해킹과 그것을 수행하는 신비한 인물은 거의 같은 수준으로 악마 화되고 신화화되었습니다..

해킹이라는 용어는 원래 설계된 용도로 장비 나 프로세스를 무해하게 수정 또는 변경하거나 컴퓨터 나 네트워크에 대한 무단 침입을 의미 할 수 있습니다.이 기사에서 설명합니다. 많은 해커가 범죄 동기를 위해하는 일을하는 반면, 다른 해커는 해킹 기술을 연마하고 양성하여 때로는 고귀한 목적으로 사용하기도합니다. 이 기사가 도움이 될 사람들입니다..

윤리적 해킹이란 무엇인가?

윤리적 해킹은 단순히 보수가 좋은 존경받는 직업의 디딤돌입니다. 시스템 보안 전문가와 침투 테스터를 모집하는 사람들이 찾은 기술 세트는 재능있는 해커가 이미 보유한 기술 세트와 동일합니다..

결과적으로 기업은 해커 커뮤니티에서 많은 사람을 모집하고 인터넷에 연결된 모든 어린이는 침실에서 해킹하는 법을 배울 수 있습니다.

다른 사람들에게 윤리적 해킹은 정치적 행동주의 나 핵티비즘의 한 형태입니다. 항상 그렇듯이 한 사람의 자유 전투기는 다른 사람의 테러리스트입니다..


어떤 사람들은 해킹의 도전을 좋아하지만 자신의 기술을 잘 활용하기를 원합니다..

윤리적 해킹을 시작하려는 이유가 무엇이든,이 기사는 시작하는 방법에 대한 실질적인 조언을 제공하는 것을 목표로합니다. 윤리적 해킹은 종종 침투 테스트 (pentesting)라고하며, 두 용어는 약간 다른 의미를 갖지만.

윤리적 해킹은 해커의 일회용 도구에서 모든 도구를 사용하는 것과 관련이 있으며, Pentesting은 실제로는 대상 시스템이나 대상 시스템을 악용하지 않고 대상 환경의 취약점을 발견하는 데 중점을 둔보다 구체적인 용어입니다..

핵심 해킹 기술

철저하지는 않지만 다음 목록은 해커가 사용하는 주요 기술 중 일부 (윤리적 또는 기타)를 강조합니다..

  • 비밀번호 크래킹 : 무차별 대입 (비밀번호를 추측 할 때까지 추측), 사회 공학, 사이버 스토킹 (타겟의 소셜 미디어 계정에 따라 비밀번호에 대한 힌트를 얻기 위해) 또는 기타 수단.
  • 패킷 스니핑 : WiFi 또는 이더넷 데이터 패킷을 가로 채서 전송 된 데이터 (특히 비밀번호 포함)를 분석 할 수 있습니다..
  • 취약점 검색 : 컴퓨터 또는 네트워크의 약점 평가. 가장 단순하고 가장 일반적인 취약성 검색 형식은 열린 포트에 대한 포트 검색입니다..
  • 바이러스 : 대상 시스템을 손상시키는 가장 효과적인 방법 중 하나는 바이러스 (해커에게 "페이로드"라고 함)를 도입하는 것입니다. 무고한 이메일이나 문서에 숨겨진 페이로드를 통해 더 많은 방법으로 물리적으로 (예를 들어 USB 스틱 사용) 수행 할 수 있습니다..
  • 루트킷 : 불법적 인 관리자 (루트)가 컴퓨터에 액세스 할 수있는 소프트웨어입니다. 루트킷은 일반적으로 비밀리에 작동하므로 인증 된 사용자가 자신의 존재를 알지 못합니다.
  • 트로이 목마 : 다른 (양성) 프로그램으로 보이지만 시스템에 대한 백도어 액세스를 허용하는 프로그램입니다. 트로이 목마는 피해자의 존재에 대해 경고하는 것을 피하기 위해 합법적 인 프로그램에 종종 연결됩니다..
  • 사회 공학 : 기밀 정보 (예 : 비밀번호)를 공개하거나 대상 컴퓨터 또는 시스템에 물리적으로 액세스 할 수 있도록 사람들을 조작.
  • 키 로깅 : 대상 컴퓨터의 사용자가 누른 키를 레코딩합니다. 물론 암호를 포함 할 수 있습니다. 과거에는 일반적으로 대상 시스템에 키로거 소프트웨어를 도입하여 키 로깅을 수행했지만 안전하지 않은 무선 키보드의 인기로 인해 무선 키보드 스니핑이 점점 더 효과적인 전술이되었습니다..

