Đầu năm nay khi băng đảng mạng quốc tế Lapsus$ tấn công các thương hiệu công nghệ lớn bao gồm Samsung, Microsoft, Nvidia và trình quản lý mật khẩu Okta, ranh giới đạo đức dường như đã bị nhiều tội phạm mạng vượt qua.
Ngay cả theo những tiêu chuẩn mờ ám của họ, mức độ vi phạm, sự gián đoạn gây ra và hồ sơ của các doanh nghiệp liên quan vẫn là quá nhiều. Vì vậy, cộng đồng tội phạm mạng đã cùng nhau trừng phạt Lapsus$ bằng cách làm rò rỉ thông tin về nhóm, một động thái cuối cùng dẫn đến việc họ bị bắt giữ và chia tay.
Vậy có lẽ cuối cùng thì cũng có danh dự giữa những tên trộm? Bây giờ, đừng hiểu lầm tôi; đây không phải là một lời khen ngợi dành cho tội phạm mạng, nhưng nó cho thấy rằng ít nhất một số quy tắc chuyên nghiệp đang được tuân theo.
Điều này đặt ra một câu hỏi cho cộng đồng hack tuân thủ pháp luật rộng lớn hơn: Chúng ta có nên có quy tắc ứng xử đạo đức của riêng mình không? Và nếu vậy, nó có thể trông như thế nào?
Hack đạo đức là gì?
Đầu tiên hãy xác định hack đạo đức. Đó là quá trình đánh giá một hệ thống máy tính, mạng, cơ sở hạ tầng hoặc ứng dụng với mục đích tốt nhằm tìm ra các lỗ hổng và lỗi bảo mật mà các nhà phát triển có thể đã bỏ qua. Về cơ bản, nó tìm ra những điểm yếu trước khi kẻ xấu thực hiện và cảnh báo cho tổ chức, để có thể tránh được bất kỳ tổn thất lớn về danh tiếng hoặc tài chính nào.
Việc hack có đạo đức đòi hỏi ở mức tối thiểu sự hiểu biết và sự cho phép của doanh nghiệp hoặc tổ chức là đối tượng mà bạn cố gắng xâm nhập.
Dưới đây là năm nguyên tắc hướng dẫn khác để hoạt động được coi là hack có đạo đức.
Hack để bảo mật
Một hacker mũ trắng có đạo đức đến đánh giá tính bảo mật của bất kỳ công ty nào sẽ tìm kiếm các lỗ hổng, không chỉ trong hệ thống mà còn trong quy trình báo cáo và xử lý thông tin. Mục tiêu của những tin tặc này là khám phá các lỗ hổng, cung cấp thông tin chi tiết và đưa ra khuyến nghị để xây dựng một môi trường an toàn. Cuối cùng, họ đang tìm cách làm cho tổ chức an toàn hơn.
Hack có trách nhiệm
Tin tặc phải đảm bảo rằng họ có được sự cho phép, nêu rõ phạm vi quyền truy cập mà công ty đang cấp cũng như phạm vi công việc mà họ đang thực hiện. Cái này rất quan trọng. Kiến thức về mục tiêu và phạm vi rõ ràng giúp ngăn chặn mọi thỏa hiệp vô tình và thiết lập đường dây liên lạc vững chắc nếu tin tặc phát hiện ra bất kỳ điều gì đáng báo động. Trách nhiệm, liên lạc kịp thời và cởi mở là những nguyên tắc đạo đức quan trọng cần tuân thủ và phân biệt rõ ràng tin tặc với tội phạm mạng và với phần còn lại của nhóm bảo mật.
Ghi lại mọi thứ
Tất cả các tin tặc giỏi đều ghi chú chi tiết mọi việc họ làm trong quá trình đánh giá và ghi lại tất cả đầu ra lệnh và công cụ. Đầu tiên và quan trọng nhất, điều này là để bảo vệ chính họ. Ví dụ: nếu sự cố xảy ra trong quá trình kiểm tra thâm nhập, nhà tuyển dụng sẽ xem xét tin tặc trước tiên. Việc có nhật ký được đánh dấu thời gian về các hoạt động được thực hiện, dù là khai thác hệ thống hay quét phần mềm độc hại, giúp các tổ chức yên tâm hơn bằng cách nhắc nhở họ rằng tin tặc làm việc với họ chứ không phải chống lại họ.
Những ghi chú tốt đề cao khía cạnh đạo đức và pháp lý của mọi việc; chúng cũng là cơ sở cho báo cáo mà tin tặc sẽ tạo ra, ngay cả khi không có phát hiện quan trọng nào. Các ghi chú sẽ cho phép họ nêu bật các vấn đề họ đã xác định, các bước cần thiết để tái hiện vấn đề và đề xuất chi tiết về cách khắc phục chúng.
Giữ liên lạc hoạt động
Việc trao đổi thông tin cởi mở và kịp thời phải được xác định rõ ràng trong hợp đồng. Duy trì liên lạc trong suốt quá trình đánh giá là điều quan trọng. Cách tốt nhất là luôn thông báo khi đánh giá đang diễn ra; một email hàng ngày với thời gian chạy đánh giá là rất quan trọng.
Mặc dù tin tặc có thể không cần phải báo cáo ngay lập tức tất cả các lỗ hổng mà chúng tìm thấy cho khách hàng của mình, nhưng chúng vẫn nên gắn cờ mọi lỗ hổng nghiêm trọng, gây cản trở trong quá trình kiểm tra thâm nhập bên ngoài. Đây có thể là RCE hoặc SQLi chưa được xác thực có thể khai thác, thực thi mã độc hoặc lỗ hổng tiết lộ dữ liệu nhạy cảm. Khi gặp phải những vấn đề này, tin tặc sẽ ngừng kiểm tra, đưa ra thông báo về lỗ hổng bằng văn bản qua email và liên hệ bằng một cuộc gọi điện thoại. Điều này mang lại cho các nhóm kinh doanh cơ hội tạm dừng và khắc phục sự cố ngay lập tức nếu họ chọn. Thật vô trách nhiệm nếu để một lỗ hổng nghiêm trọng như thế này không bị phát hiện cho đến khi báo cáo được đưa ra vài tuần sau đó.
Tin tặc nên thông báo cho đầu mối liên hệ chính của mình biết về tiến trình của họ và bất kỳ vấn đề quan trọng nào mà họ phát hiện ra khi tiến hành. Điều này đảm bảo mọi người đều biết về mọi vấn đề trước báo cáo cuối cùng.
Có tư duy hacker
Thuật ngữ hack đã được sử dụng ngay cả trước khi bảo mật thông tin trở nên quan trọng. Nó chỉ có nghĩa là sử dụng mọi thứ theo những cách ngoài ý muốn. Để làm được điều này, trước tiên tin tặc phải tìm cách hiểu tất cả các trường hợp sử dụng dự định của một hệ thống và xem xét tất cả các thành phần của nó.
Tin tặc phải tiếp tục phát triển tư duy này và không ngừng học hỏi. Điều này cho phép họ suy nghĩ cả từ góc độ phòng thủ lẫn tấn công và rất hữu ích khi nhìn vào điều gì đó mà bạn chưa từng trải qua trước đây. Bằng cách tạo ra các phương pháp hay nhất, hiểu mục tiêu và tạo đường dẫn tấn công, tin tặc có thể mang lại kết quả đáng kinh ngạc.
