Tuân theo Mười Điều Răn Xả về Đạo đức - những Quy Ước

Những điều răn này không được hạ xuống từ Núi Sinai, hãy tuân theo những điều răn này nếu bạn quyết định trở thành người tin vào học thuyết về hack có đạo đức.

Bạn phải đặt ra mục tiêu của mình

Đánh giá của bạn đối với an ninh mạng không dây nên tìm kiếm câu trả lời cho ba câu hỏi cơ bản:

• Người đột nhập có thể nhìn thấy trên các điểm truy cập hoặc mạng lưới mục tiêu?

• Người đột nhập có thể làm gì với thông tin đó?
• Có ai trong mục tiêu nhận thấy những nỗ lực của kẻ đột nhập - hay thành công?

Bạn có thể đặt ra mục tiêu đơn giản, chẳng hạn như tìm các điểm truy cập không dây được phép. Hoặc bạn có thể đặt mục tiêu yêu cầu bạn lấy thông tin từ một hệ thống trên mạng có dây. Bất cứ điều gì bạn chọn, bạn phải nói rõ mục tiêu của bạn và truyền đạt nó cho nhà tài trợ của bạn.

Tham gia vào những người khác trong cài đặt mục tiêu của bạn. Nếu không, bạn sẽ thấy quá trình lập kế hoạch khá khó khăn. Mục tiêu xác định kế hoạch. Để diễn giải câu trả lời của Cheshire Cat với Alice: "Nếu bạn không biết mình đi đâu, bất kỳ con đường nào sẽ đưa bạn đến đó. "Bao gồm các bên liên quan trong quá trình thiết lập mục tiêu sẽ xây dựng sự tin tưởng rằng sẽ trả hết nợ sau này.

Bạn phải lập kế hoạch cho công việc của bạn, nếu bạn bỏ khóa học

Rất ít, nếu có người trong chúng ta, không bị ràng buộc bởi một hoặc nhiều trở ngại. Tiền, nhân viên, hoặc thời gian có thể hạn chế bạn. Do đó, điều quan trọng là bạn phải lập kế hoạch thử nghiệm của mình.

Về kế hoạch của bạn, bạn nên làm như sau:

1. Xác định mạng bạn dự định thử nghiệm.

2. Xác định khoảng thử nghiệm.

3. Chỉ định quy trình kiểm tra.

4. Xây dựng một kế hoạch và chia sẻ nó với tất cả các bên liên quan.

5. Có được sự chấp thuận của kế hoạch.

Chia sẻ kế hoạch của bạn. Xã hội hóa nó với càng nhiều người càng tốt. Đừng lo lắng rằng nhiều người sẽ biết rằng bạn sẽ hack vào mạng không dây. Nếu tổ chức của bạn giống như hầu hết những người khác, thì không chắc họ có thể chống lại sự trì trệ của tổ chức để làm bất cứ điều gì để chặn mọi nỗ lực của bạn. Tuy nhiên, điều quan trọng là phải nhớ rằng bạn muốn làm bài kiểm tra của bạn trong điều kiện "bình thường".

Bạn phải có sự cho phép

Khi thực hiện các cuộc tấn công có đạo đức, đừng theo dõi cái cưa cũ rằng "yêu cầu tha thứ dễ dàng hơn là xin phép. "Không xin phép có thể đưa bạn vào tù!

Bạn phải có sự cho phép của bạn bằng văn bản. Sự cho phép này có thể là điều duy nhất đứng giữa bạn và một bộ vest đen-trắng-sọc và một thời gian dài ở Heartbreak Hotel.Cần nêu rõ rằng bạn được phép thực hiện một bài kiểm tra theo kế hoạch. Cũng nên nói rằng tổ chức sẽ "đứng sau bạn" trong trường hợp bạn bị truy tố về tội hình sự hoặc truy tố. Điều này có nghĩa là họ sẽ cung cấp hỗ trợ pháp lý và tổ chức miễn là bạn ở lại trong phạm vi của kế hoạch ban đầu (xem điều răn buộc thứ hai).

Bạn phải làm việc một cách đạo đức

Thuật ngữ đạo đức trong ngữ cảnh này có nghĩa là làm việc chuyên nghiệp và có lương tâm tốt. Bạn không phải làm bất cứ điều gì không có trong kế hoạch được phê duyệt hoặc đã được ủy quyền sau khi phê duyệt kế hoạch.

