Как стать этичным хакером в 2021 году
Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.
Начну с того что понятие «этичный хакер» — для меня это что-то вроде слова «маркетолог». То есть в общем обо всем и ни о чем вообще. В хакинге как и во многих отраслях нужна специализация. Когда приходят какие то заказы на этичный взлом они, как правило приходят на команду, и в этой команде есть уже какая-то специализация.
Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов
Начну с того, что Хакинг делится на следующие области:
Web-Hacking — взлом сайтов и все что с этим связано
Network Hacking — взлом сетей и всего сетевого
OSINT — отдельное направление связанной с разведкой, но так или иначе Вам нужно в этом разбираться
Forensic — цифровая криминалистика, отлов хакеров преступников и прочих личностей
Anonimity — все что связано с анонимностью. Настройка безопасной машины, VPS, подмена ip и проч. Это скорее средство для работы в смежных областях нежели специальность. Обязательный и минимально необходимый скилл для Black Hat
Reverse Engineering — это разбор программ на 0 и 1 с целью попытаться как она работает, разобрать её, изменить и запустить заново на языке Assembler
Социальная инженерия — обман людей, проход на территорию противника обманным путем, психология, НЛП, разведка и все что с этим связано. Тесно интегрируется c OSINT. Обязательная ветка развития для Black Hat
Source code testing — динамический и статический анализ исходного кода. Это вы проверяете насколько все грамотно спрограммировано и выявляете потенциальные уязвимости
App pentest — тестирование Android и IOS приложений на проникновение. Также ваша отдельная ветка развития.
Wi-FI Hacking взлом беспроводных сетей
Coding — написание скриптов, программ для взлома. Это ветка развития программистов.
Я боюсь я перечислил здесь далеко не все, но со временем вы поймете какую ветку развития своего персонажа вы выберете и что Вам ближе. Но есть базовые скиллы с которых Вам нужно начать. Просто необходимо и которые нужно отработать в первую очередь.
Также для меня большим удивлением было когда я начал въезжать в тему что специалисты по информационной безопасности занимаются далеко не тестированием а по большому счету бумажной работой. Что отбило у меня интерес идти в классическую информационную безопасность, так как я не увидел там того хакинга в чистом виде которого я жаждал.
Linux. Базовое знание системы
Это прям MUST HAVE для всех. Нашему брату лучше сразу себе поставить Kali Linux или Parrot OS в качестве домашней системы -для быстрого въезжания в суть вопроса.
Канал на Youtube Кирилла Семаева — это первое что нужно начать изучать вместе с установкой Linux.
Командная строка Linux. Полное руководство | Шоттс Уильям — отличная книга чтобы начать изучать командную строку
Канал на Youtube PLAFON — канал про Linux Manjaro, но для базового понимания линукса я считаю один из лучших
Следующий пункт в нашем списке
Знание сетей, TCP/IP и модели OSI
Канал на Youtube Андрея Созыкина — лучший канал для въезжания в тему и понимания что происходит вообще
Сети для самых маленьких — это после изучения первого, параллельно читаем статью
Танненбаум «Компьютерные сети» — это классика, одна из лучших книг по сетям
Английский Язык
Без него на самом деле никуда. Огромное количество учебного материала, документации — все то на английском языке. Для изучения Английского языка мы поступаем следующим образом:
0 уровень — вообще никогда не учил, он мне никогда не давался, и вообще это не мое
1 уровень — учил в школе, что-то помню, не плохо вспомнить и подтянуть
Все это находится на канале Александра Бебриса — лучшего преподавателя английского языка в Ютубе на просторах Рунета
Языки программирования
Тут сложно что-то рекомендовать, но я все же порекомендую. Не знаете какой язык программирования учить — тупо учите Python! Python нужен во многих сферах хакинга, это универсальный язык и очень хороший язык для того чтобы начать.
