Anda di halaman 1dari 15

Bab 17 Pengantar

Tujuan dari pengujian penetrasi adalah untuk menentukan apakah teknologi informasi korporasi (TI) sistem pose setiap tingkat risiko keamanan karena gangguan yang tidak diinginkan. Pengujian penetrasi mengecek aplikasi, database, jaringan, sumber daya komputasi terpencil, dan setiap sistem lain yang terhubung ke bisnis yang rentan. Selain secara rutin memeriksa sistem yang ada, bisnis mungkin memerlukan uji penetrasi ketika sebuah sistem baru ditayangkan dalam produksi. Sebagai contoh, jika perusahaan gulungan sebuah situs e-commerce Web baru dan infrastruktur, sistem tersebut memerlukan pengujian penetrasi. Uji penetrasi mengungkapkan apakah pengguna tidak sah dapat memperoleh akses ke sistem. Setelah pengguna yang tidak sah memperoleh akses, mereka bisa menghack sistem dan melampiaskan malapetaka dengan mencuri informasi kartu kredit atau mengganggu fungsi. Ada banyak lapisan kompleks untuk tes penetrasi. Tujuan utama dari pengujian penetrasi adalah untuk menemukan kerentanan sistem sebelum ketika seseorang dapat memanfaatkan mereka di luar organisasi untuk tujuan jahat. Menurut kamus ITSecurity.com, tes penetrasi adalah sebagai berikut.
"Kadang-kadang disebut 'pena pengujian', yang merupakan prosedur pengujian keamanan yang melibatkan upaya yang sah untuk menembus keamanan sistem di bawah otoritas pemilik sistem. Tujuannya adalah untuk menemukan dan menghilangkan kerentanan yang dapat dieksploitasi oleh hacker. Pengujian penetrasi dapat digunakan sebagai metode audit keamanan perusahaan itu sendiri, atau dilakukan sebagai bagian dari proses sertifikasi keamanan (seperti Kriteria TCSEC atau Common). Penguji kadang-kadang disebut Tim Harimau, dan biasanya termasuk penggunaan paket perangkat lunak otomatis seperti SATAN dan Crack. Hal ini berguna untuk menggunakan pengujian penetrasi untuk memeriksa implementasi firewall baru. Pengguna harus berharap untuk menerima log rinci dan laporan berikut tes, dan harus menerima bantuan dan saran tentang bagaimana untuk menutup kerentanan berada. "

Sebuah uji penetrasi melibatkan pengujian dan memverifikasi semua layanan teknologi inti yang dijalankan oleh layanan inti company. Layanan core adalah sistem firewall, program surat elektronik, Domain Name System (DNS), program password, File Transfer Protocol (FTP), koneksi dial-up , file server, database server, jaringan nirkabel, Publik Branch Exchange (PBX) sistem, dan uji penetrasi Web servers. Tes penetrasi juga mencakup pemeriksaan terhadap integritas fisik system. Ini termasuk akses fisik ke ruang server, backup, dan jaringan fasilitas. Semua aspek dari sistem informasi memerlukan verifikasi dalam tes penetrasi yang sukses. Isu-isu etika dalam bab ini meliputi keliru selama tes penetrasi, merusak keamanan melalui pelaporan penetrasi pengujian dan komunikasi, pengujian non-klien, dan motif tersembunyi keuangan saat melakukan uji penetrasi.

Keliru Test Penetrasi


Ada beberapa sarana yang berbeda yang dapat digunakan untuk menggambarkan sebuah penetrasi test. Kalian dapat keliru terhadap diri kalian dan mengklaim memiliki pengalaman yang memadai untuk melakukan tes, padahal sebenarnya Anda tidak melakukan apa-apa. Anda dapat melakukan uji penetrasi parsial dan melewatinya sebagai penyelesaian tes.

Akhirnya, dengan menggunakan alat gratis untuk melakukan tes penetrasi yang dipertanyakan dalam efektivitas dan gagal untuk memeriksa fakta-fakta adalah bentuk lain dari keliru. Keliru terjadi setiap kali Anda tidak memenuhi kewajiban dan harapan klien. Klien Anda mengharapkan yang terbaik dari Anda untuk membantu melindungi sistem mereka dari serangan. Bagian ini membahas isu-isu etis dari skenario keliru ini. Anda memutuskan jika ada dari mereka memiliki alasan moral.

Rasa umum dalam Pengujian Penetrasi


Dalam masyarakat kita saat ini, garis antara hitam dan putih sering begitu abu-abu yang sulit untuk menentukan benar dan salah. Saya kenal dengan beberapa kejadian di mana tester pena telah mengambil "kebebasan untuk melakukan apa yang mereka ingin masuk" agak terlalu jauh. Saya pikir akal sehat harus memainkan peran dalam apa yang kita lakukan dan saya pikir akal sehat kadang-kadang ditinggalkan selama pengujian penetrasi. Sebagai orang-orang teknologi, kita bisa bersembunyi di balik teknologi dengan anonimitas seperti seorang hacker jahat. Jadi selama pengujian penetrasi, kita mungkin lupa peran apa yang kita mainkan untuk pelanggan. Tujuan utama adalah untuk MEMBANTU pelanggan, TIDAK MERUSAK pelanggan. Ketika uji penetrasi sedang berlangsung, tester pena memiliki kecenderungan untuk menempatkan penutup mata dan melupakan tindakan mereka dapat melakukan kerusakan serius pada sistem pelanggan dan jaringan. Merupakan hal baik untuk berpikir seperti seorang hacker jahat selama pengujian penetrasi, tapi bisa buruk untuk bertindak seperti seorang hacker jahat selama pengujian penetrasi. Misalnya, Anda menjalankan seluruh kerentanan yang muncul harus dimanfaatkan. Satunya masalah adalah mengeksploitasi akan melakukan salah satu dari dua hal: 1) memberikan Anda akses root, atau 2) menyebabkan sistem crash dengan berpotensi kerusakan permanen bagi database. Apa yang Anda lakukan? Tentu saja klien telah menandatangani dokumentasi yang sesuai membiarkan Anda dari hook untuk kerusakan sistem, kecuali jika Anda pergi di luar batasbatas kesepakatan atau gagal. Anda menganggap pelanggan memiliki backup dan siap untuk tindakan memperbaiki sistem jika itu gagal. Apa yang Anda lakukan? Apakah etis untuk secara sadar dan sengaja merusak sistem klien? Apakah pelanggan akan meminta anda lagi untuk bekerjasama dengan mereka? Di sinilah akal sehat bermain. Saran saya akan mengambil langkah mundur sejenak dan berpikir. Apa yang saya peroleh dari mengeksploitasi kerentanan ini? Apakah dalam lingkup usaha? Apa arah yang kami diberikan dari kontak pelanggan kita? Haruskah kita kontak pelanggan sebelum kita melakukan yang satu ini? Apakah saya perlu bertanya penasehat hukum tentang yang satu ini karena ada kemungkinan tinggi kerusakan sistem? Jangan membabi buta melakukan pengujian penetrasi. Umumnya, pelanggan akan memiliki apresiasi yang lebih besar untuk tindakan Anda jika Anda membuat keputusan cerdas seluruh proses. Nilai Moral dari cerita adalah tidak menyakiti orang yang Anda bantu.

