ การกระจัดกระจาย.

บางทีเกียรติยศในหมู่โจรก็เป็นไปได้เหรอ? อย่าเข้าใจฉันผิดนะ นี่ไม่ใช่การตบหลังอาชญากรไซเบอร์ แต่เป็นการบ่งชี้ว่ามีการปฏิบัติตามโค้ดระดับมืออาชีพอย่างน้อยบางส่วน

ซึ่งทำให้เกิดคำถามสำหรับชุมชนแฮ็คที่ปฏิบัติตามกฎหมายในวงกว้าง: เราควรมีจรรยาบรรณของเราเองหรือไม่? แล้วถ้าเป็นเช่นนั้น มันจะมีลักษณะอย่างไร?

การแฮ็กอย่างมีจริยธรรมคืออะไร?

 ก่อนอื่นเรามานิยามการแฮ็กอย่างมีจริยธรรมกันก่อน เป็นกระบวนการประเมินระบบคอมพิวเตอร์ เครือข่าย โครงสร้างพื้นฐาน หรือแอปพลิเคชันด้วยความตั้งใจที่ดี เพื่อค้นหาจุดอ่อนและข้อบกพร่องด้านความปลอดภัยที่นักพัฒนาอาจมองข้ามไป โดยพื้นฐานแล้ว มันคือการค้นหาจุดอ่อนก่อนที่ผู้ร้ายจะทำและแจ้งเตือนองค์กร เพื่อหลีกเลี่ยงการสูญเสียชื่อเสียงหรือทางการเงินครั้งใหญ่

การแฮ็กอย่างมีจริยธรรมจำเป็นต้องมีความรู้และการอนุญาตจากธุรกิจหรือองค์กรที่เป็นเป้าหมายของการพยายามแทรกซึมเป็นอย่างน้อย

ต่อไปนี้เป็นหลักการชี้นำอีกห้าประการสำหรับกิจกรรมที่ถือว่าเป็นการแฮ็กอย่างมีจริยธรรม

แฮ็คเพื่อความปลอดภัย

แฮกเกอร์ผู้มีจริยธรรมและหมวกขาวที่เข้ามาประเมินความปลอดภัยของบริษัทใดๆ จะมองหาช่องโหว่ ไม่เพียงแต่ในระบบเท่านั้น แต่ยังรวมถึงในกระบวนการรายงานและการจัดการข้อมูลด้วย เป้าหมายของแฮกเกอร์เหล่านี้คือการค้นหาช่องโหว่ ให้ข้อมูลเชิงลึกโดยละเอียด และให้คำแนะนำในการสร้างสภาพแวดล้อมที่ปลอดภัย ท้ายที่สุดแล้ว พวกเขาต้องการทำให้องค์กรมีความปลอดภัยมากขึ้น

แฮ็คอย่างมีความรับผิดชอบ

แฮกเกอร์ต้องตรวจสอบให้แน่ใจว่าพวกเขาได้รับอนุญาต โดยระบุอย่างชัดเจนถึงขอบเขตการเข้าถึงที่บริษัทมอบให้ รวมถึงขอบเขตของงานที่พวกเขากำลังทำอยู่ นี่เป็นสิ่งสำคัญมาก ความรู้ที่เป็นเป้าหมายและขอบเขตที่ชัดเจนจะช่วยป้องกันการโจมตีโดยไม่ได้ตั้งใจ และสร้างแนวทางการสื่อสารที่มั่นคงหากแฮ็กเกอร์ค้นพบสิ่งที่น่าตกใจ ความรับผิดชอบ การสื่อสารที่ทันท่วงที และความเปิดกว้างถือเป็นหลักการทางจริยธรรมที่สำคัญที่ต้องปฏิบัติตาม และแยกแยะแฮกเกอร์ออกจากอาชญากรไซเบอร์และจากทีมรักษาความปลอดภัยส่วนที่เหลือได้อย่างชัดเจน

เอกสารทุกอย่าง

แฮกเกอร์ที่ดีทุกคนจะเก็บบันทึกโดยละเอียดของทุกสิ่งที่พวกเขาทำระหว่างการประเมิน และบันทึกคำสั่งและผลลัพธ์ของเครื่องมือทั้งหมด ประการแรกและสำคัญที่สุดคือการปกป้องตนเอง ตัวอย่างเช่น หากเกิดปัญหาระหว่างการทดสอบการเจาะระบบ นายจ้างจะตรวจสอบแฮกเกอร์ก่อน การมีบันทึกเวลาของกิจกรรมที่ทำ ไม่ว่าจะเป็นการใช้ประโยชน์จากระบบหรือการสแกนหามัลแวร์ ช่วยให้องค์กรสบายใจขึ้นด้วยการเตือนพวกเขาว่าแฮกเกอร์ทำงานร่วมกับพวกเขา ไม่ใช่ต่อต้านพวกเขา

