Sommario:
- Tu definirai i tuoi obiettivi
- Tu pianifichi il tuo lavoro, per paura che tu vada fuori rotta
- Otterrai il permesso
- Tu lavorerai eticamente
- Conserverai i registri
- Rispetti la privacy degli altri
- Non fare del male
- Userai un processo "scientifico"
- Non desiderare gli strumenti del tuo prossimo
- Segnalerai tutti i tuoi risultati
Video: Bill Schnoebelen Interview with an Ex Vampire (4 of 9) Multi - Language 2024
Questi comandamenti non sono stati portati giù dal Monte Sinai, ma tu seguirai questi comandamenti se decidi di diventare un credente nella dottrina dell'hacking etico.
Tu definirai i tuoi obiettivi
La tua valutazione della sicurezza di una rete wireless dovrebbe cercare risposte a tre domande fondamentali:
- Cosa può vedere un intruso sui punti di accesso o sulle reti target?
- Cosa può fare un intruso con quella informazione?
- Qualcuno al bersaglio nota i tentativi o i successi dell'intruso?
È possibile impostare un obiettivo semplicistico, come la ricerca di punti di accesso wireless non autorizzati. Oppure potresti impostare un obiettivo che richiede di ottenere informazioni da un sistema sulla rete cablata. Qualunque cosa tu scelga, devi articolare il tuo obiettivo e comunicarlo ai tuoi sponsor.
Coinvolgi gli altri nell'impostazione degli obiettivi. Se non lo fai, troverai il processo di pianificazione abbastanza difficile. L'obiettivo determina il piano. Per parafrasare la risposta del Gatto del Cheshire ad Alice: "Se non sai dove stai andando, qualsiasi sentiero ti porterà là. "Includere le parti interessate nel processo di definizione degli obiettivi creerà fiducia che ripagherà più tardi più tardi.
Tu pianifichi il tuo lavoro, per paura che tu vada fuori rotta
Pochi, se nessuno di noi, non sono vincolati da uno o più vincoli. Il denaro, il personale o il tempo potrebbero costringerti. Di conseguenza, è importante pianificare i test.
Per quanto riguarda il tuo piano, dovresti fare quanto segue:
1. Identifica le reti che intendi testare.
2. Specificare l'intervallo di test.
3. Specificare il processo di test.
4. Sviluppa un piano e condividilo con tutti gli stakeholder.
5. Ottenere l'approvazione del piano.
Condividi il tuo piano. Socializza con quante più persone puoi. Non preoccuparti che molte persone sapranno che stai per hackerare nella rete wireless. Se la tua organizzazione è come la maggior parte degli altri, è improbabile che possano combattere l'inerzia organizzativa per fare qualcosa per bloccare i tuoi sforzi. È importante, tuttavia, ricordare che si desidera eseguire i test in condizioni "normali".
Otterrai il permesso
Quando fai l'hacking etico, non seguire la vecchia visione secondo cui "chiedere perdono è più facile che chiedere il permesso. "Non chiedere il permesso può farti finire in prigione!
Devi ottenere il tuo permesso per iscritto. Questo permesso può rappresentare l'unica cosa che si frappone tra te e un vestito a strisce bianche e nere e una lunga permanenza nell'Hotel Heartbreak.Dovrebbe dichiarare di essere autorizzato a eseguire un test in base al piano. Dovrebbe anche dire che l'organizzazione "starà dietro di te" nel caso in cui tu sia accusato o citato in giudizio. Ciò significa che forniranno supporto legale e organizzativo finché rimarrai entro i limiti del piano originale (vedi Comando Due).
Tu lavorerai eticamente
Il termine etico in questo contesto significa lavorare professionalmente e con buona coscienza. Non devi fare nulla che non sia nel piano approvato o che sia stato autorizzato dopo l'approvazione del piano.
Come hacker etico, sei tenuto alla riservatezza e alla mancata divulgazione delle informazioni che hai scoperto, e questo include i risultati dei test di sicurezza. Non puoi divulgare nulla a persone che non hanno "bisogno di sapere". "Ciò che apprendi durante il tuo lavoro è estremamente sensibile - non devi condividerlo apertamente.
Devi anche assicurarti di essere conforme alla governance della tua organizzazione e alle leggi locali. Non eseguire un trucco etico quando la tua politica lo vieta espressamente - o quando la legge lo fa.
Conserverai i registri
I principali attributi di un hacker etico sono la pazienza e la completezza. Fare questo lavoro richiede ore piegate su una tastiera in una stanza buia. Potresti dover fare un po 'di lavoro fuori orario per raggiungere i tuoi obiettivi, ma non devi indossare equipaggiamento da hacker e bere Red Bull. Quello che devi fare è continuare a collegare fino a raggiungere il tuo obiettivo.
Un segno distintivo della professionalità è mantenere record adeguati per supportare i risultati. Quando si conservano note cartacee o elettroniche, effettuare le seguenti operazioni:
- Registrare tutti i lavori eseguiti.
- Registra tutte le informazioni direttamente nel tuo registro.
- Conserva un duplicato del tuo registro.
- Documento - e data - ogni test.
- Conserva record fattuali e registra tutto il lavoro, anche quando pensi di non aver avuto successo.
