Gehorchend die Zehn Gebote von Ethical Hacking
Diese Gebote gebracht wurden nicht vom Berg Sinai, sondern du sollst diese Gebote folgen shouldst du werden ein Gläubiger in der Lehre von der Ethical Hacking entscheiden.
Menu
- Du sollst deine ziele
- Du sollst planen dein werk, damit du nicht gehen aus der bahn
- Du sollst die erlaubnis erhalten
- Du sollst arbeit ethisch
- Du sollst aufzeichnungen
- Du sollst die privatsphäre anderer respektieren
- Du sollst nicht schaden
- Du sollst einen "wissenschaftlichen" prozess verwenden
- Du sollst nicht deines nächsten begehren werkzeuge
- Du sollst berichten alle deine erkenntnisse
Du sollst deine Ziele
Ihre Bewertung der Sicherheit eines drahtlosen Netzwerks sollten Antworten auf drei grundlegende Fragen suchen:
- Was kann auf den Ziel Access Points oder Netzwerke ein Eindringling zu sehen?
- Was kann mit dieser Information ein Eindringling zu tun?
- Hat jemand an der Ziel bemerken den Eindringling Versuche - oder Erfolge?
Sie können einen simplen Ziel, wie die Suche nach nicht autorisierten drahtlosen Zugriffspunkten. Oder Sie könnten sich zum Ziel gesetzt, die Sie Informationen von einem System auf dem verdrahteten Netzwerk zu erhalten erfordert. Was auch immer Sie sich entscheiden, müssen Sie Ihr Ziel artikulieren und kommunizieren, um sie Ihren Sponsoren.
Beteiligen Sie andere in Ihrem Ziel-Einstellung. Wenn Sie nicht tun, werden Sie den Planungsprozess sehr schwierig zu finden. Das Ziel bestimmt den Plan. Um die Cheshire-Katze Antwort auf Alice paraphrasieren: "Wenn Sie nicht wissen, wohin du gehst, wird jeder Weg, den Sie dort." Einschließlich der Beteiligten in der Zielsetzungsprozess wird Vertrauen aufzubauen, die später in den Spaten auszahlt.
Du sollst planen dein Werk, damit du nicht gehen aus der Bahn
Einige sind, wenn einer von uns nicht durch eine oder mehrere Einschränkungen gebunden. Geld, Personal oder Zeit können Sie einschränken. Folglich ist es wichtig, dass Sie Ihre Tests zu planen.
In Bezug auf Ihren Plan, sollten Sie folgendes tun:
1. Identifizieren Sie die Netzwerke, die Sie testen möchten.
2. Geben Sie den Testintervall.
3. Geben Sie den Testprozess.
4. Entwickeln Sie einen Plan und teilen Sie es mit allen Beteiligten.
5. Holen Sie die Genehmigung des Plans.
Teilen Sie Ihren Plan. Socialize es mit so vielen Menschen wie möglich. Mach dir keine Sorgen, dass viele Leute wissen, dass Sie in das drahtlose Netzwerk zu hacken gehen. Wenn Ihre Organisation wie die meisten anderen ist, dann ist es unwahrscheinlich, dass sie die organisatorische Trägheit, etwas zu tun bekämpfen können Ihre Bemühungen zu blockieren. Es ist wichtig, obwohl, sich daran zu erinnern, dass Sie Ihre Prüfung unter "normalen" Bedingungen tun wollen.
Du sollst die Erlaubnis erhalten
Wenn Ethical Hacking zu tun, folgen nicht die alte Säge, dass "Vergebung zu bitten ist einfacher, als um Erlaubnis zu fragen." Nicht fragen, um die Erlaubnis, können Sie im Gefängnis landen!
Sie müssen Ihre schriftliche Zustimmung zu bekommen. Diese Erlaubnis kann das einzige, was zwischen Ihnen stehen darstellen und einem schlecht sitzenden schwarz-weiß-gestreiften Anzug und einem längeren Aufenthalt im Heartbreak Hotel. Es sollte sagen, dass Sie einen Test durchzuführen sind berechtigt, nach dem Plan. Es sollte auch sagen, dass die Organisation für den Fall, "hinter dir stehen" Sie kriminell aufgeladen oder verklagt werden. Das heißt, sie rechtliche und organisatorische Unterstützung bieten wird, solange man innerhalb der Grenzen des ursprünglichen Plans blieb (siehe Gebotes Two).