Là một hacker có đạo đức, bạn có nghĩa vụ bảo mật và không tiết lộ thông tin bạn phát hiện, và bao gồm các kết quả kiểm tra an ninh. Bạn không thể tiết lộ bất cứ điều gì cho những cá nhân không "cần biết". "Những gì bạn học được trong quá trình làm việc của bạn rất nhạy cảm - bạn không được công khai chia sẻ nó.

Bạn cũng phải đảm bảo rằng bạn tuân thủ với quản lý của tổ chức và luật địa phương. Không thực hiện hack có đạo đức khi chính sách của bạn nghiêm cấm nó - hoặc khi luật pháp làm.

Bạn phải lưu giữ hồ sơ

Các thuộc tính chính của một hacker có đạo đức là sự kiên nhẫn và sự triệt để. Thực hiện công việc này đòi hỏi thời gian uốn cong trên một bàn phím trong một căn phòng tối tăm. Bạn có thể phải làm một số công việc ngoài giờ để đạt được mục tiêu của mình, nhưng bạn không phải mang thiết bị hacker và uống Red Bull. Những gì bạn phải làm là giữ cho đến khi bạn đạt được mục tiêu của bạn.

Một điểm đặc trưng của tính chuyên nghiệp là giữ hồ sơ đầy đủ để hỗ trợ phát hiện của bạn. Khi giữ giấy hoặc ghi chú điện tử, hãy thực hiện theo các bước sau:

• Đăng nhập tất cả các công việc đã thực hiện.
• Ghi lại tất cả thông tin trực tiếp vào nhật ký của bạn.
• Giữ bản sao của nhật ký của bạn.
• Tài liệu - và ngày - mỗi bài kiểm tra.
• Giữ hồ sơ thực tế và ghi lại tất cả các công việc, ngay cả khi bạn nghĩ rằng bạn không thành công.

Bạn phải tôn trọng sự riêng tư của người khác

Xử lý thông tin bạn thu thập với sự tôn trọng tối đa. Bạn phải bảo vệ bí mật thông tin cá nhân hoặc bí mật. Tất cả thông tin bạn nhận được trong quá trình thử nghiệm của bạn - ví dụ như các khoá mã hóa hoặc mật khẩu văn bản rõ ràng - phải được giữ kín. Đừng lạm dụng quyền hạn của bạn; sử dụng nó một cách có trách nhiệm. Điều này có nghĩa là bạn sẽ không phải snoop vào hồ sơ công ty bí mật hoặc cuộc sống riêng tư. Xử lý thông tin với sự chăm sóc giống như bạn cung cấp cho thông tin cá nhân của bạn.

Bạn không nên làm hại

Hãy nhớ rằng những hành động bạn thực hiện có thể có những hậu quả không có kế hoạch. Thật dễ dàng để có được bắt kịp trong công việc hài lòng của hacking đạo đức. Bạn thử cái gì, và nó hoạt động, vì vậy bạn tiếp tục đi. Thật không may, bằng cách làm như vậy bạn có thể dễ dàng gây ra sự cúp điện của một số loại, hoặc giẫm đạp lên quyền của người khác. Chống lại sự thôi thúc để đi quá xa và gắn bó với kế hoạch ban đầu của bạn.

Ngoài ra, bạn phải hiểu bản chất của các công cụ của bạn. Quá thường xuyên, mọi người nhảy vào mà không thực sự hiểu được ý nghĩa đầy đủ của công cụ. Họ không hiểu rằng việc thiết lập một cuộc tấn công có thể tạo ra sự từ chối dịch vụ.Hãy thư giãn, hít thở sâu, thiết lập mục tiêu, lên kế hoạch cho công việc của bạn, chọn công cụ của bạn, và (oh yeah) đọc tài liệu.

Bạn phải sử dụng quy trình "khoa học"

Công việc của bạn nên được chấp nhận rộng rãi hơn khi bạn áp dụng một phương pháp thực nghiệm. Một phương pháp thực nghiệm có các thuộc tính sau:

• Đặt các mục tiêu định lượng: Bản chất của việc chọn một mục tiêu là bạn biết khi nào bạn đã đạt đến nó. Chọn một mục tiêu mà bạn có thể định lượng: liên kết với mười điểm truy cập, các khóa mã hoá bị hỏng hoặc tệp tin từ một máy chủ nội bộ. Các mục tiêu có thể định lượng theo thời gian, chẳng hạn như kiểm tra các hệ thống của bạn để xem chúng có tấn công phối hợp như thế nào trong ba ngày cũng tốt.
• Các thử nghiệm đều nhất quán và lặp lại: Nếu bạn quét mạng của bạn hai lần và nhận được kết quả khác nhau mỗi lần, điều này không nhất quán. Bạn phải cung cấp một lời giải thích cho sự không nhất quán, hoặc thử nghiệm không hợp lệ. Nếu chúng ta lặp lại thử nghiệm của bạn, chúng ta sẽ nhận được kết quả tương tự? Khi một phép thử lặp lại hoặc nhân rộng được, bạn có thể kết luận một cách tự tin rằng kết quả tương tự cũng sẽ xảy ra bất kể bạn lặp lại nó bao nhiêu lần.
• Các bài kiểm tra có giá trị vượt quá khung thời gian "bây giờ": Khi kết quả của bạn là đúng, tổ chức của bạn sẽ nhận được các thử nghiệm của bạn với sự nhiệt tình hơn nếu bạn giải quyết một vấn đề thường trực hoặc vĩnh viễn chứ không phải là vấn đề tạm thời hoặc tạm thời.

Bạn không được ước ao công cụ của người hàng xóm của bạn

Dù bạn có bao nhiêu công cụ, bạn sẽ khám phá ra những thứ mới. Các công cụ hacking không dây đang lan tràn trên Internet - và nhiều lúc khác đang xuất hiện. Sự cám dỗ để lấy tất cả là khốc liệt.

Ngay từ đầu, các lựa chọn phần mềm của bạn sử dụng cho "sở thích thú vị" này đã bị hạn chế. Bạn có thể tải về và sử dụng Network Stumbler, thường được gọi là NetStumbler, trên một nền tảng Windows, hoặc bạn có thể sử dụng Kismet trên Linux. Nhưng những ngày này, bạn có nhiều lựa chọn hơn: Aerosol, Airosniff, Airscanner, APsniff, BSD-Airtools, dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, PocketWiNc, THC-RUT, THC-Scan, THC- WarDrive, Radiate, WarLinux, WellStreel WiStumbler và Wlandump, để đặt tên cho một vài. Và những người chỉ là những người tự do. Nếu bạn có thời gian và ngân sách không giới hạn, bạn có thể sử dụng tất cả các công cụ này. Thay vào đó, chọn một công cụ và dính vào nó.

Bạn phải báo cáo tất cả các phát hiện của mình

Nếu khoảng thời gian thử nghiệm của bạn kéo dài hơn một tuần, bạn nên cung cấp cập nhật tiến độ hàng tuần. Mọi người lo lắng khi họ biết ai đó đang cố đột nhập vào mạng hoặc hệ thống của họ và họ không nghe từ những người đã được ủy quyền làm như vậy.

Bạn nên lập kế hoạch báo cáo bất kỳ lỗ hổng nguy cơ cao nào được phát hiện trong quá trình thử nghiệm ngay khi chúng được tìm thấy. Các lỗ hổng này bao gồm:

• phát hiện ra các lỗ hổng
• với các lỗ hổng được biết đến và có tỷ suất khai thác cao
• được khai thác cho các lỗ hổng truy cập đầy đủ, không được giám sát hoặc không tiếp cận
• không muốn ai đó khai thác điểm yếu mà bạn biết và dự định báo cáo.Điều này sẽ không làm cho bạn phổ biến với bất cứ ai.

Báo cáo của bạn là một cách để tổ chức của bạn xác định tính đầy đủ và tính xác thực của tác phẩm. Các bạn của bạn có thể xem lại phương pháp, phát hiện, phân tích và kết luận của bạn và đưa ra những lời chỉ trích hay những đề xuất cải tiến.

Nếu bạn nhận thấy rằng bản báo cáo của bạn bị chỉ trích một cách không công bằng, theo Mười Điều Răn về Hacking Đạo đức, bạn nên dễ dàng cho phép bạn bảo vệ nó.

Một điều cuối cùng: Khi bạn tìm thấy 50 điều, báo cáo về 50 điều. Bạn không cần phải bao gồm tất cả 50 kết quả trong phần tóm tắt nhưng bạn phải đưa chúng vào bản tường trình chi tiết. Giữ lại thông tin như vậy truyền đạt một ấn tượng về sự lười biếng, thiếu năng lực, hoặc một thao tác cố gắng của các kết quả kiểm tra. Đừng làm điều đó.