目次:
ビデオ: スノーデン、監視プログラムを使用した時の驚きを語る[監視社会・ハッキング・ガバメントマルウェア・セキュリティ・盗聴・盗撮・IoT・コインテルプロ・マインドコントロール・集団ストーカー・NWO] 2025
実際にITやセキュリティプロジェクトと同様に、倫理的なハッキングを事前に計画する必要があります。倫理的なハッキングプロセスにおける戦略的および戦術的な問題を決定し、合意する必要があります。あなたの努力の成功を確実にするために、計画を立てるまでに時間を費やしてください。計画は、単純なパスワードクラッキングテストからWebアプリケーションの全面的な侵入テストまで、あらゆるテストに重要です。
<! - 1 - >計画の策定
倫理的なハッキングの承認が不可欠です。少なくとも意思決定者にとって、あなたがしていることを知られて見えるようにします。このプロジェクトの スポンサーシップ の取得が第一歩です。これはあなたのマネージャー、エグゼクティブ、クライアント、またはあなたが上司であればあなた自身でさえあります。あなたをバックアップし、あなたの計画に署名する人が必要です。そうしないと、誰かがあなたがテストを実行することを許可したことがないと主張すると、あなたのテストは予期せず中止されることがあります。
<! - 2 - >あなた自身のシステムでこれらのテストを実行している場合、権限は社内のメモや上司からの電子メールと同じくらい簡単です。クライアントをテストしている場合は、クライアントのサポートと承認を記載した契約書を締結してください。あなたの時間も労力も無駄にならないように、できるだけ早くこのスポンサーシップについて書面による承認を受けてください。この文書は、もしあなたが何をしているのかと疑問があれば、あなたの 刑務所から出てください カードです。
<! - 3 - >1つの伝票がシステムをクラッシュさせる可能性があります。詳細な計画が必要ですが、それは大量のテスト手順が必要なわけではありません。明確に定義されたスコープには、次の情報が含まれます。
- テストする特定のシステム: テストするシステムを選択するときは、最も致命的なシステムやプロセス、または最も脆弱であると思われるものから始めます。たとえば、コンピュータのパスワードやインターネットに接続されたWebアプリケーションをテストしたり、ソーシャルエンジニアリング攻撃を試みたりする前に、すべてのシステムを掘り下げて調べることができます。
- 関連するリスク: 何かがうまくいかない場合に備えて、倫理的ハッキングプロセスのために緊急時計画を立てることをお勧めします。ファイアウォールやWebアプリケーションを評価していて、それを取り除くとどうなりますか?これにより、システムが使用できなくなり、システムのパフォーマンスや従業員の生産性が低下する可能性があります。さらに悪いことに、データの完全性の喪失、データそのものの損失、さらには悪質な宣伝を引き起こす可能性があります。それは最も確かに1人か2人をチェックして、あなたを悪く見せます。 ソーシャルエンジニアリングとDoS攻撃を注意深く処理します。テストしているシステムと組織全体にどのように影響するかを判断します。
- テストが実行され、全体のタイムラインが実行されるとき: テストがいつ実行されるかを判断することは、長くて難しく考えなければならないことです。通常の営業時間内にテストを行っていますか?生産システムに影響を与えないように夜遅くとも早朝にいかがですか?彼らがあなたのタイミングを承認するように他の人を関与させる。 最善のアプローチは無制限の攻撃であり、任意のタイプのテストが1日のうちのいつでも可能です。限られた範囲内で悪い人があなたのシステムに侵入しているわけではないので、どうしてですか?このアプローチの一部の例外として、DoS攻撃、ソーシャルエンジニアリング、物理的なセキュリティテストがあります。
- テストを開始する前のシステムの知識: テストしているシステムの知識は必要ありません。この基本的な理解は、あなたとテストされたシステムを保護するのに役立ちます。
- 重大な脆弱性が発見された場合、どのような処置が取られますか: セキュリティホールが1つ見つかったら停止しないでください。これはセキュリティの誤った感覚につながる可能性があります。他に何が発見できるか見てみましょう。時間の終わりまで、またはすべてのシステムをクラッシュさせるまで、ハッキングを続ける必要はありません。あなたがそれをもう一度ハックすることができなくなるまで、あなたが行っている道を単純に追い求めます。あなたが脆弱性を発見していない場合、あなたは十分に見苦しくはありません。
- 特定の成果物: これには、セキュリティ評価レポートと、対処すべき一般的な脆弱性を概説する上位レベルのレポートと、実装すべき対策が含まれます。
あなたの目標の1つは、検出されずにテストを実行することです。たとえば、リモートシステムや遠隔地のオフィスでテストを実行している可能性があります。また、ユーザーは自分が行っていることをユーザーに認識させたくありません。それ以外の場合、ユーザーは通常の行動ではなく、あなたのことに気づき、最良の行動をとることができます。
計画の実行
良い倫理的ハッキングは永続します。時間と忍耐が重要です。倫理的なハッキングテストを実行しているときは注意してください。あなたのネットワークのハッカーまたはあなたの肩を見渡すように見える良性の従業員は、何が起こっているのかを見て、あなたにこの情報を使用するかもしれません。
始める前に、あなたのシステムにハッカーがいないことを確認することは現実的ではありません。できるだけ静かでプライベートなものにしておいてください。これは、テスト結果を送信して保存する場合に特に重要です。可能であれば、Pretty Good Privacyなどの技術を使用して、重要なテスト情報を含む電子メールやファイルを暗号化します。少なくともパスワードで保護してください。
あなたは今偵察任務に就いています。できるだけ多くの情報を組織やシステムに利用してください。これは悪質なハッカーの行うことです。広い視点から始め、焦点を絞る:
1。インターネットで組織の名前、コンピュータとネットワークシステム名、およびIPアドレスを検索します。
Googleはスタートするのに最適な場所です。2。テストしている特定のシステムを対象にして、範囲を絞ります。
物理的なセキュリティ構造やWebアプリケーションを評価している場合でも、カジュアルアセスメントによってシステムに関する多くの情報が得られます。 3。より重要な目で焦点を絞ります。実際のスキャンやその他の詳細なテストを実行して、システム上の脆弱性を発見します。 4。攻撃を実行し、発見した脆弱性を悪用することをお勧めします。
結果の評価
脆弱性が今まで明らかにされていなかったと仮定して、結果を評価して、何を発見したかを確認します。これが知識の数です。結果を評価し、発見された特定の脆弱性を相関させることは、経験を積んだ方が良いスキルです。他の誰よりもあなたのシステムをよく知ってしまうでしょう。これにより、評価プロセスはずっと簡単になります。
上級管理職またはクライアントに正式な報告書を提出し、結果や推奨事項を要約します。あなたの努力とお金が十分に費やされていることを示すために、これらの関係者をループに入れてください。
