차례:
- 목표를 설정하십시오.
- 너는 일을 계획 할 것이다. 너는 길을 떠나지 않을 것이다.
- 윤리적
- 귀하는 또한 귀사의 관리 및 현지 법률을 준수해야합니다. 정책이 명시 적으로 금지하거나 법이 정한 경우 윤리적 인 해킹을 수행하지 마십시오.
- 기록을 그대로 유지하십시오.
- "과학적"과정을 사용하십시오.
- 정량화 가능한 목표 설정 :
- 네트워크를 두 번 스캔하고 매번 다른 결과를 얻는다면 일관성이 없습니다. 불일치에 대한 설명을 제공해야하며 그렇지 않으면 테스트가 유효하지 않습니다. 우리가 당신의 시험을 반복한다면, 우리는 같은 결과를 얻을 것입니까? 테스트가 반복 가능하거나 복제 가능할 경우 반복 횟수에 관계없이 동일한 결과가 발생할 것이라고 확신 할 수 있습니다.
- 테스트 중에 발견 된 위험도가 높은 취약점을 발견하면 즉시보고해야합니다. 여기에는 알려진 및 높은 악용 비율을 가진
- 취약점에 악용 될 수있는
비디오: 지식채널e - Knowledge of the channel e_그들은 모두 알고 있었다 2024
이 계명은 시내산에서 내려지지 않았지만, 윤리적 해킹의 교리에 대해 신자가되기로 결심 한 다음에는이 계명을 따라야합니다.
목표를 설정하십시오.
무선 네트워크의 보안을 평가할 때 세 가지 기본 질문에 대한 답을 찾아야합니다.
- 침입자는 대상 액세스 포인트 또는 네트워크에서 무엇을 볼 수 있습니까?
- 침입자는 그 정보로 무엇을 할 수 있습니까?
- 목표물에있는 누군가가 침입자의 시도 또는 성공을 알 수 있습니까?
승인되지 않은 무선 액세스 포인트를 찾는 것과 같은 단순한 목표를 설정할 수 있습니다. 또는 유선 네트워크의 시스템에서 정보를 얻도록 요구하는 목표를 설정할 수도 있습니다. 당신이 무엇을 선택하든, 당신은 당신의 목표를 분명히 밝혀야하고 당신의 스폰서에게 그것을 전달해야합니다.
목표 설정에 다른 사람들을 참여시킵니다. 그렇지 않으면 계획 프로세스가 상당히 어려워집니다. 목표는 계획을 결정합니다. 앨리스에게 체셔 고양이의 반응을 의역어로 말하자면: "당신이 어디로 가고 있는지 모를 경우, 어떤 길로든 당신을 데려다 줄 것입니다. "목표 설정 프로세스에 이해 관계자를 포함시키는 것은 나중에 스페이드에서 갚을 신뢰를 쌓을 것입니다.
너는 일을 계획 할 것이다. 너는 길을 떠나지 않을 것이다.
귀하의 계획과 관련하여 다음을 수행해야합니다:1. 테스트하려는 네트워크를 식별하십시오. 2. 테스트 간격을 지정하십시오. 3. 테스트 프로세스를 지정하십시오. 4. 계획을 수립하고 모든 이해 관계자와 공유하십시오. 5. 계획 승인을 얻으십시오.
계획을 공유하십시오. 가능한 한 많은 사람들과 사교적으로 대화하십시오. 많은 사람들이 당신이 무선 네트워크를 해킹하려고한다는 것을 알게 될지 걱정하지 마십시오. 조직이 다른 조직과 비슷하다면 조직의 관성에 맞서 자신의 노력을 차단할 수 있습니다. 하지만 "정상적인"조건에서 테스트를 수행해야한다는 것을 기억하는 것이 중요합니다.
너는 허가를 얻는다.
윤리적 인 해킹을 할 때, 옛날 보를 따르지 말라. "허락을 구하는 것보다 용서를 구하는 것이 쉽다. "허가를 요청하지 않으면 감옥에 갈 수 있습니다!
