Etik Hacking Üstün Bələdçisi | 2020-ci ildə nə bilmək lazımdır


Hackinq mənfi bir nüfuza malikdir, lakin bəzi hakerlər interneti daha yaxşı, daha təhlükəsiz bir yerə çevirirlər. Səlahiyyətlərini yaxşı və ya pis üçün istifadə etsələr də, hakerlər bəzi ciddi bacarıqlara malikdirlər.

Ancaq Hacking həqiqətən yaxşı bir şey ola bilərmi? Əxlaqi hack nədir və digər növ hakerliklərdən nə ilə fərqlənir? Əxlaqi hakerlər kimlər və necə başladınız? Və niyə bir şirkət hack edilməyə həvəslə cavab verir??

Bu yazıda, bu və digər sualların hamısına cavab vermək üçün etik hakerlik sahəsinə girəcəyik.

Hackinqin həqiqətən nə demək olduğunu müzakirə edib həm etik, həm də zərərli hakerlərin istifadə etdiyi həqiqi üsulları araşdıracağıq.

Həvəsli hakerlərin işə başlamasına kömək edə biləcək bəzi mənbələrdən də keçəcəyik. Etik haker hücumuna qoşulmağı düşündüyünüzdən daha asandır.

Hacking nədir?

hack nədir

Ən sadə halda, Hack, icazəsiz və ya planlaşdırılmamış bir şəkildə bir rəqəmsal cihaz, kompüter sistemi və ya şəbəkəyə giriş əldə edir.

Hack-lərin həm yaxşı, həm də pis olduğu müxtəlif tətbiqlər var, lakin hackin zərərli məqsədlər üçün necə istifadə olunacağını görmək asandır.

Qapınızın açılmaması və ya pəncərənizin geniş açıq olması sizi oğrulara qarşı həssas buraxa bilər, hakerlər giriş əldə etmək üçün bir cihaz, şəbəkə və ya proqramdakı təhlükəsizlik zəifliklərindən istifadə edə bilərlər.

Zərərli hackin təsiri çox güclü ola bilər. ABŞ İqtisadi Məsləhətçilər Şurasının 2018-ci il hesabatında zərərli hücumların ABŞ iqtisadiyyatına 2016-cı ildə 109 milyard dollara başa gəldiyi təxmin edildi..

Dünyada ortalama işin növbəti iki il ərzində 27.9 faiz haker hücumuna məruz qalma şansı var.

Bunu nəzərə alaraq olduqca əhəmiyyətli bir təhlükədir orta məlumat pozuntusu bir şirkətə 3.86 milyon dollara başa gəlir Ponemon İnstitutunun qlobal bir 2018 araşdırmasına görə.

Bu statistikaları nəzərə alsaq, hack sözünün çox insanı əsəbiləşdirməsi təəccüblü deyil. Bununla birlikdə, son illərdə daha çox tanınmaqda olan hackin tamamilə fərqli bir tərəfi var: etik hack.

Əslində, etik haker hücumu zərərli məqsədlər üçün qara şapka hakerlər tərəfindən istismar edilə biləcək zəifliklərdən qorunmaq üçün bir işin ən təsirli yollarından biridir..

Etik Hacking nədir?

Ağ papaq haker kimi də tanınan etik bir haker, rəqəmsal cihaz, kompüter sistemi və ya şəbəkə əldə etmək üçün təhlükəsizlik zəifliklərini tapmağa çalışan kiber təhlükəsizlik mütəxəssisidir..

Hər hansı bir hack növü kimi səslənir, doğru?

Fərq ondadır ağ şapka haker şirkətlərə təhlükəsizliyini gücləndirməyin yollarını tapmaqda kömək etmək üçün hacking bacarıqlarından istifadə edir. Qara şapka haker, zəifliklərdən şəxsi mənfəət üçün istifadə etmək üçün hacking bacarıqlarından istifadə edir.

Həqiqi etik bir haker yalnız sahibindən açıq icazə aldıqdan sonra hack etməyə başlayır.

Etik haker hücumunun məqsədi mövcud təhlükəsizlik sistemini qiymətləndirmək və müdafiəni gücləndirmək və yaxşılaşdırmaq yollarını tapmaqdır. Etik bir haker bir şirkətin proqramında zəiflik tapdıqda, şirkət zərərli haker onları istismar etməzdən əvvəl problemləri həll edə bilər..

