Obedecendo os dez mandamentos de hacking ético
Esses mandamentos não foram trouxe do Monte Sinai, mas tu siga estes mandamentos deverias tu decidir se tornar um crente na doutrina de hacking ético.
Conteúdo
- Porás os teus objetivos
- Tu a planear a tua obra, para que não sejas ir fora do curso
- Tu deves obter permissão
- Tu trabalho ás eticamente
- Tu deves manter registros
- Video: os 10 mandamentos do rei dos hackers (paródia)
- Hás de respeitar a privacidade dos outros
- Não farás nenhum mal
- Tu deves usar um processo “científico”
- Não cobiçarás ferramentas do teu próximo
- Tu a denunciar todas as tuas descobertas
- Video: 10 greatest hackers of all time
Porás os teus objetivos
Sua avaliação da segurança de uma rede sem fio deve procurar respostas para três questões básicas:
- O que pode um intruso ver nos pontos de acesso alvo ou redes?
- O que pode um intruso fazer com essa informação?
- Alguém no alvo notar tentativas do intruso - ou sucessos?
Você pode definir uma meta simplista, tais como encontrar pontos de acesso sem fio não autorizados. Ou você pode definir uma meta que você necessita para obter informações a partir de um sistema na rede com fio. Seja qual for sua escolha, você deve articular o seu objetivo e comunicá-la aos seus patrocinadores.
Envolver outros em sua definição de metas. Se não o fizer, você vai encontrar o processo de planejamento bastante difícil. O objetivo determina o plano. Parafraseando resposta do gato de Cheshire de Alice: “Se você não sabe para onde está indo, qualquer caminho o levará até lá.” Incluindo os interessados no processo de definição de metas vai construir a confiança que vai pagar em espadas mais tarde.
Tu a planear a tua obra, para que não sejas ir fora do curso
Poucos, se qualquer um de nós, não estão vinculados a uma ou mais restrições. Dinheiro, pessoal, ou o tempo podem restringir você. Consequentemente, é importante para você planejar o seu teste.
Com relação ao seu plano, você deve fazer o seguinte:
1. Identificar as redes que você pretende testar.
2. Especificar o intervalo de ensaio.
3. Especificar o processo de teste.
4. Desenvolver um plano e compartilhá-lo com todas as partes interessadas.
5. Obter a aprovação do plano.
Compartilhe seu plano. Socializar com tantas pessoas quanto possível. Não se preocupe que muitas pessoas vão saber que você está indo para invadir a rede sem fio. Se a sua organização é como a maioria dos outros, então é improvável que eles podem combater a inércia organizacional para fazer qualquer coisa para bloquear seus esforços. É importante, porém, lembrar que você quer fazer o seu teste em condições “normais”.
Tu deves obter permissão
Ao fazer hacking ético, não seguem o velho ditado de que “pedir perdão é mais fácil do que pedir permissão.” Não pedir permissão pode aterrá-lo na prisão!
Você deve obter a sua autorização por escrito. Esta permissão pode representar a única coisa que está entre você e um terno preto-e-branco-listrado mal ajustadas e uma longa estadia na Heartbreak Hotel. Ele deve indicar que você está autorizado a realizar um teste de acordo com o plano. Também deve dizer que a organização vai “ficar atrás de você”, caso você esteja criminalmente acusado ou processado. Isso significa que eles irão fornecer apoio jurídico e organizacional, desde que você ficou dentro dos limites do plano original (ver Mandamento Dois).
Tu trabalho ás eticamente
O termo ético neste contexto significa trabalhar profissionalmente e com boa consciência. Você deve fazer nada que não seja no plano aprovado ou que tenha sido autorizado após a aprovação do plano.
Como um hacker ético, você é obrigado a confidencialidade e não divulgação de informação que você descobrir, e que inclui os resultados de testes de segurança. Você não pode divulgar qualquer coisa para indivíduos que não “necessidade de ter conhecimento”. O que você aprende durante o seu trabalho é extremamente sensível - você não deve compartilhar abertamente.
Você também deve garantir que você está em conformidade com a governança da sua organização e as leis locais. Não realize um corte ética quando sua política proíbe expressamente - ou quando a lei faz.
Tu deves manter registros
Principais atributos de um hacker ético são paciência e meticulosidade. Fazendo este trabalho exige horas dobrados sobre um teclado em uma sala escura. Você pode ter que fazer alguns fora de horas de trabalho para alcançar seus objetivos, mas você não tem que usar equipamento de hackers e beber Red Bull. O que você tem a fazer é continuar a trabalhar até que você alcance seu objetivo.
Video: Os 10 mandamentos do Rei dos Hackers (Paródia)
Uma marca de profissionalismo é manter registros adequados para apoiar suas descobertas. Ao manter papel ou notas electrónicas, faça o seguinte:
- Log todo o trabalho realizado.
- Grave todas as informações diretamente em seu log.
- Mantenha uma cópia de seu registro.
- Documento - e data - cada teste.
- Manter registros factuais e gravar todo o trabalho, mesmo quando você acha que não foram bem sucedidos.