บันทึกที่ดีสนับสนุนด้านจริยธรรมและกฎหมายของสิ่งต่างๆ นอกจากนี้ยังเป็นพื้นฐานของรายงานที่แฮกเกอร์จะจัดทำ แม้ว่าจะไม่มีการค้นพบที่สำคัญก็ตาม หมายเหตุจะช่วยให้พวกเขาสามารถเน้นปัญหาที่พวกเขาระบุ ขั้นตอนที่จำเป็นในการทำให้เกิดปัญหาอีกครั้ง และคำแนะนำโดยละเอียดเกี่ยวกับวิธีการแก้ไขปัญหาเหล่านั้น

ให้การสื่อสารใช้งานอยู่

การสื่อสารที่เปิดกว้างและทันเวลาควรมีการกำหนดไว้อย่างชัดเจนในสัญญา การสื่อสารตลอดการประเมินเป็นสิ่งสำคัญ แนวทางปฏิบัติที่ดีคือแจ้งทุกครั้งเมื่อมีการประเมินเกิดขึ้น อีเมลรายวันพร้อมเวลาดำเนินการประเมินถือเป็นสิ่งสำคัญ

แม้ว่าแฮกเกอร์อาจไม่จำเป็นต้องรายงานช่องโหว่ทั้งหมดที่พบทันทีต่อผู้ติดต่อของลูกค้า แต่พวกเขายังคงควรแจ้งข้อบกพร่องที่สำคัญและหยุดการแสดงในระหว่างการทดสอบการเจาะระบบจากภายนอก นี่อาจเป็น RCE หรือ SQLi ที่ไม่ได้รับการตรวจสอบสิทธิ์ การเรียกใช้โค้ดที่เป็นอันตราย หรือช่องโหว่ในการเปิดเผยข้อมูลที่ละเอียดอ่อน เมื่อพบสิ่งเหล่านี้ แฮกเกอร์จะหยุดการทดสอบ ออกการแจ้งเตือนช่องโหว่เป็นลายลักษณ์อักษรทางอีเมล และติดตามผลด้วยการโทร สิ่งนี้ทำให้ทีมในฝั่งธุรกิจมีโอกาสหยุดชั่วคราวและแก้ไขปัญหาทันทีหากพวกเขาเลือก เราไม่รับผิดชอบที่จะปล่อยให้ข้อบกพร่องขนาดนี้ไม่ถูกตั้งค่าสถานะจนกว่ารายงานจะออกในสัปดาห์ต่อมา

แฮกเกอร์ควรแจ้งให้จุดติดต่อหลักของตนทราบถึงความคืบหน้าและปัญหาสำคัญใดๆ ที่พวกเขาค้นพบในขณะที่ดำเนินการ สิ่งนี้ทำให้ทุกคนทราบถึงปัญหาใดๆ ก่อนการรายงานขั้นสุดท้าย

มีความคิดแบบแฮ็กเกอร์

คำว่าการแฮ็กถูกใช้ก่อนที่ความปลอดภัยของข้อมูลจะมีความสำคัญมากขึ้น มันหมายถึงการใช้สิ่งต่าง ๆ ในทางที่ไม่ได้ตั้งใจ สำหรับสิ่งนี้ แฮกเกอร์พยายามทำความเข้าใจกรณีการใช้งานที่ตั้งใจไว้ทั้งหมดของระบบก่อน และพิจารณาส่วนประกอบทั้งหมดของระบบ

แฮกเกอร์จะต้องพัฒนากรอบความคิดนี้ต่อไปและอย่าหยุดเรียนรู้ สิ่งนี้ทำให้พวกเขาคิดทั้งจากมุมมองเชิงรับและเชิงรุก และมีประโยชน์เมื่อมองสิ่งที่คุณไม่เคยสัมผัสมาก่อน ด้วยการสร้างแนวทางปฏิบัติที่ดีที่สุด การทำความเข้าใจเป้าหมาย และสร้างเส้นทางการโจมตี แฮกเกอร์สามารถให้ผลลัพธ์ที่น่าอัศจรรย์ได้