Etickým hackingem se rozumí útočné testování počítačových systémů s cílem zjistit mezery v zabezpečení. Tyto mezery se nazývají bezpečnostní zranitelnosti. Je to velmi oblíbená profesní volba pro studenty všech oborů(mohou se ji snadno naučit i studenti jiných oborů než CS a být stejně dobří jako studenti CS, nebo dokonce lepší než oni).
Protože etický hacking spočívá v kompromitaci systémů, předpokládá znalost toho, jak tyto systémy skutečně fungují. Během procesu hackování(etického) se setkáte se sítěmi, síťovými zařízeními, síťovými protokoly, webovými stránkami, webovými technologiemi, mechanismy doručování obsahu a mnoha dalšími součástmi online infrastruktur. Znalost toho, co tyto součásti dělají a jak spolu fungují, je nezbytná. Pro začátek vám postačí znalost značkovacího jazyka webu (HTML), skriptovacího jazyka (JavaScript), jazyka pro přenos dat (XML nebo JSON), komponent webových systémů, znalost počítačových sítí a sady TCP/IP, znalost základů programování v jazycích C/C++/Java/Python.
Etické hackování se můžete efektivně naučit podle tohoto dvoufázového postupu. Prvním krokem by mělo být seznámení se s pojmy a jejich dobré pochopení. Na internetu je zdrojů pro učení k dispozici nepřeberné množství. Doporučujeme:
Doporučené knihy
1. Hacking pro hlupáky: Řada „for dummies“ nakladatelství Wiley se zaměřuje na vydávání knih pro začátečníky na různá témata. Tato kniha seznamuje uživatele s etickým hackingem prostřednictvím konceptů a nástrojů. Je velmi užitečná pro lidi, kteří se chtějí začít učit etickému hackingu, ale nemají příliš velké zkušenosti s programováním. Je však třeba si uvědomit, že být elitním hackerem je téměř nemožné bez toho, abyste se naučili programovat.
2. CEHv10 Study Guide by SYBEX: Tato kniha je zaměřena na pomoc při přípravě na CEH(Certified Ethical Hacker), populární certifikační kurz v oblasti etického hackingu. Vysvětluje metodiku etického hackingu a jeho fáze. Každá fáze etického hackingu je dobře vysvětlena s podrobným popisem pojmů a praxí na nástrojích.
3. Hacking, The Art of Exploitation :Tato kniha je v komunitě white hat hackerů již dlouhou dobu velmi populární. Pravděpodobně kvůli obsahu, který pokrývá, a hloubce, do které jde. Dobré na této knize je, že i když jste začátečník s naprosto nulovými znalostmi o programování a sítích, můžete z ní mít obrovský užitek. Kniha se zabývá základy programování v jazyce C, skriptováním pomocí Bash, základy správy paměti v počítačích, souborovými systémy, zranitelnostmi založenými na přetečení a jejich zneužitím, základy sítí, útoky na sítě, psaním shellového kódu a kryptologií.
Populární online kurzy
1. Udemy: Tyto kurzy etického hackingu v oblasti kybernetické bezpečnosti již absolvovalo mnoho lidí a jejich hodnocení je poměrně dobré, takže předpokládáme, že budou pro vaše sebevzdělávání opravdu užitečné.
- Učte se etickému hackingu od nuly
- Kompletní kurz etického hackingu: Od začátečníka po pokročilého!
- Hacking v praxi: Certified Ethical Hacking MEGA Course
- Ethical Hacking with Hardware Gadgets
- CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam
2: PentesterLab je užitečný jak pro začátečníky, tak pro pokročilé. Jejich výukové programy a laboratoře určené pro začátečníky pocházejí od velmi úspěšných etických hackerů a lovců chyb a jsou známí také jako instruktoři a mentoři.
3. Pentester Academy: Pentester Academy je vzdělávací platforma pro začátečníky i zkušené hackery. Mají kurzy a online laboratoře pro hlavní zranitelnosti. Pentester Lab má také kurzy programování, forenzní analýzy, VoIP, DevOps Security, Red/Blue team atd.
Kanály na YouTube
1. JackkTutorials: Poskytuje praktické úvodní tutoriály k téměř všem důležitým konceptům, nástrojům a dovednostem souvisejícím s etickým hackingem.
2. Thenewboston: Tento kanál se zabývá nejen základy praktického etického hackingu, ale poskytuje také výukové kurzy programování, vývoje aplikací, grafického designu, chemie, databází, střihu videa atd.
3: Hackersploit je velmi populární mezi začátečníky v oblasti odměn za chyby. Obsahuje návody na penetrační testování, CTF walkthroughs, tipy pro Bug bounty hunting, návody na programování, návody na analýzu malwaru, návody na steganografii atd.
LiveOverflow, Nahamsec, Bugcrowd a HackerOne jsou také velmi dobré a stojí za vyzkoušení.
Webové stránky a blogy
Tyto webové stránky jsou užitečné pro sledování nejnovějších poznatků, pro získání rychlých odkazů, pro pochopení pokročilých konceptů a další.
1. Blog PortSwigger: Dafydd Stuttart je v hackerské komunitě známý jako portswigger. Je spolutvůrcem nástroje BurpSuite. Jeho blog obsahuje novinky o nejnovějších zranitelnostech webových aplikací, nové funkce BurpSuite, tipy, jak BurpSuite dobře používat, a jeho vlastní zjištění jako lovce chyb.
2. TheHackerNews: Speciální platforma pro nejnovější zprávy související s kybernetickou bezpečností. The Hacker News poskytuje podrobné informace o nejnovějších zranitelnostech, novinkách v oblasti kybernetické bezpečnosti, novinkách souvisejících s kybernetickou kriminalitou, úniky dat, hacktivismem atd.
3. HackerOne Hactivity(hlášení odhalených zranitelností): HackerOne je platforma pro hlášení odměn za chyby. Programy odměn za chyby mohou umožnit zveřejnění hlášení o zranitelnosti po jejím vyřešení. Tyto zprávy lze využít k pochopení toho, jak hledat zranitelnosti na cíli, jak provádět průzkum, jak přistupovat k zajímavým koncovým bodům, jak zneužít zranitelnost pro maximální dopad a jaký druh zranitelností se běžně vyskytuje na určitém typu cíle.
Druhým krokem je praxe: Cvičení je velmi důležité, protože vám pomůže osvojit si naučené koncepty. Pomůže vám také získat důvěru ve své dovednosti. Záměrně zranitelné virtuální systémy a CTF jsou nejlepším způsobem procvičování. bWApp, DVWA(Damn Vulnerable Web Application), Metasploitable jsou jedny z nejlepších zranitelných virtuálních systémů. Organizace OWASP sestavila index zranitelných virtuálních počítačů, který je k dispozici zde
Také se podívejte na článek Top 5 míst k procvičování etického hackingu
