Έχετε κουραστεί να διαβάζετε ατελείωτες ειδήσεις σχετικά με το ethical hacking και δεν γνωρίζετε πραγματικά τι σημαίνει; Ήρθε η ώρα να γίνετε ένας ethical hacker!
Αυτή η δημοσίευση είναι για τους ανθρώπους που:
- Δεν έχουν καμία εμπειρία με Cybersecurity (Hacking)
- Έχουν περιορισμένη εμπειρία
- Απλά θέλουν να ενημερώνονται συνέχεια για το ethical hacking
Εισαγωγή
Πρώτα απ ‘όλα, ας συμφωνήσουμε ότι «μια σταδιοδρομία στο Cybersecurity» είναι σαν «μια σταδιοδρομία στον τραπεζικό τομέα», δηλαδή είναι ένας όρο-ομπρέλα που ενσωματώνει δεκάδες διαφορετικές κατευθύνσεις μέσα στη βιομηχανία. Στο Cybersecurity μπορούμε, για παράδειγμα, να μιλάμε για το digital forensics ή malware/ software detecting, auditing, pentesting, social engineering και πολλά άλλα. Κάθε μία από αυτές τις υποκατηγορίες μέσα στον κυβερνοχώρο αξίζει μια ξεχωριστή ανάλυση, αλλά, για τους σκοπούς αυτού του άρθρου, ας επικεντρωθούμε σε ορισμένες σημαντικές γενικές απαιτήσεις που χρειάζονται όλοι πριν ξεκινήσουν μια επιτυχημένη σταδιοδρομία στον τομέα του IT Security.
Αν δεν έχετε εμπειρία, μην ανησυχείτε. Όλοι έπρεπε να ξεκινήσουμε κάπου και όλοι χρειαζόμασταν βοήθεια για να φτάσουμε εκεί που είμαστε σήμερα. Κανείς δεν γεννιέται με όλες τις απαραίτητες δεξιότητες. Επομένως, έχετε μηδενική εμπειρία και περιορισμένες δεξιότητες … η συμβουλή μας σε αυτή την περίπτωση είναι να μάθετε μερικές βασικές αρχές.
Τι είναι hacking;
To hacking εντοπίζει τις αδυναμίες και τις ευπάθειες κάποιου συστήματος και προσφέρει πρόσβαση σε αυτό.
Ο hacker αποκτά μη εξουσιοδοτημένη πρόσβαση στο σύστημα-στόχο, ενώ ο ethical hacker έχει επίσημη άδεια για νόμιμη παραβίαση ενός συστήματος για λόγους ασφαλείας.
Επομένως, για να τους ξεχωρίζουμε, υπάρχουν διαφορετικές ονομασίες για τα διαφορετικά είδη hacker.
White hat — ηθικός hacker
Black hat — κλασικός hacker, αποκτά μη εξουσιοδοτημένη πρόσβαση
Grey hat — ένα άτομο που αποκτά μη εξουσιοδοτημένη πρόσβαση αλλά αποκαλύπτει τις αδυναμίες στην εταιρεία-στόχο
Script kiddie — ένα άτομο χωρίς τεχνικές δεξιότητες που χρησιμοποιεί προκατασκευασμένα εργαλεία
Hacktivist — ένα άτομο που χακάρει για κάποιο σκοπό και θέλει να περάσει ορισμένα μηνύματα. Για παράδειγμα, απεργία κατά του copyright.
Στην πραγματικότητα, ένας στόχος του ethical hacking είναι να αποκαλύψει τις αδυναμίες του συστήματος και τα τρωτά σημεία μιας εταιρείας για να τα διορθώσει. Ο ηθικός hacker καταγράφει όλα όσα έκανε.
Δεξιότητες που απαιτούνται για να γίνεις ethical hacker
Πρώτα απ ‘όλα για να γίνετε Pentester πρέπει να είστε πρόθυμος να μαθαίνετε συνεχώς νέα πράγματα. Δεύτερον, πρέπει να έχετε μια ισχυρή θεμελιώδη κατανόηση τουλάχιστον μιας coding/scripting γλώσσας καθώς και κατανόηση του Network και Web Security.
Μερικά βήματα αν θέλετε να ξεκινήσετε από τώρα …
- Μάθετε coding (Προγραμματισμός).
- Κατανοήστε τις βασικές έννοιες του λειτουργικού συστήματος
- Βασικές αρχές δικτύωσης και ασφάλειας
- Διαβάστε για όσες περισσότερες τεχνολογίες μπορείτε
Ποιες πλατφόρμες κάνετε Code In
Αυτό εξαρτάται από την πλατφόρμα στην οποία θα εργαστείτε. Για web applications, προτείνουμε να μάθετε HTML, PHP, JSP και ASP. Για mobile applications, δοκιμάστε Java (Android), Swift (iOS), C # (Windows Phone). Για desktop-based software δοκιμάστε Java, C #, C ++.
Θα θέλαμε να σας προτείνουμε την Python επίσης επειδή είναι μια γλώσσα γενικού σκοπού και όλο και πιο δημοφιλής στις μέρες μας λόγω της φορητότητάς της.
Αλλά αυτό που είναι πραγματικά απαραίτητο για κάθε γλώσσα προγραμματισμού είναι να μάθετε τα βασικά στοιχεία του προγραμματισμού, τις έννοιες όπως οι τύποι δεδομένων, τη μεταβλητή χειραγώγηση σε όλο το πρόγραμμα σε επίπεδο OS με τη χρήση των υπορουτίνων γνωστών ως functions κ.ο.κ. Αν μάθετε αυτά, είναι σχεδόν το ίδιο για κάθε γλώσσα προγραμματισμού εκτός από μερικές συντακτικές αλλαγές.
ProTips
- Για να είστε εμπειρογνώμονας σε οποιαδήποτε γλώσσα προγραμματισμού, κατανοείστε OS level operations αυτής της γλώσσας (ποικίλλει σε διαφορετικούς μεταγλωττιστές) ή μάθετε τη γλώσσα συναρμολόγησης για να γίνει πιο γενικευμένη
- Μην απογοητευτείτε εάν δεν μπορείτε να επιτύχετε αποτελέσματα σε σύντομο χρονικό διάστημα. Το στυλ μάθησης “Miyagi” είναι προτιμότερο. Επομένως, δώστε κίνητρο στον εαυτό σας για αυτό που έρχεται στη συνέχεια.
- Ποτέ μην υποτιμάτε τη δύναμη των διαχειριστών δικτύων και συστημάτων. Μπορούν να σας κάνουν τους * υποθετικούς * σκλάβους τους σε ένα εταιρικό infosec περιβάλλον.
Χρήσιμες πηγές
Θα θέλαμε να μοιραστούμε μερικές πηγές για καλύτερη εκμάθηση.
https://leanpub.com/ltr101-breaking-into-infosec?source=post_page—–841adcf20901———————-
https://leanpub.com/web-hacking-101?source=post_page—–841adcf20901———————-
https://github.com/husnainfareed/Awesome-Ethical-Hacking-Resources
Τέλος, μπορείτε να δοκιμάσετε τις ικανότητες σας:
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
http://crackme.cenzic.com/kelev/view/home.php
http://zero.webappsecurity.com/
https://github.com/s4n7h0/xvwa
https://hackyourselffirst.troyhunt.com/
http://www.vulnerablewebapps.org/
