Etyczne hakowanie podstawowe koncepcje
Hakerstwo
Hakowanie to proces identyfikacji i wykorzystywania luk w systemach komputerowych i sieciowych w celu uzyskania dostępu do tych systemów. Pękanie hasła jest rodzajem hakowania używanego do uzyskania dostępu do systemu. Hakowanie to fałszywy akt, który pozwala przestępcom na inwazję systemu, kradzież danych osobowych lub wykonywanie oszustw w jakikolwiek sposób za pośrednictwem urządzeń cyfrowych.
Typy hakerów
Osoba, która znajduje i wykorzystuje luki w sieci lub w systemie komputerowym, nazywa się hakerem. Może mieć bardzo zaawansowane umiejętności programowania i praktyczną wiedzę na temat bezpieczeństwa sieci lub komputerów. Hakerzy można podzielić na sześć rodzajów:
Biały kapelusz
Hakerzy etyczni nazywane są również hakerami White Hat. Ten typ hakera zyskuje dostęp do systemu w celu zidentyfikowania jego słabości i oceny luk w systemie.
Czarny kapelusz
Hakerzy z czarnym kapeluszem nazywane są również „Crackers.„Ten typ hakera zyskuje nieautoryzowany dostęp do systemów komputerowych i sieciowych w celu uzyskania osobistego zysku. Kradnięcie danych i naruszenie praw do prywatności to intencje tego hakera.
Szary kapelusz
Hakerzy z szary kapelusz są na granicy między White Hat i Black Hat Hackers. Ci hakerzy włamują się do systemów komputerowych lub sieciowych bez upoważnienia do identyfikacji luk w zabezpieczeniach, ale przedstawia te słabości właścicielowi systemu.
Nowicjusze scenariusza
Nowicjusze to nowi programiści lub personel nie wykwalifikowanych, którzy korzystają z różnych narzędzi hakerskich wykonanych przez innych hakerów w celu uzyskania dostępu do systemów sieciowych lub komputerowych.
Działaczy hakerscy („hacktivists”)
Hakujący lub hakujący ”hakerzy mogą mieć program społeczny, polityczny lub religijny jako uzasadnienie hakowania stron internetowych lub innych systemów. Hacktivista zazwyczaj zostawia wiadomość na porwanej stronie lub systemie dla danej przyczyny.
Phreakers
Phreakers to hakerzy, którzy wykorzystują telefony, zamiast wykorzystywać systemy komputerowe lub sieciowe.
Zasady hakowania etycznego
- Przed włamaniem się do sieci lub systemu komputerowego, najpierw musisz otrzymać pisemną zgodę od właściciela systemu.
- Umieść najwyższy priorytet ochrony prywatności właściciela zhakowanego systemu.
- Zgłoś wszystkie ujawnione luki w przejrzysty sposób właścicielowi zhakowanego systemu.
- Sprzedawcy oprogramowania i sprzętu korzystające z tego systemu lub produktu muszą być również informowani o zabezpieczeniach systemu.
Hakowanie etyczne
Informacje o organizacji są jednym z najważniejszych aktywów dla hakerów etycznych. Informacje te muszą być chronione przed wszystkimi nieetycznymi atakami hakowania, aby zapisać wizerunek organizacji i zapobiec utratę pieniężną. Hakowanie z zewnątrz może prowadzić do wielu strat dla organizacji pod względem biznesu. Hakowanie etyczne identyfikuje słabości lub słabości w systemie komputerowym lub sieciowym i opracowuje strategię ochrony tych luk w zabezpieczeniach.
Hakowanie etyczne: prawne lub nielegalne?
Hakowanie etyczne to działanie prawne tylko wtedy, gdy haker przestrzega wszystkich zasad zdefiniowanych w powyższej sekcji. Międzynarodowa Rada E-commerce zapewnia programy certyfikacyjne do testowania umiejętności etycznych hakerów. Certyfikaty te muszą zostać odnowione po pewnym czasie. Istnieją inne etyczne certyfikaty hakerskie, takie jak certyfikaty RHC Red Hat i Kali Infosec.
