Obedecer los diez mandamientos de hacking ético
Estos mandamientos no fueron traídas desde el monte Sinaí, pero harás seguir estos mandamientos qué has de decidir convertirse en un creyente en la doctrina de hacking ético.
Conteúdo
- Pondrás tus metas
- Has de planear tu obra, no sea que tú ir fuera de curso
- Tú obtener el permiso
- Tú trabajarás éticamente
- Tú mantener registros
- Tú respetar la privacidad de los demás
- Tú no hacer daño
- Tú utilizar un proceso "científico"
- No codiciarás herramientas de tu prójimo
- Has de informar todos tus hallazgos
Pondrás tus metas
Su evaluación de la seguridad de una red inalámbrica debe buscar respuestas a tres preguntas básicas:
- ¿Qué puede un intruso ver en los puntos de acceso de destino o redes?
- ¿Qué puede hacer un intruso con esa información?
- ¿Alguien en el objetivo cuenta los intentos del intruso - o éxitos?
Es posible establecer una meta simple, como la búsqueda de puntos de acceso inalámbricos no autorizados. O usted puede fijar una meta que requiere que usted obtenga información de un sistema en la red cableada. Lo que elija, debe articular su meta y la comunicará a sus patrocinadores.
Involucrar a otros en su fijación de objetivos. Si no lo hace, se encuentra el proceso de planificación bastante difícil. El objetivo determina el plan. Parafraseando a la respuesta del gato de Cheshire a Alicia: "Si no sabes a dónde vas, cualquier camino te llevará allí." Incluyendo los interesados en el proceso de establecimiento de objetivos a construir la confianza de que va a pagar con creces más adelante.
Has de planear tu obra, no sea que tú ir fuera de curso
Pocos, si alguno de nosotros, no están vinculados por una o más restricciones. El dinero, personal, o el tiempo puede limitar ti. En consecuencia, es importante para que usted pueda planificar su prueba.
Con respecto a su plan, usted debe hacer lo siguiente:
1. Identificar las redes que la intención de probar.
2. Especifique el intervalo de prueba.
3. Especifique el proceso de prueba.
4. Desarrollar un plan y compartirlo con todos los interesados.
5. Obtener la aprobación del plan.
Comparta su plan. Socializar con tantas personas como sea posible. No se preocupan de que un montón de gente va a saber que se va a cortar en la red inalámbrica. Si su organización es como la mayoría de los demás, entonces es poco probable que puedan combatir la inercia organizacional que hacer nada para bloquear sus esfuerzos. Es importante, sin embargo, recordar que usted quiere hacer sus pruebas en condiciones "normales".
Tú obtener el permiso
Al hacer hacking ético, que no siguen el viejo dicho de que "pedir perdón es más fácil que pedir permiso." No pedir permiso puede aterrizar en la cárcel!
Usted debe obtener su permiso por escrito. Este permiso puede representar el único que se interpone entre usted y un traje a rayas en blanco y negro y mal cortado y una larga estancia en el hotel de la angustia. Se debe indicar que está autorizado a realizar una prueba de acuerdo con el plan. También se debe decir que la organización va a "estar detrás de usted" en caso de que se penalmente acusado o demandado. Esto significa que va a proporcionar asistencia legal y de organización, siempre y cuando usted se quedó dentro de los límites del plan original (ver Mandamiento Dos).
Tú trabajarás éticamente
El termino ético en este contexto significa trabajar profesionalmente y con buena conciencia. Usted debe hacer nada que no esté en el plan aprobado o que haya sido autorizado después de la aprobación del plan.
Como un hacker ético, que están obligados a la confidencialidad y no divulgación de información a descubrir, y que incluye los resultados de pruebas de seguridad. No se puede divulgar nada a las personas que no "necesidad de conocer." Lo que se aprende durante su trabajo es extremadamente sensible - no debes compartirla abiertamente.
También debe asegurarse de que son compatibles con la gobernanza de la organización y las leyes locales. No realice un hackeo ético cuando su política prohíbe expresamente - o cuando lo hace la ley.
Tú mantener registros
Los principales atributos de un hacker ético son la paciencia y minuciosidad. Hacer este trabajo requiere horas dobladas sobre un teclado en una habitación oscura. Es posible que tenga que hacer algunos fuera de las horas de trabajo para lograr sus objetivos, pero usted no tiene que usar equipo de hacker y beber Red Bull. Lo que tienes que hacer es seguir perseverando hasta que llegue a su meta.
Un sello de profesionalismo es mantener registros adecuados para apoyar sus conclusiones. Si se tienen papel o notas electrónicas, haga lo siguiente:
- Entra todo el trabajo realizado.
- Registre toda la información directamente en su registro.
- Guarde una copia de su registro.
- Documento - y fecha - cada prueba.
- Mantenga los expedientes de hechos y registrar todo el trabajo, incluso cuando usted piensa que no tuvieron éxito.
