Tujuan dari pengujian penetrasi adalah untuk menentukan apakah teknologi informasi korporasi (TI) sistem pose setiap tingkat risiko keamanan karena gangguan yang tidak diinginkan. Pengujian penetrasi mengecek aplikasi, database, jaringan, sumber daya komputasi terpencil, dan setiap sistem lain yang terhubung ke bisnis yang rentan. Selain secara rutin memeriksa sistem yang ada, bisnis mungkin memerlukan uji penetrasi ketika sebuah sistem baru ditayangkan dalam produksi. Sebagai contoh, jika perusahaan gulungan sebuah situs e-commerce Web baru dan infrastruktur, sistem tersebut memerlukan pengujian penetrasi. Uji penetrasi mengungkapkan apakah pengguna tidak sah dapat memperoleh akses ke sistem. Setelah pengguna yang tidak sah memperoleh akses, mereka bisa menghack sistem dan melampiaskan malapetaka dengan mencuri informasi kartu kredit atau mengganggu fungsi. Ada banyak lapisan kompleks untuk tes penetrasi. Tujuan utama dari pengujian penetrasi adalah untuk menemukan kerentanan sistem sebelum ketika seseorang dapat memanfaatkan mereka di luar organisasi untuk tujuan jahat. Menurut kamus ITSecurity.com, tes penetrasi adalah sebagai berikut.
"Kadang-kadang disebut 'pena pengujian', yang merupakan prosedur pengujian keamanan yang melibatkan upaya yang sah untuk menembus keamanan sistem di bawah otoritas pemilik sistem. Tujuannya adalah untuk menemukan dan menghilangkan kerentanan yang dapat dieksploitasi oleh hacker. Pengujian penetrasi dapat digunakan sebagai metode audit keamanan perusahaan itu sendiri, atau dilakukan sebagai bagian dari proses sertifikasi keamanan (seperti Kriteria TCSEC atau Common). Penguji kadang-kadang disebut Tim Harimau, dan biasanya termasuk penggunaan paket perangkat lunak otomatis seperti SATAN dan Crack. Hal ini berguna untuk menggunakan pengujian penetrasi untuk memeriksa implementasi firewall baru. Pengguna harus berharap untuk menerima log rinci dan laporan berikut tes, dan harus menerima bantuan dan saran tentang bagaimana untuk menutup kerentanan berada. "
Sebuah uji penetrasi melibatkan pengujian dan memverifikasi semua layanan teknologi inti yang dijalankan oleh layanan inti company. Layanan core adalah sistem firewall, program surat elektronik, Domain Name System (DNS), program password, File Transfer Protocol (FTP), koneksi dial-up , file server, database server, jaringan nirkabel, Publik Branch Exchange (PBX) sistem, dan uji penetrasi Web servers. Tes penetrasi juga mencakup pemeriksaan terhadap integritas fisik system. Ini termasuk akses fisik ke ruang server, backup, dan jaringan fasilitas. Semua aspek dari sistem informasi memerlukan verifikasi dalam tes penetrasi yang sukses. Isu-isu etika dalam bab ini meliputi keliru selama tes penetrasi, merusak keamanan melalui pelaporan penetrasi pengujian dan komunikasi, pengujian non-klien, dan motif tersembunyi keuangan saat melakukan uji penetrasi.
Akhirnya, dengan menggunakan alat gratis untuk melakukan tes penetrasi yang dipertanyakan dalam efektivitas dan gagal untuk memeriksa fakta-fakta adalah bentuk lain dari keliru. Keliru terjadi setiap kali Anda tidak memenuhi kewajiban dan harapan klien. Klien Anda mengharapkan yang terbaik dari Anda untuk membantu melindungi sistem mereka dari serangan. Bagian ini membahas isu-isu etis dari skenario keliru ini. Anda memutuskan jika ada dari mereka memiliki alasan moral.
Konservatif Hal ini tidak pernah tepat untuk melakukan semua jenis tugas teknis jika Anda tidak cukup memenuhi syarat bagi pekerjaan. Hal ini terutama berlaku untuk peran keamanan informasi. Hanya ahli berkualifikasi yang harus melakukan tes penetrasi. Tidak mungkin melakukan tes penetrasi efektif jika Anda tidak cukup memenuhi syarat. Akhirnya kurangnya kualifikasi Anda akan menjadi jelas.
liberal Hanya sedikit orang di dunia memiliki kualifikasi yang tepat untuk semua aspek
pengujian penetrasi. Karena contoh ini menyebutkan bahwa orang yang diminta untuk melakukan tes penetrasi keamanan informasi profesional, mereka memiliki dasar keterampilan yang diperlukan dan kepala mulai baik di atas kebanyakan orang. Jika mereka menyampaikan bahwa mereka tidak pernah melakukan uji penetrasi di masa lalu tetapi merasa mereka cukup bisa memberikan layanan seperti itu, tidak ada alasan etis mengapa mereka tidak harus mengambil pekerjaan.