Qara şapka və ağ şapka hakerlər arasındakı fərq barədə hələ də qarışıq olsanız, sistemin fiziki bir bina kimi istifadə edildiyini təsəvvür etmək faydalı ola bilər. Aşağıdakı nümunələrə baxaq.

Misal 1: Qara Şapka Hakerlər

Qara papaq

Bir gecənin gecəsində bir qrup insan həyəcan siqnalı qoymadan bir muzeyə girir. Mühafizəçilər növbələri dəyişdirərkən mükəmməl vaxtda gizlənərək aşkarlanmaqdan çəkinirlər.

Qrup bir neçə nadir və bahalı rəsm əsərlərini oğurlayıb qaçmağı bacarır. Rəsmləri qara bazara sataraq külli miqdarda pul qazanırlar.

Bu ssenaridə qeyri-qanuni və zərərli fəaliyyətlərin təsvir olunduğu açıq-aydın görünür. Bu misal, qara şapka hakerinin qanunsuz olaraq əldə edilən məlumatları satmaq üçün məxfi sənədlərə icazəsiz giriş əldə etmək üçün bir işin kiber təhlükəsizlik sistemini necə aşmasına bənzəyir..

Qara şapka hakerlər, qanunsuz olaraq mənfəət və ya zərərli məqsədlər üçün hack edənlərdir. Buraya zərərli niyyət, maliyyə qazancı və ya hər hansı digər səbəbdən kompüter cihazlarını və sistemlərini oğurlayan, sızan, məlumat əldə edən və ya pozan hər kəs daxildir..

“Qara şapka” termini əslində köhnə qərb filmlərindən qaynaqlanır, burada cinayətkarın qara geyimləri ilə müəyyən ediləcəyi və qəhrəmanın ağ şapka ilə tanıdılması.

Misal 2: Ağ Şapka Hakerlər

Bir muzey təhlükəsizlik sistemlərinin nə qədər yaxşı işlədiyini bilmək istəyir. Muzey direktoru muzeyin oğrulara qarşı həssas ola biləcəyindən narahatdır, lakin təhlükəsizliyi artırmağın ən yaxşı yolunu bilmir.

Muzey direktoru sistemdəki zəifliklərin aşkarlanmasına kömək etmək üçün təhlükəsizlik mütəxəssisi işə götürür. Təhlükəsizlik mütəxəssisi muzeyə girməyə çalışaraq real həyatda bir ssenari yaradacaq. Təhlükəsizlik mütəxəssisi və muzey direktoru ikisi də yazılı bir razılaşma imzalayırlar.

Təhlükəsizlik mütəxəssisi bir gecədə həyəcan siqnalını keçməklə və növbələri dəyişdirərkən təhlükəsizlik işçilərindən qaçmaqla fasilə edə bilir.

Ertəsi gün təhlükəsizlik mütəxəssisi muzeyin müdirinə necə gizlədə bildiyini və muzeyin müəyyən etdiyi çatışmazlıqları necə düzəldə biləcəyini izah edən bir hesabat təqdim edir..

Bu nümunədə heç bir qanun pozulmadı və zərərli fəaliyyət baş vermədi. Bu, ağ şapka hakerinin bizneslərinə kibertəhlükəsizliyini yaxşılaşdırmaq və gələcəkdə zərərli hücumlardan çəkindirmək üçün etik hücumdan necə istifadə edə biləcəyinə bənzəyir..

Həqiqi ağ papaq hakerlərinin qara şapka hakerlərindən tamamilə fərqli olduğunu görmək asandır. Bəs işlərin o qədər qara və ağ olmadığı ssenarilər haqqında nə demək olar?

Zərərli niyyəti olmayan, lakin həqiqi etik hakerlər kimi eyni əxlaq normalarına riayət etməyən digər hakerlər də var. Bu insanları boz papaq hakerləri adlandırırıq.

Misal 3: Boz Şapka Hakerlər

GrayHat

Bir sənət sevən təhlükəsizlik mütəxəssisi, yerli bir muzeyin nadir kolleksiyasını qorumaq üçün güclü bir təhlükəsizliyə sahib olmadığından narahatdır. Təhlükəsizlik mütəxəssisi muzey direktoruna məktub yazır, lakin cavab almır.