바스티유 키스 니퍼

바스티유 키스 니퍼 바스티유 키스 니퍼

기어

명백한 내용 일 수도 있지만 컴퓨터와 인터넷 연결 없이는 윤리적 인 해킹 경력이 그리 멀지 않을 것입니다. 그 외에도 심각한 해커 나 사이버 보안 전문가가 사용할 수있는 수많은 장치가 있습니다..

그러나 막 시작한 경우 다음 장비가 매우 중요합니다.

1. 칼리 리눅스

많은 해킹 프로젝트에 Windows 또는 macOS를 사용할 수 있습니다. 지옥, 아마도 안드로이드 폰에서 해킹을 관리 할 수 ​​있습니다 (iPhone에서는 덜). 그러나 심각한 해커는 Linux를 사용합니다. 요즘 해커의 리눅스 배포판은 칼리입니다..

칼리 리눅스 맥 OS

Mr. Robot TV show에서 데비안 기반의 Kali를 눈에 띄게 사용하는 것은 부분적으로 인기가 있지만,이 인기 덕분에 600 개가 넘는 침투 테스트 도구가 기본적으로 설치된 강력한 해킹 도구로 발전했습니다..

발가락을 윤리적 해킹에만 담 그려면 가상 머신 내에서 Kali를 실행하기 위해 맞춤형 VitualBox 및 VMware 이미지를 사용할 수 있습니다. 또한 Nexus 및 One Plus 기기에서 Android를 대체하는 Kali Linux NetHunter.

Kali는 일종의 기본 "해커 OS"가되었지만 각각의 강점과 약점이있는 다른 좋은 대안이 많이 있습니다. 여기에는 Blackbox, Parrot Security OS, Live Hacking OS, DEFT Linux 등이 포함됩니다..

그러나 모든 Linux 해킹 배포판의 한 가지 문제는 모든 곳에서 Linux 사용자를 괴롭히는 문제입니다. 하드웨어에 대한 드라이버 지원 부족입니다. 상황이 개선되고 있지만 Kali 등의 사용자가 하드웨어를 신중하게 선택해야 함을 의미합니다..

2. VPN 또는 Tor 연결

인터넷에서 장난이 될 경우 (제발 : 윤리적 해킹에 관한 기사임을 기억하십시오) 대상에서 자신의 정체성을 숨기는 것이 중요합니다.

로그가없는 VPN은 인터넷 경험에 눈에 띄는 영향을주지 않으면 서 대부분의 윤리적 운영에 충분한 개인 정보를 제공합니다. 매우 범죄적인 일을하고 있거나 강력한 인물이나 조직이 실제로 당신을 화나게 할 경우 Tor는 진정한 익명 성을 달성하는 가장 좋은 방법입니다..

3. 모니터 모드 및 무선 주입을 지원하는 WiFi 어댑터

꼭 필요한 것은 아니지만 컴퓨터 이외의 다른 하드웨어 쇼핑 목록에서 모니터 모드 및 무선 주입을 지원하는 WiFi 어댑터가 있어야합니다..

모니터 모드를 지원하는 WiFi 어댑터

Aircrack-NG와 같은 올바른 소프트웨어 도구를 사용하면 이러한 편리한 장치는 WEP 및 WPA2 연결을 해독하여 WiFi 네트워크를 통해 전송 된 데이터를 가로 채거나 수정할 수 있습니다.

온라인에서 "Kali WiFi adapter"를 검색하면 이러한 기능을 충분히 이용할 수 있습니다. 믿을 수있는 오래된 제품 Alfa AWHUS036NH 또는 최신 AC 가능 Alfa AWUS036ACH와 같은 Alpha 모델은 항상 확실한 권장 사항을 제공합니다..

