Quando gli hacker white hat diventano cattivi

Nella maggior parte dei casi, la sicurezza informatica può essere raggiunta tramite hacking etico, una pratica consolidata utilizzata per identificare i punti deboli e offrire indicazioni sulle vulnerabilità. Ma, come per la maggior parte delle cose che hanno a che fare con la blockchain, il problema diventa un'area grigia.

Per stare un passo avanti agli aggressori, quelli che vengono considerati "hacker etici" nel Cripto si affidano ad alcune tattiche discutibili. Tra queste rientrano l'uso di ispezioni di sicurezza approfondite e delle più recenti tecniche di sicurezza offensive, come i test di penetrazione avanzati (o pen-testing), per far emergere vulnerabilità importanti prima che vengano sfruttate.

Luis Llubeck è lo specialista dell'istruzione tecnica di Halborn. Questo articolo fa parte di CoinDesk'sSettimana del peccatoserie.

Per emulare le azioni e i metodi più recenti adottati dagli autori delle minacce, è necessario effettuare test di penetrazione su tutto, dalle applicazioni web, alle applicazioni mobili e alle API, ai portafogli e alle blockchain di livello 1.

Un'applicazione, una rete o un sistema decentralizzato che sfrutta la Tecnologie blockchain viene sottoposto a un controllo di sicurezza noto come "penetration test". L'obiettivo è individuare e segnalare eventuali falle nella sicurezza prima che un utente malintenzionato possa farlo.

Il penetration testing è finalizzato a correggere le vulnerabilità nel codice sfruttando deliberatamente le debolezze del target e adottando la mentalità di un potenziale avversario. A volte è necessario pensare come un criminale per batterlo.

Continua a leggere: In difesa del crimine| Settimana del peccato

Ovviamente, questo solleva preoccupazioni sul fatto che persino gli "hacker etici" possano ottenere informazioni su un sistema e poi sfruttarlo. Ciò è apparentemente accaduto in passato. Gli hacker white-hat devono andare in profondità in un sistema, evitando allo stesso tempo le tentazioni dei sette peccati capitali:

ORGOGLIO, il peccato principale, può portare qualsiasi hacker a diventare un bersaglio. Se un hacker etico ha l'arroganza di credere che i suoi talenti prevalgano su tutto il resto, inclusa la legge, l'hacker etico può diventare un bersaglio per altri hacker, o peggio.

In nessun caso un penetration tester dovrebbe provare a violare un sistema senza la dovuta autorizzazione da parte dell'azienda o della persona responsabile. Questa è considerata un'azione illegale. E per il sistema giudiziario, nessuna quantità di buone azioni in passato può in alcun modo superare le conseguenze del superamento del limite.

L'hacker etico porta con sé un equilibrio tra motivazioni interne ed esterne. Da ONE parte siede lo spettro della ricompensa e della fama, e dall'altra siede la condivisione della conoscenza nell'atto di garantire la sicurezza sociale (o almeno quella dell'azienda per cui lavora). Quando questo equilibrio si capovolge e la fama personale o il guadagno monetario vengono valutati rispetto alla condivisione della conoscenza e della sicurezza, l'hacker cade nel peccato di AVIDITÀ.

Continua a leggere: L'uso criminale Cripto è in crescita, ma questa è solo metà della storia

Per combattere questo, non usano mai una rete privata virtuale (VPN) per MASK l'indirizzo IP (Internet Protocol) da cui viene eseguito il test. Lasciano sempre tracce per osservatori esterni che facilitano il riconoscimento di un vettore di attacco. L'offuscamento della conoscenza li porterà rapidamente a essere esclusi dalle comunità di hacker etici, ovvero coloro che crescono attraverso la conoscenza condivisa.

I grandi hacker hanno l'impulso di volere di più, sapere di più, Imparare di più, rompere di più. Per non cadere nel peccato di GOLA, è fondamentale stabilire dei limiti. Un hacker etico deve essere certo di definire l'ambito del test di penetrazione da eseguire, stabilendo dei limiti su cosa si può fare e fino a che punto ONE si può spingere nel tentativo di violare il sistema.

Naturalmente, la conoscenza dell'hacking non dovrebbe mai essere utilizzata per ottenere l'accesso non autorizzato a materiale sensibile, altrimenti noto come la tentazione diLUSSURIAPer quanto possa essere allettante dare un'occhiata o andare dove ONE è mai andato prima, un hacker etico deve stabilire dei limiti. Ciò significa non condividere mai documentazione interna o conoscenze non pubbliche, nemmeno con le controparti di cui si fida.

Essere un hacker etico significa essere su un percorso di apprendimento costante, quindiPIGRIZIA è ONE dei peggiori peccati immaginabili. La Tecnologie avanza a velocità iperbolica. Un hacker etico presume sempre che ci sia ancora molto da Imparare.

Continua a leggere: Gli impatti perversi del sistema antiriciclaggio| Settimana del peccato

Durante un penetration test devono assicurarsi di Seguici tutte le procedure, attenersi alle regole e non eseguire mai esperimenti sulle stesse macchine o sistemi utilizzati nella produzione in tempo reale o nelle attività quotidiane, poiché ciò può mettere a rischio l'attrezzatura del tester stesso a causa di codice dannoso. Questo può fare la differenza tra "la vita e la morte", poiché un vero aggressore potrebbe ottenere l'accesso al client prima ancora che il guasto possa essere rilevato.

INVIDIAdeve essere evitato a tutti i costi. Utilizzare informazioni sensibili di un'azienda che sono state trovate durante il penetration test per un vantaggio personale non è solo off-limits, ma addirittura illegale. Nel frattempo, deve essere evitato anche il mancato riconoscimento delle competenze di un compagno di squadra. Il lavoro di squadra e la comprensione dei punti di forza e delle aree di crescita sono essenziali per test completi di alta qualità.

Non tutti i test di penetrazione finiscono con successo; forse non viene trovato alcun errore o non viene trovato in tempo. In nessun caso l'hacker etico percorrerà il sentiero diRABBIAPerdere il controllo può portare a errori ancora più pericolosi, come non essere in grado di rispondere in tempo a un incidente, aggravare i danni in risposta a quell'incidente o non imparare dall'evento.