Rispetti la privacy degli altri
Tratta le informazioni raccolte con il massimo rispetto. Devi proteggere la segretezza delle informazioni riservate o personali. Tutte le informazioni ottenute durante il test, ad esempio chiavi di crittografia o password di testo chiare, devono essere mantenute private. Non abusare della tua autorità; usalo responsabilmente Ciò significa che non curiosare tra documenti aziendali confidenziali o vite private. Tratta le informazioni con la stessa cura che daresti alle tue informazioni personali.
Non fare del male
Ricorda che le azioni che intraprendi potrebbero avere ripercussioni non pianificate. È facile farsi coinvolgere nel gratificante lavoro dell'hacking etico. Provi qualcosa, e funziona, quindi continui. Sfortunatamente, facendo ciò potresti facilmente causare un'interruzione di qualche tipo o calpestare i diritti di qualcun altro. Resistere all'impulso di andare troppo lontano e attenersi al piano originale.
Inoltre, è necessario comprendere la natura dei propri strumenti. Troppo spesso, le persone saltano dentro senza capire veramente tutte le implicazioni dello strumento. Non capiscono che l'impostazione di un attacco potrebbe creare un rifiuto di servizio.Rilassati, fai un respiro profondo, fissa i tuoi obiettivi, pianifica il tuo lavoro, seleziona i tuoi strumenti e (oh sì) leggi la documentazione.
Userai un processo "scientifico"
Il tuo lavoro dovrebbe ricevere maggiore accettazione quando adotti un metodo empirico. Un metodo empirico ha i seguenti attributi:
- Stabilisci obiettivi quantificabili: L'essenza della selezione di un obiettivo è che sai quando lo raggiungi. Scegli un obiettivo che puoi quantificare: associando a dieci punti di accesso, chiavi di crittografia spezzate o un file da un server interno. Anche gli obiettivi quantificabili nel tempo, come testare i sistemi per vedere come resistono a tre giorni di attacchi concertati, sono anche buoni.
- I test sono coerenti e ripetibili: Se si esegue la scansione della rete due volte e si ottengono risultati diversi ogni volta, ciò non è coerente. È necessario fornire una spiegazione per l'inconsistenza o il test non è valido. Se ripetiamo il test, otterremo gli stessi risultati? Quando un test è ripetibile o replicabile, puoi concludere con sicurezza che lo stesso risultato si verificherà indipendentemente dal numero di repliche.
- I test sono validi oltre l'intervallo di tempo "ora": Quando i risultati sono veri, la tua organizzazione riceverà i tuoi test con più entusiasmo se hai affrontato un problema persistente o permanente, piuttosto che un problema temporaneo o transitorio.
Non desiderare gli strumenti del tuo prossimo
Indipendentemente dal numero di strumenti che potresti avere, ne scoprirai di nuovi. Gli strumenti di hacking wireless sono diffusi su Internet e altri ne escono continuamente. La tentazione di afferrarli tutti è feroce.
All'inizio, le tue scelte di software da utilizzare per questo "affascinante hobby" erano limitate. Puoi scaricare e usare Network Stumbler, comunemente chiamato NetStumbler, su una piattaforma Windows, oppure puoi usare Kismet su Linux. Ma in questi giorni hai molte più scelte: Aerosol, Airosniff, Airscanner, APsniff, BSD-Airtools, dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, pocketWiNc, THC-RUT, THC-Scan, THC- WarDrive, Radiate, WarLinux, Wellenreiter WiStumbler e Wlandump, solo per citarne alcuni. E quelli sono solo quelli gratuiti. Se hai tempo e budget illimitati, puoi utilizzare tutti questi strumenti. Invece, scegli uno strumento e attaccalo.
Segnalerai tutti i tuoi risultati
Se la durata del test si estende oltre una settimana, dovresti fornire aggiornamenti settimanali sul progresso. Le persone si innervosiscono quando sanno che qualcuno sta tentando di irrompere nelle loro reti o sistemi e non sentono dalle persone che sono state autorizzate a farlo.
Si dovrebbe pianificare di segnalare eventuali vulnerabilità ad alto rischio scoperte durante il test non appena vengono trovate. Questi includono
- scoperte violazioni
- vulnerabilità con vulnerabilità note e ad alto tasso di exploit
- che sono sfruttabili per vulnerabilità di accesso
- complete, non monitorate o non rintracciabili che possono mettere a rischio vite immediate
Vogliamo che qualcuno sfrutti una debolezza che lei conosceva e che intendeva segnalare.Questo non ti renderà popolare con nessuno.
Il tuo rapporto è un modo per la tua organizzazione di determinare la completezza e la veridicità del tuo lavoro. I tuoi colleghi possono rivedere il tuo metodo, i tuoi risultati, le tue analisi e le tue conclusioni, e offrire critiche costruttive o suggerimenti per il miglioramento.
Se ritieni che il tuo rapporto sia ingiustamente criticato, seguendo i Dieci Comandamenti di Hacking etico, dovresti facilmente permetterti di difenderlo.
Un'ultima cosa: quando trovi 50 cose, riporta 50 cose. Non è necessario includere tutti i 50 risultati nel riepilogo, ma è necessario includerli nella narrativa dettagliata. La trattazione di tali informazioni trasmette un'impressione di pigrizia, incompetenza o tentativo di manipolazione dei risultati dei test. Non farlo