Təhlükəsizlik mütəxəssisi, muzeyin təhlükəsizliyi yaxında yaxşılaşdırılmasa qiymətli rəsm əsərlərinin oğurlanacağından narahatdır. Təhlükəsizlik nöqtəsini sübut etmək üçün təhlükəsizlik mütəxəssisi muzeyin təhlükəsizlik siqnalını söndürür və muzeyə gizli şəkildə girir.

Təhlükəsizlik mütəxəssisi heç nə pozmur və zərər vermir. Bunun əvəzinə, o, təhlükəsizlik sistemini necə aşa bildiyini və muzeyin təhlükəsizliyini artırmağın yollarını izah edən muzey direktorunun masasına anonim bir məktub qoyur..

Heç bir dəyişiklik edilməzsə, təhlükəsizlik mütəxəssisi muzeyin direktorunun nəhayət təhlükəsizliyi yaxşılaşdırmaq məcburiyyətində qalacağı ümidi ilə muzeyin təhlükəsizlik qüsurlarını ictimaiyyətə elan etməyi planlaşdırır.

Bu nümunə, qara şapka ilə ağ şapka xakerləri arasındakı xəttin necə bulanık olacağını aydınlaşdırır. Əxlaqi hack, yaxşı niyyətə sahib olmaqdan daha çoxdur.

Daha sonra görəcəyimiz kimi, hackerin kömək etməyə çalışıb-etməməsindən asılı olmayaraq icazəsiz müdaxilə hələ də icazəsiz müdaxilədir.

Baxmayaraq ki, bütün hakerlər eyni bacarıq və biliklərdən istifadə edirlər, həqiqi əxlaqi hakerlər yalnız öz sahiblərinin açıq icazəsi ilə sistemlərə giriş əldə etmək üçün öz qabiliyyətlərindən istifadə edirlər.

Etik Hacking növləri

Tamam, buna görə artıq etik bir hakerin nə olduğunu və şirkətlərin etik bir haker işə götürməkdən necə faydalana biləcəyini bilirik. Amma əxlaqi hakerlər əslində nə edirlər?

Ağ şapka hakerlər tərəfindən tez-tez istifadə olunan geniş haker alətləri və üsulları mövcuddur. Etik hakerlər çox vaxt müəyyən sahələrdə ixtisaslaşırlar, lakin yüksək ixtisaslı hakerlərin əksəriyyəti çevikdir və daim yeni strategiyalar öyrənir.

etik hakerlər nə edir

Zəifliyin qiymətləndirilməsi, nüfuz testi və qırmızı komanda bir-biri ilə tez-tez qarışıq olan üç şərtdir. Onlar əslində etik hakerlərin edə biləcəyi üç fərqli yanaşmanı təmsil edirlər. Bunları aşağıda daha ətraflı müzakirə edəcəyik.

Bu sahələrin hər biri mənimsənilmək üçün illər tələb edə bilər və kiber dünya kimi daim inkişaf edir.

I. Zəifliyin qiymətləndirilməsi

Zəifliyin qiymətləndirilməsi (VA), etik hakerlər və digər informasiya təhlükəsizliyi mütəxəssisləri tərəfindən istifadə olunan bir metoddur bir sistemdə mövcud olan hər hansı bir zəifliyi müəyyənləşdir, sıralayın və məlumat verin.

Təhlükəsizlik tədqiqatçıları, hakerlər və son istifadəçilər hamısı bir şirkətin proqram, şəbəkə və aparatında zəifliklərin tapılmasında rol oynaya bilər..

Heç bir proqram mükəmməl deyil və hər yeniləmə və ya yeni bir versiya ilə bəzi səhvlər olmağa məcburdur. Buna görə, ən nüfuzlu proqram və aparat inkişaf şirkətləri tez-tez zəiflik qiymətləndirmələrinin dəyərini tanıyırlar.

Şirkət zərərli bir haker tərəfindən istismar edilməzdən əvvəl proqramla bağlı hər hansı bir problemi tapmaq və təmir etmək üçün VA-nı həyata keçirmək üçün etik bir haker işə götürə bilər..

