今年早些时候,国际网络团伙 Lapsus$ 攻击了主要科技品牌,包括 Samsung、Microsoft、Nvidia 和密码管理器 高层云,许多网络犯罪分子似乎已经跨越了道德底线。
即使按照他们模糊的标准,违规的程度、造成的破坏以及所涉及企业的形象都太过分了。 因此,网络犯罪社区联合起来,通过泄露该组织的信息来惩罚 Lapsus$,此举最终导致他们被捕并被逮捕。 分手.
那么也许盗贼之间还是有尊严的? 现在,请不要误会我的意思; 这并不是对网络犯罪分子的一种鼓励,但它确实表明至少有人遵循了一些专业准则。
这向更广泛的守法黑客社区提出了一个问题:我们是否应该有自己的道德行为准则? 如果是这样,那会是什么样子?
什么是道德黑客?
首先让我们定义道德黑客行为。 这是出于良好意图评估计算机系统、网络、基础设施或应用程序的过程,以发现开发人员可能忽视的漏洞和安全缺陷。 从本质上讲,它是在坏人发现之前发现弱点并向组织发出警报,这样就可以避免任何重大的声誉或财务损失。
道德黑客攻击至少需要您尝试渗透的企业或组织的知识和许可。
以下是被视为道德黑客行为的其他五项指导原则。
黑客保护
一个有道德的白帽黑客来评估任何公司的安全性时都会寻找漏洞,不仅在系统中,而且在报告和信息处理过程中。 这些黑客的目标是发现漏洞、提供详细的见解并为构建安全环境提出建议。 最终,他们希望使组织更加安全。
负责任地黑客攻击
黑客必须确保他们获得许可,清楚地概述公司授予的访问权限范围以及他们正在从事的工作范围。 这个非常重要。 目标知识和明确的范围有助于防止任何意外泄露,并在黑客发现任何令人担忧的情况时建立牢固的沟通渠道。 责任、及时沟通和开放是需要遵守的重要道德原则,并将黑客与网络犯罪分子以及安全团队的其他成员明确区分开来。
记录一切
所有优秀的黑客都会详细记录他们在评估期间所做的一切,并记录所有命令和工具输出。 首先,这是为了保护自己。 例如,如果在渗透测试期间出现问题,雇主将首先寻找黑客。 拥有所执行活动的时间戳日志,无论是利用系统还是扫描恶意软件,都可以提醒组织,黑客是在与他们合作,而不是与他们作对,从而让他们放心。
好的笔记能够维护事物的道德和法律方面; 即使没有重大发现,它们也是黑客生成报告的基础。 这些注释将使他们能够突出显示已发现的问题、重现问题所需的步骤以及如何解决这些问题的详细建议。
保持沟通活跃
合同中应明确规定公开、及时的沟通。 在整个评估过程中保持沟通是关键。 良好的做法是始终在评估运行时发出通知; 包含评估运行时间的每日电子邮件至关重要。
虽然黑客可能不需要立即向客户联系人报告他们发现的所有漏洞,但他们仍然应该在外部渗透测试期间标记任何严重的、令人震惊的缺陷。 这可能是可利用的未经身份验证的 RCE 或 SQLi、恶意代码执行或敏感数据泄露漏洞。 当遇到这些情况时,黑客会停止测试,通过电子邮件发出书面漏洞通知,并通过电话跟进。 这使得业务方面的团队有机会暂停并立即解决问题(如果他们愿意的话)。 直到几周后报告发布才发现如此严重的缺陷,这是不负责任的行为。
黑客应该让他们的主要联系人了解他们的进展以及他们在进行过程中发现的任何重大问题。 这可确保每个人在最终报告发布之前都了解任何问题。
拥有黑客心态
甚至在信息安全变得越来越重要之前,黑客一词就已经被使用了。 它只是意味着以意想不到的方式使用事物。 为此,黑客首先寻求了解系统的所有预期用例并考虑其所有组件。
黑客必须不断发展这种心态,永远不要停止学习。 这使他们能够从防守和进攻的角度思考,并且在看待您以前从未经历过的事情时非常有用。 通过创建最佳实践、了解目标并创建攻击路径,黑客可以带来惊人的结果。
