Eettisellä hakkeroinnilla tarkoitetaan tietokonejärjestelmien hyökkäävää testaamista tietoturvaan liittyvien porsaanreikien löytämiseksi. Näitä porsaanreikiä kutsutaan tietoturvahaavoittuvuuksiksi. Se on ollut erittäin suosittu uravalinta kaikentasoisille opiskelijoille(myös muut kuin CS-opiskelijat voivat oppia sitä helposti ja olla yhtä hyviä kuin CS-opiskelijat tai jopa parempia kuin he).
Sen vuoksi, että eettisessä hakkeroinnissa on kyse järjestelmien vaarantamisesta, se edellyttää perehtyneisyyttä siihen, miten kyseiset järjestelmät todella toimivat. (Eettisen) hakkerointiprosessin aikana törmäät verkkoihin, verkkolaitteisiin, verkkoprotokolliin, verkkosivustoihin, verkkoteknologioihin, sisällönjakelumekanismeihin ja moniin muihin verkkoinfrastruktuurien komponentteihin. On olennaista tuntea, mitä nämä komponentit tekevät ja miten ne toimivat yhdessä. Verkon merkintäkielen (HTML), komentosarjakielen (JavaScript), tiedonsiirtokielen (XML tai JSON), verkkopohjaisen järjestelmän komponenttien, tietoverkkojen ja TCP/IP-paketin tuntemus sekä C/C++/Java/Python-ohjelmoinnin perustiedot riittävät alkuun.
Voit oppia eettistä hakkerointia tehokkaasti noudattamalla tätä kaksivaiheista prosessia. Ensimmäinen askel olisi tutustua käsitteisiin ja ymmärtää ne hyvin. Internetissä resursseja oppimiseen on tarjolla runsaasti. Suosittelemme:
Suositeltavat kirjat
1. Hacking for Dummies: Wileyn ”for dummies” -sarja keskittyy julkaisemaan aloittelijoille sopivia kirjoja eri aiheista. Tässä kirjassa tutustutaan eettiseen hakkerointiin käsitteiden ja työkalujen avulla. Se on erittäin hyödyllinen henkilöille, jotka haluavat aloittaa eettisen hakkeroinnin opettelun, mutta eivät tunne ohjelmointia kovin hyvin. On kuitenkin ymmärrettävä, että eliittihakkeri on lähes mahdotonta olla ilman ohjelmoinnin opettelua.
2. CEHv10 Study Guide by SYBEX: Tämä kirja on tarkoitettu auttamaan valmistautumista CEH(Certified Ethical Hacker) -tutkintoon, joka on suosittu eettisen hakkeroinnin sertifiointikurssi. Siinä selitetään eettisen hakkeroinnin metodologia ja sen vaiheet. Jokainen eettisen hakkeroinnin vaihe selitetään hyvin käsitteiden yksityiskohtien ja työkalujen harjoittelun avulla.
3. Hacking, The Art of Exploitation :Tämä kirja on ollut hyvin suosittu valkoisen hatun hakkereiden yhteisössä jo pitkään. Luultavasti sen kattaman sisällön ja syvällisyyden vuoksi. Hyvä puoli tässä kirjassa on se, että vaikka olisit noviisi, jolla ei ole lainkaan tietoa ohjelmoinnista ja verkoista, voit silti hyötyä siitä valtavasti. Kirja käsittelee perusohjelmointia C:llä, skriptausta Bashilla, tietokoneiden muistinhallinnan perusteita, tiedostojärjestelmiä, ylivuotoon perustuvia haavoittuvuuksia ja niiden hyväksikäyttöä, perusverkkotyöskentelyä, verkkohyökkäyksiä, shell-koodin kirjoittamista ja kryptologiaa.
Suosittuja verkkokursseja
1. Udemy: Nämä kyberturvallisuuden eettisen hakkeroinnin kurssit ovat jo ottaneet monet ihmiset ja niiden luokitus on melko hyvä, joten oletamme, että nämä ovat todella hyödyllisiä itseopiskelussa.
- Opi eettinen hakkerointi alusta alkaen
- The Complete Ethical Hacking Course: Beginner to Advanced!