Misrepresenting Diri - Apakah Baik?


Anda memiliki pengalaman dalam keamanan informasi tetapi tidak sejauh pengujian penetrasi. Seorang klien mantan Anda tidak mengerti apa itu tes penetrasi dan menganggap bahwa Anda akan tahu bagaimana melakukannya. Apakah etis untuk setuju melakukan tes penetrasi bahkan jika Anda tidak memiliki keterampilan yang tepat diperlukan untuk menyelesaikan pekerjaan dengan sukses?

Konservatif Hal ini tidak pernah tepat untuk melakukan semua jenis tugas teknis jika Anda tidak cukup memenuhi syarat bagi pekerjaan. Hal ini terutama berlaku untuk peran keamanan informasi. Hanya ahli berkualifikasi yang harus melakukan tes penetrasi. Tidak mungkin melakukan tes penetrasi efektif jika Anda tidak cukup memenuhi syarat. Akhirnya kurangnya kualifikasi Anda akan menjadi jelas.

liberal Hanya sedikit orang di dunia memiliki kualifikasi yang tepat untuk semua aspek
pengujian penetrasi. Karena contoh ini menyebutkan bahwa orang yang diminta untuk melakukan tes penetrasi keamanan informasi profesional, mereka memiliki dasar keterampilan yang diperlukan dan kepala mulai baik di atas kebanyakan orang. Jika mereka menyampaikan bahwa mereka tidak pernah melakukan uji penetrasi di masa lalu tetapi merasa mereka cukup bisa memberikan layanan seperti itu, tidak ada alasan etis mengapa mereka tidak harus mengambil pekerjaan.

RINGKASAN
Adalah penting bahwa teknisi ahli melakukan tes penetrasi. Hal ini mengatakan, terserah kepada perusahaan mempekerjakan untuk menentukan kriteria untuk kualifikasi, dengan asumsi bahwa pelamar tidak menggambarkan diri mereka dengan cara apapun. Jika perusahaan ingin mempekerjakan seseorang dengan pengalaman yang sangat sedikit, yang sepenuhnya hak prerogatif mereka. Karena ini adalah mantan klien, Anda mungkin tahu mengapa mereka meminta hack etis dan dapat menentukan apakah Anda dan mungkin kontraktor lebih terdidik dapat memenuhi kebutuhan mereka.

Kerentanan Scanner - Di Tempat Pengujian Penetrasi?


Anda tidak punya waktu untuk melakukan tes penetrasi penuh karena klien Anda mengubah jangka waktu setelah Anda setuju untuk melakukan pekerjaan itu, sehingga Anda menjalankan scanner kerentanan pada sistem klien Anda sebagai gantinya. Apakah etis bagi Anda untuk membebani biaya bagi perusahaan untuk uji penetrasi penuh ketika yang Anda lakukan sebenarnya adalah menjalankan scanner kerentanan terhadap sistem mereka? Secara Konservatif Hal ini tidak etis untuk membebani biaya untuk layanan yang Anda tidak membuat. Menjalankan scanner kerentanan adalah tidak sama dengan melakukan tes penetrasi penuh, scanner kehilangan banyak hal-hal penting seperti resistensi terhadap rekayasa sosial dan efektivitas keamanan fisik tanaman Anda.

Liberal Jika klien mempersingkat jangka waktu yang diperlukan untuk tes penetrasi penuh
tetapi Anda masih diminta untuk mempresentasikan hasil cepat, Anda harus fleksibel untuk pilihan lain. Dalam hal ini, klien adalah pengaturan parameter untuk uji dalam keadaan yang hampir mustahil. Jika parameter tersebut hanya memungkinkan Anda untuk melakukan scan kerentanan, itu kesalahan perusahaan, bukan kesalahan anda. Anda seharusnya tidak mengurangi pembayaran Anda karena permintaan pekerjaan mereka yang terburu-buru.

RINGKASAN
Klien sering mengatur jangka waktu, dan untuk alasan bisnis dapat mengurangi periode waktu ini. Ini mungkin atau mungkin tidak etis untuk masih menagih untuk tes penetrasi penuh, tergantung pada keadaan yang tepat dari situasi dan komunikasi antara tester penetrasi

dan klien. Namun, jika Anda memiliki waktu yang dibutuhkan untuk melakukan tes penetrasi penuh dan hanya melakukan scan kerentanan, Anda telah melampaui batas-batas etika yang wajar.

Menggunakan Tools Gratis - Haruskah Anda Berbagi Pengetahuan?


Ketika melakukan tes penetrasi, Anda menggunakan seperangkat alat gratis yang Anda download dari Internet. Anda menggunakan hasil ini sebagai mekanisme pelaporan akhir yang Anda berikan untuk klien Anda. Ketika Anda menyajikan hasil pengujian penetrasi, Anda gagal untuk mengkomunikasikan cara dengan mana Anda memperoleh laporan. Menganggap Anda tidak mengungkapkan bagaimana Anda memperoleh hasil atau tidak menawarkan untuk mengajarkan klien cara menggunakan alat gratis, apakah itu benar secara moral untuk memberikan klien Anda hasil tes penetrasi seolah-olah mereka itu adalah Anda sendiri, ketika semua yang Anda lakukan adalah penggunaan alat gratis? Konservatif Melakukan tes penetrasi dengan Tool gratis tidak akan cukup efektif. Klien mempekerjakan Anda untuk melakukan tes penetrasi menyeluruh. Selain itu, menggunakan tool gratis untuk melakukan tes penetrasi tanpa berkomunikasi dulu hal yang Anda lakukan benar-benar tidak etis. Juga, gagal untuk mengajarkan klien cara menggunakan alat ini secara moral salah. Bagian dari uji penetrasi adalah perpindahan pengetahuan .Anda gagal dalam semua aspek skenario etis.