또는 WiFi 파인애플과 같은 고급 WiFi 펜 테스팅 도구는 오른손에 매우 강력합니다..

4. 당신이 감당할 수있는 가장 강력한 그래픽 카드

GPU는 크 런칭 숫자가 뛰어 나기 때문에 cryptocurrency 마이닝 장비를 만들 때 매우 중요합니다. 또한 Hashcat과 같은 도구를 사용하여 무차별 암호를 만드는 데 효과적입니다..

강력한 그래픽 카드

기록 당시 NVidia GTX 1070 그래픽 카드 제품군은 윤리적 해커를 막아내는 데 큰 도움이되며, 화상을 입는 사람들은 Nvidia RTX 2080 Ti 카드 뱅크를 사용하여 멋진 암호 해독 장비를 구축 할 수 있습니다!

5. 노동자 작업 바지, 가짜 콧수염, 자물쇠 선택 및 배지 만들기 기계

많은 사람들의 상상에서 해킹은 순전히 대뇌 첨단 기술 활동입니다. 그러나 가장 효과적인 해킹 기술은 훨씬 더 많은 지상 접근 방식이 필요합니다..

대상의 휴지통을 검색하는 것은 귀중한 암호를 찾거나 최소한 그 암호가 무엇인지 알 수있는 검증 된 방법입니다. 마찬가지로, 사무실 환경에 대한 불법 액세스는 화이트 보드 또는 포스트잇 메모에 기록 된 암호 및 기타 중요한 정보를 직원 컴퓨터 화면에 부주의하게 붙여 넣는 좋은 방법입니다..

컴퓨터를보고 청소기

실제로 대상 PC에 키로거 소프트웨어 설치, 대상 조직의 로컬 네트워크에 LAN Turtle 또는 Packet Squirrel 소개 또는 강력한 USB 도구 (예 : USB 고무) 연결과 같은 첨단 침입 방지 기술을 배포하는 경우에도 Ducky 또는 Bash Bunny)를 대상 컴퓨터에 삽입하면 대상 컴퓨터 또는 네트워크에 물리적으로 액세스해야합니다..

그리고 종종 이런 종류의 무단 액세스를 얻는 유일한 방법은 구식의 물리적 비명을 사용하는 것입니다. 그러나 윤리적 해커는 법의 오른쪽에 머물러 있어야합니다 (또는 최소한 경계를 넘을 수있는 강력하고 윤리적 인 이유가 있음)..

6. 가상 서버 공간

요즘 가상 사설 서버 (VPS)를 임대하는 데는 비용이 많이 들지만 VPS는 윤리적 해커의 무기고에 필수적인 도구입니다. VPS를 사용하여 피싱 또는 Tor 숨겨진 서비스 (.onion) 웹 사이트를 호스팅 할 수 있습니다. VPS는 또한 Nmap 스크립트 및 페이로드를 호스팅하거나 개인 VPN 서버 또는 Metaspoilt Pentesting 세션을위한 거부 가능한 플랫폼으로 작동 할 수 있습니다.

가상 서버

이상적으로는 개인 정보를 제공하지 않고 가입하고 익명으로 지불 할 수있는 VPS 호스팅 서비스를 사용해야합니다 (예 : 적절히 혼합 된 비트 코인 사용). 이들은 보통 일반 VPS 서비스보다 비싸지 만 윤리적 해커조차도 가능한 한 많은 거부 가능성이 필요합니다.

소프트웨어 툴

앞서 언급했듯이 Kali Linux에는 600 개 이상의 해킹 및 펜 테스팅 도구가 사전 설치되어 있습니다. 그들 (그리고 다른 사람들)은 모두 그들의 사용법을 가지고 있지만, 당신이 숙지해야 할 가장 중요한 것들 중 일부는 다음과 같습니다.

메타 스플로 잇

고유 한 익스플로잇 코드를 개발하고 원격 대상 시스템에 대해이를 실행하기위한 프레임 워크를 제공하는 유틸리티 모음입니다. 강력한 해킹 도구 인 Metasploit은 시스템의 취약점을 식별하기 위해 실제 공격을 시뮬레이트 할 수 있기 때문에 기업의 테스터에게도 귀중한 도구입니다..