RINGKASAN
Adalah penting bahwa teknisi ahli melakukan tes penetrasi. Hal ini mengatakan, terserah kepada perusahaan mempekerjakan untuk menentukan kriteria untuk kualifikasi, dengan asumsi bahwa pelamar tidak menggambarkan diri mereka dengan cara apapun. Jika perusahaan ingin mempekerjakan seseorang dengan pengalaman yang sangat sedikit, yang sepenuhnya hak prerogatif mereka. Karena ini adalah mantan klien, Anda mungkin tahu mengapa mereka meminta hack etis dan dapat menentukan apakah Anda dan mungkin kontraktor lebih terdidik dapat memenuhi kebutuhan mereka.
Liberal Jika klien mempersingkat jangka waktu yang diperlukan untuk tes penetrasi penuh
tetapi Anda masih diminta untuk mempresentasikan hasil cepat, Anda harus fleksibel untuk pilihan lain. Dalam hal ini, klien adalah pengaturan parameter untuk uji dalam keadaan yang hampir mustahil. Jika parameter tersebut hanya memungkinkan Anda untuk melakukan scan kerentanan, itu kesalahan perusahaan, bukan kesalahan anda. Anda seharusnya tidak mengurangi pembayaran Anda karena permintaan pekerjaan mereka yang terburu-buru.
RINGKASAN
Klien sering mengatur jangka waktu, dan untuk alasan bisnis dapat mengurangi periode waktu ini. Ini mungkin atau mungkin tidak etis untuk masih menagih untuk tes penetrasi penuh, tergantung pada keadaan yang tepat dari situasi dan komunikasi antara tester penetrasi
dan klien. Namun, jika Anda memiliki waktu yang dibutuhkan untuk melakukan tes penetrasi penuh dan hanya melakukan scan kerentanan, Anda telah melampaui batas-batas etika yang wajar.
Liberal Jika klien tidak memutuskan terlebih dahulu bagaimana Anda harus melakukan tes
penetrasi, tidak ada yang salah secara moral dengan memanfaatkan alat-alat pengujian penetrasi gratis. Jika Anda tidak memiliki petunjuk mengenai apa yang Anda lakukan dan hanya menggunakan alat-alat, itu cerita berbeda. Anda juga tidak diwajibkan untuk mengajarkan klien cara menggunakan alat gratis untuk melakukan uji penetrasi mereka sendiri. Hanya karena ada alat di pasar tidak berarti rata-rata orang dapat menggunakannya dengan tepat. Tool ini masih memerlukan keahlian Anda. Seseorang yang tidak memiliki kualifikasi individu tidak fapat menggunakannya untuk keuntungan perusahaan. RINGKASAN Banyak konsultan menggunakan perangkat lunak untuk melakukan layanan mereka. Ini bisa jadi pilihan yang tepat atau salah, tergantung dari situasi. Sebuah tester penetrasi yang baik baik memiliki akses tool yang sama dengan yang dilakukan hacker , seperti satu set tool memerlukan investasi yang lebih signifikan daripada indikasi "tool gratis". Namun, menganggap hasil tool gratis sebagai pekerjaan Anda sendiri mungkin perilaku moral dipertanyakan, kecuali Anda jelas bahwa itu adalah koleksi dan menggunakannya yang Anda sebut sebagai pekerjaan Anda sendiri. Aturan Keterlibatan dari Pengujian Penetrasi Sebelum memulai tes penetrasi, sangat penting bahwa Anda menetapkan dan menyepakati aturan-aturan eksplisit keterlibatan dengan pemilik sistem target. Aturan-aturan ini menggambarkan sifat dari kegiatan pengujian dan secara signifikan membantu meminimalkan kejutan yang tidak menyenangkan pada bagian tester dan target. Melakukan tes penetrasi tanpa aturan keterlibatan perusahaan dengan mudah bisa membahayakan jaringan target, serta pekerjaan penetrasi dan reputasi tester. Etika yang kuat mengharuskan aturan keterlibatan disepakati secara tertulis, ditandatangani oleh kepala tim pengujian
penetrasi serta pemilik lingkungan target. Aturan harus menjelaskan pendekatan pengujian pada isu-isu berikut:
Sasaran sistem dan aplikasi: Rentang alamat jaringan atau alamat sistem yang mana yang berada di dalam lingkup pengujian? Yang mana yang secara eksplisit dilarang untuk pengujian? Penolakan layanan: Apakah penolakan tes layanan yang dapat menyebabkan crash pada sistem target atau tidak tersedia dimasukkan dalam rejimen pengujian? Waktu pengujian: Haruskah pengujian dilakukan tanpa batasan waktu? Kerangka waktu apa yang diperbolehkan? Tanggal-tanggal dan hari-hari pengujian: Apa saja jadwal pengujian? Kontak di lingkungan target: Jika tim pengujian penetrasi menyadari perilaku tak menentu atau crash dalam sistem target, siapa yang harus mereka hubungi? Jika dalam pengujian, penguji penetrasi menemukan bukti intrusi sebelumnya, siapa yang harus mereka hubungi? Sertakan nama, nomor ponsel, dan pager dalam semua daftar kontak. Kontak pada tim pengujian penetrasi: Jika pemilik atau operator dari sistem target memiliki pertanyaan atau pemberitahuan perilaku tak menentu selama tes, siapa yang harus mereka hubungi pada tim pengujian penetrasi? Sertakan nama, nomor ponsel, dan pager dalam semua daftar kontak. Tanya jawab Harian: Apakah tim pengujian penetrasi melaporkan temuan awal kepada pemilik sasaran secara teratur setiap hari atau lainnya? Menginformasikan administrator dan personil pengujian lainnya: Haruskah sistem administrator dan / atau tim keamanan lingkungan target diberitahu tentang pengujian? Atau, haruskah respon mereka dapat diukur oleh tim pengujian penetrasi?
Pengasingan: Haruskah lalu lintas secara otomatis dijauhi selama tes, berpotensi menyebabkan hasil tes tidak valid dan / atau penolakan layanan? Pengujian (Black Box) Kotak hitam vs pengujian (Crystal box) kotak Crystal: Haruskah tim pengujian diberikan jaringan dan / atau diagram arsitektur aplikasi (tes kotak kristal)? Atau, haruskah tim hanya diberi kisaran target, dengan segala sesuatunya dalam kisaran berada dalam lingkup (tes kotak hitam)? Sisi Sistem klien: Haruskah sitem sisi klien diuji? Dapatkah tim pengujian penetrasi menyerang browser dengan menyebabkan pengguna masuk ke situs tim pengujian penetrasi itu sendiri? Dapatkah tim pengujian penetrasi mengirim e-mail kepada korban untuk mengeksploitasi pembaca e-mail mereka dan / atau tes respon mereka terhadap lampiran yang dapat dieksekusi? Social engineering: Dapatkah tim penguji penetrasi menelepon administrator dan / atau pengguna di lingkungan target dan menggunakan berbagai manipulasi?
Merusak Gambar Kemanan Secara Keseluruhan Hasil tes penetrasi harus mendukung gambar keamanan secara keseluruhan untuk produk akhir business. Hasil akhir dari uji penetrasi seharusnya tidak hanya mengungkapkan ketidakamanan sistem tetapi juga termasuk solusi untuk menghilangkan kerentanan keamanan. Ini merupakan faktor utama yang membuat uji penetrasi berbeda dari audit sistem yang sederhana. Sebuah tes penetrasi memverifikasi dan memecahkan. Suatu audit hanya melaporkan. Bagian dari tes penetrasi memerlukan prosedur yang dirancang untuk memulihkan kerentanan yang terungkap selama proses pengujian.Ini berarti bahwa hasil uji
penetrasi harus sepenuhnya dirilis ke klien. Penguji harus berharap bahwa bagian dari pekerjaan mereka adalah terlibat dalam proses perbaikan sistem untuk beberapa derajat. Dalam beberapa situasi, masalah terletak pada penegakan kebijakan keamanan informasi yang ada. Jika ini kasusnya, informasi ini termasuk dalam laporan pengujian penetrasi. Hasil yang dibutuhkan lainnya termasuk update patch sistem dan software rilis. Terlepas dari masalah, mereka semua membutuhkan dokumentasi menyeluruh setelah selesainya test. Dengan semacam informasi sensitif ini, sangat penting bahwa laporan menerima perlindungan yang cukup. Ini harus ditangani dengan cara yang sangat sensitif. Jika informasi ini jatuh ke tangan tester penetrasi yang tidak jujur atau bahkan lebih buruk lagi, hacker, itu akan berarti bencana bagi company. Oleh karena itu, tester penetrasi harus mewakili nilai etis tertinggi. Mereka harus memperlakukan data ini dengan cara yang mengamankan kerahasiaan dan melayani pelanggan.
