A hackelést és a titokzatos alakokat, akik ezt csinálják, szinte azonos mértékben demonizálták és mitologizálták.


A hackelés kifejezés utalhat a berendezések vagy folyamatok ártalmatlan módosítására vagy átalakítására olyan dolgok elvégzésére, amelyekre eredetileg tervezték őket, vagy utalhat a számítógépbe vagy hálózatba történő jogosulatlan behatolásra - erről beszélünk a cikkben. Számos hackerek bűncselekmények miatt csinálják, amit csinálnak, mások ragaszkodnak és hasznosítják hackelási képességeiket jóindulatú, néha akár nemes célokra is. Ezeknek az embereknek a célja ez a cikk.

Mi az etikus hackelés??

Egyesek számára az etikus hackelés egyszerűen egy lépés a jól fizetett tiszteletteljes karrier felé. A toborzó rendszerbiztonsági szakemberek és a penetrációs tesztelők által keresett készségek megegyeznek a tehetséges hackerek által már meglévő készségkészlettel..

Ennek eredményeként a cégek erősen toboroznak a hackerek közösségéből, és minden olyan internet-hozzáféréssel rendelkező gyerek megtanulhatja, hogyan kell hackelni a hálószobájukban..

Mások számára az etikus hackelés a politikai aktivizmus vagy hacktivizmus egyik formája. Mint mindig, bár az egyik ember szabadságharcosa egy másik ember terrorista.

Egyesek csak szeretik a hackelés kihívását, de készségeiket jó hasznára akarják használni.

Bármi is legyen az oka az etikus hackelésnek, ez a cikk néhány gyakorlati tanácsot nyújt az induláshoz. Az etikus hackelést gyakran penetrációs tesztelésnek (pentesting) nevezik, bár helyesen, a két kifejezés jelentése kissé eltérő jelentéssel bír..

Az etikus hackelés bármilyen eszköz használatát magában foglalja a hackerek eldobható eszközénél, míg a pentesztálás egy specifikusabb kifejezés, amely a célkörnyezet felfedezésére összpontosít anélkül, hogy azokat vagy a célrendszereket ténylegesen kihasználná..

Alapvető hackelési technikák

Bár nem kimerítő jellegű, a következő lista a hackerek által alkalmazott főbb technikák (etikus vagy egyéb) kiemelésére szolgál.

  • Jelszó feltörése: akár brutális erő (a jelszó kitalálása, amíg meg nem találja a megfelelőt), társadalmi tervezés, cyberstalking (egy cél közösségi média-fiókjainak követése, hogy nyomokat kapjanak az általuk használt jelszavakról), vagy más eszközökkel.
  • Csomagszippantás: a WiFi vagy az Ethernet adatcsomagok elfogása az átvitt adatok elemzésére (amelyek többek között jelszavakat tartalmazhatnak).
  • Sebezhetőség vizsgálata: számítógépek vagy hálózatok hiányosságok felmérése. A sebezhetőség lekérdezésének legegyszerűbb (és leggyakoribb) formája a nyitott portok portkeresése.
  • Vírusok: A célrendszer kompromittálásának egyik leghatékonyabb módja egy vírus (a hackereknek „hasznos tehernek” nevezett) bevezetése a rendszerbe. Ezt fizikai úton (például USB-meghajtó segítségével), ártatlan kinézetű e-mailben vagy dokumentumban elrejtett hasznos teher segítségével, és még sok más módon meg lehet tenni..
  • Rootkit: olyan szoftver, amely a felhasználó számára illegális rendszergazda (root) hozzáférést biztosít a számítógéphez. A gyökérkészletek általában titokban működnek, így az engedélyezett felhasználók nem tudják létezésüket.
  • Trójaiak: Olyan program, amely úgy tűnik, hogy más (jóindulatú) program, de lehetővé teszi a hátsó ajtóhoz való hozzáférést egy rendszerhez. A trójaiákat gyakran működő legális programokhoz csatolják, hogy elkerüljék az áldozatok figyelmeztetését jelenlétükről..
  • Társadalomtudomány: manipulálni az embereket, hogy bizalmas információkat (például jelszavakat) nyilvánosságra hozzanak, vagy fizikai hozzáféréshez férjenek hozzá a célszámítógépekhez vagy rendszerekhez.
  • Keylogging: a célszámítógép felhasználói által megnyomott gombok átkódolása. Amely természetesen jelszavakat is tartalmazhat. A múltban a keylogging általában a keylogger szoftverek valamilyen módon történő bevezetésével valósult meg a célrendszerben, de a nem biztonságos vezeték nélküli billentyűzetek népszerűsége miatt a vezeték nélküli billentyűzet szippantása egyre hatékonyabb taktikát eredményez..

