Obedecer los diez mandamientos de hacking ético

Estos mandamientos no fueron llevados bajó del Monte Sinaí, mas tú sigue estos mandamientos qué has de decidir convertirse en un creyente en la doctrina de hacking ético.

Pondrás tus metas

Su evaluación de la seguridad de una red inalámbrica debe buscar respuestas a tres preguntas básicas:

  • ¿Qué puede un intruso ver en los puntos de acceso de destino o redes?
  • ¿Qué puede hacer un intruso con esa información?
  • ¿Alguien en el target cuenta los intentos del intruso - o éxitos?

Es posible establecer una meta simplista, como la búsqueda de puntos de acceso inalámbricos no autorizados. O puede ser que se fija una meta que requiere que se obtiene información de un sistema en la red cableada. Lo que elija, debe articular su objetivo y comunicarla a sus patrocinadores.

Involucrar a otros en su establecimiento de objetivos. Si no lo hace, se encuentra el proceso de planificación bastante difícil. El objetivo de determinar el plan. Parafraseando la respuesta del gato de Cheshire de Alicia: “Si usted no sabe a dónde va, cualquier camino te llevará allí.” La inclusión de las partes interesadas en el proceso de establecimiento de objetivos va a construir la confianza que va a pagar con creces más adelante.

Has de planear tu obra, no sea que tú desviarse

Pocos, si alguno de nosotros, no están vinculados por una o más restricciones. Dinero, personal, o el tiempo que puede limitar. En consecuencia, es importante para usted para planificar su prueba.

Con respecto a su plan, usted debe hacer lo siguiente:

1. Identificar las redes que la intención de probar.

2. Especificar el intervalo de prueba.

3. Especificar el proceso de prueba.

4. Desarrollar un plan y compartirlo con todos los interesados.

5. Obtener la aprobación del plan.

Comparte su plan. Socializar con tantas personas como sea posible. No se preocupan de que un montón de gente va a saber que se va a cortar en la red inalámbrica. Si su organización es como la mayoría de los otros, entonces es poco probable que puedan combatir la inercia organizacional que hacer nada para bloquear sus esfuerzos. Es importante, sin embargo, recordar que usted quiere hacer sus pruebas en condiciones “normales”.

Has de obtener el permiso

Al hacer hacking ético, que no siguen el viejo dicho de que “pedir perdón es más fácil que pedir permiso.” No pedir permiso pueden aterrizar en la cárcel!

Usted debe obtener su permiso por escrito. Este permiso puede representar el único que se interpone entre usted y un traje de rayas blancas y negro mal cortado y una larga estancia en el hotel de la angustia. Se debe indicar que está autorizado a realizar una prueba de acuerdo con el plan. También se debe decir que la organización se “están detrás de que” en caso de que se cargan o demandado penalmente. Esto significa que van a proporcionar asistencia legal y organizacional todo el tiempo que se mantuvo dentro de los límites del plan original (véase el mandamiento de dos).

Tú trabajarás éticamente

El termino ético en este contexto significa trabajar profesionalmente y con buena conciencia. Usted debe hacer nada que no esté en el plan aprobado o que haya sido autorizada después de la aprobación del plan.

Como un hacker ético, que están obligados a la confidencialidad y no divulgación de información a descubrir, y que incluye los resultados de pruebas de seguridad. No se puede divulgar nada a las personas que no “necesidad de conocer”. Lo que se aprende durante su trabajo es extremadamente sensible - no se debe compartir abiertamente.

También debe asegurarse de que son compatibles con la administración de la organización y las leyes locales. No lleve a cabo un truco ética cuando su póliza expresamente lo prohíbe - o cuando la ley lo hace.

Has de mantener registros

Los principales atributos de un hacker ético son la paciencia y minuciosidad. Hacer este trabajo requiere horas inclinados sobre un teclado en una habitación oscura. Es posible que tenga que hacer algunos fuera de las horas de trabajo para lograr sus objetivos, pero no tiene que usar equipo de hacker y beber Red Bull. Lo que tiene que hacer es mantener tapar lejos hasta llegar a su meta.

Un sello distintivo de profesionalismo es mantener registros adecuados para apoyar sus conclusiones. Si se tienen papel o notas electrónicas, haga lo siguiente:

  • Registrar todo el trabajo realizado.
  • Registrar toda la información directamente en su registro.
  • Guarde una copia de su registro.
  • Documento - y fecha - cada prueba.
  • Mantener los expedientes de hechos y registrar todo el trabajo, incluso cuando usted piensa que no tuvieron éxito.

Has de respetar la privacidad de los demás

El tratamiento de la información que se reúnen con el máximo respeto. Debe proteger el secreto de la información confidencial o personal. Toda la información se obtiene durante las pruebas - por ejemplo, claves de cifrado o contraseñas de texto - debe mantenerse privada. No abuse de su autoridad-use de manera responsable. Esto significa que no va a espiar en los registros corporativos confidenciales o vida privada. El tratamiento de la información con el mismo cuidado que le daría a su propia información personal.

Que has de hacer ningún daño

Recuerde que las acciones que toma pueden tener repercusiones imprevistas. Es fácil quedar atrapado en el trabajo gratificante de hacking ético. Intenta algo, y funciona, por lo que seguir adelante. Por desgracia, al hacer esto puede causar fácilmente una interrupción de algún tipo, o pisotear los derechos de otra persona. Resistir la tentación de ir demasiado lejos y se adhieren a su plan original.