Liberal Jika klien tidak memutuskan terlebih dahulu bagaimana Anda harus melakukan tes
penetrasi, tidak ada yang salah secara moral dengan memanfaatkan alat-alat pengujian penetrasi gratis. Jika Anda tidak memiliki petunjuk mengenai apa yang Anda lakukan dan hanya menggunakan alat-alat, itu cerita berbeda. Anda juga tidak diwajibkan untuk mengajarkan klien cara menggunakan alat gratis untuk melakukan uji penetrasi mereka sendiri. Hanya karena ada alat di pasar tidak berarti rata-rata orang dapat menggunakannya dengan tepat. Tool ini masih memerlukan keahlian Anda. Seseorang yang tidak memiliki kualifikasi individu tidak fapat menggunakannya untuk keuntungan perusahaan. RINGKASAN Banyak konsultan menggunakan perangkat lunak untuk melakukan layanan mereka. Ini bisa jadi pilihan yang tepat atau salah, tergantung dari situasi. Sebuah tester penetrasi yang baik baik memiliki akses tool yang sama dengan yang dilakukan hacker , seperti satu set tool memerlukan investasi yang lebih signifikan daripada indikasi "tool gratis". Namun, menganggap hasil tool gratis sebagai pekerjaan Anda sendiri mungkin perilaku moral dipertanyakan, kecuali Anda jelas bahwa itu adalah koleksi dan menggunakannya yang Anda sebut sebagai pekerjaan Anda sendiri. Aturan Keterlibatan dari Pengujian Penetrasi Sebelum memulai tes penetrasi, sangat penting bahwa Anda menetapkan dan menyepakati aturan-aturan eksplisit keterlibatan dengan pemilik sistem target. Aturan-aturan ini menggambarkan sifat dari kegiatan pengujian dan secara signifikan membantu meminimalkan kejutan yang tidak menyenangkan pada bagian tester dan target. Melakukan tes penetrasi tanpa aturan keterlibatan perusahaan dengan mudah bisa membahayakan jaringan target, serta pekerjaan penetrasi dan reputasi tester. Etika yang kuat mengharuskan aturan keterlibatan disepakati secara tertulis, ditandatangani oleh kepala tim pengujian

penetrasi serta pemilik lingkungan target. Aturan harus menjelaskan pendekatan pengujian pada isu-isu berikut:

Sasaran sistem dan aplikasi: Rentang alamat jaringan atau alamat sistem yang mana yang berada di dalam lingkup pengujian? Yang mana yang secara eksplisit dilarang untuk pengujian? Penolakan layanan: Apakah penolakan tes layanan yang dapat menyebabkan crash pada sistem target atau tidak tersedia dimasukkan dalam rejimen pengujian? Waktu pengujian: Haruskah pengujian dilakukan tanpa batasan waktu? Kerangka waktu apa yang diperbolehkan? Tanggal-tanggal dan hari-hari pengujian: Apa saja jadwal pengujian? Kontak di lingkungan target: Jika tim pengujian penetrasi menyadari perilaku tak menentu atau crash dalam sistem target, siapa yang harus mereka hubungi? Jika dalam pengujian, penguji penetrasi menemukan bukti intrusi sebelumnya, siapa yang harus mereka hubungi? Sertakan nama, nomor ponsel, dan pager dalam semua daftar kontak. Kontak pada tim pengujian penetrasi: Jika pemilik atau operator dari sistem target memiliki pertanyaan atau pemberitahuan perilaku tak menentu selama tes, siapa yang harus mereka hubungi pada tim pengujian penetrasi? Sertakan nama, nomor ponsel, dan pager dalam semua daftar kontak. Tanya jawab Harian: Apakah tim pengujian penetrasi melaporkan temuan awal kepada pemilik sasaran secara teratur setiap hari atau lainnya? Menginformasikan administrator dan personil pengujian lainnya: Haruskah sistem administrator dan / atau tim keamanan lingkungan target diberitahu tentang pengujian? Atau, haruskah respon mereka dapat diukur oleh tim pengujian penetrasi?

Pengasingan: Haruskah lalu lintas secara otomatis dijauhi selama tes, berpotensi menyebabkan hasil tes tidak valid dan / atau penolakan layanan? Pengujian (Black Box) Kotak hitam vs pengujian (Crystal box) kotak Crystal: Haruskah tim pengujian diberikan jaringan dan / atau diagram arsitektur aplikasi (tes kotak kristal)? Atau, haruskah tim hanya diberi kisaran target, dengan segala sesuatunya dalam kisaran berada dalam lingkup (tes kotak hitam)? Sisi Sistem klien: Haruskah sitem sisi klien diuji? Dapatkah tim pengujian penetrasi menyerang browser dengan menyebabkan pengguna masuk ke situs tim pengujian penetrasi itu sendiri? Dapatkah tim pengujian penetrasi mengirim e-mail kepada korban untuk mengeksploitasi pembaca e-mail mereka dan / atau tes respon mereka terhadap lampiran yang dapat dieksekusi? Social engineering: Dapatkah tim penguji penetrasi menelepon administrator dan / atau pengguna di lingkungan target dan menggunakan berbagai manipulasi?

Merusak Gambar Kemanan Secara Keseluruhan Hasil tes penetrasi harus mendukung gambar keamanan secara keseluruhan untuk produk akhir business. Hasil akhir dari uji penetrasi seharusnya tidak hanya mengungkapkan ketidakamanan sistem tetapi juga termasuk solusi untuk menghilangkan kerentanan keamanan. Ini merupakan faktor utama yang membuat uji penetrasi berbeda dari audit sistem yang sederhana. Sebuah tes penetrasi memverifikasi dan memecahkan. Suatu audit hanya melaporkan. Bagian dari tes penetrasi memerlukan prosedur yang dirancang untuk memulihkan kerentanan yang terungkap selama proses pengujian.Ini berarti bahwa hasil uji

penetrasi harus sepenuhnya dirilis ke klien. Penguji harus berharap bahwa bagian dari pekerjaan mereka adalah terlibat dalam proses perbaikan sistem untuk beberapa derajat. Dalam beberapa situasi, masalah terletak pada penegakan kebijakan keamanan informasi yang ada. Jika ini kasusnya, informasi ini termasuk dalam laporan pengujian penetrasi. Hasil yang dibutuhkan lainnya termasuk update patch sistem dan software rilis. Terlepas dari masalah, mereka semua membutuhkan dokumentasi menyeluruh setelah selesainya test. Dengan semacam informasi sensitif ini, sangat penting bahwa laporan menerima perlindungan yang cukup. Ini harus ditangani dengan cara yang sangat sensitif. Jika informasi ini jatuh ke tangan tester penetrasi yang tidak jujur atau bahkan lebih buruk lagi, hacker, itu akan berarti bencana bagi company. Oleh karena itu, tester penetrasi harus mewakili nilai etis tertinggi. Mereka harus memperlakukan data ini dengan cara yang mengamankan kerahasiaan dan melayani pelanggan.