Bastille KeySniffer

Bastille KeySniffer Bastille KeySniffer

Fogaskerék

Lehet, hogy kijelenti, hogy az nyilvánvaló, de az etikus hackerek karrierje nem fog túl messzire menni számítógép és internet kapcsolat nélkül. Emellett hatalmas számú eszköz áll rendelkezésre a komoly hackerek vagy a kiberbiztonsági szakemberek számára.

Ha éppen most indul, a következő felszerelés nagyon fontos:

1. Kali Linux

Számos hackelési projekthez használhatja a Windows vagy a macOS rendszert. A pokolba, valószínűleg sikerül kezelni néhány hackelést egy Android telefonon (bár kevésbé iPhoneon). De a komoly hackerek Linuxot használnak. És a hackerek manapság választott Linux disztrója Kali.

Kali Linux Mac Os

A Debian-alapú Kali kiemelkedő használata a Mr. Robot TV-show-ban részben felelős a népszerűségéért, ám ennek a népszerűségnek köszönhetően egy hackeres szerszámgé vált, amely több mint 600 penetrációs tesztelő eszközt tartalmaz, a dobozon kívül.

Ha csak az etikus hackelést akarja meríteni, akkor az egyedi VitualBox és VMware képek elérhetők a Kali futtatásához egy virtuális gépen. Ugyancsak meglehetősen hűvös a Kali Linux NetHunter, amely az Android helyébe lép a Nexus és az One Plus eszközökön.

Bár a Kali egyfajta alapértelmezett „hacker operációs rendszerré” vált, sok más jó alternatíva is létezik, mindegyiknek megvan a maga erõssége és gyengesége. Ide tartoznak a Blackbox, a Parrot Security OS, a Live Hacking OS, a DEFT Linux és még sok más.

Azonban az összes probléma a Linux hackelésével kapcsolatos disztróival kapcsolatban a Linux-felhasználókat mindenütt sújtja: a hardver illesztőprogram-támogatásának hiánya. A helyzet javul, de ez azt jelenti, hogy a Kali és hasonló felhasználóknak gondosan kell megválasztaniuk hardverüket.

2. VPN vagy Tor kapcsolat

Ha szemtelen lesz az interneten (kérjük, ne feledje, hogy ez egy cikk az etikus hackelésről), akkor fontos, hogy elrejtse személyazonosságát a céloktól.

A jó nem naplózott VPN több mint elegendő adatvédelmi lehetőséget biztosít a legtöbb etikai mûvelethez anélkül, hogy észrevehetõ hatással lenne az internetélményre. Ha valami nagyon bűncselekményt követ el, vagy amely erőteljes embereket vagy szervezeteket nagyon megdörzsöl, akkor a Tor a legjobb fogadás az igaz névtelenség elérésére.

3. WiFi adapter, amely támogatja a monitor módot és a vezeték nélküli injekciót

Nem feltétlenül szükséges, de magát a számítógépet kivéve a monitor módot és a vezeték nélküli injekciót támogató WiFi adapternek a következőnek kell lennie a hardver bevásárló listán.

WiFi adapter, amely támogatja a monitor módot

A megfelelő szoftver eszközökkel (például Aircrack-NG) ezek a praktikus készülékek feltörhetik a WEP és a WPA2 kapcsolatokat annak érdekében, hogy megakadályozzák és módosítsák a WiFi hálózatokon keresztül küldött adatokat..

Rengeteg ilyen elérhető, ha online a „Kali WiFi adapter” kifejezésre keres, bár az Alpha modellei, mint például a megbízható régi munka ló Alfa AWHUS036NH vagy az újabb AC-kompatibilis Alfa AWUS036ACH, mindig szilárd ajánlásokat tesznek..

