L’hacking etico si riferisce al test offensivo dei sistemi informatici al fine di trovare le falle nella sicurezza. Queste falle sono chiamate vulnerabilità di sicurezza. È stata una scelta di carriera molto popolare per gli studenti di tutti i background (anche gli studenti non CS possono impararlo facilmente ed essere ugualmente bravi come gli studenti CS, o anche meglio di loro).
Siccome l’hacking etico riguarda la compromissione dei sistemi, presuppone la familiarità con come questi sistemi effettivamente funzionano. Durante il vostro processo di hacking (etico), vi imbatterete in reti, dispositivi di rete, protocolli di rete, siti web, tecnologie web, meccanismi di consegna dei contenuti, e molti altri componenti delle infrastrutture online. Essere a proprio agio con ciò che questi componenti fanno e come lavorano insieme è essenziale. La conoscenza del linguaggio di markup del web (HTML) un linguaggio di scripting (JavaScript) un linguaggio di trasferimento dati (XML o JSON), i componenti di un sistema basato sul web, la conoscenza delle reti di computer e della suite TCP/IP, la conoscenza della programmazione di base in C/C++/Java/Python è abbastanza buona per iniziare.
Puoi imparare l’hacking etico in modo efficace seguendo questo processo in due fasi. Il primo passo sarebbe quello di imparare i concetti e capirli bene. Su internet, le risorse per l’apprendimento sono disponibili in abbondanza. Raccomandiamo:
Libri consigliati
1. Hacking for Dummies: La serie “for dummies” di Wiley si concentra sulla pubblicazione di libri per principianti su vari argomenti. Questo libro introduce l’utente all’hacking etico attraverso concetti e strumenti. È molto utile per le persone che vogliono iniziare a imparare l’hacking etico ma non sono molto a loro agio con la programmazione. Questo dovrebbe comunque essere compreso che essere un hacker d’élite è quasi impossibile senza imparare a programmare.
2. CEHv10 Study Guide by SYBEX: Questo libro ha lo scopo di aiutare la preparazione del CEH (Certified Ethical Hacker), un popolare corso di certificazione in hacking etico. Spiega la metodologia di hacking etico e le sue fasi. Ogni fase dell’hacking etico è ben spiegata con i dettagli dei concetti e la pratica sugli strumenti.
3. Hacking, The Art of Exploitation :Questo libro è stato molto popolare nella comunità degli hacker white hat per molto tempo. Probabilmente a causa del contenuto che copre e della profondità in cui si addentra. La cosa buona di questo libro è che anche se sei un novizio con assolutamente nessuna conoscenza della programmazione e delle reti, puoi ancora beneficiarne immensamente. Il libro copre la programmazione di base in C, lo scripting con Bash, le basi della gestione della memoria nei computer, i filesystem, le vulnerabilità basate sull’overflow e il loro sfruttamento, il networking di base, gli attacchi alle reti, la scrittura di codice shell e la criptologia.
Corsi online popolari
1. Udemy: Questi corsi di cybersecurity ethical hacking sono già stati seguiti da molte persone e la loro valutazione è abbastanza buona, quindi stiamo assumendo che questi saranno davvero utili per il tuo auto-apprendimento.
- Impara l’hacking etico da zero
- Il corso completo di hacking etico: Dal principiante all’avanzato!
- Hacking in pratica: Certified Ethical Hacking MEGA Course
- Ethical Hacking with Hardware Gadgets
- CompTIA Pentest+ (Ethical Hacking) Course & Practice Exam
2. PentesterLab: PentesterLab è utile sia per i principianti che per gli studenti avanzati. I loro tutorial e laboratori per principianti sono fatti da hacker etici e cacciatori di bug bounty di grande successo e sono anche ben noti come istruttori e mentori.
3. Pentester Academy: Pentester Academy è una piattaforma di apprendimento per i principianti così come per gli hacker esperti. Hanno corsi e laboratori online per le principali vulnerabilità. Pentester Lab ha anche corsi sulla programmazione, forensics, VoIP, DevOps Security, Red/Blue team, ecc.
Canali YouTube
1. JackkTutorials: Fornisce tutorial introduttivi pratici per quasi tutti i concetti importanti, strumenti e competenze relative all’hacking etico.
2. Thenewboston: Questo canale non solo copre le basi dell’hacking etico pratico, ma fornisce anche tutorial su programmazione, sviluppo di app, progettazione grafica, chimica, database, editing video, ecc.
3. HackerSploit: Hackersploit è molto popolare tra i principianti del bug bounty. Ha tutorial di penetration testing, CTF walkthroughs, suggerimenti per la caccia ai bug bounty, tutorial di programmazione, tutorial di analisi del malware, tutorial di steganografia, ecc.
LiveOverflow, Nahamsec, Bugcrowd, e HackerOne sono anche molto buoni e vale la pena controllare.
Siti web e blog
Questi siti web sono utili per rimanere aggiornati sulle scoperte recenti, per ottenere riferimenti rapidi, per capire concetti avanzati e altro.
1. Blog di PortSwigger: Dafydd Stuttart è conosciuto come portswigger nella comunità hacker. È un co-creatore dello strumento BurpSuite. Il suo blog contiene notizie sulle ultime vulnerabilità delle applicazioni web, nuove caratteristiche di BurpSuite, consigli su come usare bene BurpSuite, e le sue scoperte come cacciatore di bug bounty.
2. TheHackerNews: Una piattaforma dedicata alle ultime notizie relative alla sicurezza informatica. The Hacker News fornisce informazioni dettagliate sulle ultime vulnerabilità, i nuovi sviluppi nel campo della cybersecurity, le notizie relative ai crimini informatici, le violazioni dei dati, l’hacktivismo, ecc.
3. HackerOne Hactivity (rapporti di vulnerabilità divulgati): HackerOne è una piattaforma di bug bounty. I programmi di bug bounty possono consentire la divulgazione pubblica di un rapporto di vulnerabilità dopo che è stato risolto. Questi rapporti possono essere utilizzati per capire come cercare le vulnerabilità su un obiettivo, come eseguire la ricognizione, come avvicinarsi agli endpoint interessanti, come sfruttare una vulnerabilità per il massimo impatto, e che tipo di vulnerabilità si trovano comunemente su un tipo specifico di obiettivo.
Il secondo passo è la pratica: La pratica è molto importante perché vi aiuterà ad assorbire i concetti che avete imparato. Vi aiuterà anche ad acquisire fiducia nelle vostre abilità. Sistemi virtuali intenzionalmente vulnerabili e CTF sono il modo migliore per fare pratica. bWApp, DVWA (Damn Vulnerable Web Application), Metasploitable sono alcune delle migliori VM vulnerabili. L’OWASP ha messo su un indice di macchine virtuali vulnerabili, a cui si può accedere qui
Inoltre date un’occhiata a Top 5 posti per praticare l’hacking etico