Memberikan Rasa Salah Keamanan Pernakah Anda?


Anda baru saja menyelesaikan tes penetrasi yang sangat positif. Anda tidak bisa menemukan cara untuk kompromi atau memperoleh akses ke sistem klien Anda. Karena hasil ini, Anda dengan sukacita mengatakan kepada klien Anda bahwa sistem mereka benar-benar aman. Dapatkah Anda benar-benar memberitahu klien bahwa sistem mereka benar-benar aman setelah tes penetrasi? Apakah ini dapat diterima secara moral pada setiap hal? Konservatif Hal ini tidak pernah tepat untuk memberitahu klien bahwa karena hasil uji penetrasi sistem mereka benar-benar aman. Tidak ada sistem informasi yang benar-benar aman. Itu tidak ada. Ini merupakan tanda pasti bahwa Anda tidak tahu apa yang Anda katakan.

Liberal Meskipun Anda mungkin telah dengan pasti mengatakan kepada klien Anda bahwa
sistem mereka aman, Anda secara etis tidak melakukan kesalahan. Berdasarkan pengetahuan yang Anda miliki, mereka aman. Mungkin itu merupakan cara yang lebih baik untuk melaporkan kepada klien Anda. RINGKASAN Karena semua sistem yang rentan, mengatakan keamanan mutlak dari sistem informasi sebagai hasil dari tes penetrasi adalah sebuah kesalahan. Apakah itu kesalahan moral? Ya jika klien yakin kepada Anda. Semua tes penetrasi hanya baik untuk konfigurasi yang tepat yang diuji. Kerentanan baru akan ditemukan setiap minggu dan ada juga masalah serangan "zero day", di mana hal yang dieksploitasi tersedia dan penyerang tahu bagaimana menggunakannya, tapi belum diketahui oleh komunitas keamanan.

Menyediakan Hasil Terbatas - Bukan Ide Bagus


Ketika Anda melakukan tes penetrasi, Anda mengoptimalkan pekerjaan sehingga Anda nantinya bisa mengenakan biaya tambahan untuk informasi lebih lanjut tentang test. Oleh karena itu, Anda hanya memberikan klien hasil tes penetrasi. Anda tidak memberikan detailyang cukup yang akan memungkinkan mereka untuk mereproduksi masalah atau memperbaikinya. Anda hanya menyediakan informasi tambahan jika mereka membayar uang tambahan. Apakah etis menahan informasi dari uji penetrasi demi biaya tambahan?

Konservatif Hal ini berbahaya dan tidak etis menahan informasi uji penetrasi. Ketika Anda menahan informasi, penyerang memiliki waktu berharga yang mereka butuhkan untuk menembus system. This informasi klien bahkan tidak memperhitungkan etika menyiapkan uji penetrasi untuk menguras uang dari bisnis untuk jawaban bahwa tes yang sangat. Semua aspek dari masalah ini tidak etis.

Liberal Anda memiliki hak untuk menangani bisnis pula Anda ingin memaksimalkan
keuntungan Anda sebagai IT professional. Anda tidak melanggar masalah etika untuk mendapatkan keuntungan dengan menahan informasi tambahan di luar cakupan awal tes. Namun, itu berbahaya bagi perusahaan untuk tidak sepenuhnya menyadari bagaimana untuk memulihkan masalah secepat mungkin. RINGKASAN Kedua sudut pandang menunjukkan bahwa yang terbaik adalah mengkomunikasikan hasilhasil uji penetrasi dan strategi remediasi secepat mungkin untuk melindungi klien Anda dari serangan yang tidak perlu. Anda harus memberikan informasi remediasi, jika Anda memilikinya, apakah Anda dikenakan biaya uang ekstra untuk hasil atau tidak. Perlu diingat bahwa hampir semua orang bisa mendapatkan resep kue, tapi tidak semua orang bisa memanggang kue. Beri mereka resep remediasi dan jika administrator sistem mereka tidak dapat memperbaiki masalah, klien Anda dapat membayar Anda untuk melakukan pekerjaan itu. Hati-hati saat penawaran pada pekerjaan; remediasi adalah proses manual dan dapat memakan waktu serta rumit.

Gagal Memberikan Kendali Gambar - Bukan dalam Ketertarikan terbaik Anda


Ketika Anda melakukan tes penetrasi, Anda ingin perusahaan merasa aman karena mereka membayar banyak uang untuk layanan Anda. Pada penyelesaian layanan Anda, Anda tidak menjelaskan kepada perusahaan bahwa uji penetrasi hanya pandangan kecil ke aspek-aspek tertentu dari risiko keamanan total perusahaan. Apakah Anda secara etis diperlukan untuk mengkomunikasikan lingkup uji penetrasi dalam gambaran besar risiko keamanan perusahaan? Konservatif Anda harus mengkomunikasikan semua aspek dari gambar keamanan secara keseluruhan untuk klien. Kegagalan untuk melakukannya adalah tidak etis. Anda harus mengkomunikasikan bahwa uji penetrasi hanya bagian dari penilaian secara keseluruhan ketika menentukan lingkungan perusahaan aman. Pengujian penetrasi adalah bagian penting untuk menentukan keamanan secara keseluruhan, tetapi tidak semuanya.

Liberal Ini bukan kewajiban Anda sebagai penetration tester untuk mengatasi keamanan
perusahaan secara keseluruhan dari sebuah organisasi. Anda harus mengatasi lingkup tes penetrasi. sangat sedikit orang yang memenuhi syarat untuk menangani semua aspek keamanan perusahaan . Ini merupakan harapan yang tidak realistis, bukan sebuah moral. RINGKASAN Ini adalah pilihan pribadi jika Anda ingin terlibat diluar lingkup dari pekerjaan Anda. Jika perusahaan melakukan pekerjaan rumah mereka sebelum mempekerjakan Anda, mereka akan

tahu bahwa potongan puzzle Anda adalah salah satu bagian dari perspektif keseluruhan. Namun demikian, Anda mungkin memutuskan untuk memastikan perusahaan tahu ini dan mengkomunikasikan bagaimana uji penetrasi yang sesuai dengan keamanan perusahaan secara keseluruhan. Hal ini dapat membawa lebih banyak pekerjaan untuk Anda dalam jangka panjang.

Uji Penetrasi Jadi Buruk - Apakah Anda Bertanggung Jawab?


