目次:
- あなたの目標を設定する
- あなたはあなたの仕事を計画します、あなたはコースから離れるでしょうか?
- この文脈における
- 倫理的ハッカーは、あなたが暴露した情報の機密性と非開示に拘束され、それにはセキュリティテストの結果も含まれます。あなたは「知る必要がない」人に何かを漏らすことはできません。 「仕事中に学ぶことはきわめて敏感です。オープンに共有することはできません。
- すべての情報をログに直接記録します。
- また、ツールの性質を理解する必要があります。あまりにも頻繁に、人々はツールの完全な意味を真に理解することなく飛び込む。攻撃を設定するとサービス拒否が発生する可能性があることは理解していません。あなたの目標を設定し、あなたの仕事を計画し、あなたのツールを選んで、そして(ああ)ドキュメントを読んでください。
- 経験的方法を採用すると、あなたの仕事はより大きな受容を獲得するはずです。経験的方法には、次の属性があります。
- テストは一貫性と再現性があります。
- あなたのテストの期間が1週間を超える場合は、毎週の進行状況の更新を提供する必要があります。誰かが自分のネットワークやシステムに侵入しようとしているのを知っていて、それを許可されている人から聞いていないと、人々は緊張します。
- 完全な、監視されていない、または追跡不可能なアクセス
これらの戒めはシナイ山から降ったものではありませんが、あなたはあなたの目標を設定します。倫理的なハッキングの教義を信じる者になるためには、これらの戒めに従ってください。
あなたの目標を設定する
ワイヤレスネットワークのセキュリティを評価するには、3つの基本的な質問に対する答えが必要です。
- 侵入者はターゲットアクセスポイントまたはネットワーク上で何を参照できますか?
- 侵入者はその情報で何をすることができますか?
- 標的の誰かが侵入者の試み(成功)に気づいていますか?
許可されていないワイヤレスアクセスポイントを見つけるなど、単純な目標を設定することがあります。または、有線ネットワーク上のシステムから情報を取得する必要があるという目標を設定することもできます。どのような選択をしても、目標を明確にしてスポンサーに伝える必要があります。
<! - 2 - >あなたの目標設定に他人を関与させる。そうしないと、計画プロセスが非常に難しくなります。目標によって計画が決定されます。チェイス猫のアリスに対する反応を言い換えれば、「あなたがどこに行くのか分からなければ、そこに行く道があります。 「目標設定プロセスにステークホルダーを含めることで、後でスペードで恩返しする信頼を築くことができます。
あなたはあなたの仕事を計画します、あなたはコースから離れるでしょうか?
<! - 3 - >私たちのうちの何人かが1つまたは複数の制約に拘束されていない場合はほとんどありません。お金、人員、時間があなたを制限するかもしれません。そのため、テストを計画することが重要です。
あなたの計画に関して、あなたは以下を行うべきです:
1。テストするネットワークを特定します。 2。テスト間隔を指定します。 3。テストプロセスを指定します。 4。計画を作成し、すべてのステークホルダーと共有します。 5。計画の承認を得てください。
計画を共有します。できるだけ多くの人と一緒に社会化してください。多くの人々があなたがワイヤレスネットワークをハックしようとしていることを知っていることを心配しないでください。あなたの組織が他の多くの組織に似ている場合、組織の慣性と戦ってあなたの努力を妨げるものは何もできません。ただし、 "通常"の条件でテストを行いたいということを覚えておくことは重要です。
あなたは許可を得ます
倫理的なハッキングをするときは、「許可を求めるよりも、許しを求める方が簡単です。 "許可を求めないで、刑務所に逃げるかもしれない!
あなたは書面であなたの許可を得なければなりません。この許可は、あなたとぴったり合っていない白黒ストライプスーツとハートブレイクホテルでの長い滞在の間に立っている唯一の事柄であるかもしれません。計画に従ってテストを実行する権限があることを示す必要があります。また、刑事訴訟や訴訟が起きた場合に備えて、組織が「あなたの後ろに立つ」と言わなければなりません。これは、元の計画の範囲内にとどまっていれば、法的および組織的支援を提供することを意味します(第2项参照)。
あなたは倫理的に仕事をする
この文脈における
という倫理的
という用語は、専門的かつ良心的に働くことを意味します。承認された計画にないもの、または計画の承認後に承認されたものは何もしないでください。
倫理的ハッカーは、あなたが暴露した情報の機密性と非開示に拘束され、それにはセキュリティテストの結果も含まれます。あなたは「知る必要がない」人に何かを漏らすことはできません。 「仕事中に学ぶことはきわめて敏感です。オープンに共有することはできません。
また、組織のガバナンスおよび地方の法律に準拠していることを確認する必要があります。あなたのポリシーが明示的にそれを禁じているとき、または法律がそうしているときに、倫理的なハックを実行しないでください。 あなたは記録を残す 倫理的ハッカーの主な属性は、忍耐と完全性です。この作業を行うには、暗い部屋でキーボードを何時間も曲げなければなりません。あなたの目標を達成するために、時間外の仕事をしなければならないかもしれませんが、ハッカーギアを着てレッドブルを飲む必要はありません。あなたがしなければならないことは、あなたが目標に達するまで差し伸べることです。