서면으로 허가를 받아야합니다. 이 허락은 당신과 허술한 흑백 스트라이프 슈트와 Heartbreak Hotel에서의 오랜 체류 사이에 서있는 유일한 것일 수 있습니다.계획에 따라 테스트를 수행 할 수있는 권한이 있음을 명시해야합니다. 또한 형사 고발이나 고소를 당할 경우 조직이 "당신 뒤에 서있"것이라고 말합니다. 이것은 귀하가 원래 계획의 범위 내에 머물러있는 한 법률 및 조직 지원을 제공한다는 것을 의미합니다 (계명 2 참조).
윤리적으로 일해야 함
이 맥락에서
윤리적
이라는 용어는 전문적으로 양심을 가지고 일하는 것을 의미합니다. 승인 된 계획에 포함되지 않았거나 계획 승인 후 승인 된 사항은 수행하지 않아야합니다.
윤리적 해커 인 귀하는 밝혀진 정보의 기밀성 및 비공개성에 구속되며 보안 테스팅 결과도 포함됩니다. 당신은 "알 필요가없는"개인에게 어떤 것도 누설 할 수 없습니다. "직장에서 배우는 것은 매우 민감합니다. 공개적으로 공유해서는 안됩니다.
귀하는 또한 귀사의 관리 및 현지 법률을 준수해야합니다. 정책이 명시 적으로 금지하거나 법이 정한 경우 윤리적 인 해킹을 수행하지 마십시오.
기록을 보관하십시오. 윤리적 해커의 주요 특성은 인내심과 철저 함입니다. 이 작업을 수행하려면 어두운 방의 키보드를 몇 시간 동안 구부리십시오. 근무 시간 외 근무를해야만 목표를 달성 할 수 있지만 해커 장비를 착용하고 레드 불을 마셔야 할 필요는 없습니다. 당신이해야 할 일은 당신이 목표를 달성 할 때까지 계속 꽂아 놓는 것입니다. 전문성의 한 가지 특징은 결과를 뒷받침 할 수있는 적절한 기록을 유지하는 것입니다. 종이 또는 전자 노트를 보관할 때 다음을 수행하십시오.
수행 된 모든 작업을 기록하십시오.
모든 정보를 직접 기록하십시오.
기록을 그대로 유지하십시오.
모든 테스트 문서 및 날짜.
귀하가 성공하지 못했다고 생각하는 경우에도 사실 기록을 유지하고 모든 업무를 기록하십시오.
- 다른 사람들의 사생활을 존중합니다.
- 수집 한 정보를 최대한 존중히 다루십시오. 기밀 정보 또는 개인 정보의 기밀을 보호해야합니다. 테스트 중에 얻는 모든 정보 (예: 암호화 키 또는 일반 텍스트 암호)는 비공개로 유지해야합니다. 당신의 권위를 남용하지 마십시오. 책임감있게 사용하십시오. 즉, 기밀 회사 기록이나 사적인 삶에기만하지 마십시오. 자신의 개인 정보와 동일한주의를 기울여 정보를 다루십시오.
- 너는 해를 끼치 지 말라.
- 당신이 취하는 행동은 예기치 못한 반향을 일으킬 수 있음을 기억하십시오. 윤리적 해킹의 즐거운 작업에 쉽게 빠질 수 있습니다. 당신은 무언가를 시도하고, 그것은 작동하므로 계속 움직이게됩니다. 불행히도, 이렇게하면 일종의 정전이 발생하거나 다른 사람의 권리를 짓밟을 수 있습니다. 너무 멀리 가서 원래의 계획대로 행할 것을 촉구하십시오.
- 또한 도구의 성격을 이해해야합니다. 너무 자주 사람들은 도구의 모든 함의를 진정으로 이해하지 않고 뛰어 들어갑니다. 그들은 공격을 설정하면 서비스 거부가 발생할 수 있다는 것을 이해하지 못합니다.긴장을 풀고 심호흡을하고, 목표를 세우고, 작업 계획을 세우고, 도구를 선택하고, 문서를 읽으십시오.
"과학적"과정을 사용하십시오.
경험적 방법을 채택 할 때 귀하의 연구는 더 큰 수용을 얻게됩니다. 경험적 방법에는 다음과 같은 특성이 있습니다.