Anda melakukan tes penetrasi dan jelas mengidentifikasi kelemahan sistem dalam infrastruktur TI perusahaan. Karena Anda melakukan tes penetrasi, Anda mencoba untuk mengeksploitasi kelemahan-kelemahan dengan tool penetrasi keamanan pihak ketiga. Anda tahu ada risiko ketika Anda mengeksploitasi kerentanan sistem yang dikenal. Namun, Anda melangkah kedepan dan melakukannya sebagai bagian dari tes. Akibatnya, kerusakan besar terjadi pada jaringan produksi, yang membuat bisnis turun untuk hari itu. Apakah perusahaan memiliki hak untuk menahan Anda bertanggung jawab atas kerusakan etis ini, atau Anda hanya melakukan fungsi pekerjaan yang layak bagi Anda ? Konservatif Anda harus dapat memprediksi untuk beberapa derajat bagaimana tool pihak ketiga akan berinteraksi dengan kerentanan yang diketahui. Selain itu, karena alat ini juga tersedia untuk hacker, mereka dapat mengembangkan serangan mereka di sekitar teknologi tool pihak ketiga. Atau, dalam beberapa kasus, Anda harus menggunakan tool untuk memicu masalah atau pembukaan dalam sistem. Karena Anda tidak memperhatikan potensi konsekuensi menggunakan tool, Anda sebagian bersalah secara etis. Anda menghasilkan lebih banyak kerusakan pada sistem dengan menjalankan tool pihak ketiga.

Liberal Anda melakukan pekerjaan sesuai dengan kemampuan terbaik Anda. Anda disewa
untuk melakukan uji penetrasi. Anda melakukan tes dan hasilnya adalah bahwa perusahaan memiliki permasalahan yang serius. Ini bukan kesalahan Anda dan Anda tidak harus bertanggung jawab untuk masalah ini. Ini harusnya pengetahuan umum bahwa apa pun masalah yang muncul selama uji penetrasi bukanlah kesalahan tester tapi kerentanan sistem. Ikuti filosofi ini untuk semua keadaan yang relatif sama, kecuali ada kelalaian pada bagian penguji penetrasi. RINGKASAN Contoh ini menggambarkan perbedaan utama antara tes kerentanan dan tes penetrasi. Harapan pada bagian tester harus berbeda karena uji penetrasi berusaha untuk mengeksploitasi kelemahan sistem. Tes kerentanan mencoba untuk mendeteksi keberadaan kerentanan, tetapi tidak benar-benar menembus pembukaan keamanan. Entah pendekatan dapat mematahkan sistem atau jaringan, semua orang di bidang ini punya selusin cerita, "aku menjalankan tes ketika telepon berdering, ternyata aku memecahkan ...." . Klien pasti berharap bahwa pengujian penetrasi adalah proses yang sangat mengganggu yang memiliki potensi untuk menyebabkan kerusakan pada sistem di bawah resimen pengujian. Namun, tester penetrasi berkualitas harus mampu mengontrol tingkat tertentu aliran tes sehingga tidak terlalu merusak. Ini bukan pekerjaan mudah. Ketika menggunakan tool tester pihak ketiga, selalu ada risiko tidak mampu mengendalikan alat-alat tersebut di lingkungan yang rentan penetrasi. Anda harus menggunakan perawatan khusus ketika menggunakan tool pihak ketiga dalam lingkungan produksi atau pada sistem yang secara langsung mempengaruhi klien lain atau kemitraan bisnis. Sebelum Anda menempatkan diri dalam

situasi seperti ini pastikan aturan keterlibatan, apa yang diperbolehkan dan apa yang tidak, secara jelas dinyatakan.

Pengujian non-klien
Hal ini sangat umum bagi penguji penetrasi dan wannabes untuk melakukan tes penetrasi ke berbagai derajat pada klien-klien potensial. Ini terjadi ketika tester penetrasi pokes sekitar situs Web klien potensial untuk mencari kerentanan. Mereka kemudian mengambil hasil uji penetrasi dimodifikasi dan menghadiahkannya pada calon klien. Ini adalah bentuk promosi diri dan pemasaran yang mereka harap akan menginspirasi klien untuk mempekerjakan mereka untuk melakukan tes penetrasi penuh. Bagian ini membahas etika penguji sarana yang berbeda digunakan untuk mendapatkan alamat work. Kita membahas apakah maksud ini sah. Kita membahas kesetaraan keamanan informasi dengan chasing ambulans, penetrasi jaringan nirkabel, dan mendeteksi jaringan tanpa WEP/EAP/LEAP/802.11X diaktifkan.

Mengejar Web Ambulans - Buruk Bagi Reputasi Anda?


Tim penetrasi Anda menemukan kerentanan di situs Web hanya dengan mengotak-atik situs. Perusahaan yang memiliki situs ini bukan klien Anda. Apakah Anda mengatakan pada perusahaan situs Web siapa Anda dan bahwa Anda telah menemukan kerentanan? Apakah Anda menawarkan untuk membantu mereka mengatasi kerentanan (dibayar atau gratis) dengan menawarkan tes penetrasi penuh? Konservatif Anda tentu saja harus menginformasikan perusahaan dari sistem yang rentan. Anda tidak perlu untuk memberikan mereka informasi perbaikan penuh, tetapi memberi mereka kesempatan untuk mengatasi kelemahan ini dan memberitahu mereka bagaimana Anda menemukannya. Masukkan e-mail dengan nama Anda, judul, dan nama perusahaan, tetapi tidak mendorong layanan Anda ke calon klien. Jika klien menghargai informasi dan tidak merasa Anda telah mengganggu karena tindakan Anda memeriksa situs Web mereka, mereka akan menghubungi Anda untuk layanan tindak lanjut. Jika Anda mencoba untuk mendorong layanan Anda pada perusahaan, mereka mungkin mencurigai Anda yang menciptakan masalah yang mereka miliki. Jika Anda menemukan kerentanan dalam cara yang tidak salah, tawarkan untuk memperbaikinya secara gratis. Jika Anda meminta uang untuk memperbaiki masalah, Anda mungkin, tergantung pada keadaan, akan berbatasan dengan pemerasan atau blackmail. Anda mungkin tidak merasa ini benar tetapi klien potensial dapat membaca tindakan Anda melalui cara ini.