Ресурсы по Python я приводить не буду их море, и это тема отдельной статьи
После освоения данного материала пора выбирать специализацию. На самом деле к моменту изучения всего этого вы уже найдете ресурсы для дальнейшего кача я все таки выложу лучшие ресурсы
Этичный Хакинг
Перевод курса «Секреты Хакеров» — очень мягкое и легкое погружение в тему. Как прогулка по парку
Перевод курса Ermin Kreponic от команды Codeby — отличное погружение в этичный хакинг, всего по чуть-чуть и вы уже в теме
За тобой не придут с болгаркой vol.1 и vol.2 — лучшие курсы по анонимности и безопасности в Рунете
Ютуб Канал VectorT13 — это все про анонимность и чтобы Вас не отследили. Также все очень грамотно и разжевано
Супер курс от HackerDom — супер курс для полных бананов, где все отлично разжевано и разложено по полочкам
Telegram канал Мифодия Келевры — выше сверху вы посмотрели курсы Мефодия, сразу же после этого следуйте в его канал
Авторский Telegram канал White2Hack — один из лучших телеграм каналов по хакингу с кучей ссылок и ресурсов
Ветка форума Codeby посвященная этичному хакингу — тут вы найдете огромное число ответов на огромное количество ваших вопросов
Телеграм канал Ralph Hacker — зарубежный ресурс и очень крутой
Телеграм канал S.E. Book — тут вообще есть все что нужно. Зайдете, поймете
Телеграм канал Geek Girl — тут постят просто какой-то нереальный жир в нереальном количестве. Но опять же знание языка необходимо
Лучшее видео этого года на тему хакинга. Must see всем начинающим и немного понимающим английский язык
Источник
Аудиокнига линукс глазами хакера
Хочется поблагодарить еще одного кота, который является ассистентом в пакете программ MS Office. Книгу я писал в MS Word, а ОС Linux работала в виртуальной машине, чтобы можно было делать снимки экрана. Если на меня «бросали» ребенка, то кот-ассистент помогал занять моего годовалого сына, выступая в роли няни. Я сажал сына Кирилла рядом, и он спокойно играл с котом на экране монитора, а я мог продолжать работать над книгой. Правда, иногда приходилось спасать кота и монитор, когда сын начинал маленькой ручонкой неуклюже гладить полюбившееся животное.
А самая большая благодарность — вам за то, что купили книгу, и моим постоянным читателям, с которыми я регулярно общаюсь на форуме сайта www.vr-online.ru. Последние работы основываются на их вопросах и предложениях. Если у вас появятся какие-то проблемы, то милости прошу на этот форум. Я постараюсь помочь по мере возможности и жду любых комментариев по поводу этой книги. Ваши замечания помогут мне сделать мою работу лучше.
Однажды я показывал администратору ОС Windows, как устанавливать и работать с Linux. Сам процесс инсталляции ему понравился, потому что в последних версиях он достаточно прост. Но когда мы установили и решили настроить Samba-сервер, последовала куча вопросов типа: «А зачем настраивать Samba?», «Почему нельзя получить доступ автоматически?» Администраторы Windows-систем ленивы и привыкли, что ОС сама делает за них все. что нужно, но когда их систему взламывают, начинают задавать вопросы: «А почему Microsoft не дала нам нужных инструментов, чтобы запретить определенные действия?».
Если смотреть на ОС Linux с точки зрения пользователя, то после установки системы уже ничего настраивать не надо. Можно сразу же приступать к работе с любыми офисными приложениями и пользовательскими утилитами. Но если речь идет о сетевых и серверных программах, то здесь уже требуются более сложные настройки, и ничего автоматически работать не будет. По умолчанию в системе практически все действия, которые могут привести к нежелательному результату или вторжению по сети, запрещены. Для изменения ограничений нужно настраивать конфигурационные файлы, редактировать которые крайне неудобно, или использовать специализированные утилиты, большинство из которых имеют интерфейс командной строки.
Из-за этих неудобств мой знакомый администратор Windows-систем сказал: «Linux придумали администраторы, которым нечего делать на работе, для того, чтобы играться с конфигурационными файлами». Через неделю этот же человек настраивал сервис IIS (Internet Information Services, информационные сервисы Интернета) на новом сервере с ОС Windows 2003. Он ругался теми же словами, потому что эта служба по умолчанию не устанавливается с ОС, и прежде чем начать работать, нужно ее подключить и четко прописать, что должно использоваться, а что нет.
