0
0
No início deste ano, quando a gangue cibernética internacional Lapsus$ atacou grandes marcas de tecnologia, incluindo Samsung , Microsoft, Nvidia e o gerenciador de senhas Okta , uma linha ética parecia ter sido cruzada para muitos cibercriminosos.
Mesmo para seus padrões obscuros, a extensão da violação, a interrupção causada e o perfil dos negócios envolvidos eram demais. Assim, a comunidade de crimes cibernéticos se uniu para punir Lapsus$ vazando informações sobre o grupo, uma ação que acabou levando à prisão e separação deles .
Então, talvez haja honra entre os ladrões, afinal? Agora, não me entenda mal; isso não é um tapinha nas costas dos cibercriminosos, mas indica que pelo menos algum código profissional está sendo seguido.
O que levanta uma questão para a comunidade hacker mais ampla que respeita a lei: devemos ter nosso próprio código de conduta ética? E se sim, como pode ser?
O que é Hacking Ético?
Primeiro vamos definir hacking ético. É o processo de avaliar um sistema de computador, rede, infraestrutura ou aplicativo com boas intenções, para encontrar vulnerabilidades e falhas de segurança que os desenvolvedores podem ter ignorado. Essencialmente, é encontrar os pontos fracos antes dos bandidos e alertar a organização, para que ela possa evitar qualquer grande perda de reputação ou financeira.
O hacking ético requer, no mínimo, o conhecimento e a permissão da empresa ou organização que é objeto de sua tentativa de infiltração.
Aqui estão cinco outros princípios orientadores para que a atividade seja considerada hacking ético.
Hackear para proteger
Um hacker ético e de chapéu branco que venha avaliar a segurança de qualquer empresa procurará vulnerabilidades, não apenas no sistema, mas também nos processos de geração de relatórios e tratamento de informações. O objetivo desses hackers é descobrir vulnerabilidades, fornecer informações detalhadas e fazer recomendações para criar um ambiente seguro. Em última análise, eles estão procurando tornar a organização mais segura.
Hackear com responsabilidade
Os hackers devem garantir que tenham permissão, descrevendo claramente a extensão do acesso que a empresa está concedendo, bem como o escopo do trabalho que estão realizando. Isto é muito importante. O conhecimento do alvo e um escopo claro ajudam a evitar comprometimentos acidentais e estabelecer linhas sólidas de comunicação se o hacker descobrir algo alarmante. Responsabilidade, comunicação oportuna e abertura são princípios éticos vitais a serem respeitados e distinguem claramente um hacker de um cibercriminoso e do restante da equipe de segurança.
Documentar tudo
Todos os bons hackers mantêm notas detalhadas de tudo o que fazem durante uma avaliação e registram todas as saídas de comandos e ferramentas. Em primeiro lugar, isso é para se proteger. Por exemplo, se ocorrer um problema durante um teste de penetração, o empregador procurará o hacker primeiro. Ter um registro de data e hora das atividades realizadas, seja explorando um sistema ou verificando malware, dá tranquilidade às organizações, lembrando-as de que os hackers trabalham com elas, não contra elas.
Boas notas defendem o lado ético e legal das coisas; eles também são a base do relatório que os hackers produzirão, mesmo quando não houver grandes descobertas. As notas permitirão que eles destaquem os problemas que identificaram, as etapas necessárias para reproduzir os problemas e sugestões detalhadas sobre como corrigi-los.
Mantenha as comunicações ativas
Comunicações abertas e oportunas devem ser claramente definidas no contrato. Permanecer em comunicação durante uma avaliação é fundamental. A boa prática é sempre notificar quando as avaliações estão em andamento; um e-mail diário com os tempos de execução da avaliação é vital.
Embora o hacker possa não precisar relatar todas as vulnerabilidades que encontrar imediatamente ao contato do cliente, ele ainda deve sinalizar qualquer falha crítica durante um teste de penetração externo. Isso pode ser um RCE ou SQLi não autenticado explorável, uma execução de código mal-intencionado ou uma vulnerabilidade de divulgação de dados confidenciais. Ao encontrá-los, os hackers param de testar, emitem uma notificação de vulnerabilidade por escrito por e-mail e fazem o acompanhamento com um telefonema. Isso dá às equipes do lado comercial a chance de pausar e corrigir o problema imediatamente, se assim o desejarem. É irresponsável deixar uma falha dessa magnitude não ser sinalizada até que o relatório seja divulgado semanas depois.
Os hackers devem manter seus principais pontos de contato cientes de seu progresso e de quaisquer problemas importantes que descobrirem à medida que avançam. Isso garante que todos estejam cientes de quaisquer problemas antes do relatório final.
Tenha uma mentalidade de hacker
O termo hacking foi usado antes mesmo que a segurança da informação crescesse em importância. Significa apenas usar as coisas de maneiras não intencionais. Para isso, os hackers buscam primeiro entender todos os casos de uso pretendidos de um sistema e levar em consideração todos os seus componentes.
Os hackers devem continuar desenvolvendo essa mentalidade e nunca parar de aprender. Isso permite que eles pensem tanto de uma perspectiva defensiva quanto ofensiva e é útil ao olhar para algo que você nunca experimentou antes. Ao criar as melhores práticas, entender o alvo e criar caminhos de ataque, um hacker pode fornecer resultados surpreendentes.
FONTE: DARK READING