Liberal Karena Anda tidak menyebabkan cacat pada keamanan, melainkan membantu
mereka untuk menemukan masalah, Anda memiliki hak untuk menawarkan layanan Anda untuk dibayar. Kenapa tidak? Ini merupakan tindakan yang sah sesuai dengan keadaan. Jika calon klien Anda salah membaca, merekalah yang salah secara etika, bukan Anda. Biarkan mereka tahu siapa Anda, apa yang Anda lakukan, dan berapa banyak biaya layanan Anda. Mereka sudah tahu seberapa bagus Anda dari apa yang Anda temukan tanpa akses formal ke situs mereka. Ini bukan mengejar ambulance. Satu-satunya jalan bahwa situasi ini jatuh ke posisi yang tidak etis adalah jika Anda menemukan kerentanan keamanan dan kemudian langsung memanfaatkannya untuk membawa masalah ini ke perhatian mereka. Lalu Anda harus menyeberang batas dan melakukan sesuatu yang tidak etis. RINGKASAN

Kunci untuk masalah etika ini adalah perbedaan antara menemukan kerentanan ketika menggunakan situs Web dengan mengotak-atik secara teknis untuk menemukan kerentanan. Jika Anda menemukan masalah ketika Anda menggunakan situs web, semua tindakan yang Anda ambil setelah itu, apakah itu menawarkan layanan Anda untuk dibayar atau gratis, hal itu beretika. Namun, jika Anda langsung menyerang privasi calon klien dan menghack situs Web mereka, semua tindakan setelah hal itu adalah tidak etis, bahkan jika Anda menawarkan untuk memperbaiki masalah secara gratis. Menggunakan situs sebagai pelanggan adalah sah. MengHack sebuah situs untuk menentukan kelemahan keamanan sehingga Anda bisa mendapatkan pekerjaan adalah perilaku salah dan agresif. Pikirkan tentang hal ini dari sudut pandang pemilik situs. Seseorang pokes sedikit terlalu jauh masuk ke situs Anda dan dapat mengakses informasi kartu kredit pelanggan. Mereka menyurati Anda dan memberitahu Anda bahwa mereka dapat memperbaiki masalah yang mereka temukan dengan dibayar. Kebanyakan administrator situs Web akan fokus dulu pada kenyataan bahwa seseorang baru saja memperoleh akses ke nomor kartu kredit pelanggan.

Pelanggaran Deteksi Keamanan Wireless - Bukan Iklan Terbaik


Anda melakukan Wardrive / berjalan di sekitar kota Anda dan menemukan sebuah tambang emas jaringan nirkabel tanpa enkripsi atau akses kontrol. Jaringan mereka adalah penyiaran Secure Set Identifier (SSID) yang ditetapkan sebagai nama bisnis mereka. Anda mencari dalam buku telepon atau mencarinya di Web untuk menentukan lokasi kantor mereka, yang sesuai dengan di mana Anda berada ketika Anda mendeteksi jaringan. Apakah menurut Anda etis untuk mendekati mereka dengan layanan Anda berdasarkan hasil tersebut? Konservatif Setelah Anda sengaja mengasosiasikan dengan titik akses nirkabel yang bukan milik Anda sendiri tanpa persetujuan yang tepat, Anda telah melakukan penetrasi sistem, yang tidak etis. Tidak peduli apakah Anda dapat melihat apa pun pada jaringan atau menembus lebih jauh lagi. Tidak etis bagi Anda sekarang mencoba menjual layanan Anda kepada calon klien setelah Anda telah melanggar privasi mereka.

Liberal Masalah ini adalah contoh dari kerentanan scan pasif. Dengan kerentanan scan
aktif yang lebih, Anda mengirimkan lalu lintas ke target khusus untuk menemukan kerentanan. Lalu lintas ini tidak diproses melalui kegiatan usaha normal. Oleh karena itu, hanya mendeteksi jaringan nirkabel bukan masalah etika. Menggunakan informasi ini untuk memperoleh pekerjaan sebagai penguji penetrasi merupakan aset bagi komunitas. Hal ini seperti melakukan pekerjaan gratis untuk klien. RINGKASAN Tanggapan etis yang tepat untuk masalah ini benar-benar tergantung pada pengiriman. Ya atau tidak Anda bisa mendapatkan klien dengan cara ini adalah pertanyaan yang berbeda. Beberapa organisasi tidak akan mempekerjakan seseorang terlepas dari kualitas penemuan mereka jika mereka mendapatkan pekerjaan dengan cara ini. Yang lainnya mungkin menghargai inisiatif Anda. Mendekati klien untuk berkerja berdasarkan penemuan tingakt lanjut dari kerentanan koneksi nirkabel mereka mungkin bukanlah iklan paling efektif.

Mendeteksi Jaringan tanpa WEP Diaktifkan - Hal yang Paling Penting adalah Integritas Anda

Anda mendeteksi jaringan yang tampaknya tidak memiliki Protokol Enkripsi Wireless (WEP atau, di masa depan, 802.11x) diaktifkan. Jaringan SSID, bagaimanapun, tidak mengungkapkan apa-apa tentang siapa mereka. Anda bisa terhubung ke jaringan area lokal nirkabel mereka (WLAN) dan mengintai sekitar untuk beberapa informasi yang akan mengidentifikasi mereka untuk Anda, sehingga Anda dapat menghubungi mereka dan mengusulkan layanan Anda. Atau, Anda bisa terhubung ke printer jaringan mereka dan mengejutkan mereka dengan cetakan pemanggilan lama, sehingga mereka memahami kerentanan sistem mereka. Apakah sah pengintaian untuk mengidentifikasi informasi perusahaan sehingga Anda dapat menawarkan layanan Anda? Apakah secara etika dapat diterima menambah nilai kejutan dengan mencetak ke printer jaringan menawarkan layanan Anda, yang menggambarkan kerentanan keamanan? Konservatif Masalah ini tidak dapat diterima untuk setiap tingkat standar etika. Hal Ini mungkin menyenangkan bagi teknisi, tetapi jatuh di bawah klasifikasi kerusakan sistem. Maka anda mungkin satu-satunya orang yang disalahkan atas masalah yang benar-benar anda temukan. Tidak ada aspek tunggal dari masalah ini yang etis.

liberal Memang benar dan sangat disayangkan bahwa bisnis begitu banyak meninggalkan
sistem mereka terbuka lebar. Namun, hal itu tetap tidak membuat Anda berhak untuk mengakses jaringan infrastruktur mereka dan memverfikasi SSID atau menggunakan WEP. Di sisi liberal ekstrim, teknisi yang lebih radikal mungkin berpendapat bahwa calon klien akan mengagumi keberanian mereka dan masih ingin membawa mereka untuk melakukan pengujian penetrasi. RINGKASAN Hanya karena Anda dapat melakukan sesuatu tidak berarti Anda harus melakukannya. Ini juga tidak benar secara etika. Hal utama untuk belajar dari masalah ini adalah bahwa ketika sebuah bisnis di pasaran bagi sebuah informasi keamanan profesional, karakteristik yang paling penting dari orang tersebut adalah mereka harus memiliki integritas moral. Anda telah menunjukkan bahwa Anda tidak etis dalam masalah ini. Tidak ada yang lebih berbahaya daripada keamanan informasi profesional yang tidak etis. Oleh karena itu, jika Anda menunjukkan perilaku tidak etis untuk mencoba untuk mendapatkan pekerjaan, kemungkinan besar Anda tidak akan menjadi yang terpilih.