- Hakkerointi käytännössä: Certified Ethical Hacking MEGA Course
- Ethical Hacking with Hardware Gadgets
- CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam
2. PentesterLab: PentesterLab on hyödyllinen aloittelijoille ja edistyneille oppijoille yhtä lailla. Heidän aloittelijaystävälliset opetusohjelmat ja laboratoriot ovat erittäin menestyneiden eettisten hakkerien ja bug bounty hunters -metsästäjien tekemiä, ja he ovat myös tunnettuja ohjaajina ja mentoreina.
3. Pentester Academy: Pentester Academy on oppimisalusta sekä aloittelijoille että kokeneille hakkereille. Heillä on kursseja ja verkkolaboratorioita tärkeimmistä haavoittuvuuksista. Pentester Labissa on myös kursseja ohjelmoinnista, rikostekniikasta, VoIP:stä, DevOps-turvasta, Red/Blue-tiimistä jne.
1. JackkTutorials: Tarjoaa käytännönläheisiä perehdytysoppaita lähes kaikkiin tärkeisiin eettiseen hakkerointiin liittyviin käsitteisiin, työkaluihin ja taitoihin.
2. Thenewboston: Tämä kanava ei ainoastaan käsittele käytännön eettisen hakkeroinnin perusteita, vaan tarjoaa myös opetusohjelmia ohjelmoinnista, sovelluskehityksestä, graafisesta suunnittelusta, kemiasta, tietokannoista, videoeditoinnista jne.
3. HackerSploit: Hackersploit on erittäin suosittu bugipalkkion aloittelijoiden keskuudessa. Sillä on tunkeutumistestausoppaita, CTF-läpikäyntioppaita, vinkkejä bug bounty -metsästykseen, ohjelmointioppaita, haittaohjelmien analysointioppaita, steganografiaoppaita jne.
LiveOverflow, Nahamsec, Bugcrowd ja HackerOne ovat myös erittäin hyviä ja tutustumisen arvoisia.
Web-sivustot ja blogit
Nämä sivustot ovat hyödyllisiä, kun haluat pysyä ajan tasalla uusimmista havainnoista, saada pikaviitteitä, ymmärtää edistyneempiä käsitteitä ja paljon muuta.
1. PortSwiggerin blogi: Dafydd Stuttart tunnetaan hakkeriyhteisössä nimellä portswigger. Hän on yksi BurpSuite-työkalun luojista. Hänen blogissaan on uutisia uusimmista verkkosovellusten haavoittuvuuksista, BurpSuiten uusista ominaisuuksista, vinkkejä BurpSuiten hyvään käyttöön sekä hänen omia havaintojaan bugien palkkionmetsästäjänä.
2. TheHackerNews: Oma foorumi uusimmille kyberturvallisuuteen liittyville uutisille. The Hacker News tarjoaa yksityiskohtaista tietoa uusimmista haavoittuvuuksista, kyberturvallisuuden alan uusista kehityskuluista, kyberrikoksiin, tietomurtoihin, hacktivismiin jne. liittyvistä uutisista.
3. HackerOne Hactivity(disclosed vulnerability reports): HackerOne on bug bounty -alusta. Bug bounty -ohjelmat voivat sallia haavoittuvuusraportin julkistamisen sen jälkeen, kun se on ratkaistu. Näitä raportteja voidaan käyttää ymmärtämään, miten etsiä haavoittuvuuksia kohteesta, miten suorittaa tiedustelua, miten lähestyä kiinnostavia päätepisteitä, miten hyödyntää haavoittuvuutta mahdollisimman suuren vaikutuksen aikaansaamiseksi ja millaisia haavoittuvuuksia esiintyy yleisesti tietyntyyppisissä kohteissa.
Kakkosvaihe on harjoittelu: Harjoittelu on erittäin tärkeää, koska se auttaa sinua omaksumaan oppimasi käsitteet. Se auttaa sinua myös saamaan luottamusta taitoihisi. Tarkoituksellisesti haavoittuvat virtuaalijärjestelmät ja CTF:t ovat paras tapa harjoitella. bWApp, DVWA(Damn Vulnerable Web Application), Metasploitable ovat parhaita haavoittuvia VM:iä. OWASP on laatinut haavoittuvien virtuaalikoneiden indeksin, johon pääsee tästä
Katso myös Top 5 paikkaa, joissa voi harjoitella eettistä hakkerointia