Hás de respeitar a privacidade dos outros
Tratamos a informação que se reúnem com o maior respeito. Você deve proteger o sigilo das informações confidenciais ou pessoais. Todas as informações que você obter durante os testes - por exemplo, chaves de criptografia ou senhas em texto puro - devem ser mantidas em sigilo. Não abuse seu AUTORIDADE usá-lo de forma responsável. Isto significa que você não vai bisbilhotar em registros corporativos confidenciais ou vidas privadas. Tratar a informação com o mesmo cuidado que você daria a sua própria informação pessoal.
Não farás nenhum mal
Lembre-se que as ações que você toma podem ter repercussões imprevistas. É fácil ser pego no trabalho gratificante de hacking ético. Você tentar algo, e ele funciona, então você vai manter. Infelizmente, fazendo isso, você pode facilmente causar uma interrupção de algum tipo, ou pisotear os direitos de outra pessoa. Resista ao impulso de ir longe demais e manter o seu plano original.
Além disso, você deve compreender a natureza de suas ferramentas. Muito frequentemente, as pessoas pular sem realmente compreender as implicações da ferramenta. Eles não entendem que a criação de um ataque pode criar uma negação de serviço. Relaxe, respire fundo, definir suas metas, planejar seu trabalho, selecione suas ferramentas, e (oh yeah) ler a documentação.
Tu deves usar um processo “científico”
Seu trabalho deve reunir maior aceitação quando você adota um método empírico. Um método empírico tem os seguintes atributos:
- Definir metas quantificáveis: A essência de seleção de um objetivo é que você sabe quando você chegou a ele. Escolha um objetivo que você pode quantificar: associando com dez pontos de acesso, as chaves de criptografia quebrados ou um arquivo de um servidor interno. metas de tempo quantificáveis, tais como testar seus sistemas para ver como eles levantar-se para três dias de ataque concertado, também são bons.
- Os testes são consistente e repetível: Se você digitalizar sua rede duas vezes e obter resultados diferentes a cada vez, este não é consistente. Você deve fornecer uma explicação para a inconsistência, ou o teste é inválido. Se repetirmos o seu teste, vamos obter os mesmos resultados? Quando um teste é repetível ou replicável, você pode concluir com segurança que o mesmo resultado irá ocorrer não importa quantas vezes você reproduzi-la.
- Testes são válidos para além do “agora” o tempo: Quando os resultados são verdadeiros, sua organização receberá seus testes com mais entusiasmo se você já dirigiu um problema persistente ou permanente, em vez de um problema temporário ou transitório.
Não cobiçarás ferramentas do teu próximo
Não importa quantas ferramentas que você pode ter, você vai descobrir novos. ferramentas de hacking sem fio são abundantes na Internet - e mais estão saindo o tempo todo. A tentação de agarrá-los todos é feroz.
Logo no início, suas escolhas de software a ser usado para este “hobby fascinante” eram limitadas. Você pode baixar e usar o Network Stumbler, comumente chamado NetStumbler, em uma plataforma Windows, ou você poderia usar Kismet em Linux. Mas nos dias de hoje, você tem muitas mais opções: aerossol, Airosniff, Airscanner, APsniff, BSD-airtools, Dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, pocketWiNc, THC-rotina, THC-Scan, THC- wardrive, Radiate, WarLinux, Wellenreiter WiStumbler e Wlandump, para citar alguns. E esses são apenas os gratuitos. Se você tiver tempo ilimitado e orçamento, você pode usar todas essas ferramentas. Em vez disso, escolher uma ferramenta e ficar com ela.
Tu a denunciar todas as tuas descobertas
Caso a duração do seu teste vão além de uma semana, você deve fornecer atualizações de progresso semanais. As pessoas ficam nervosas quando sabem que alguém está tentando invadir suas redes ou sistemas e eles não ouvir as pessoas que já foram autorizados a fazê-lo.
Você deve planejar para relatar quaisquer vulnerabilidades de alto risco descobertos durante os testes, logo que eles são encontrados. Esses incluem
- brechas descobertas
- vulnerabilidades com conhecidos - as taxas de exploração - e altas
- vulnerabilidades que são exploradas para acesso completo, sem monitoramento ou indetectável
Video: 10 Greatest Hackers Of All Time
- vulnerabilidades que podem colocar vidas em risco imediato
Você não quer alguém para explorar uma falha que você sabia sobre e destinado para relatar. Isso não vai torná-lo popular com ninguém.
O seu relatório é uma forma para a sua organização para determinar a integridade ea veracidade do seu trabalho. Seus colegas podem rever o seu método, suas descobertas, sua análise e as suas conclusões, e oferecer uma crítica construtiva ou sugestões de melhoria.
Se você achar que o seu relatório é injustamente criticado, seguindo os Dez Mandamentos de Ethical Hacking, deve facilmente permitem que você para defendê-la.
Uma última coisa: Quando você encontrar 50 coisas, informar sobre 50 coisas. Você não precisa incluir todos os 50 resultados no resumo, mas você deve incluí-los na narrativa detalhada. Retenção de tais informações transmite uma impressão de preguiça, incompetência, ou uma tentativa de manipulação dos resultados dos testes. Não fazê-lo.