정량화 가능한 목표 설정:
목표를 선택하는 본질은 도달했을 때를 알고 있다는 것입니다. 10 개의 액세스 포인트, 손상된 암호화 키 또는 내부 서버의 파일과 연결하여 수량을 측정 할 수있는 목표를 선택하십시오. 시스템을 테스트하여 3 일간의 협조 공격을 견뎌내는 등 시간을 정량화 할 수있는 목표도 좋습니다.
테스트가 일관되고 반복 가능합니다:
네트워크를 두 번 스캔하고 매번 다른 결과를 얻는다면 일관성이 없습니다. 불일치에 대한 설명을 제공해야하며 그렇지 않으면 테스트가 유효하지 않습니다. 우리가 당신의 시험을 반복한다면, 우리는 같은 결과를 얻을 것입니까? 테스트가 반복 가능하거나 복제 가능할 경우 반복 횟수에 관계없이 동일한 결과가 발생할 것이라고 확신 할 수 있습니다.
테스트는 "지금"시간 프레임을 초과하여 유효합니다.
- 결과가 사실 일 때 일시적 또는 일시적 문제가 아닌 지속적 또는 영구적 문제를 해결 한 경우 조직에 더 많은 열의를 보냅니다. 네 이웃의 도구를 탐 내지 말 지니라.
- 도구의 수에 관계없이 새로운 도구를 발견하게됩니다. 무선 해킹 도구가 인터넷에 널리 보급되어 있으며 더 많은 정보가 항상 나오고 있습니다. 그들 모두를 붙잡 으려는 유혹은 치열합니다. 초기에이 "매력적인 취미"에 사용할 소프트웨어 선택이 제한되었습니다. Windows 플랫폼에서 일반적으로 NetStumbler라고하는 Network Stumbler를 다운로드하여 사용할 수도 있고 Linux에서 Kismet을 사용할 수도 있습니다. 하지만 에어로졸, 에어로 니프, 에어 스캐너, APSniff, BSD 에어 툴, dstumbler, Gwireless, iStumbler, KisMAC, MacStumbler, MiniStumbler, Mognet, PocketWarrior, pocketWiNc, THC-RUT, THC-Scan, THC- WarDrive, Radiate, WarLinux, Wellenreiter WiStumbler 및 Wlandump 등이 있습니다. 그리고 그것들은 단지 자유로운 것들입니다. 무제한의 시간과 예산을 가지고 있다면이 모든 도구를 사용할 수 있습니다. 대신 하나의 도구를 선택하고 그 도구를 사용하십시오.
- 당신의 모든 발견을보고 할 것입니다. 시험 기간이 1 주일 이상 지속될 경우, 매주 진행 상황 업데이트를 제공해야합니다. 누군가가 자신의 네트워크 나 시스템에 침입하려고 시도하고 있으며 그렇게하도록 허가받은 사람들의 말을 듣지 못한다는 것을 알게되면 사람들은 긴장을 느낍니다.
테스트 중에 발견 된 위험도가 높은 취약점을 발견하면 즉시보고해야합니다. 여기에는 알려진 및 높은 악용 비율을 가진
발견 된 침입
취약성 - 즉각적인 생명을 위협 할 수있는 전체, 모니터링되지 않거나 추적 할 수없는 액세스
취약점에 악용 될 수있는
취약점
누군가가 당신이 알고 있고보고하고자하는 약점을 이용하기를 원하지 않습니다.이렇게하면 누구에게나 인기가있는 것은 아닙니다.
- 귀하의 보고서는 귀하의 조직이 귀하의 업무의 완전성과 정확성을 결정하는 한 가지 방법입니다. 동료들은 방법, 결과, 분석 및 결론을 검토하고 개선을위한 건설적인 비판 또는 제안을 제공 할 수 있습니다.
- 윤리적 해킹의 십계명에 따라 보고서가 부당하게 비난받는 것을 발견하면 쉽게 변호 할 수 있어야합니다.
- 마지막으로 한 가지: 50 가지를 발견하면
- 는
50 가지를보고합니다. 요약서에 50 개 결과를 모두 포함 할 필요는 없지만 상세한 내러티브에 포함시켜야합니다. 그러한 정보를 보류하는 것은 게으름, 무능력 또는 시험 결과의 조작 시도를 나타냅니다. 하지 마.