메타 스플 로이트

트림 스위트

웹 애플리케이션 보안 테스트를위한 GUI 도구. 기업 펜 테스터들에게도 잘 사용되는 Burp Suite는 해커가 맞춤형 페이로드를 자동화하고 특정 요청을 수정할 수 있도록합니다. 또한 서버로 전송 된 요청을 사용자에게 제어 할 수있는 차단 프록시 역할을 할 수 있습니다.

트림 스위트

해시 캣 / ocl

무차별 암호를위한 암호 해독 도구입니다. Hashcat은 CPU를 사용하여 거친 작업을 수행하는 반면 oclHashcat은 처리를 그래픽 카드로 오프로드합니다. 연속 무차별 강제 외에도 사전 공격, 하이브리드 공격, 규칙 기반 공격 등을 수행 할 수 있습니다..

비밀번호 크래킹의 모든 무차별 강제 방법과 마찬가지로 실행 가능성은 사용자가 선택한 비밀번호의 강도에 달려 있습니다..

비밀번호 크래킹 도구

John the Ripper는 Hashcat에 대한 인기있는 CPU 기반 대안이며, Cain과 매우 유연한 Able은 종종 Windows 사용자가 선호합니다..

Nmap

네트워크 정찰 및 보안 감사에 널리 사용되는 네트워크 및 포트 검색 도구입니다. 취약성을 위해 네트워크를 조사하는 데 유용한 도구 모음을 제공하지만 실제로는 서비스 감지, 취약성 감지 등과 같은 고급 기능을 제공하는 스크립트를 사용하여 자체적으로 제공됩니다..

nmap

Wireshark는 모든 네트워크 엔지니어가 선택한 네트워크 패킷 분석기입니다. 수동적 인 도구만으로 액티브 해킹에 직접적으로 유용하지는 않지만 많은 해커는 WiFi 정찰을 수행하기 위해 그 도구를 맹세합니다..

Aircrack-ng

이 도구는 WiFi 네트워크 해킹에 대한 훨씬 사전 예방적인 접근 방식을 제공합니다. WEP 및 WPA / WPA2 트래픽을 가로 채서 크래킹 할 수있는 패킷 스니퍼입니다. 이를 최대한 활용하려면 모니터 모드 및 무선 주입을 지원하는 WiFi 어댑터가 필요합니다.

에어 크랙

Aircrack-ng는 일반 암호 크래커로도 효과적입니다. Linux 응용 프로그램 (물론 Kali 포함)은 명령 줄 전용이지만 Windows 용 GUI 버전 (위 그림 참조)을 사용할 수 있습니다.

사회 엔지니어 툴킷 (SET)

이 특이한 프로그램은 많은 해킹 기술의 인간 측면을 다루기 때문에 펜 테스터에게 매우 유용한 도구입니다. Social-Engineer Toolkit은 스피어 피싱 공격, 자격 증명 수집 등을 포함한 다양한 사회 공학 공격을 시뮬레이션 할 수 있습니다..

사회 공학 도구 키트

Mr. Robot Elliot에서 SET을 사용하여 SMS 스푸핑 공격 수행.

이 뛰어난 해킹 및 펜 테스팅 소프트웨어 도구는 물론 매우 큰 빙산의 일각에 불과합니다. 더 자세히 살펴볼 준비가되면 매우 포괄적 인 해킹 도구 목록이 제공됩니다..

윤리적 해킹 팁

아는 것이 힘이다. 그리고 이것은 윤리적 해킹 분야보다 결코 사실이 아닙니다..

1. 스크립팅 (또는 더 나은 코드) 방법 알아보기

효과적으로 해킹하기 위해 C ++에 능숙한 정규화 된 소프트웨어 개발자 일 필요는 없지만 (아프지는 않지만) 코딩의 기본 사항을 이해하고 bash 스크립트를 작성하는 방법을 알아야합니다..

Perl, JavaScript, Java 및 Python과 같은 고급 스크립팅 언어에 대한 지식은 확실한 장점입니다..