Du sollst Arbeit ethisch
Der Begriff ethisch in diesem Zusammenhang bedeutet, professionell und mit gutem Gewissen zu arbeiten. Sie müssen nichts tun, was nicht in den genehmigten Plan ist oder dass hat nach der Genehmigung des Plans genehmigt worden sind.
Als ethische Hacker, Sie sind auf Vertraulichkeit und Nichtoffenlegung von Informationen verpflichtet, Sie aufzudecken, und das schließt die Sicherheits-Testergebnisse. Sie können nichts für Personen, die nicht preisgeben "need-to-know." Was Sie bei Ihrer Arbeit lernen, ist extrem empfindlich - Sie werden es nicht offen teilen müssen.
Sie müssen auch sicherstellen, dass Sie mit Ihrer Organisation Governance und lokalen Gesetze konform sind. Verwenden Sie keine ethischen Hack ausführen, wenn Ihre Politik ausdrücklich verbietet - oder wenn das Gesetz tut.
Du sollst Aufzeichnungen
Die wichtigsten Attribute eines ethischen Hacker sind Geduld und Gründlichkeit. Diese Arbeit erledigen erfordert Stunden über eine Tastatur in einem abgedunkelten Raum gebogen. Sie können einige off-Stunden Arbeit tun müssen, um Ihre Ziele zu erreichen, aber Sie müssen nicht Hacker Getriebe und trinken Red Bull tragen. Was Sie tun müssen, ist, halten Einstecken entfernt, bis Sie Ihr Ziel erreichen.
Ein Kennzeichen der Professionalität hält angemessene Aufzeichnungen Ihre Ergebnisse zu unterstützen. Wenn Papier oder elektronische Notizen, gehen Sie wie folgt vor:
- Melden Sie alle Arbeiten durchgeführt.
- Notieren Sie alle Informationen direkt in Ihr Protokoll.
- Halten Sie eine Kopie Ihrer Protokoll.
- Dokument - und Datum - jeder Test.
- Halten Sie sachliche Aufzeichnungen und notieren alle Arbeiten, auch wenn Sie denken, dass Sie nicht erfolgreich waren.
Du sollst die Privatsphäre anderer respektieren
Behandeln Sie die Informationen, die Sie mit größtem Respekt zu sammeln. Sie müssen die Geheimhaltung von vertraulichen oder persönlichen Daten zu schützen. Alle Informationen, die Sie während Ihrer Prüfung erhalten - zum Beispiel Verschlüsselungsschlüssel oder Passwörter im Klartext - muss geheim gehalten werden. Missbrauchen Sie nicht Ihr authority- es verantwortungsvoll nutzen. Dies bedeutet, dass Sie nicht in vertrauliche Unternehmensaufzeichnungen oder Privatleben herumzuschnüffeln wird. Behandeln Sie die Informationen mit der gleichen Sorgfalt, die Sie zu Ihrer eigenen persönlichen Information geben würde.
Du sollst nicht schaden
Denken Sie daran, dass die Aktionen, die Sie ungeplante Auswirkungen haben könnten. Es ist einfach, in der erfreulichen Arbeit von Ethical Hacking zu verfangen. Sie versuchen, etwas, und es funktioniert, so dass Sie weitermachen. Leider ist dies, indem Sie kann man leicht einen Ausfall irgendeiner Art verursachen, oder auf Rechte einer anderen Person mit Füßen treten. Dem Drang widerstehen, zu weit zu gehen und bleiben Sie bei Ihren ursprünglichen Plan.
Außerdem müssen Sie die Art Ihrer Werkzeuge verstehen. Viel zu oft springen Menschen in ohne wirklich die vollen Auswirkungen des Werkzeugs zu verstehen. Sie verstehen nicht, dass ein Angriff der Einrichtung könnte einen Denial-of-Service erstellen. Entspannen Sie sich, nehmen Sie einen tiefen Atemzug, setzen Sie Ihre Ziele, planen Sie Ihre Arbeit, wählen Sie Ihre Werkzeuge und (oh yeah) lesen Sie die Dokumentation.
Du sollst einen "wissenschaftlichen" Prozess verwenden
Ihre Arbeit sollte eine größere Akzeptanz Garner, wenn Sie ein empirisches Verfahren erlassen. Eine empirische Methode hat folgende Eigenschaften:
- Stellen Sie quantifizierbare Ziele: Das Wesen der ein Ziel der Auswahl ist, dass Sie wissen, wenn Sie es erreicht haben. Wählen Sie ein Ziel, das Sie zu quantifizieren: assoziieren mit zehn Access Points, gebrochene Verschlüsselungsschlüssel oder eine Datei von einem internen Server. Zeit quantifizierbare Ziele, wie Ihre Systeme testen, um zu sehen, wie sie stehen bis zu drei Tagen der konzertierten Angriff, sind auch gut.