Bir proqram zəifliyi tez bir zamanda həll olunmasa və nəticəsi fəlakətli ola bilər. Buna görə cinayətkar hakerlər etmədən əvvəl zəifliklərin aşkar edilməsi və aradan qaldırılması bütün proqram təminatçılarının xeyrinədir.

Hər VA-nın həcmi, qrafiki və yanaşması fərqli ola bilərsə, əksər etik hakerlər bu dörd əsas mərhələni izləyirlər:

  1. Sistemdəki bütün qaynaqlar və aktivlərin hərtərəfli kataloqu yaradın.
  2. Aktivləri dəyəri və ya ümumi sistem üçün əhəmiyyəti ilə sıralayın.
  3. Hər bir aktivdə mövcud və ya potensial zəifliyi tapın və müəyyənləşdirin.
  4. Qiymətləndirmədə müəyyən edilmiş bütün təhlükəsizlik məsələlərini həll etmək üçün şirkətlə işləyin.

Zəifliyin qiymətləndirilməsi və digər ümumi etik hackləmə üsulları arasındakı əsas fərq, zəifliyin qiymətləndirilməsinin real dünyada hack ssenarisini yaratmamasıdır..

VA yanaşmasında müştəri və etik haker bir qayda olaraq bütün proses boyunca yaxından işləyirlər.

Müştəri etik hakerə xaricdən məlumat toplamaq əvəzinə qiymətləndirmə başlamazdan əvvəl çox sayda məlumat və mənbələrə çıxış imkanı verir..

Zəiflik tapmaq

Çox vaxt daxil olmaqla, həssasların zəiflik qiymətləndirməsində istifadə etdikləri bir çox vasitə var sistem mühitini tarayan, şəbəkə protokollarını təhlil edən və Android və ya veb tətbiq təhlükəsizliyini yoxlayan proqramlar.

Zəifliyi tapmağın başqa bir yolu, mənbə kodu təhlil etməkdir. Bununla birlikdə, bu, çox güman ki, zəifliyi tapmaq üçün ən yorucu bir yoldur və həmişə verilməyən mənbəyə giriş əldə etməlisiniz.

Zəifliyi tapmaq üçün məşhur bir üsuldan biri, fuzzing adlı bir texnikadır. Qüsursuzluqları aşkar etməyə kömək edən bir proqramı və onun girişini məqsədyönlü şəkildə müdaxilə etdiyiniz zaman qeyri-dəqiqdir..

Bir ümumi yayıcı, uzaqdan hücum edənlərin pozulmuş bir film faylı vasitəsi ilə xidmətdən (DoS) hücum yaratmasına imkan verən Apple QuickTime-də bir zəiflik tapmaq üçün istifadə olunan Radamsa adlı bir proqramdır..

II. Nüfuz testi

Bir nüfuz testi, etik hakerlər tərəfindən istismar edilə biləcək zəifliklərin olub olmadığını tapmaq üçün bir cihazın, şəbəkənin və ya sistemin müdafiə və təhlükəsizlik prosedurlarını sınamaq üçün istifadə olunan bir üsuldur..

Nüfuz testi, insanların çoxu etik bir haker təsvir etdikləri zaman düşündükləri şeydir. Etik haker qara şapka xakerinin düşüncəsinə girməli və gerçək dünyadakı hücumu təqlid etməlidir.

Baxmayaraq ki, həssaslığın qiymətləndirilməsi daha geniş məlumat dairəsini əhatə edə bilər, nüfuzetmə testi, xüsusi sistem zəifliyini qiymətləndirmək üçün daha real bir yoldur.

İki yanaşma arasındakı fərq genişliyə və dərinliyə enir. Buna görə iki üsul çox vaxt birlikdə istifadə olunur.

İki növ nüfuz testi var:

  • Ağ qutu sınağı: Nüfuz testindən əvvəl, etik hakerə sınaqdan keçirilmiş sistem haqqında ətraflı məlumat verilir. Buna tez-tez bir həssaslıq, bir zəiflik testi aparır. Bundan sonra nüfuzetmə testi etik hakerə sistemə daxili baxış verildikdən sonra aparılır.
  • Qara qutu sınağı: Etik hakerə nüfuz testinə başlamazdan əvvəl sistem haqqında az və ya çox məlumat verilir. Bu, ümumiyyətlə real bir ssenarini yenidən hazırlamaq və zərərli bir haker tərəfindən kənardan nə qədər zərər verə biləcəyini tapmaq üçün edilir. Bu vəziyyətdə əxlaqi hacker öz aralarında kəşf etməlidir.