Alternatív megoldásként a fejlettebb WiFi-tesztelő eszközök, mint például a WiFi ananász, nagyon hatékonyak a jobb kezekben.

4. A legerősebb grafikus kártya, amelyet megengedhet magának

A GPU-k nagyszerűen rejtik a számokat, ezért annyira fontosak, amikor kriptovaluta bányászati ​​berendezéseket építenek. Ez nagyszerűvé teszi őket a bruttó kényszerítő jelszavak használatával olyan eszközök segítségével, mint a Hashcat.

nagy teljesítményű grafikus kártya

Az írás idején az NVidia GTX 1070 grafikus kártyák nagyon sok energiát jelentenek a kezdő etikus hackerek számára, míg azok, akiknek pénzük van az égetésre, fantasztikus jelszó-feltörő készüléket építhetnek az Nvidia RTX 2080 Ti kártyák bankja segítségével.!

5. Munkavállaló kezeslábas, hamis bajusz, lockpick készlet és kitűzőgép

Sok ember képzeletében a hackelés tisztán agyi csúcstechnológiai tevékenység. Ugyanakkor a leghatékonyabb hackelési technikák sokkal több alapvető megközelítést igényelnek.

A cél szemétkosárán keresztüli keresés egy kipróbált módszer az értékes jelszavak felfedezésére, vagy legalábbis arra, hogy mi lehet ezeknek a jelszavaknak. Hasonlóképpen, az irodai környezetbe való illegális hozzáférés megszerzése nagyszerű módszer a táblákra vagy a Post-it feljegyzésekre írt jelszavak és egyéb értékes információk leválasztására vagy a Post-it feljegyzésekre, óvatlanul ragasztva az alkalmazottak számítógép képernyőjére..

tisztább nézi a számítógépet

Sőt, még akkor is, ha több csúcstechnológiájú beszivárgási taktikát telepítenek, mint például a keylogger szoftver telepítése a célszámítógépre, a LAN teknős vagy a Packet Squirrel bevezetése a cél szervezet helyi hálózatába, vagy bármilyen nagyszámú hatékony USB eszköz csatlakoztatása (például egy USB gumi) Ducky vagy Bash Bunny) a célszámítógépbe, valamilyen módon elérnie kell a célszámítógéphez vagy hálózathoz való fizikai hozzáférést.

És gyakran az ilyen módon történő jogosulatlan hozzáférés az egyetlen módja a régimódi fizikai tüsszentésnek. Mint etikai hackert, kérjük, ne feledje, hogy maradjon a törvény jobb oldalán (vagy legalább erõs és etikus oka legyen a vonal átlépésére).

6. Virtuális szerver hely

Virtuális magánszerver (VPS) bérlése manapság fillérekért fizet, de a VPS nélkülözhetetlen eszköz az etikus hackerek páncélzatában. VPS segítségével adathalász vagy Tor rejtett szolgáltatások (.onion) webhelyet is fogadhat. A VPS az Nmap szkripteket és a hasznos terheléseket is tárolhatja, privát VPN szerverként vagy denable platformként szolgálhat a Metaspoilt pentesting munkamenetekhez..

virtuális szerverek

Ideális esetben olyan VPS-tárhelyszolgáltatást kell használnia, amely lehetővé teszi a regisztrációt személyes adatok megadása nélkül, és lehetővé teszi névtelen fizetést (például megfelelően összekevert Bitcoinok használatával). Ezek általában drágábbak, mint a szokásos VPS-szolgáltatások, de még az etikus hackereknek is a lehető legnagyobb mértékű törlésre van szükségük.

Szoftver eszközök

Mint már megjegyeztük, a Kali Linux több mint 600 előre telepített hacker és pentesting eszközzel érkezik. Mindegyiknek (és másoknak) megvan a felhasználásuk, de a legfontosabbak közül néhányat meg kell ismernie, beleértve:

Metasploit

A segédprogramok gyűjteménye, amely keretet biztosít a saját kihasználó kódjának fejlesztéséhez és végrehajtásához távoli célrendszerekkel szemben. A Metasploit egy hatalmas hackereszköz, amely felbecsülhetetlen értékű eszköz a vállalati szakemberek számára is, mivel lehetővé teszi a valós támadások szimulálását a rendszer sebezhetőségeinek azonosítása érdekében..