Liberal Meskipun Anda mungkin telah dengan pasti mengatakan kepada klien Anda bahwa
sistem mereka aman, Anda secara etis tidak melakukan kesalahan. Berdasarkan pengetahuan yang Anda miliki, mereka aman. Mungkin itu merupakan cara yang lebih baik untuk melaporkan kepada klien Anda. RINGKASAN Karena semua sistem yang rentan, mengatakan keamanan mutlak dari sistem informasi sebagai hasil dari tes penetrasi adalah sebuah kesalahan. Apakah itu kesalahan moral? Ya jika klien yakin kepada Anda. Semua tes penetrasi hanya baik untuk konfigurasi yang tepat yang diuji. Kerentanan baru akan ditemukan setiap minggu dan ada juga masalah serangan "zero day", di mana hal yang dieksploitasi tersedia dan penyerang tahu bagaimana menggunakannya, tapi belum diketahui oleh komunitas keamanan.
Konservatif Hal ini berbahaya dan tidak etis menahan informasi uji penetrasi. Ketika Anda menahan informasi, penyerang memiliki waktu berharga yang mereka butuhkan untuk menembus system. This informasi klien bahkan tidak memperhitungkan etika menyiapkan uji penetrasi untuk menguras uang dari bisnis untuk jawaban bahwa tes yang sangat. Semua aspek dari masalah ini tidak etis.
Liberal Anda memiliki hak untuk menangani bisnis pula Anda ingin memaksimalkan
keuntungan Anda sebagai IT professional. Anda tidak melanggar masalah etika untuk mendapatkan keuntungan dengan menahan informasi tambahan di luar cakupan awal tes. Namun, itu berbahaya bagi perusahaan untuk tidak sepenuhnya menyadari bagaimana untuk memulihkan masalah secepat mungkin. RINGKASAN Kedua sudut pandang menunjukkan bahwa yang terbaik adalah mengkomunikasikan hasilhasil uji penetrasi dan strategi remediasi secepat mungkin untuk melindungi klien Anda dari serangan yang tidak perlu. Anda harus memberikan informasi remediasi, jika Anda memilikinya, apakah Anda dikenakan biaya uang ekstra untuk hasil atau tidak. Perlu diingat bahwa hampir semua orang bisa mendapatkan resep kue, tapi tidak semua orang bisa memanggang kue. Beri mereka resep remediasi dan jika administrator sistem mereka tidak dapat memperbaiki masalah, klien Anda dapat membayar Anda untuk melakukan pekerjaan itu. Hati-hati saat penawaran pada pekerjaan; remediasi adalah proses manual dan dapat memakan waktu serta rumit.
Liberal Ini bukan kewajiban Anda sebagai penetration tester untuk mengatasi keamanan
perusahaan secara keseluruhan dari sebuah organisasi. Anda harus mengatasi lingkup tes penetrasi. sangat sedikit orang yang memenuhi syarat untuk menangani semua aspek keamanan perusahaan . Ini merupakan harapan yang tidak realistis, bukan sebuah moral. RINGKASAN Ini adalah pilihan pribadi jika Anda ingin terlibat diluar lingkup dari pekerjaan Anda. Jika perusahaan melakukan pekerjaan rumah mereka sebelum mempekerjakan Anda, mereka akan
tahu bahwa potongan puzzle Anda adalah salah satu bagian dari perspektif keseluruhan. Namun demikian, Anda mungkin memutuskan untuk memastikan perusahaan tahu ini dan mengkomunikasikan bagaimana uji penetrasi yang sesuai dengan keamanan perusahaan secara keseluruhan. Hal ini dapat membawa lebih banyak pekerjaan untuk Anda dalam jangka panjang.