Además, debe comprender la naturaleza de sus herramientas. Con demasiada frecuencia, la gente salta en verdad sin entender todas las implicaciones de la herramienta. Ellos no entienden que la creación de un ataque podría crear una denegación de servicio. Relajarse, tomar una respiración profunda, establecer sus objetivos, su plan de trabajo, elegir sus herramientas, y (oh sí) leer la documentación.

Has de utilizar un proceso de “científica”

Su trabajo debe reunir una mayor aceptación cuando se adopta un método empírico. Un método empírico tiene los siguientes atributos:

  • Establecer metas cuantificables: La esencia de la selección de un objetivo es que usted sabe cuando se ha llegado a ella. Elija un objetivo que se puede cuantificar: asociar con diez puntos de acceso, claves de cifrado roto o un archivo desde un servidor interno. goles en el tiempo cuantificables, tales como pruebas de sus sistemas para ver cómo se paran hasta tres días de ataque concertado, también son buenos.
  • Las pruebas son consistentes y repetibles: Si escanea su red dos veces y obtener resultados diferentes cada vez, esto no es consistente. Debe proporcionar una explicación para la falta de coherencia, o la prueba no es válida. Si repetimos la prueba, vamos a obtener los mismos resultados? Cuando una prueba se puede repetir o replicable, se puede concluir con seguridad que el mismo resultado se producirá no importa cuántas veces se replicarlo.
  • Las pruebas son válidas más allá del “ahora” marco de tiempo: Cuando los resultados son ciertos, la organización va a recibir sus pruebas con más entusiasmo si ha abordado un problema persistente o permanente, en lugar de un problema temporal o transitoria.

No codiciarás herramientas de tu vecino

No importa cuantas herramientas que pueda tener, usted descubrirá nuevos. Inalámbricos herramientas de hacking son moneda corriente en la Internet - y más están saliendo todo el tiempo. La tentación de agarrar a todos ellos es feroz.

Al principio, sus opciones de software a utilizar para este “pasatiempo fascinante” eran limitadas. Se podría descargar y utilizar la red Stumbler, comúnmente llamado NetStumbler, en una plataforma Windows, o puede utilizar Kismet en Linux. Pero en estos días, que tienen muchas más opciones: aerosol, Airosniff, Airscanner, APsniff, BSD-airtools, Dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, Ministumbler, Mognet, PocketWarrior, pocketWiNc, el THC-RUT, el THC-Scan, THC- WarDrive, Irradiar, WarLinux, Wellenreiter WiStumbler y Wlandump, para nombrar unos pocos. Y esos son sólo los libres. Si tiene tiempo ilimitado y el presupuesto, se puede utilizar todas estas herramientas. En su lugar, elegir una herramienta y se pega con él.

Has de informar todos tus hallazgos

En caso de que la duración de la prueba extenderse más allá de una semana, usted debe proporcionar actualizaciones semanales de progreso. La gente se pone nerviosa cuando saben que alguien está tratando de entrar en sus redes o sistemas, y no oyen desde las personas que han sido autorizadas para ello.

Usted debe planear para reportar cualquier vulnerabilidad de alto riesgo descubiertos durante las pruebas tan pronto como se encuentran. Éstas incluyen

  • infracciones descubiertas
  • vulnerabilidades conocidas con - las tasas de explotación - y altas
  • vulnerabilidades que son explotables para tener acceso completo, sin control, o imposible de encontrar
  • vulnerabilidades que pueden poner en riesgo la vida inmediatos

Usted no quiere a alguien para explotar una debilidad que usted sabía sobre las que se destina a informar. Esto no hará popular con nadie.

Su informe es una manera para que su organización para determinar la integridad y veracidad de su trabajo. Sus compañeros pueden revisar su método, sus resultados, su análisis y sus conclusiones, y una crítica constructiva o sugerencia de mejora.

Si usted encuentra que su informe se critica injustamente, a raíz de los Diez Mandamientos de Hacking Ético, deben permitirá fácilmente que para defenderla.

Una última cosa: Cuando encuentre 50 cosas, informar sobre 50 cosas. No es necesario que incluya todos los 50 resultados en el resumen pero debe incluirlos en la narración detallada. La retención de tal información transmite una impresión de la pereza, la incompetencia, o un intento de manipulación de los resultados de prueba. No lo haga.

Artículos Relacionados
Crear estándares de prueba para sus hacks éticos
Mandamientos de hackers éticos
Cómo los atacantes maliciosos engendrar hackers éticos
¿Cómo comunicar los resultados de evaluación de seguridad
¿Cómo establecer objetivos para un plan de hacking ético
Cómo utilizar el análisis de árbol de ataque para prepararse para un truco ética
Conocer sus vulnerabilidades de la infraestructura de red para evitar cortes
Selección de herramientas para el trabajo de la piratería
Sentar las bases para las pruebas de seguridad
Diez errores mortales que deben evitarse al hackear su empresa
Diez razones piratería es la mejor manera de garantizar la seguridad de la empresa
Diez maneras de obtener superior de gestión de buy-in de piratear su empresa
El proceso de hacking ético
Las cosas a considerar cuando se busca un proveedor de hacking ético
Consejos para las evaluaciones de seguridad exitoso
La comprensión de la necesidad de cortar sus propios sistemas
¿Cuál es hacking ético?
¿Por qué usted debe cortar sus propios sistemas
¿Qué sistemas en caso de que éticamente hackear?
Evaluar las vulnerabilidades con hacks éticos