Корпорация Microsoft начинала делать ОС по принципу «лишь бы было удобно», поэтому достаточно было подключить требуемые компоненты. Но теперь Windows становится с каждым годом все сложнее, большинство удобных функций, обеспечивающих защиту, просто отключаются, и при необходимости их приходится открывать. В Linux все было наоборот, эту ОС создавали с точки зрения «лишь бы было безопаснее», а теперь двигаются в сторону наращивания сервисов.
Удобства и безопасность — две стороны одной медали, поэтому производителю приходится чем-то жертвовать.
1.1. Атаки хакеров
Прежде чем знакомится с Linux и ее принципами безопасности, мы должны знать, как хакеры могут проникать в систему. Для того чтобы защитить систему, нужно иметь представление о возможных действиях злоумышленника. Давайте познакомимся с процессом взлома компьютера. Мы должны знать, о чем думают хакеры, чем они дышат и что едят ☺. Только так мы сможем построить неприступную информационную стену для сервера или сети.
Невозможно дать конкретные рецепты взломов. В каждом случае это процесс, который зависит от самой системы и настроек ее безопасности. Чаще всего взлом происходит через ошибки в каких-либо программах, а каждый администратор может использовать различный софт.
Почему количество атак с каждым годом только увеличивается? Раньше вся информация об уязвимостях хранилась на закрытых BBS (Bulletin Board System, электронная доска объявлений) и была доступна только избранным. К этой категории относились и хакеры. Именно они и совершали безнаказанные атаки, потому что уровень просвещенности и опытности таких людей был достаточно высок.
С другой стороны, элита хакерского мира состояла в основном из добропорядочных людей, для которых исследования в области безопасности не являлись целью разрушения.
В настоящее время информация об уязвимостях лежит на каждом углу и является достоянием общественности. Теперь взломом может заниматься кто угодно. Тут же хочется спросить борцов за свободу информации: «Как же так получилось?» Просто чрезмерная свобода в конце концов ведет к разрушению. Есть определенная категория людей, которых хлебом не корми, дай где-нибудь напакостить. Если человек, используя общедоступную информацию, поддастся этой слабости, то он превратится во взломщика.
Злоумышленники при проникновении в систему могут преследовать разные цели.
1. Утечка информации — вскрытие сервера для скачивания каких-либо секретных данных, которые не должны быть доступны широкой общественности. Такие взломы чаще всего направляют против компаний для кражи отчетности, исходных кодов программ, секретной документации и т.д., их выполняют профессиональные хакеры по заказу или для получения собственной выгоды.
2. Нарушение целостности — изменение или уничтожение данных на сервере. Такие действия могут производиться против любых серверов в сетях Интернет/интранет. В качестве взломщиков могут выступать не только профессионалы, но и любители или даже недовольные сотрудники фирм.
3. Отказ от обслуживания — атака на сервер с целью сделать его недосягаемым для остальных участников сети. Этим занимаются, в основном, любители, желая нанести вред.
4. Рабство — получило распространение в последнее время. Сервер захватывается для дальнейшего использования в нападении на другие серверы. Например, для осуществления атаки типа «Отказ от обслуживания» чаще всего нужны значительные ресурсы (мощный процессор и быстрый доступ в сеть), которые отсутствуют на домашнем компьютере. Для осуществления таких атак захватывается какой-либо слабо защищенный сервер в Интернете, обладающий необходимыми ресурсами, и используется в дальнейших взломах.
Атаки могут быть трех видов:
1. Внутренняя — взломщик получил физический доступ к интересующему его компьютеру. Защитить системный блок сервера от злоумышленника не так уж и сложно, потому что можно оградить доступ к серверу сейфом и поставить охрану.