Liberal Anda melakukan pekerjaan sesuai dengan kemampuan terbaik Anda. Anda disewa
untuk melakukan uji penetrasi. Anda melakukan tes dan hasilnya adalah bahwa perusahaan memiliki permasalahan yang serius. Ini bukan kesalahan Anda dan Anda tidak harus bertanggung jawab untuk masalah ini. Ini harusnya pengetahuan umum bahwa apa pun masalah yang muncul selama uji penetrasi bukanlah kesalahan tester tapi kerentanan sistem. Ikuti filosofi ini untuk semua keadaan yang relatif sama, kecuali ada kelalaian pada bagian penguji penetrasi. RINGKASAN Contoh ini menggambarkan perbedaan utama antara tes kerentanan dan tes penetrasi. Harapan pada bagian tester harus berbeda karena uji penetrasi berusaha untuk mengeksploitasi kelemahan sistem. Tes kerentanan mencoba untuk mendeteksi keberadaan kerentanan, tetapi tidak benar-benar menembus pembukaan keamanan. Entah pendekatan dapat mematahkan sistem atau jaringan, semua orang di bidang ini punya selusin cerita, "aku menjalankan tes ketika telepon berdering, ternyata aku memecahkan ...." . Klien pasti berharap bahwa pengujian penetrasi adalah proses yang sangat mengganggu yang memiliki potensi untuk menyebabkan kerusakan pada sistem di bawah resimen pengujian. Namun, tester penetrasi berkualitas harus mampu mengontrol tingkat tertentu aliran tes sehingga tidak terlalu merusak. Ini bukan pekerjaan mudah. Ketika menggunakan tool tester pihak ketiga, selalu ada risiko tidak mampu mengendalikan alat-alat tersebut di lingkungan yang rentan penetrasi. Anda harus menggunakan perawatan khusus ketika menggunakan tool pihak ketiga dalam lingkungan produksi atau pada sistem yang secara langsung mempengaruhi klien lain atau kemitraan bisnis. Sebelum Anda menempatkan diri dalam
situasi seperti ini pastikan aturan keterlibatan, apa yang diperbolehkan dan apa yang tidak, secara jelas dinyatakan.
Pengujian non-klien
Hal ini sangat umum bagi penguji penetrasi dan wannabes untuk melakukan tes penetrasi ke berbagai derajat pada klien-klien potensial. Ini terjadi ketika tester penetrasi pokes sekitar situs Web klien potensial untuk mencari kerentanan. Mereka kemudian mengambil hasil uji penetrasi dimodifikasi dan menghadiahkannya pada calon klien. Ini adalah bentuk promosi diri dan pemasaran yang mereka harap akan menginspirasi klien untuk mempekerjakan mereka untuk melakukan tes penetrasi penuh. Bagian ini membahas etika penguji sarana yang berbeda digunakan untuk mendapatkan alamat work. Kita membahas apakah maksud ini sah. Kita membahas kesetaraan keamanan informasi dengan chasing ambulans, penetrasi jaringan nirkabel, dan mendeteksi jaringan tanpa WEP/EAP/LEAP/802.11X diaktifkan.
Liberal Karena Anda tidak menyebabkan cacat pada keamanan, melainkan membantu
mereka untuk menemukan masalah, Anda memiliki hak untuk menawarkan layanan Anda untuk dibayar. Kenapa tidak? Ini merupakan tindakan yang sah sesuai dengan keadaan. Jika calon klien Anda salah membaca, merekalah yang salah secara etika, bukan Anda. Biarkan mereka tahu siapa Anda, apa yang Anda lakukan, dan berapa banyak biaya layanan Anda. Mereka sudah tahu seberapa bagus Anda dari apa yang Anda temukan tanpa akses formal ke situs mereka. Ini bukan mengejar ambulance. Satu-satunya jalan bahwa situasi ini jatuh ke posisi yang tidak etis adalah jika Anda menemukan kerentanan keamanan dan kemudian langsung memanfaatkannya untuk membawa masalah ini ke perhatian mereka. Lalu Anda harus menyeberang batas dan melakukan sesuatu yang tidak etis. RINGKASAN
Kunci untuk masalah etika ini adalah perbedaan antara menemukan kerentanan ketika menggunakan situs Web dengan mengotak-atik secara teknis untuk menemukan kerentanan. Jika Anda menemukan masalah ketika Anda menggunakan situs web, semua tindakan yang Anda ambil setelah itu, apakah itu menawarkan layanan Anda untuk dibayar atau gratis, hal itu beretika. Namun, jika Anda langsung menyerang privasi calon klien dan menghack situs Web mereka, semua tindakan setelah hal itu adalah tidak etis, bahkan jika Anda menawarkan untuk memperbaiki masalah secara gratis. Menggunakan situs sebagai pelanggan adalah sah. MengHack sebuah situs untuk menentukan kelemahan keamanan sehingga Anda bisa mendapatkan pekerjaan adalah perilaku salah dan agresif. Pikirkan tentang hal ini dari sudut pandang pemilik situs. Seseorang pokes sedikit terlalu jauh masuk ke situs Anda dan dapat mengakses informasi kartu kredit pelanggan. Mereka menyurati Anda dan memberitahu Anda bahwa mereka dapat memperbaiki masalah yang mereka temukan dengan dibayar. Kebanyakan administrator situs Web akan fokus dulu pada kenyataan bahwa seseorang baru saja memperoleh akses ke nomor kartu kredit pelanggan.
