Innholdsfortegnelse:
- Du skal sette dine mål
- Du skal planlegge ditt arbeid, for ikke at du går av kurs
- Du skal få tillatelse
- Du skal arbeide etisk.
- Du skal beholde registre
- Du skal respektere andres personvern.
- Du skal ikke skade
- Du skal bruke en "vitenskapelig" prosess
- Du vil ikke begjære dine nestes verktøy.
- Du skal rapportere alle dine funn
Video: Magicians assisted by Jinns and Demons - Multi Language - Paradigm Shifter 2024
Disse budene ble ikke hentet fra Mount Sinai, men du skal du følge disse budene bør du bestemme deg for å bli en troende i lærdommen om etisk hacking.
Du skal sette dine mål
Din vurdering av sikkerheten til et trådløst nettverk bør søke svar på tre grunnleggende spørsmål:
- Hva kan en inntrenger se på måltilgangspunkter eller nettverk?
- Hva kan en inntrenger gjøre med den informasjonen?
- Oppdager noen på målet inntrengerenes forsøk - eller suksesser?
Du kan angi et forenklet mål, for eksempel å finne uautoriserte trådløse tilgangspunkter. Eller du kan sette et mål som krever at du får informasjon fra et system på det kablede nettverket. Uansett hva du velger, må du formulere målet ditt og formidle det til dine sponsorer.
Involver andre i målinnstillingen. Hvis du ikke gjør det, vil du finne planleggingsprosessen ganske vanskelig. Målet bestemmer planen. Å omskrive Cheshire-kattens svar på Alice: "Hvis du ikke vet hvor du skal, vil noen vei ta deg dit. "Inkludert interessenter i målsettingsprosessen vil bygge tillit som vil lønne seg i spader senere.
Du skal planlegge ditt arbeid, for ikke at du går av kurs
Få, hvis noen av oss, er ikke bundet av en eller flere begrensninger. Penger, personell eller tid kan begrense deg. Derfor er det viktig for deg å planlegge testingen din.
Med hensyn til planen din, bør du gjøre følgende:
1. Identifiser nettene du har tenkt å teste.
2. Angi testintervallet.
3. Angi testprosessen.
4. Utvikle en plan og del den med alle interessenter.
5. Få godkjenning av planen.
Del planen din. Sosialiser det med så mange som du kan. Ikke bekymre deg for at mange mennesker vil vite at du skal hacke inn i det trådløse nettverket. Hvis organisasjonen din er som de fleste andre, er det lite sannsynlig at de kan bekjempe organisasjonsmessigheten for å gjøre noe for å blokkere innsatsen. Det er imidlertid viktig å huske at du vil gjøre testingen under "normale" forhold.
Du skal få tillatelse
Når du gjør etisk hacking, følg ikke den gamle sågen at "å be om tilgivelse er lettere enn å be om tillatelse. "Ikke å be om tillatelse kan lande deg i fengsel!
Du må få din tillatelse skriftlig. Denne tillatelsen kan representere det eneste som står mellom deg og en dårlig montering i svart-hvitt-stripet drakt og et lengre opphold i Heartbreak Hotel.Det skal angis at du er autorisert til å utføre en test i henhold til planen. Det skal også si at organisasjonen vil "stå bak deg" i tilfelle du er kriminelt ladet eller saksøkt. Dette betyr at de vil gi juridisk og organisatorisk støtte så lenge du bodde innenfor grensene til den opprinnelige planen (se kommandoen to).
Du skal arbeide etisk.
Begrepet etisk betyr i denne sammenheng at du arbeider profesjonelt og med god samvittighet. Du må ikke gjøre noe som ikke er i godkjent plan eller som er godkjent etter godkjenning av planen.
Som en etisk hacker, er du bundet til konfidensialitet og manglende avsløring av opplysninger du oppdager, og det inkluderer sikkerhetstestresultatene. Du kan ikke gi noe til enkeltpersoner som ikke trenger å vite. "Det du lærer i løpet av arbeidet ditt er ekstremt følsomt - du må ikke dele det åpenbart.
Du må også sørge for at du overholder organisasjonens styring og lokale lover. Ikke utfør et etisk hack når politikken uttrykkelig forbyder det - eller når loven gjør det.
Du skal beholde registre
Viktige egenskaper til en etisk hacker er tålmodighet og grundighet. Å gjøre dette arbeidet krever timer bøyd over et tastatur i et mørkt rom. Det kan hende du må gjøre litt arbeid for å oppnå målene dine, men du trenger ikke å bruke hackerutstyr og drikke Red Bull. Det du trenger å gjøre er å holde kontakten til du når målet ditt.
Et kjennemerk av profesjonalitet er å holde tilstrekkelige poster for å støtte dine funn. Når du holder papir eller elektroniske notater, gjør du følgende:
- Logg på alt arbeid som utføres.
- Legg inn all informasjon direkte i loggen din.
- Hold en duplikat av loggen din.
- Dokument - og dato - hver test.
- Hold faktaoppføringer og registrer alt arbeid, selv når du tror du ikke var vellykket.
Du skal respektere andres personvern.