Motif tersembunyi Menyajikan Laporan


Pada beberapa kesempatan, penguji penetrasi akan memberikan hasil uji penetrasi yang terbatas karena mereka berniat untuk membebani biaya tambahan untuk setiap set hasil. Ketika ini terjadi pada keamanan informasi, berapa banyak peran pemasaran yang harus bermain dalam etika pengujian penetrasi. Bagian ini menentukan apakah penguji penetrasi dapat secara etis struktur layanan mereka dengan cara yang mengoptimalkan pengembalian keuangan yang mereka terima, atau jika hanya salah secara moral untuk mengecualikan informasi apapun dari uji penetrasi untuk alasan keuangan. Bagian ini juga juga mencakup melebih-lebihkan masalah untuk mendapatkan pekerjaan di masa depan, layanan pemasaran berdasarkan hasil tes, mempertahankan informasi dari uji penetrasi, dan mengeksploitasi klien berdasarkan hasil penetrasi pengujian.

Melebih-lebihkan Masalah - Ini adalah terbaik untuk Jadilah Akurat

Dalam rangka memberikan pekerjaan tambahan untuk diri sendiri di situs klien, Anda melebih-lebihkan atau lebih menekankan (membuat masalah lebih buruk yang sebenarnya) dalam laporan risiko keamanan akhir Anda penetrasi ke client.This akan meminta mereka untuk membuat Anda lebih lama untuk lebih menilai dan berpotensi memperbaiki masalah ini. Karena ada risiko yang valid yang membutuhkan perhatian segera Anda, bahkan jika tidak risiko berat seperti yang Anda telah menunjukkan, apakah itu masalah jika Anda membesarbesarkan risiko untuk memberikan klien perasaan urgensi sehingga mereka akan memperbaiki masalah segera dengan membantu? Konservatif Hal ini tidak pernah tepat untuk memberikan hasil yang tidak akurat ke test.This penetrasi ini terutama berlaku jika Anda berkomunikasi kebohongan untuk pemasaran purposes.You yang memberikan informasi palsu mengenai masalah-masalah keamanan informasi, yang perlu exact.You secara moral salah dalam hal ini materi.

Liberal Karena ada masalah dan Anda hanya membesar-besarkan masalah, itu adalah
dimaafkan. Itu selalu terbaik untuk seakurat mungkin ketika berhadapan dengan masalah keamanan informasi. Namun, kadang-kadang diperlukan untuk mendorong rumah titik sehingga yang penting ditangani secara tepat waktu. Karena Anda melakukan tes penetrasi, Anda adalah yang paling memenuhi syarat untuk melakukan tes tambahan dan memperbaiki kerentanan keamanan. RINGKASAN Etika selalu pertanyaan ketika Anda tidak memberikan informasi yang tepat dalam menanggapi uji penetrasi. Waktu hanya sedikit yang dapat diterima untuk membesarbesarkan informasi adalah jika klien membutuhkan jenis komunikasi untuk mengatasi kerentanan sama sekali. Jika Anda berkomunikasi bahwa itu adalah masalah keamanan kecil, mereka mungkin tidak mengatasi masalah ini. Namun, kerentanan kecil dengan cepat dapat berubah menjadi satu besar.

Menggunakan Hasil Menjual Jasa - Apakah ini sebuah Trik?


Anda melakukan tes penetrasi untuk sebuah perusahaan terkenal. Kemudian, Anda menggunakan hasil dan informasi dalam laporan pengujian untuk menjual layanan tambahan kepada klien. Selain itu, ketika Anda awalnya melakukan uji penetrasi, Anda gagal untuk memanfaatkan informasi untuk membantu mereka memahami masalah. Apakah dapat diterima secara moral gagal untuk menjelaskan hasil tes karena Anda ingin kembali dan menawarkan layanan yang lebih? Konservatif Dalam hal ini akan lebih baik untuk membuatnya tahu bahwa Anda memiliki keterampilan untuk membantu klien memulihkan masalah dan kerentanan ditemukan selama uji penetrasi. Jangan menunggu dan kemudian datang kembali nanti dengan informasi dari tes. Ini hampir terdengar seperti pemerasan jika Anda menyatakan bahwa Anda tahu kerentanan perusahaan karena itu mereka lebih baik menyewa Anda untuk memperbaikinya.

Liberal Hal ini tidak dalam ruang lingkup jasa penetrasi tester untuk membantu klien
memperbaiki semua sistem kerentanan discovered.There ada yang salah dengan menggunakan informasi yang dikumpulkan dari uji penetrasi ke pasar layanan Anda kembali ke klien untuk fase berikutnya dari proses keamanan informasi.

RINGKASAN Memang benar bahwa penetration tester tidak harus menjelaskan kepada perusahaan bagaimana untuk memperbaiki semua kerentanan sistem mereka. Namun, yang mungkin menjadi cara paling efektif untuk mendapatkan pekerjaan tambahan. Pemotongan informasi dan kemudian meminta uang untuk bahwa data meskipun itu bukan bagian dari lingkup pekerjaan Anda terdengar lebih seperti trik dari seseorang yang tulus memiliki kepentingan dalam mendukung klien. Lurus dan sempit selalu jalan cerdas untuk mengambil.

Memegang Kembali Informasi - Menangani dengan Perawatan


Anda tahu bahwa klien potensial memiliki kerentanan serius. Karena Anda melakukan tes penetrasi untuk hidup, Anda tidak memberi tahu mereka tentang kerentanan karena Anda ingin melakukan uji penetrasi untuk biaya normal Anda dan gunakan informasi yang Anda sudah tahu tentang perusahaan. Apakah memiliki informasi orang dalam tentang klien tetapi tidak mengatakan kepada mereka karena Anda mencoba untuk menjual mereka pada penilaian kerentanan etis? Konservatif Jika Anda memiliki informasi tentang kerentanan klien potensial, secara etis tidak tepat untuk menahan bahwa information.Telling klien tentang kelemahan sistem akan menginspirasi mereka untuk mendapatkan tes penetrasi, karena ada kemungkinan tak berujung masalah lain selain yang Anda membuat mereka menyadari.