Liberal Masalah ini adalah contoh dari kerentanan scan pasif. Dengan kerentanan scan
aktif yang lebih, Anda mengirimkan lalu lintas ke target khusus untuk menemukan kerentanan. Lalu lintas ini tidak diproses melalui kegiatan usaha normal. Oleh karena itu, hanya mendeteksi jaringan nirkabel bukan masalah etika. Menggunakan informasi ini untuk memperoleh pekerjaan sebagai penguji penetrasi merupakan aset bagi komunitas. Hal ini seperti melakukan pekerjaan gratis untuk klien. RINGKASAN Tanggapan etis yang tepat untuk masalah ini benar-benar tergantung pada pengiriman. Ya atau tidak Anda bisa mendapatkan klien dengan cara ini adalah pertanyaan yang berbeda. Beberapa organisasi tidak akan mempekerjakan seseorang terlepas dari kualitas penemuan mereka jika mereka mendapatkan pekerjaan dengan cara ini. Yang lainnya mungkin menghargai inisiatif Anda. Mendekati klien untuk berkerja berdasarkan penemuan tingakt lanjut dari kerentanan koneksi nirkabel mereka mungkin bukanlah iklan paling efektif.
Mendeteksi Jaringan tanpa WEP Diaktifkan - Hal yang Paling Penting adalah Integritas Anda
Anda mendeteksi jaringan yang tampaknya tidak memiliki Protokol Enkripsi Wireless (WEP atau, di masa depan, 802.11x) diaktifkan. Jaringan SSID, bagaimanapun, tidak mengungkapkan apa-apa tentang siapa mereka. Anda bisa terhubung ke jaringan area lokal nirkabel mereka (WLAN) dan mengintai sekitar untuk beberapa informasi yang akan mengidentifikasi mereka untuk Anda, sehingga Anda dapat menghubungi mereka dan mengusulkan layanan Anda. Atau, Anda bisa terhubung ke printer jaringan mereka dan mengejutkan mereka dengan cetakan pemanggilan lama, sehingga mereka memahami kerentanan sistem mereka. Apakah sah pengintaian untuk mengidentifikasi informasi perusahaan sehingga Anda dapat menawarkan layanan Anda? Apakah secara etika dapat diterima menambah nilai kejutan dengan mencetak ke printer jaringan menawarkan layanan Anda, yang menggambarkan kerentanan keamanan? Konservatif Masalah ini tidak dapat diterima untuk setiap tingkat standar etika. Hal Ini mungkin menyenangkan bagi teknisi, tetapi jatuh di bawah klasifikasi kerusakan sistem. Maka anda mungkin satu-satunya orang yang disalahkan atas masalah yang benar-benar anda temukan. Tidak ada aspek tunggal dari masalah ini yang etis.
liberal Memang benar dan sangat disayangkan bahwa bisnis begitu banyak meninggalkan
sistem mereka terbuka lebar. Namun, hal itu tetap tidak membuat Anda berhak untuk mengakses jaringan infrastruktur mereka dan memverfikasi SSID atau menggunakan WEP. Di sisi liberal ekstrim, teknisi yang lebih radikal mungkin berpendapat bahwa calon klien akan mengagumi keberanian mereka dan masih ingin membawa mereka untuk melakukan pengujian penetrasi. RINGKASAN Hanya karena Anda dapat melakukan sesuatu tidak berarti Anda harus melakukannya. Ini juga tidak benar secara etika. Hal utama untuk belajar dari masalah ini adalah bahwa ketika sebuah bisnis di pasaran bagi sebuah informasi keamanan profesional, karakteristik yang paling penting dari orang tersebut adalah mereka harus memiliki integritas moral. Anda telah menunjukkan bahwa Anda tidak etis dalam masalah ini. Tidak ada yang lebih berbahaya daripada keamanan informasi profesional yang tidak etis. Oleh karena itu, jika Anda menunjukkan perilaku tidak etis untuk mencoba untuk mendapatkan pekerjaan, kemungkinan besar Anda tidak akan menjadi yang terpilih.