Behandle informasjonen du samler med stor respekt. Du må beskytte hemmeligholdelsen av konfidensiell eller personlig informasjon. All informasjon du får under testingen din - for eksempel krypteringsnøkler eller klare tekstpassord - må holdes privat. Ikke misbruk din autoritet bruk det ansvarlig. Dette betyr at du ikke vil snike inn i konfidensielle bedriftsoppføringer eller privatliv. Behandle informasjonen med samme forsiktighet du vil gi til din personlige informasjon.
Du skal ikke skade
Husk at handlingene du tar, kan ha uplanlagte konsekvenser. Det er lett å bli fanget opp i det gledelige arbeidet med etisk hacking. Du prøver noe, og det fungerer, så du fortsetter. Dessverre, ved å gjøre dette kan du lett forårsake en feil av noe slag eller trampe på andres rettigheter. Motstå trang til å gå for langt og holde fast i din opprinnelige plan.
Du må også forstå arten av verktøyene dine. Altfor ofte går folk inn uten å forstå de fullstendige konsekvensene av verktøyet. De forstår ikke at oppretting av et angrep kan skape en tjenestenekt.Slapp av, ta et dypt pust, sett målene dine, planlegg arbeidet ditt, velg verktøyene dine, og (oh ja) les dokumentasjonen.
Du skal bruke en "vitenskapelig" prosess
Ditt arbeid bør gi større aksept når du vedtar en empirisk metode. En empirisk metode har følgende egenskaper:
- Angi kvantifiserbare mål: Essensen av å velge et mål er at du vet når du har nådd det. Velg et mål som du kan kvantifisere: assosiere med ti tilgangspunkter, ødelagte krypteringsnøkler eller en fil fra en intern server. Tids kvantifiserbare mål, for eksempel å teste systemene dine for å se hvordan de står opp til tre dager med samordnet angrep, er også gode.
- Testene er konsistente og repeterbare: Hvis du skanner nettverket ditt to ganger og får forskjellige resultater hver gang, er dette ikke konsistent. Du må gi en forklaring på inkonsekvensen, eller testen er ugyldig. Hvis vi gjentar testen, får vi de samme resultatene? Når en test er repeterbar eller replikerbar, kan du konkludere med at det samme resultatet oppstår uansett hvor mange ganger du gjentar det.
- Testene er gyldige utover "nå" tidsrammen: Når resultatene er sanne, vil organisasjonen motta tester med mer entusiasme hvis du har adressert et vedvarende eller permanent problem, snarere enn et midlertidig eller midlertidig problem.
Du vil ikke begjære dine nestes verktøy.
Uansett hvor mange verktøy du har, vil du oppdage nye. Trådløse hackingsverktøy er rife på Internett - og flere kommer ut hele tiden. Fristelsen til å ta dem alle er hard.
I begynnelsen var valgene av programvare til bruk for denne "fascinerende hobbyen" begrenset. Du kan laste ned og bruke Network Stumbler, vanligvis kalt NetStumbler, på en Windows-plattform, eller du kan bruke Kismet på Linux. Men i disse dager har du mange flere valg: Aerosol, Airosniff, Airscanner, APsniff, BSD-Airtools, Dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, pocketWiNc, THC-RUT, THC-Scan, THC- WarDrive, Radiate, WarLinux, Wellenreiter WiStumbler og Wlandump, for å nevne noen. Og de er bare de frie. Skulle du ha ubegrenset tid og budsjett, kan du bruke alle disse verktøyene. I stedet velger du ett verktøy og holder deg til det.
Du skal rapportere alle dine funn
Hvis testperioden varer utover en uke, bør du gi ukentlige fremdriftsoppdateringer. Folk blir nervøse når de vet at noen forsøker å bryte seg inn i sine nettverk eller systemer, og de hører ikke fra de som har blitt autorisert til å gjøre det.
Du bør planlegge å rapportere eventuelle høyrisikosårbarheter som ble oppdaget under testing, så snart de ble funnet. Disse inkluderer
- oppdagede brudd
- sårbarheter med kjente og høy utnyttelsesgrad
- sårbarheter som kan utnyttes for full, uovervåket eller uoppnåelig tilgang
- sårbarheter som kan sette umiddelbare liv i fare
Du don Jeg vil ikke at noen skal utnytte en svakhet som du visste om og ment å rapportere.Dette vil ikke gjøre deg populær med noen.
Rapporten din er en måte for din organisasjon å bestemme fullstendig og veracity av arbeidet ditt. Dine jevnaldrende kan gjennomgå metoden, funnene, analysen og konklusjonene dine, og gi konstruktiv kritikk eller forslag til forbedringer.
Hvis du finner ut at rapporten din er urettferdig kritisert, etter de ti budene om etisk hacking, bør du lett tillate deg å forsvare det.
En siste ting: Når du finner 50 ting, rapporter om 50 ting. Du trenger ikke å inkludere alle 50 funnene i sammendraget, men du må inkludere dem i detaljert fortelling. Å oppbevare slik informasjon gir et inntrykk av latskap, inkompetanse eller et forsøk på å manipulere testresultater. Ikke gjør det.
