Коли хакерам White Hat стає погано

У більшості випадків кібербезпеки можна досягти за допомогою етичного хакерства – усталеної практики, яка використовується для виявлення слабких місць і надання вказівок щодо вразливостей. Але, як і у більшості речей, пов’язаних із блокчейном, проблема стає сірою зоною.

Щоб випередити зловмисників, ті, кого вважають «етичними хакерами» в Крипто, покладаються на деякі сумнівні тактики. Вони включають використання глибокої перевірки безпеки, а також найновіших агресивних методів безпеки, таких як розширене тестування на проникнення (або тестування пером), щоб виявити важливі вразливості до того, як їх використають.

Луїс Любек є фахівцем з технічної освіти Halborn. Ця стаття є частиною CoinDesk Тиждень гріха серії.

Щоб імітувати найновіші дії та методи, вжиті загрозливими суб’єктами, тестування через ручку потрібно проводити для всього, від веб-додатків, мобільних додатків і API до гаманців і блокчейнів рівня 1.

Децентралізована програма, мережа або система, яка використовує Технології блокчейн, піддається перевірці безпеки, відомому як «тест на проникнення». Мета полягає в тому, щоб знайти та попередити недоліки безпеки до того, як це зробить зловмисний користувач.

Тестування на проникнення призначене для усунення вразливостей у коді, навмисно використовуючи слабкі сторони цілі, одночасно приймаючи мислення потенційного супротивника. Іноді вам потрібно думати як злочинець, щоб побити їх.

Читайте також: На захист злочину | Тиждень гріха

Очевидно, це викликає занепокоєння, що навіть «етичні хакери» можуть проникнути в систему та згодом використовувати її. Це, здається, траплялося в минулому. Хакери з білим капелюхом повинні заглибитися в систему, водночас уникаючи спокус семи смертних гріхів:

ГОРДІСТЬ, головний гріх, може призвести до того, що будь-який хакер стане мішенню. Якщо етичний хакер має зарозумілість вірити, що їхні таланти переважають усе інше – включно із законом – етичний хакер може стати мішенню для інших хакерів або навіть гірше.

За жодних обставин тестувальник проникнення не повинен намагатися зламати систему без належного дозволу від компанії або відповідальної особи. Це вважається незаконною дією. А для системи правосуддя жодні добрі справи в минулому не можуть подолати наслідки перетину межі.

Етичний хакер несе з собою баланс між внутрішньою та зовнішньою мотивацією. На ONE плечі сидить привид винагороди та слави, а на іншому сидить обмін знаннями в акті забезпечення безпеки суспільства (або принаймні безпеки компанії, на яку вони працюють). Коли ця рівновага порушується і особиста слава чи грошова вигода цінуються над обміном знаннями та безпекою, хакер опускається до гріха ЖАДІБНІСТЬ.

Читайте також: Злочинне використання Крипто зростає, але це лише половина історії

Щоб боротися з цим, вони ніколи не використовують віртуальну приватну мережу (VPN) для MASK адреси інтернет-протоколу (IP), з якої виконується їх тест. Вони завжди залишають сліди для сторонніх спостерігачів, які дозволяють легко розпізнати вектор атаки. Заплутування знань швидко призведе до того, що їх виключать із спільнот етичних хакерів – тих, хто розвивається завдяки спільним знанням.

Великі хакери мають стимул бажати більше, знати більше, Навчання більше, зламувати більше. Щоб не впасти в гріх Обжерливість, обов’язково встановити обмеження. Етичний хакер повинен уточнити обсяг тесту на проникнення, який потрібно виконати, встановивши обмеження на те, що можна зробити, і наскільки далеко ONE зайти, намагаючись зламати систему.

Звичайно, хакерські знання ніколи не слід використовувати для отримання несанкціонованого доступу до конфіденційного матеріалу, інакше відомого як спокуса хіть. Як би не було привабливо зазирнути або піти туди, куди ще ONE не заходив, етичний хакер повинен встановити межі. Це означає, що ніколи не передавайте внутрішню документацію чи закриті знання навіть своїм надійним партнерам.

Таким чином, бути етичним хакером означає бути на шляху постійного навчання ЛІНЬ є ONE із найгірших гріхів, які тільки можна уявити. Технології розвиваються з надшвидкістю. Етичний хакер завжди припускає, що є чому Навчання.

Читайте також: Погані наслідки системи боротьби з відмиванням грошей | Тиждень гріха

Під час тесту на проникнення вони повинні переконатися, що Соціальні мережі всіх процедур, дотримуються підручників і ніколи не проводять експерименти на тих самих машинах чи системах, які використовуються в живому виробництві або щоденних завданнях, оскільки це може поставити власне обладнання тестувальника під загрозу шкідливого коду. Це може бути різницею між «життям і смертю», оскільки справжній зловмисник може отримати доступ до клієнта ще до того, як збій буде виявлено.

ЗАЗДРІСТЬ також слід уникати будь-якою ціною. Використання конфіденційної інформації від компанії, знайденої під час тесту на проникнення, для особистої вигоди не тільки заборонено, але й відверто незаконно. У той же час слід уникати невизнання досвіду партнера по команді. Командна робота та розуміння сильних сторін і областей розвитку є важливими для комплексного високоякісного тестування.

Не кожен тест на проникнення закінчується успіхом; можливо, помилка не знайдена або не знайдена вчасно. За жодних обставин етичний хакер не повинен йти шляхом ГНІВ. Втрата контролю може призвести до ще більш небезпечних помилок, таких як нездатність вчасно відреагувати на інцидент, посилення збитків у відповідь на цей інцидент або відсутність уроків з події.