Dalam rangka memberikan pekerjaan tambahan untuk diri sendiri di situs klien, Anda melebih-lebihkan atau lebih menekankan (membuat masalah lebih buruk yang sebenarnya) dalam laporan risiko keamanan akhir Anda penetrasi ke client.This akan meminta mereka untuk membuat Anda lebih lama untuk lebih menilai dan berpotensi memperbaiki masalah ini. Karena ada risiko yang valid yang membutuhkan perhatian segera Anda, bahkan jika tidak risiko berat seperti yang Anda telah menunjukkan, apakah itu masalah jika Anda membesarbesarkan risiko untuk memberikan klien perasaan urgensi sehingga mereka akan memperbaiki masalah segera dengan membantu? Konservatif Hal ini tidak pernah tepat untuk memberikan hasil yang tidak akurat ke test.This penetrasi ini terutama berlaku jika Anda berkomunikasi kebohongan untuk pemasaran purposes.You yang memberikan informasi palsu mengenai masalah-masalah keamanan informasi, yang perlu exact.You secara moral salah dalam hal ini materi.
Liberal Karena ada masalah dan Anda hanya membesar-besarkan masalah, itu adalah
dimaafkan. Itu selalu terbaik untuk seakurat mungkin ketika berhadapan dengan masalah keamanan informasi. Namun, kadang-kadang diperlukan untuk mendorong rumah titik sehingga yang penting ditangani secara tepat waktu. Karena Anda melakukan tes penetrasi, Anda adalah yang paling memenuhi syarat untuk melakukan tes tambahan dan memperbaiki kerentanan keamanan. RINGKASAN Etika selalu pertanyaan ketika Anda tidak memberikan informasi yang tepat dalam menanggapi uji penetrasi. Waktu hanya sedikit yang dapat diterima untuk membesarbesarkan informasi adalah jika klien membutuhkan jenis komunikasi untuk mengatasi kerentanan sama sekali. Jika Anda berkomunikasi bahwa itu adalah masalah keamanan kecil, mereka mungkin tidak mengatasi masalah ini. Namun, kerentanan kecil dengan cepat dapat berubah menjadi satu besar.
Liberal Hal ini tidak dalam ruang lingkup jasa penetrasi tester untuk membantu klien
memperbaiki semua sistem kerentanan discovered.There ada yang salah dengan menggunakan informasi yang dikumpulkan dari uji penetrasi ke pasar layanan Anda kembali ke klien untuk fase berikutnya dari proses keamanan informasi.
RINGKASAN Memang benar bahwa penetration tester tidak harus menjelaskan kepada perusahaan bagaimana untuk memperbaiki semua kerentanan sistem mereka. Namun, yang mungkin menjadi cara paling efektif untuk mendapatkan pekerjaan tambahan. Pemotongan informasi dan kemudian meminta uang untuk bahwa data meskipun itu bukan bagian dari lingkup pekerjaan Anda terdengar lebih seperti trik dari seseorang yang tulus memiliki kepentingan dalam mendukung klien. Lurus dan sempit selalu jalan cerdas untuk mengambil.
Liberal Anda tidak moral diperlukan untuk berkomunikasi kerentanan sistem untuk
pekerjaan clients.Your potensial untuk membuat uang dari melakukan tes kerentanan akurat. Apakah Anda menyadari kelemahan sistem sebelum uji penetrasi adalah klien irrelevant.The masih akan menerima layanan terbaik dari Anda. RINGKASAN Bila Anda memiliki informasi orang dalam tentang profil keamanan klien potensial informasi, Anda harus menangani data ini dengan cara yang sensitif. Dalam beberapa kasus, mungkin bijaksana untuk menunggu sampai Anda melakukan uji penetrasi untuk mengungkapkan informasi. Dalam keadaan lain, ini mungkin tidak jujur. Sebagai contoh, jika Anda tidak benar-benar melakukan uji penetrasi saat menyewa, dan menerima pembayaran untuk apa yang Anda sudah tahu, bahwa secara moral salah.
menciptakan kerentanan sistem sehingga Anda tidak berakhir tampak seperti sebuah fool.There ada ruang untuk skema pemasaran di arena keamanan informasi.