Tú respetar la privacidad de los demás
Tratar la información que se reúnen con el máximo respeto. Usted debe proteger el secreto de la información confidencial o personal. Toda la información se obtiene durante las pruebas - por ejemplo, las claves de cifrado o contraseñas de texto - debe mantenerse privada. No abusar de su autoridad- usarlo responsablemente. Esto significa que usted no husmear en los registros corporativos confidenciales o vida privada. Tratar la información con el mismo cuidado que le daría a su propia información personal.
Tú no hacer daño
Recuerde que las acciones que toma pueden tener repercusiones imprevistas. Es fácil quedar atrapado en el trabajo gratificante de hacking ético. Intenta algo, y funciona, por lo que seguir adelante. Desafortunadamente, al hacer esto usted puede fácilmente causar una interrupción de algún tipo, o pisotear los derechos de otra persona. Resista la tentación de ir demasiado lejos y se adhieren a su plan original.
Además, debe comprender la naturaleza de sus herramientas. Con demasiada frecuencia, la gente salta en sin entender realmente las implicaciones de la herramienta. Ellos no entienden que la creación de un ataque podría crear una denegación de servicio. Relájese, respire profundo, establecer sus objetivos, su plan de trabajo, elegir sus herramientas, y (oh sí) leer la documentación.
Tú utilizar un proceso "científico"
Su trabajo debe reunir una mayor aceptación cuando se adopta un método empírico. Un método empírico tiene los siguientes atributos:
- Establezca metas cuantificables: La esencia de la selección de un objetivo es que usted sabe cuándo ha alcanzado la misma. Elija un objetivo que se puede cuantificar: la asociación con diez puntos de acceso, claves de cifrado roto o un archivo desde un servidor interno. Metas en tiempo cuantificables, tales como pruebas de sus sistemas para ver cómo se levantan a tres días de ataque concertado, también son buenos.
- Las pruebas son consistentes y repetibles: Si escanea su red dos veces y obtener resultados diferentes cada vez, esto no es consistente. Usted debe proporcionar una explicación para la falta de coherencia, o la prueba no es válida. Si repetimos la prueba, vamos a obtener los mismos resultados? Cuando una prueba es repetible o replicable, se puede concluir con seguridad que el mismo resultado se producirá no importa cuántas veces usted replicarlo.
- Las pruebas son válidas más allá del "ahora" marco de tiempo: Cuando sus resultados son ciertos, la organización va a recibir sus pruebas con más entusiasmo si ha abordado un problema persistente o permanente, en lugar de un problema temporal o transitorio.
No codiciarás herramientas de tu prójimo
No importa cuantas herramientas que pueda tener, usted descubrirá nuevos. Herramientas de hacking inalámbrico son moneda corriente en la Internet - y mucho más están saliendo todo el tiempo. La tentación de apoderarse de todos ellos es feroz.
Al principio, sus opciones de software a utilizar para este "fascinante hobby" eran limitadas. Usted puede descargar y utilizar la red Stumbler, comúnmente llamado NetStumbler, en una plataforma Windows, o puede utilizar Kismet en Linux. Pero en estos días, que tienen muchas más opciones: aerosol, Airosniff, Airscanner, APsniff, BSD-airtools, Dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, moogle, PocketWarrior, pocketWiNc, THC-RUT, el THC-Scan, THC- WarDrive, Radiate, WarLinux, Wellenreiter WiStumbler y Wlandump, por nombrar algunos. Y esos son sólo los libres. Si tiene tiempo ilimitado y presupuesto, podrías utilizar todas estas herramientas. En su lugar, elegir una herramienta y aferrarse a él.
Has de informar todos tus hallazgos
En caso de que la duración de la prueba se extienden más allá de una semana, usted debe proporcionar actualizaciones de progreso semanales. La gente se pone nerviosa cuando saben que alguien está tratando de entrar en sus redes o sistemas, y no oyen de las personas que han sido autorizados a hacerlo.
Usted debe hacer planes para reportar cualquier vulnerabilidad de alto riesgo descubiertos durante las pruebas tan pronto como se encuentran. Éstas incluyen
- infracciones descubiertas
- vulnerabilidades con conocidos - las tasas de explotación - y altas
- vulnerabilidades que son explotables para tener acceso completo, sin control, o imposible de encontrar
- vulnerabilidades que pueden poner en riesgo vidas inmediatos
Usted no quiere a alguien para explotar una debilidad que usted sabía sobre y la intención de informar. Esto no se hará popular con nadie.
Su informe es una manera para que su organización para determinar la integridad y veracidad de su trabajo. Sus compañeros pueden revisar su método, sus resultados, su análisis y sus conclusiones, y ofrecer críticas constructivas o sugerencias de mejora.
Si usted encuentra que su informe se critica injustamente, a raíz de los Diez Mandamientos de Ethical Hacking, debe permitir fácilmente que para defenderla.
Una última cosa: Cuando usted encuentra 50 cosas, informar sobre 50 cosas. Usted no tiene que incluir todos los 50 resultados en el resumen pero debe incluirlos en la narración detallada. La retención de dicha información transmite una impresión de la pereza, la incompetencia, o un intento de manipulación de los resultados de las pruebas. No lo hagas.