Liberal Anda tidak moral diperlukan untuk berkomunikasi kerentanan sistem untuk
pekerjaan clients.Your potensial untuk membuat uang dari melakukan tes kerentanan akurat. Apakah Anda menyadari kelemahan sistem sebelum uji penetrasi adalah klien irrelevant.The masih akan menerima layanan terbaik dari Anda. RINGKASAN Bila Anda memiliki informasi orang dalam tentang profil keamanan klien potensial informasi, Anda harus menangani data ini dengan cara yang sensitif. Dalam beberapa kasus, mungkin bijaksana untuk menunggu sampai Anda melakukan uji penetrasi untuk mengungkapkan informasi. Dalam keadaan lain, ini mungkin tidak jujur. Sebagai contoh, jika Anda tidak benar-benar melakukan uji penetrasi saat menyewa, dan menerima pembayaran untuk apa yang Anda sudah tahu, bahwa secara moral salah.

Memanfaatkan Perusahaan - Kejujuran adalah Kebijakan Terbaik


Teman terbaik Anda bekerja di sebuah bank dan Anda memintanya untuk meyakinkan bosnya bahwa perusahaan memerlukan penetrasi test.They benar-benar tidak membutuhkan satu karena mereka hanya punya satu, tapi Anda meyakinkan teman Anda untuk menjelaskan bahwa uji penetrasi sebelumnya tidak lengkap. Adalah mengambil keuntungan dari hubungan atau persahabatan yang Anda bangun melalui cara lain dapat diterima secara etika? Dalam cahaya yang sama, adalah membatalkan tes penetrasi sebelumnya benar secara moral? Konservatif Anda tidak harus memiliki seseorang membatalkan tes penetrasi untuk tujuan pemasaran. Bila kita anggap Anda mendapatkan pekerjaan lain untuk melakukan tes penetrasi dan Anda menyimpulkan hasil yang sama seperti yang pertama, Anda mungkin tergoda untuk

menciptakan kerentanan sistem sehingga Anda tidak berakhir tampak seperti sebuah fool.There ada ruang untuk skema pemasaran di arena keamanan informasi.

Liberal Cara Anda memperoleh pekerjaan pengujian penetrasi-dapat dipertanyakan, namun


pada kenyataannya akan sangat berguna untuk memiliki pihak kedua melakukan penetrasi test.This jenis redundansi smart.Therefore, dalam jangka panjang strategi pemasaran Anda akan membantu perusahaan lebih aman. RINGKASAN Ketika datang ke keamanan informasi, berbohong tidak pernah terbayar bahkan jika niat Anda baik. Hal ini juga berlaku jika Anda memiliki orang lain untuk Anda berbohong. Terlepas dari hasil akhir, kejujuran adalah suatu keharusan untuk penguji penetrasi.

Ringkasan Bab
Bab ini mendefinisikan tujuan pengujian penetrasi dan perangkap etika pemasaran, melakukan, dan berkomunikasi tentang tes penetrasi. Kami belajar bahwa tujuan pengujian penetrasi adalah untuk menentukan apakah sistem informasi berada di risk.You menemukan bahwa uji penetrasi cek aplikasi, database, jaringan, komputer remote, dan setiap sistem lain yang terhubung ke bisnis untuk kerentanan. Sebuah uji penetrasi tidak etis dapat mengambil keuntungan dari beberapa cara untuk mendapatkan pekerjaan atau membuat lebih banyak uang dari melakukan tes. Dalam bagian tentang keliru uji penetrasi, kita membahas bagaimana penguji menggambarkan diri sendiri atau bagaimana mereka tes menggunakan alat gratis. Gambaran keamanan secara keseluruhan dapat dirusak oleh uji penetrasi, karena informasi profesional keamanan mungkin merasa dibutuhkan untuk membuat selimut komentar seperti, "Karena hasil uji penetrasi ini, sistem anda adalah 100 persen aman." Jenis komunikasi ini benar-benar palsu dan melemahkan keamanan informasi. Selanjutnya, kita membahas ploys digunakan untuk mendapatkan klien dan seberapa jauh terlalu jauh untuk pergi ketika pengujian non-klien dan mengkomunikasikan results.We ditentukan bahwa kualitas nomor satu tester penetrasi harus memiliki adalah integritas dan etika yang kuat. Akhirnya, bab ini ditutup dengan pertimbangan motif tersembunyi ketika mempresentasikan hasil uji penetrasi. Beberapa penguji akan menyimpan informasi dalam rangka untuk mendapatkan pekerjaan masa depan dengan client.We mereka ditinjau etika dari strategi pemasaran dan menentukan batas penerimaan moral. www.syngress.com

Q: Apa cara yang berbeda dengan yang seseorang dapat menggambarkan tes penetrasi? J: Sebuah uji penetrasi dapat disalahpahami di beberapa ways.The tester berbeda dapat
menggambarkan kualifikasi mereka dan skills.They dapat menggambarkan informasi yang dikumpulkan atau sarana yang memungkinkan mereka dikumpulkan data.This berarti bahwa tester penetrasi dapat melakukan hanya satu bagian dari uji penetrasi dan mencoba untuk

lulus off sebagai tes keseluruhan, atau mereka dapat menggunakan alat gratis untuk melakukan tes dan gagal untuk mengkomunikasikan informasi tersebut kepada klien.

T: Apakah pernah tepat untuk penetrasi tester untuk berkomunikasi dengan klien mereka
bahwa sistem informasi perusahaan adalah 100 persen aman?

J: Seratus persen keamanan informasi adalah sebuah mitos. Tidak ada sistem pada setiap titik
waktu, masa lalu, sekarang, atau masa depan benar-benar aman. Hal ini tidak pernah tepat untuk berkomunikasi keamanan mutlak. Bahkan, sistem tidak pernah lulus tes penetrasi. Selalu ada kelemahan. Tidak ada orang yang melakukan tes penetrasi dan mengkomunikasikan bahwa sistem lulus atau bahwa perusahaan tersebut aman dilakukan tes penetrasi yang memadai.

P: Dalam bidang pengujian penetrasi, bagaimana beberapa orang menggambarkan mengejar


ambulans?

J: Anda "melihat-lihat" situs Web klien non-untuk menemukan kerentanan. Bila Anda
menemukan mereka, Anda mengungkapkan kerentanan ini kepada klien potensial dan berharap untuk mendapatkan pekerjaan melakukan tes penetrasi.

T: Apa cara yang berbeda yang penguji penetrasi menampilkan motif tersembunyi? J: Penetrasi penguji menampilkan motif tersembunyi dengan melebih-lebihkan kerentanan
sistem untuk mendapatkan pekerjaan tambahan, pemasaran jasa mereka berdasarkan hasil tes, menahan informasi spesifik dari uji penetrasi dalam rangka untuk melakukan pemasaran kemudian, dan mengeksploitasi klien berdasarkan hasil tes penetrasi.

Anda mungkin juga menyukai