Ringkasan Bab
Bab ini mendefinisikan tujuan pengujian penetrasi dan perangkap etika pemasaran, melakukan, dan berkomunikasi tentang tes penetrasi. Kami belajar bahwa tujuan pengujian penetrasi adalah untuk menentukan apakah sistem informasi berada di risk.You menemukan bahwa uji penetrasi cek aplikasi, database, jaringan, komputer remote, dan setiap sistem lain yang terhubung ke bisnis untuk kerentanan. Sebuah uji penetrasi tidak etis dapat mengambil keuntungan dari beberapa cara untuk mendapatkan pekerjaan atau membuat lebih banyak uang dari melakukan tes. Dalam bagian tentang keliru uji penetrasi, kita membahas bagaimana penguji menggambarkan diri sendiri atau bagaimana mereka tes menggunakan alat gratis. Gambaran keamanan secara keseluruhan dapat dirusak oleh uji penetrasi, karena informasi profesional keamanan mungkin merasa dibutuhkan untuk membuat selimut komentar seperti, "Karena hasil uji penetrasi ini, sistem anda adalah 100 persen aman." Jenis komunikasi ini benar-benar palsu dan melemahkan keamanan informasi. Selanjutnya, kita membahas ploys digunakan untuk mendapatkan klien dan seberapa jauh terlalu jauh untuk pergi ketika pengujian non-klien dan mengkomunikasikan results.We ditentukan bahwa kualitas nomor satu tester penetrasi harus memiliki adalah integritas dan etika yang kuat. Akhirnya, bab ini ditutup dengan pertimbangan motif tersembunyi ketika mempresentasikan hasil uji penetrasi. Beberapa penguji akan menyimpan informasi dalam rangka untuk mendapatkan pekerjaan masa depan dengan client.We mereka ditinjau etika dari strategi pemasaran dan menentukan batas penerimaan moral. www.syngress.com
Q: Apa cara yang berbeda dengan yang seseorang dapat menggambarkan tes penetrasi? J: Sebuah uji penetrasi dapat disalahpahami di beberapa ways.The tester berbeda dapat
menggambarkan kualifikasi mereka dan skills.They dapat menggambarkan informasi yang dikumpulkan atau sarana yang memungkinkan mereka dikumpulkan data.This berarti bahwa tester penetrasi dapat melakukan hanya satu bagian dari uji penetrasi dan mencoba untuk
lulus off sebagai tes keseluruhan, atau mereka dapat menggunakan alat gratis untuk melakukan tes dan gagal untuk mengkomunikasikan informasi tersebut kepada klien.
T: Apakah pernah tepat untuk penetrasi tester untuk berkomunikasi dengan klien mereka
bahwa sistem informasi perusahaan adalah 100 persen aman?
J: Seratus persen keamanan informasi adalah sebuah mitos. Tidak ada sistem pada setiap titik
waktu, masa lalu, sekarang, atau masa depan benar-benar aman. Hal ini tidak pernah tepat untuk berkomunikasi keamanan mutlak. Bahkan, sistem tidak pernah lulus tes penetrasi. Selalu ada kelemahan. Tidak ada orang yang melakukan tes penetrasi dan mengkomunikasikan bahwa sistem lulus atau bahwa perusahaan tersebut aman dilakukan tes penetrasi yang memadai.
J: Anda "melihat-lihat" situs Web klien non-untuk menemukan kerentanan. Bila Anda
menemukan mereka, Anda mengungkapkan kerentanan ini kepada klien potensial dan berharap untuk mendapatkan pekerjaan melakukan tes penetrasi.
T: Apa cara yang berbeda yang penguji penetrasi menampilkan motif tersembunyi? J: Penetrasi penguji menampilkan motif tersembunyi dengan melebih-lebihkan kerentanan
sistem untuk mendapatkan pekerjaan tambahan, pemasaran jasa mereka berdasarkan hasil tes, menahan informasi spesifik dari uji penetrasi dalam rangka untuk melakukan pemasaran kemudian, dan mengeksploitasi klien berdasarkan hasil tes penetrasi.