Obedecendo aos Dez Mandamentos de Ethical Hacking
Estes mandamentos não foram trouxe do Monte Sinai, mas tu siga estes mandamentos deverias tu decidir se tornar um crente na doutrina de hacking ético.
Menu
- Porás os teus objetivos
- Tu a planear a tua obra, para que não sejas ir fora do curso
- Tu deves obter permissão
- Tu serás o trabalho eticamente
- Tu deves manter registros
- Hás de respeitar a privacidade dos outros
- Não farás nenhum mal
- Tu deves usar um processo de "científico"
- Não cobiçarás ferramentas do teu próximo
- Tu a denunciar todas as tuas conclusões
Porás os teus objetivos
Sua avaliação da segurança de uma rede sem fio deve procurar respostas para três questões básicas:
- O que pode um intruso ver nos pontos de acesso de destino ou redes?
- O que pode um intruso fazer com essa informação?
- Alguém no alvo notar tentativas do intruso - ou sucessos?
Você pode definir uma meta simplista, tais como encontrar pontos de acesso sem fio não autorizados. Ou você pode definir uma meta que você necessita para obter informações a partir de um sistema na rede com fio. Seja qual for sua escolha, você deve articular o seu objetivo e comunicá-la aos seus patrocinadores.
Envolver outros em sua definição de metas. Se não o fizer, você vai encontrar o processo de planejamento bastante difícil. O objetivo determina o plano. Parafraseando a resposta do Gato de Cheshire de Alice: "Se você não sabe para onde está indo, qualquer caminho o levará até lá." Incluindo as partes interessadas no processo de definição de metas vai construir a confiança que vai pagar em espadas mais tarde.
Tu a planear a tua obra, para que não sejas ir fora do curso
Poucos, se qualquer um de nós, não estão vinculados a uma ou mais restrições. Dinheiro, pessoal, ou o tempo pode restringir você. Consequentemente, é importante para você planejar o seu teste.
Com relação ao seu plano, você deve fazer o seguinte:
1. Identificar as redes que você pretende testar.
2. Especifique o intervalo de ensaio.
3. Especifique o processo de teste.
4. Desenvolver um plano e compartilhá-lo com todas as partes interessadas.
5. Obter a aprovação do plano.
Compartilhe seu plano. Socializá-la com tantas pessoas quanto possível. Não se preocupe que muita gente vai saber que você está indo para invadir a rede sem fio. Se a sua organização é como a maioria dos outros, então é improvável que eles podem combater a inércia organizacional para fazer qualquer coisa para bloquear seus esforços. É importante, porém, lembrar que você quer fazer o seu teste em condições "normais".
Tu deves obter permissão
Ao fazer hacking ético, não seguem o velho ditado de que "pedir perdão é mais fácil do que pedir permissão." Não pedir permissão pode aterrá-lo na prisão!
Você deve obter a sua autorização por escrito. Esta permissão pode representar a única coisa que está entre você e um terno preto-e-branco-listrado mal ajustadas e uma longa estadia na Heartbreak Hotel. Ele deve indicar que você está autorizado a realizar um teste de acordo com o plano. Também deve dizer que a organização vai "ficar para trás" no caso de você são acusados criminalmente ou processado. Isso significa que eles vão prestar apoio jurídico e organizacional, desde que você ficou dentro dos limites do plano original (veja Mandamento Dois).
Tu serás o trabalho eticamente
O termo ético neste contexto significa trabalhar profissionalmente e com boa consciência. Você deve fazer nada que não seja no plano aprovado ou que tenha sido autorizado após a aprovação do plano.
Como um hacker ético, você é obrigado a confidencialidade e não divulgação de informação que você descobrir, e que inclui os resultados de testes de segurança. Você não pode divulgar qualquer coisa para indivíduos que não "saber necessidade de tomar." O que você aprende durante o seu trabalho é extremamente sensível - você não deve compartilhar abertamente.
Você também deve garantir que está em conformidade com a governança da sua organização e as leis locais. Não realize um corte ética quando sua política proíbe expressamente - ou quando a lei faz.
Tu deves manter registros
Principais atributos de um hacker ético são a paciência e rigor. Fazendo este trabalho requer horas dobrados sobre um teclado em uma sala escura. Você pode ter que fazer alguns fora de horas de trabalho para alcançar seus objetivos, mas você não tem que usar equipamento de hackers e beber Red Bull. O que você tem a fazer é continuar a trabalhar até que você alcance seu objetivo.
Uma marca de profissionalismo é manter registros adequados para apoiar suas descobertas. Ao manter papel ou notas electrónicas, faça o seguinte:
- Log todo o trabalho realizado.
- Grave todas as informações diretamente em seu log.
- Mantenha uma cópia de seu registro.
- Documento - e data - cada teste.
- Manter registros factuais e registrar todo o trabalho, mesmo quando você acha que não foram bem sucedidas.