2. Внешняя из глобальной сети — удаленный взлом через сеть. Именно этот вид атаки является самым сложным для защиты. Даже если поставить самый лучший сейф от удаленной атаки (Firewall) и постоянную охрану для наблюдения (программы мониторинга и журналирования), безопасность не может быть гарантированной. Примерами этого являются взломы самых защищаемых серверов в сети (yahoo.com, microsoft.com, серверы NASA и т.д.).
3. Внешняя из локальной сети — это проникновение, совершенное пользователем вашей сети. Да, хакеры бывают не только в Интернете, соседи по кабинету тоже могут пытаться взломать сервер или ваш компьютер ради шутки или с целью мести.
При построении обороны мы должны понимать, как хакеры атакуют компьютеры своих жертв. Только тогда можно предотвратить нежелательное вторжение и защитить систему. Давайте рассмотрим основные методы нападения, используемые хакером, и способы реализации. Для лучшего понимания процесса будем рассуждать так, как это делает взломщик.
Единственное, чего мы не будем затрагивать, так это вопросы социальной инженерии. Это тема отдельной книги и затрагивать ее не имеет смысла.
Источник
Linux глазами хакера, Фленов М.Е., 2019
К сожалению, на данный момент у нас невозможно бесплатно скачать полный вариант книги.
Но вы можете попробовать скачать полный вариант, купив у наших партнеров электронную книгу здесь, если она у них есть наличии в данный момент.
Также можно купить бумажную версию книги здесь.
Linux глазами хакера, Фленов М.Е., 2019.
Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описано базовое администрирование и управление доступом, настройка Firewall, файлообменный сервер, WEB, FTP и Proxy-сервера, программы для доставки электронной почты, службы DNS, а также политика мониторинга системы и архивирование данных. Приведены потенциальные уязвимости, даны рекомендации по предотвращению возможных атак и показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных. В пятом издании информация представлена на примерах двух популярных дистрибутивов: CentOS и Ubuntu. На сайте издательства размещены дополнительная документация и программы в исходных кодах.
Quality Source.
Мой взгляд на Linux может вам понравиться, а может и шокировать. Дело в том, что я не принадлежу к сторонникам или поклонникам Open Source, к которому относится Linux. Я отношу себя к сторонникам движения QualitySource (такого реально не существует, это я так его для себя называю), т. е. качественного кода. Мне все равно, какой это код — открытый или закрытый, главное, чтобы он был качественный. Если бы код ОС Windows был открытым, вы бы полезли его смотреть или изменять? Я бы нет, и большинство тоже.
Оглавление.
Предисловие.
Глава 1.Прежде чем начать.
Глава 2.Установка и начальная настройка Linux.
Глава 3.Добро пожаловать в Linux.
Глава 4.Управление доступом.
Глава 5.Администрирование.
Глава 6.В стиле Samba.
Глава 7.Веб-сервер.
Глава 8.Электронная почта.
Глава 9.Шлюз в Интернет
Глава 10.Передача файлов.
Глава 11.DNS-сepвep.
Глава 12.Мониторинг системы.
Глава 13.Резервное копирование н восстановление.
Глава 14.Советы на прощанье.
Приложение 1.Команды протокола FTP.
Приложение 2.Полезные программы.
Приложение 3.Интернет-ресурсы.
Приложение 4.Работа в командной строке.
Псевдонимы.
Перенаправление.
Запуск в фоне.
Последовательность команд.
Предметный указатель.
По кнопкам выше и ниже «Купить бумажную книгу» и по ссылке «Купить» можно купить эту книгу с доставкой по всей России и похожие книги по самой лучшей цене в бумажном виде на сайтах официальных интернет магазинов Лабиринт, Озон, Буквоед, Читай-город, Литрес, My-shop, Book24, Books.ru.
По кнопке «Купить и скачать электронную книгу» можно купить эту книгу в электронном виде в официальном интернет магазине «ЛитРес» , и потом ее скачать на сайте Литреса.
По кнопке «Найти похожие материалы на других сайтах» можно найти похожие материалы на других сайтах.
On the buttons above and below you can buy the book in official online stores Labirint, Ozon and others. Also you can search related and similar materials on other sites.
Источник