Metasploit

Burp Suite

GUI eszköz a webalkalmazások biztonságának teszteléséhez. Nyilvánvaló, hogy mivel a vállalati penteszterek nagy hasznát képezik, a Burp Suite lehetővé teszi a hackerek számára az egyéni hasznos teher automatizálását és az egyedi kérelmek módosítását is. Lehallgatási proxyként is szolgálhat, így a felhasználónak ellenőrzést adhat a kiszolgálóra küldött kérések felett.

burp suite

Hashcat / oclHashcat

Jelszó-feltörő eszköz a jelszavak kényszerítésére. A Hashcat a CPU-val használja a morgást, míg az oclHashcat a feldolgozást a grafikus kártyára telepíti. Az egyenes brutális kényszerítés mellett szótár-támadásokat, hibrid támadásokat, szabály-alapú támadásokat és még sok minden mást képes végrehajtani.

Mint a jelszó feltörésének minden brutális erővel történő módszere esetén, életképessége is nagyon függ a felhasználó által választott jelszó erősségétől.

jelszó feltörő eszköz

A John the Ripper egy népszerű CPU-alapú alternatíva a Hashcat-hez, míg a Cain és a nagyon rugalmas Able-t gyakran a Windows felhasználók részesítik előnyben..

Nmap

Hálózati és port-letapogató eszköz, amelyet széles körben használnak a hálózat megismerésére és a biztonsági ellenőrzésre. Szerszámkészlettel rendelkezik, amely hasznos lehet a hálózatok sérülékenységének tesztelésére, de valójában a szkriptek használatával jön létre, amelyek fejlett funkciókat biztosítanak, mint például a szolgáltatás észlelése, a sebezhetőség észlelése és egyebek.

nmap

A Wireshark a hálózati mérnökök által választott hálózati csomag-elemző eszköz mindenhol. Bár csak passzív eszköz, és ezért nem közvetlenül hasznos az aktív hackeléshez, sok hackerek esküszik vele a WiFi felderítés végrehajtására..

Aircrack-ng

Ez az eszköz sokkal proaktívabb megközelítést kínál a WiFi hálózatok feltöréséhez. Ez egy csomag-szippantó, amely képes WEP és WPA / WPA2 forgalmat megfogni és feltörni. Ahhoz, hogy a legtöbbet hozza ki belőle, szüksége lesz egy WiFi adapterre, amely támogatja a monitor módot és a vezeték nélküli injekciót.

aircrack-ng

Az Aircrack-ng általános jelszó-krakkolóként is hatékony. A Linux alkalmazás (beleértve a Kali-t is, természetesen) csak parancssori, de a Windowshoz egy GUI verzió (fent látható) érhető el a Windows számára.

Social-Engineer Toolkit (SET)

Ez a szokatlan program felbecsülhetetlen eszköz a pentesek számára, mivel sok hackelés technikájának emberi oldalával foglalkozik. A Social-Engineer Toolkit számos szociális mérnöki támadást szimulálhat, ideértve a lándzsás adathalász támadásokat, a hitelesítő adatok begyűjtését és egyebeket.

szociális mérnök szerszámkészlet

Mr. Robotban az Elliot a SET-t használja az SMS hamisítás támadásának végrehajtására.

Ezek a kiváló hacker és pentesting szoftveres eszközök természetesen csak egy nagyon nagy jéghegy csúcsa. Ha készen áll a további felfedezésre, itt elérhető a hackereszközök nagyon átfogó listája.

Etikai csapkodási tippek

A tudás hatalom. És ez soha nem igazabb, mint az etikus hackelés területén.

1. Tanulja meg, hogyan kell szkriptet (vagy még jobb, ha kódolni)

A hatékony hackeléshez nem kell teljes mértékben képzett szoftverfejlesztőnek lennie, aki jól ismeri a C ++ szoftvert (bár ez nem árt!), De legalább meg kell értenie a kódolás alapjait és tudnia kell, hogyan kell kitörni egy bash szkriptet..

A fejlettebb szkriptnyelvek, például a Perl, a JavaScript, a Java és a Python ismerete határozott plusz.