Hás de respeitar a privacidade dos outros
Tratamos a informação que se reúnem com o maior respeito. Você deve proteger o sigilo das informações confidenciais ou pessoais. Todas as informações que você obter durante os testes - por exemplo, as chaves de criptografia ou senhas em texto puro - devem ser mantidas em sigilo. Não abuse seu AUTORIDADE usá-lo de forma responsável. Isto significa que você não vai bisbilhotar em registros corporativos confidenciais ou vidas privadas. Tratar a informação com o mesmo cuidado que você daria a sua própria informação pessoal.
Não farás nenhum mal
Lembre-se que as ações que você toma podem ter repercussões imprevistas. É fácil ser pego no trabalho gratificante de hacking ético. Você tentar algo, e ele funciona, então você vai manter. Infelizmente, fazendo isso, você pode facilmente causar uma falha de algum tipo, ou pisotear os direitos de outra pessoa. Resista ao impulso de ir longe demais e manter o seu plano original.
Além disso, você deve compreender a natureza de suas ferramentas. Muito frequentemente, as pessoas pular sem realmente compreender as implicações da ferramenta. Eles não entendem que a criação de um ataque pode criar uma negação de serviço. Relaxe, respire fundo, definir suas metas, planejar seu trabalho, selecione suas ferramentas, e (oh yeah) ler a documentação.
Tu deves usar um processo de "científico"
Seu trabalho deve reunir maior aceitação quando você adota um método empírico. Um método empírico tem os seguintes atributos:
- Definir metas quantificáveis: A essência da seleção de um objetivo é que você sabe quando você chegou a ela. Escolha um objetivo que você pode quantificar: associando com dez pontos de acesso, chaves de criptografia quebrados ou um arquivo de um servidor interno. metas de tempo quantificáveis, tais como testar os sistemas para ver como eles levantar-se para três dias de ataque concertado, também são bons.
- Os testes são consistente e repetível: Se você digitalizar sua rede duas vezes e obter resultados diferentes de cada vez, isso não é consistente. Você deve fornecer uma explicação para a inconsistência, ou o teste é inválido. Se repetirmos o teste, vamos obter os mesmos resultados? Quando um teste é repetível ou replicável, você pode concluir com segurança que o mesmo resultado irá ocorrer não importa quantas vezes você reproduzi-la.
- Os testes são válidos para além do "agora" período de tempo: Quando os resultados são verdadeiros, sua organização receberá seus testes com mais entusiasmo se você já enviou um problema persistente ou permanente, em vez de um problema temporário ou transitório.
Não cobiçarás ferramentas do teu próximo
Não importa quantas ferramentas que você pode ter, você vai descobrir novos. ferramentas de hacking sem fio são abundantes na Internet - e mais estão saindo o tempo todo. A tentação de agarrá-los todos é feroz.
Logo no início, suas escolhas de software para usar para este "hobby fascinante" eram limitadas. Você pode baixar e usar rede Stumbler, comumente chamado NetStumbler, em uma plataforma Windows, ou você poderia usar Kismet em Linux. Mas hoje em dia, você tem muitas mais opções: aerossol, Airosniff, Airscanner, APsniff, BSD-airtools, Dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, pocketWiNc, THC-rotina, THC-Scan, THC- wardrive, Radiate, WarLinux, Wellenreiter WiStumbler e Wlandump, para citar alguns. E esses são apenas os gratuitos. Se você tiver tempo ilimitado e orçamento, você pode usar todas essas ferramentas. Em vez disso, escolher uma ferramenta e ficar com ela.
Tu a denunciar todas as tuas conclusões
Caso a duração do seu teste vão além de uma semana, você deve fornecer atualizações de progresso semanais. As pessoas ficam nervosas quando sabem que alguém está tentando invadir suas redes ou sistemas e eles não ouvir as pessoas que já foram autorizados a fazê-lo.
Você deve planejar para relatar quaisquer vulnerabilidades de alto risco descobertos durante os testes assim que eles são encontrados. Esses incluem
- brechas descobertas
- vulnerabilidades com conhecidos - as taxas de exploração - e altas
- vulnerabilidades que são exploradas para acesso completo, sem monitoramento ou indetectável
- vulnerabilidades que podem colocar vidas em risco imediatos
Você não quer alguém para explorar uma falha que você sabia sobre e destina-se a relatar. Isso não vai torná-lo popular com ninguém.
Seu relatório é um caminho para a sua organização para determinar a integridade ea veracidade do seu trabalho. Seus colegas podem rever o seu método, suas descobertas, sua análise e suas conclusões, e oferecer uma crítica construtiva ou sugestões de melhoria.
Se você achar que o seu relatório é injustamente criticado, seguindo os Dez Mandamentos de Ethical Hacking, deve facilmente permitem que você para defendê-la.
Uma última coisa: Quando você encontrar 50 coisas, informar sobre 50 coisas. Você não precisa incluir todos os 50 resultados no resumo, mas você deve incluí-los na narrativa detalhada. Retenção de tais informações transmite uma impressão de preguiça, incompetência ou uma tentativa de manipulação dos resultados dos testes. Não fazê-lo.