Quando os hackers White Hat se tornam maus

Na maioria dos casos, a segurança cibernética pode ser alcançada por meio de hacking ético – uma prática estabelecida usada para identificar fraquezas e oferecer orientação sobre vulnerabilidades. Mas, como acontece com a maioria das coisas relacionadas ao blockchain, o problema se torna uma área cinzenta.

Para ficar à frente dos atacantes, aqueles considerados “hackers éticos” em Cripto contam com algumas táticas questionáveis. Elas incluem o uso de inspeção de segurança profunda, bem como as mais recentes técnicas de segurança ofensivas, como testes avançados de penetração (ou pen-testing), para revelar vulnerabilidades importantes antes que sejam exploradas.

Luis Llubeck é o especialista em educação técnica da Halborn. Este artigo é parte do CoinDesk’sSemana do Pecadosérie.

Para emular as ações e métodos mais recentes adotados por agentes de ameaças, é necessário realizar testes de penetração em tudo, desde aplicativos da web, aplicativos móveis e APIs até carteiras e blockchains de camada 1.

Um aplicativo, rede ou sistema descentralizado que faz uso da Tecnologia blockchain é submetido a uma auditoria de segurança conhecida como "teste de penetração". O objetivo é encontrar e alertar sobre falhas de segurança antes que um usuário mal-intencionado o faça.

O teste de penetração tem como objetivo consertar vulnerabilidades no código explorando deliberadamente as fraquezas do alvo enquanto adota a mentalidade de um adversário em potencial. Às vezes, você precisa pensar como um criminoso para derrotá-los.

Leia Mais: Em Defesa do Crime| Semana do Pecado

Obviamente, isso levanta preocupações de que até mesmo “hackers éticos” podem obter insights sobre um sistema e, mais tarde, explorá-lo. Isso aparentemente ocorreu no passado. Hackers white-hat devem se aprofundar em um sistema enquanto, ao mesmo tempo, evitam as tentações dos sete pecados capitais:

ORGULHO, o pecado mais grave, pode levar qualquer hacker a se tornar um alvo. Se um hacker ético tem a arrogância de acreditar que seus talentos superam todo o resto – incluindo a lei – o hacker ético pode se tornar um alvo para outros hackers, ou pior.

Em nenhuma circunstância um testador de penetração deve tentar quebrar um sistema sem a devida autorização da empresa ou da pessoa responsável. Isso é considerado uma ação ilegal. E para o sistema de justiça, nenhuma quantidade de boas ações no passado pode superar as consequências de cruzar a linha.

O hacker ético carrega consigo um equilíbrio entre motivações internas e externas. Em um ombro está o espectro da recompensa e da fama, e no outro está o compartilhamento de conhecimento no ato de garantir a segurança social (ou pelo menos a da empresa para a qual trabalha). Quando esse equilíbrio é desequilibrado e a fama pessoal ou o ganho monetário são valorizados em detrimento do compartilhamento de conhecimento e segurança, o hacker cai no pecado de AMBIÇÃO.

Leia Mais: O uso criminoso de Cripto está crescendo, mas isso é apenas metade da história

Para combater isso, eles nunca usam uma rede privada virtual (VPN) para MASK o endereço de protocolo de internet (IP) de onde seu teste é feito. Eles sempre deixam rastros para observadores externos que facilitam o reconhecimento de um vetor de ataque. A ofuscação do conhecimento os levará rapidamente a serem excluídos das comunidades de hackers éticos - aqueles que crescem por meio do conhecimento compartilhado.

Grandes hackers têm o ímpeto de querer mais, saber mais, Aprenda mais, quebrar mais. Para não cair no pecado de GLUTONARIA, é imperativo estabelecer limites. Um hacker ético deve ter certeza de refinar o escopo do teste de penetração a ser realizado, definindo limites sobre o que pode ser feito e até onde ONE pode ir ao tentar quebrar o sistema.

É claro que o conhecimento de hacking nunca deve ser usado para obter acesso não autorizado a material sensível, também conhecido como a tentação deLUXÚRIA. Por mais tentador que seja dar uma espiada ou ir aonde ONE jamais foi, um hacker ético deve estabelecer limites. Isso significa nunca compartilhar documentação interna ou conhecimento não público, mesmo com seus colegas confiáveis.

Ser um hacker ético é estar em um caminho de aprendizado constante, portantoPREGUIÇA é um dos piores pecados imagináveis. A Tecnologia avança em hipervelocidade. Um hacker ético sempre assume que há mais a Aprenda.

Leia Mais: Os impactos perversos do sistema de combate à lavagem de dinheiro| Semana do Pecado

Durante um teste de penetração, eles devem certificar-se de Siga todos os procedimentos, seguir o livro e nunca realizar experimentos nas mesmas máquinas ou sistemas usados ​​na produção ao vivo ou tarefas diárias, pois isso pode colocar o próprio equipamento do testador em risco para código malicioso. Isso pode ser a diferença entre "vida e morte", já que um invasor real pode obter acesso ao cliente antes mesmo que a falha possa ser detectada.

INVEJAtambém deve ser evitado a todo custo. Usar informações confidenciais de uma empresa que foi encontrada durante o teste de penetração para benefício pessoal não é apenas proibido, mas totalmente ilegal. Enquanto isso, deixar de reconhecer a experiência de um colega de equipe também deve ser evitado. Trabalho em equipe e compreensão de pontos fortes e áreas de crescimento são essenciais para testes abrangentes de alta qualidade.

Nem todo teste de penetração termina em sucesso; talvez nenhum erro seja encontrado ou não seja encontrado a tempo. Sob nenhuma circunstância o hacker ético deve percorrer o caminho deRAIVA. Perder o controle pode levar a erros ainda mais perigosos, como não conseguir responder a tempo a um incidente, agravar os danos em resposta a esse incidente ou não aprender com o evento.