2. TCP / IP 네트워킹에 대해 배우십시오

TCP / IP는 인터넷과 로컬 인트라넷을 모두 지원하는 프로토콜 그룹입니다. 효과적인 해커가 되려면 약점을 식별하고 악용하기 위해 네트워킹의 작동 방식에 대한 자세한 이해가 필요합니다.

3. 리눅스 사용법 배우기

이미 언급했듯이 Linux는 해커의 주요 선택 도구입니다. 또한 지구상에서 가장 인기있는 서버 OS입니다. 따라서 우분투의 GUI 인터페이스에서 파이어 폭스를 실행할 수없는 리눅스의 작동 방식을 확실히 파악하는 것이 중요합니다.!

기본 아키텍처를 이해하고 GUI 지원없이 터미널에서 모든 일상적인 작업을 수행 할 수 있어야합니다.

4. 당신의 도구를 알고

위의 소프트웨어 도구 목록에서 볼 수 있듯이 해커는 매우 강력한 도구를 사용할 수 있습니다. 그러나 그것들은 사용법을 아는 사람들의 손에 의해서만 강력합니다. 따라서 도구를 알아내는 데 필요한 시간을 내십시오.

5. 상자 밖에서 생각하십시오

보안 전문가는 해커가 시스템을 손상시키지 않도록 많은 노력을 기울이고 있으며 일반적으로 업무에 능숙합니다. 따라서 성공적인 해킹은 종종 이전에는 다른 사람에게 발생하지 않은 것을 생각하는 것과 관련이 있습니다..

상자와 하늘

6. 당신의 연구를

대상 시스템에 대해 가능한 모든 것을 배워야합니다. 대상 OS에 대한 강력한 이해는 시작하기에 좋은 장소이며, 세부적인 네트워크 정찰로 약점을 식별하기 위해 대상 시스템을 완전히 매핑합니다..

7. 의사 소통 기술 연마

침실 밖에서 일하는 틀에 박힌 대본 아동은 의사 소통 기술이 많이 필요하지 않을 수도 있습니다. 그러나 윤리적 해커 또는 기업 침투 테스터로서 조사 결과를 네트워크 관리자 및 기술에 정통하지 않은 회사 상사에게 명확하게 전달해야합니다..

스크린 샷, 로그 파일 및 개인 메모를 포함하여 찾은 모든 내용을 메모하면 여기에서 모두 도움이 될 수 있습니다..

8. 해킹 커뮤니티에 참여

같은 생각을 가진 사람들의 커뮤니티에 참여하는 것이 항상 어떤 주제 에든 몰입 할 수있는 가장 좋은 방법이지만 (윤리적) 해커 커뮤니티는 조언과 지원을 제공하거나 질문에 대답하거나 특정 문제에 대해 브레인 스토밍 할 수 있기 때문에 특히 유용합니다.

또한 어려운 해커 기술로 수익을 창출 할 수있는 직업 및 기타 윤리적 기회를 찾을 수있는 좋은 방법입니다. 일부 해커 커뮤니티는 매우 비밀스럽고 회원이되기가 어렵지만 윤리적 인 해커는 이러한 것을 피하고 싶을 것입니다.

훌륭한 Hackaday 포럼은 소멸되었지만 Evilzone, r / netsec 및이 사이트 해킹은 활기차고 유용한 윤리적 해커 포럼을 호스팅합니다..

자격을 갖춘 해커가 되십시오

많은 사람들에게 초현실적 인 시점에 반 직관적 인 것처럼 보일 수 있지만 이제는 전 세계 기업 침투 테스트 및 IT 보안 모집 담당자가 인정하는 해킹에 대한 공식 자격을 얻을 수 있습니다.

CEH (Certified Ethical Hacker)는 가장 널리 인정 받지만 가장 널리 인정되는 자격입니다. EC-Council에서 제공하며, CNDA (Certified Network Defense Architect) 형식으로 고급 인증을 제공합니다..

이것은 미국 정부 기관을 위해 설계되었으며 ANSI 인증을 받았으며 GCHQ 인증 교육 (GCT)의 일부입니다..

이미지 크레디트 : socrates471 / Shutterstock, Africa Studio / Shutterstock, dotshock / Shutterstock, xactive / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me