Se dovessi fare una ricerca di hacking etico da parte di un istituto bancario, utilizzerei il mio conto bancario, chiederei un conto alla banca o aprire un nuovo account e trasferire dei soldi e fare alcuni trasferimenti per rendere l'account o "area di prova" il più reale possibile? Dovrei chiedere tutte le carte possibili che la banca deve fare test di attacco canale laterale?
Non sono un hacker né ho intenzione di fare ricerche. Voglio solo sapere come sarebbe nella vita reale.
Per quanto ho capito, la domanda è se si utilizzi il proprio, "reale" account, un account appena creato o un account di prova fornito dalla banca.
Dalla mia esperienza, qualsiasi azienda vuole limitare il potenziale impatto durante i test di penetrazione. Pertanto, probabilmente non saranno felici se inizi ad attaccare i loro sistemi di produzione. Immagina cosa succederebbe se alcuni dei server si bloccassero o centinaia di utenti venissero bloccati dai loro account perché tu preferisci i nomi utente brutali o simili.
Se si desidera eseguire un test di penetrazione, ottenere il supporto dell'istituzione e, se disponibile, accedere ad alcuni ambienti di test. Sì, questo non sarà identico al sistema "reale" - ma probabilmente c'è meno pericolo per entrambi. E tu non vuoi finire nei guai, giusto? ; -)
Quello che stai descrivendo è il test di penetrazione. Generalmente questo viene fatto quando un'azienda vuole testare la propria sicurezza e ottenere l'opinione di uno specialista in attacchi nel mondo reale. Altre volte sono necessari test di penetrazione per consentire a un'azienda di mantenere certificazioni specifiche.
Quando viene effettuato un test di penetrazione, di solito avviene tra un'azienda di terze parti e include un gruppo di persone che eseguono il test anziché una persona. Le due società concorderanno su una portata del test, comprese le aree da testare, che devono essere evitate, la responsabilità nel caso in cui qualcosa vada storto nel test, ecc.
Nessuna persona dovrebbe mai fare "ricerche" su un'istituzione finanziaria senza questo appoggio, accordi legali e conoscenza di ciò che stanno facendo. Se provassi ad andare da solo, potresti causare danni ingenti e molto probabilmente violerebbero diverse leggi.
Guarda di più sui test di penetrazione. È un'intera carriera.
Leggi altre domande sui tag banks penetration-test risk-analysis