プロフェッショナリズムの一つの特徴は、あなたの知見を裏付ける十分な記録を保持していることです。紙または電子メモを保持するときは、次のようにします。
実行されたすべての作業を記録します。
すべての情報をログに直接記録します。
あなたのログを複製してください。
文書と日付 - すべてのテスト。
- あなたが成功していないと思っても、事実記録を残し、すべての仕事を記録します。
- あなたは他の人のプライバシーを尊重します
- 収集した情報を最大限尊重しながら扱います。機密情報または個人情報の秘密を保護する必要があります。テスト中に取得したすべての情報(暗号化キーや平文のパスワードなど)は、秘密にしておく必要があります。あなたの権威を乱用しないでください。責任を持って使用してください。つまり、企業の機密記録や私的な生活に惑わされることはありません。あなた自身の個人情報と同じ注意をもって情報を扱います。
- あなたは害を受けません
- あなたが取る行動は計画外の影響を与えるかもしれないことを忘れないでください。倫理的なハッキングの喜ばしい仕事に巻き込まれるのは簡単です。あなたは何かを試して、それは動作するので、あなたは続ける。残念なことに、これを行うことによって、簡単に何らかの不具合を引き起こしたり、他人の権利を踏みにじったりすることがあります。あまりにも遠くに移動し、あなたの元の計画に固執する衝動に抵抗してください。
また、ツールの性質を理解する必要があります。あまりにも頻繁に、人々はツールの完全な意味を真に理解することなく飛び込む。攻撃を設定するとサービス拒否が発生する可能性があることは理解していません。あなたの目標を設定し、あなたの仕事を計画し、あなたのツールを選んで、そして(ああ)ドキュメントを読んでください。
あなたは「科学的」プロセスを使用します。
経験的方法を採用すると、あなたの仕事はより大きな受容を獲得するはずです。経験的方法には、次の属性があります。
定量化可能な目標を設定する:
目標を選択する本質は、到達した時点を知ることです。 10個のアクセスポイント、壊れた暗号化キー、または内部サーバからのファイルに関連付けることができます。システムをテストして3日間の協調攻撃を立てるなど、時間を定量化できる目標も良好です。
テストは一貫性と再現性があります。
ネットワークを2回スキャンして毎回異なる結果を得た場合、これは一貫していません。不一致の説明を提供するか、テストが無効です。あなたのテストを繰り返すと、同じ結果が得られますか?テストが反復可能であるか複製可能である場合、何回複製しても同じ結果が発生すると自信を持って結論づけることができます。
- テストは "今"の時間枠を超えて有効です: あなたの結果が真実であれば、一時的または一時的な問題ではなく、永続的または永続的な問題に対処した場合、 。
- あなたの隣人の道具を捜してはいけません。 あなたが持つツールの数にかかわらず、あなたは新しい道具を発見します。ワイヤレスハッキングツールはインターネット上で流行しており、さらに多くのものが出てきています。それらをつかむ誘惑はすべて激しいです。
- 早い段階で、この「魅力的な趣味」のために使用するソフトウェアの選択肢は限られていました。 Windowsプラットフォームでは、一般にNetStumblerと呼ばれるNetwork Stumblerをダウンロードして使用することも、Linux上でKismetを使用することもできます。しかし、最近では、エアロゾル、アイロスニフ、エアスキャナ、APSniff、BSD-Airtools、dstumbler、Gwireless、iStumbler、KisMAC、MacStumbler、MiniStumbler、Mognet、PocketWarrior、pocketWiNc、THC-RUT、THC-Scan、THC- WarDrive、Radiate、WarLinux、Wellenreiter WiStumbler、Wlandumpなどが挙げられます。そしてそれらはただのものです。無制限の時間と予算があれば、これらのツールをすべて使用することができます。代わりに、1つのツールを選択し、それに固執する。 あなたの所見をすべて報告してください
あなたのテストの期間が1週間を超える場合は、毎週の進行状況の更新を提供する必要があります。誰かが自分のネットワークやシステムに侵入しようとしているのを知っていて、それを許可されている人から聞いていないと、人々は緊張します。
テスト中に検出されたハイリスクの脆弱性が見つかったら直ちに報告するように計画する必要があります。これには、検出された侵害
既知の利用率の高い脆弱性
完全な、監視されていない、または追跡不可能なアクセス
の脆弱性があり、あなたが知り、報告しようとしている弱点を悪用しようとする人はいません。これは誰にも人気がありません。
あなたのレポートは、あなたの組織があなたの仕事の完全性と真実性を判断する一つの方法です。あなたの同僚はあなたの方法、あなたの発見、分析、結論を見直し、建設的な批判や改善の提案をすることができます。
- あなたのレポートが不当に批判されていることが判明した場合、倫理ハッキングの十戒に従って簡単に守るべきです。
- 最後のもの:50個のものを見つけると、
- は
- 50個のものを報告します。要約には50件すべての調査結果を含める必要はありませんが、詳細な説明に含める必要があります。そのような情報を放棄すると、怠惰、無能感、またはテスト結果の操作の試みが示されます。それをしないでください。