- Tests sind konsistent und wiederholbar: Wenn Sie Ihr Netzwerk zweimal scannen und unterschiedliche Ergebnisse jedes Mal zu bekommen, ist dies nicht konsistent. Sie müssen eine Erklärung für die mangelnde Übereinstimmung liefern, oder ist der Test ungültig. Wenn wir den Test wiederholen, werden wir die gleichen Ergebnisse erhalten? Wenn ein Test wiederholbar oder replizierbar ist, können Sie getrost folgern, dass das gleiche Ergebnis egal auftreten wird, wie oft Sie es replizieren.
- Tests sind über die "jetzt" Zeitrahmen gültig: Wenn Sie Ihre Ergebnisse wahr sind, wird Ihre Organisation Ihre Tests mit mehr Begeisterung erhalten, wenn Sie eine persistente oder permanentes Problem angesprochen haben, anstatt eine temporäre oder vorübergehende Problem.
Du sollst nicht deines Nächsten begehren Werkzeuge
Egal, wie viele Werkzeuge, die Sie haben, werden Sie neue zu entdecken. Wireless-Hacking-Tools sind im Internet weit verbreitet - und es werden immer mehr die ganze Zeit. Die Versuchung, sie alle zu greifen ist hart.
Schon früh, Ihre Auswahl von Software für diese "faszinierende Hobby" zu verwenden, waren begrenzt. Sie können herunterladen und Network Stumbler verwenden, die gemeinhin als NetStumbler, auf einer Windows-Plattform, oder Sie könnten Kismet auf Linux. Aber in diesen Tagen, haben Sie viel mehr Möglichkeiten: Aerosol, Airosniff, Airscanner, APsniff, BSD-Airtools, dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, pocketWiNc, THC-RUT, THC-Scan, THC- wardrive, Radiate, WarLinux, Wellenreiter WiStumbler und Wlandump, um nur einige zu nennen. Und das sind nur die freie. Sollten Sie unbegrenzte Zeit und Budget haben, können Sie alle diese Tools verwenden. Stattdessen ein Werkzeug holen und dabei bleiben.
Du sollst berichten alle deine Erkenntnisse
Sollte die Dauer des Tests über eine Woche zu verlängern, sollten Sie wöchentlich Fortschritte Updates zur Verfügung stellen. Die Leute werden nervös, wenn sie jemanden kennen in ihre Netze oder Systeme zu brechen versucht, und sie hören nicht von den Menschen, die autorisiert habe, dies zu tun.
Sie sollten alle Hochrisiko-Schwachstellen bei der Prüfung, sobald sie gefunden werden, entdeckt zu berichten, planen. Diese beinhalten
- entdeckte Verstöße
- Schwachstellen mit bekannten - und hoch - der Befischung
- Schwachstellen, die verwertbar für die vollständige, nicht überwachte sind, oder unauffindbar Zugang
- Schwachstellen, die unmittelbare Leben gefährden kann
Sie wollen nicht, dass jemand eine Schwäche auszunutzen, die Sie wusste und beabsichtigte zu melden. Dies wird nicht machen Sie beliebt bei jedermann.
Ihr Bericht ist eine Möglichkeit, für Ihre Organisation für die Vollständigkeit und Richtigkeit Ihrer Arbeit zu bestimmen. Ihre Kollegen können Ihre Methode, Ihre Ergebnisse, Ihre Analyse und Ihre Schlussfolgerungen und konstruktive Kritik oder Verbesserungsvorschläge überprüfen.
Wenn Sie feststellen, dass Ihr Bericht zu Unrecht kritisiert wird, im Anschluss an die Zehn Gebote der Ethical Hacking, sollte leicht erlauben Ihnen, es zu verteidigen.
Eine letzte Sache: Wenn finden Sie 50 Dinge, berichten 50 Dinge. Sie müssen nicht alle 50 Ergebnisse in der Zusammenfassung enthalten, aber Sie müssen sie in der ausführlichen Erzählung enthalten. solche Informationen Quellen vermittelt einen Eindruck von Faulheit, Inkompetenz oder einer versuchten Manipulation der Testergebnisse. Tun Sie es nicht.