Potrzebne umiejętności
Haker etyczny potrzebuje pewnych umiejętności, aby uzyskać dostęp do systemu komputerowego lub sieciowego. Umiejętności te obejmują znajomość programowania, korzystanie z Internetu, rozwiązywanie problemów i opracowywanie algorytmów bezpieczeństwa.
Języki programowania
Haker etyczny wymaga wystarczającej liczby poleceń wielu języków programowania, ponieważ różne systemy są tworzone z różnymi językami programowania. Należy unikać pomysłu nauki jednego konkretnego języka, a nauka języków międzyplatformowych należy ustalić priorytety. Niektóre z tych języków są wymienione poniżej:
- Html (cross-platform): używane do hakowania internetowego w połączeniu z formularzami HTML.
- JavaScript (Platforma między.
- Php (Platforma krzyżowa): używane do hakowania internetowego w połączeniu z HTML do znalezienia luk w serwerach.
- SQL (Platforma między.
- Python, Ruby, Bash, Perl (Platforma krzyżowa): Używany do budowania skryptów do tworzenia zautomatyzowanych narzędzi i tworzenia skryptów do hakowania.
- C, c++ (Platforma krzyżowa): Używany do pisania i wykorzystywania za pośrednictwem Shellcodes i Scripts do wykonywania łamania haseł, manipulowania danymi itp.
Powinieneś także wiedzieć, jak korzystać z Internetu i wyszukiwarek, aby skutecznie zdobywać informacje.
Systemy operacyjne Linux są najlepsze do wykonywania hakowania etycznego i mają różnorodne narzędzia i skrypty do podstawowego i zaawansowanego hakowania.
Narzędzia
W tej sekcji zaleca niektóre z najlepszych etycznych narzędzi hakowania. Zalecamy użycie systemu operacyjnego opartego na systemie Linux do wykonywania hakowania etycznego.
-
John Rozpruwacz
John The Ripper to szybki i niezawodny zestaw narzędzi, który zawiera liczne tryby pękania. To narzędzie jest wysoce konfigurowalne i konfigurowalne zgodnie z Twoimi potrzebami. Domyślnie John Ripper może pracować z wieloma typami skrótów, w tym tradycyjnymi DES, BigCrypt, FreeBSD MD5, Blowfish, BSDI, Extended DES, Kerberos i MS Windows LM. John obsługuje również inne oparte na desce, które wymagają jedynie skonfigurowania. To narzędzie może również działać na skrótach SHA i Sun MD5 i obsługuje OpenSsh Private Keys, pliki PDF, ZIP, Archiwa RAR i Kerberos TGT.
John The Ripper zawiera wiele skryptów do różnych celów, takich jak UNAFS (ostrzeżenie o słabych hasłach), Unshadows (Hasnass and Shadows Pliki połączone) oraz unikalne (duplikaty są usuwane z listy słów).
-
Medusa
Medusa jest narzędziem logowania o brutalnej sile z bardzo szybką, niezawodną i modułową konstrukcją. MEDUSA obsługuje wiele usług, które umożliwiają zdalne uwierzytelnianie, w tym testowanie równoległe oparte na wielu wątkach, to narzędzie ma elastyczne dane wejściowe użytkownika z modułową konstrukcją, która może obsługiwać niezależne usługi Brute Force. Medusa obsługuje również wiele protokołów, takich jak SMB, HTTP, POP3, MSSQL, SSH wersja 2 i wiele innych.
-
Hydra
To narzędzie do ataku hasła jest scentralizowanym równoległym pęknięciem logowania z kilkoma protokołami ataku. Hydra jest wysoce elastyczna, szybka, niezawodna i dostosowywalna do dodania nowych modułów. To narzędzie może uzyskać nieautoryzowany zdalny dostęp do systemu, co jest bardzo ważne dla specjalistów ds. Bezpieczeństwa. Hydra współpracuje z Cisco AAA, autoryzacja Cisco, FTP, HTTPS GET/POST/PROXY, IMAP, MYSQL, MSSQL, Oracle, Postgresql, SIP, POP3, SMTP, SSHKEY, SSH i wiele innych.