2. Tudjon meg többet a TCP / IP hálózatról

A TCP / IP az olyan protokollok csoportja, amelyek mind az internetet, mind a helyi intranet alapját képezik. Ahhoz, hogy hatékony hacker legyen, részletesen meg kell értenie a hálózatépítés működését a gyengeségek azonosítása és kiaknázása érdekében.

3. Tanulja meg, hogyan kell használni a Linuxot

Mint már említettük, a Linux a hackerek elsődleges választott eszköze. Ez a bolygó legnépszerűbb szerver operációs rendszere. Ezért elengedhetetlen, hogy nagyon határozottan megértsd a Linux működését, amely jóval meghaladja a Firefoxot az Ubuntu GUI felületén.!

Meg kell értenie annak alapjául szolgáló architektúrát, és képesnek kell lennie a terminál minden rutinfeladatának végrehajtására GUI segítség nélkül.

4. Ismerje meg eszközét

Amint a fenti szoftver eszközlistából láthatjuk, a hackerek rendelkeznek néhány nagyon hatékony eszközzel. De csak azoknak a kezében vannak, akik tudják, hogyan kell használni őket. Tehát szánjon időt az eszközök megismerésére a kifelé.

5. Gondoljon a dobozon kívülre

A biztonsági szakemberek nagyon hosszúak ahhoz, hogy megakadályozzák a hackereket, hogy veszélyeztessék rendszerüket, és általában nagyon jók munkájukban. Tehát a sikeres hackelés gyakran magában foglalja valami olyan gondolkodását, ami korábban még senki másnak sem történt meg.

doboz és az ég

6. Végezze el kutatását

Mindent meg kell tanulnia a célrendszerről. A cél operációs rendszer erőteljes megértése jó hely a kezdéshez, amelyet részletes hálózati felmérés követ a célrendszer teljes körű feltérképezése érdekében a gyengeségek azonosítása érdekében..

7. Lengyelülje meg kommunikációs készségeit

A sztereotípiás forgatókönyv-gyereknek, aki a hálószobából távozik, lehet, hogy nincs sok szüksége a kommunikációs képességekre. De etikus hackereknek vagy vállalati behatolás-tesztelőknek egyértelműen közölni kell az eredményeket a hálózatvezetőkkel és a nem tech-hozzáértésű vállalati főnökökkel.

Jelenleg minden, amit megtalál, beleértve a képernyőképeket, a naplófájlokat és a személyes megjegyzéseket, itt mind segíthet.

8. Vegyen részt a hackelő közösségekben

A hasonló gondolkodású emberek közösségéhez való csatlakozás mindig a legjobb módja annak, hogy belemerüljön bármilyen témába, de az (etikus) hackerekkel foglalkozó közösségek különösen hasznosak, mivel tanácsadást és támogatást nyújthatnak, kérdéseket válaszolhatnak, vagy akár segíthetnek az ötletelés során felmerülő konkrét kihívásokon, amelyekkel szembesülhet..

Ezenkívül remek módja annak, hogy megismerjék a munkahelyeket és az egyéb etikai lehetőségeket a nehezen megkeresett hacker készségek bevételszerzéséhez. Néhány hacker közösség nagyon titokzatos és nehezen lehet tagja, de etikus hackerként valószínűleg el akarod kerülni ezeket.

A kiváló Hackaday fórumok már nem működnek, de az Evilzone, az r / netsec és a Hack this Site élénk és hasznos etikus hacker fórumokat tartalmaz..

Legyen képesített Hacker

Annak ellenére, hogy sok ember számára szürreális, ez ellenérzékenynek tűnhet, de most már megszerezhető a hackelés formai képesítése, amelyet a vállalati penetrációs tesztek és az informatikai biztonsági toborzók elismernek világszerte..

A Certified Ethical Hacker (CEH) a legismertebb, de a legszélesebb körű is. Az EC-Tanács kínálja, amely szintén fejlettebb akkreditációt nyújt a Certified Network Defense Architect (CNDA) formájában..

Ezt az amerikai kormányzati ügynökségek számára fejlesztették ki, az ANSI akkreditált, és része a GCHQ Certified Training (GCT).

Képhitelek: socrates471 / Shutterstock, Africa Studio / Shutterstock, dotshock / Shutterstock, xactive / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me