-
Metasploit Framework (MSF)
Metasploit Framework to narzędzie do testowania penetracji, które może wykorzystywać i potwierdzać luki w zabezpieczeniach. To narzędzie zawiera większość opcji wymaganych do ataków inżynierii społecznej i jest uważane za jedną z najbardziej znanych ram eksploatacji i inżynierii społecznej. MSF jest regularnie aktualizowany; Nowe exploits są aktualizowane, gdy tylko zostaną opublikowane. To narzędzie zawiera wiele niezbędnych narzędzi używanych do tworzenia przestrzeni roboczych bezpieczeństwa do testowania podatności i systemów testowania penetracji.
-
Ettercap
Ettercap to kompleksowy zestaw narzędzi do ataków „Man in the Middle”. To narzędzie obsługuje wąchanie połączeń na żywo, filtrowanie treści w locie. ETTERCAP może analizować różne protokoły zarówno aktywnie, jak i pasywnie, i obejmuje wiele różnych opcji analizy sieci, a także analizy hosta. To narzędzie ma interfejs GUI, a opcje są łatwe w użyciu, nawet dla nowego użytkownika.
-
Wireshark
Wireshark jest jednym z najlepszych protokołów sieciowych analizujących bezpłatnie dostępne pakiety. Wireshark był wcześniej znany jako eteryczny. To narzędzie jest szeroko stosowane przez branże, a także instytuty edukacyjne. Wireshark zawiera zdolność „przechwytywania na żywo” do badania pakietów. Dane wyjściowe są przechowywane w dokumentach XML, CSV, PostScript i zwykłym tekst. Wireshark jest najlepszym narzędziem do analizy sieci i badań pakietów. To narzędzie ma zarówno interfejs konsoli, jak i graficzny interfejs użytkownika; Opcja w wersji GUI jest bardzo łatwa w użyciu.
-
NMAP (Mapper Network)
NMAP jest krótki dla „Network Mapper.„To narzędzie jest narzędziem open source używanym do skanowania i odkrywania luk w sieci. NMAP jest używany przez Pentesters i innych specjalistów ds. Bezpieczeństwa do odkrywania urządzeń działających w ich sieciach. To narzędzie wyświetla również usługi i porty każdego komputera hosta, ujawniając potencjalne zagrożenia.
-
Rozbójnik
Aby odzyskać faszy fragmenty WPA/WPA2, Reaver przyjmuje brutalną siłę przeciwko wifom rejestrator. Reaver jest zbudowany jako niezawodny i skuteczny narzędzie do ataku WPS i został przetestowany na szerokim zakresie punktów dostępu i frameworków WPS. Reaver może odzyskać żądany punkt dostępu WPA/WPA2 Zabezpieczone hasło w ciągu 4-10 godzin, w zależności od punktu dostępu. Jednak w rzeczywistości ten czas może zostać zmniejszony do połowy.
-
Autopsja
Sekcja zwłok jest narzędziem kryminalistycznym do szybkiego odzyskiwania danych i filtrowania skrótu. To narzędzie rzeźbi usuwane pliki i nośniki z niewykonanej przestrzeni za pomocą PhotoRec. Sekcja zwłok może również wyodrębnić multimedia rozszerzenia EXIF. Ponadto skanowanie autopsji pod kątem wskaźnika kompromisu za pomocą biblioteki STIX. To narzędzie jest dostępne w wierszu poleceń, a także w interfejsie GUI.
Wniosek
W tym artykule obejmowało kilka podstawowych koncepcji hakowania etycznego, w tym umiejętności wymagane do hakowania etycznego, języki wymagane do wykonywania tej akcji oraz najlepszych narzędzi potrzebnych etycznych hakerów.