Bir nüfuz sınağını həyata keçirən bir etik bir hacker olsaydınız, aşağıdakı addımlardan keçməlisiniz.

Faza 1: Zəka Toplanması

Bu mərhələ hədəf haqqında mümkün qədər çox məlumat toplamağı əhatə edir. Bu məlumat, sonrakı mərhələlərdə hücumlarınızı tərtib etməyə və həyata keçirməyə kömək edəcəkdir.

Yaxşı bir kəşfiyyat toplanması bir sistemdə hansı giriş nöqtələrinin və potensial zəif nöqtələrin olduğunu müəyyənləşdirməyə imkan verir. Giriş nöqtələri fiziki (məsələn, xidmət qapısı), elektron (məsələn, giriş istəyi) və ya insan ola bilər (məs. John M. resepşn).

Kəşfiyyat toplamağın dörd kateqoriyası var:

  • Açıq Mənbə Zəkası (OSINT): Hədəf barədə ictimaiyyətə açıq olan məlumatların araşdırılması.
  • Passiv Zəka: Məlumat aşkarlanmayan şəkildə toplanır. Bu ümumiyyətlə önbelleğe və ya arxivləşdirilmiş məlumatlarla məhdudlaşır.
  • Yarı Passiv Zəka: Hədəf şəbəkəsində normal internet trafikinə bənzəmək üçün hərəkətlərinizi gizlətmək və ya gizlətməklə müəyyən edilməməyə çalışarkən məlumat toplamaq.
  • Aktiv Zəka: Hərəkətlərinizin siqnallar və həyəcan siqnalları verə biləcəyi şəkildə zəka toplayın. Bu, müştərinizin təhlükəsizlik sistemlərinin hücumları necə aşkar etdiyini və özünü müdafiə etdiyini görməyə imkan verir.

2-ci mərhələ: Tarama

Mümkün qədər çox məlumat topladıqdan sonra sistemin necə davrandığını anlamaq və bir hücuma necə reaksiya verəcəyini öyrənmək üçün sistem araşdırmağa başlayacaqsınız.

Yəqin ki, faydalanacaqsınız hədəf şəbəkəsini və infrastrukturunu skan etmək üçün proqram təminatı. Mümkün qədər çox məlumat toplamaq üçün bir müddət ərzində şəbəkəni izləmək istəyə bilərsiniz.

Proqram kodunu statik və işləyərkən yoxlamaq və analiz etmək üçün vaxt sərf edə bilərsiniz, buna dinamik analiz deyilir..

Faza 3: Giriş və İstismar

Bu mərhələdə kəşf etdiyiniz zəifliklərə girməyə və istifadə etməyə çalışacaqsınız.

Bunlardan bəziləri giriş əldə etmək üçün bir nüfuz testi zamanı istifadə edə biləcəyiniz üsullar:

  • Bypassing şəbəkə və ya veb tətbiqi firewallları
  • Bulud xidmətlərindən istifadə
  • SSH hücumları
  • Yoxsul və ya standart şifrələrin istismarı
  • SQL enjeksiyonları
  • Saytlararası skript
  • Xidmət (DoS) hücumlarının rədd edilməsi
  • MAC ünvanı aldatma

Istifadə etmək məcburiyyətində ola bilərsiniz sosial mühəndislik əldə etmək. Bura ətraf mühitə sızmaq üçün adətən şirkətin işçiləri olan insanları aldatmaq və ya manipulyasiya etmək daxildir.

Sosial mühəndislik nümunələrinə aşağıdakılar daxildir:

  • Fişinq hücumları
  • Bir şirkət işçisini arzulamaq və ya təqlid etmək
  • Hacker səlahiyyətli bir şəxsə məhdud girişi təmin etdiyi yerlərdə tailgating
  • Hacker-in texniki dəstək kimi təqdim etdiyi yer

Hər hansı bir zəifliyi uğurla istifadə etmək üçün əvvəlcə mövcud olan hər hansı bir əks tədbir və ya müdafiə mexanizmindən yayınmalısınız.

Bu mərhələnin bir hissəsi olaraq, həssaslığı istifadə edərək nə qədər zərər verə biləcəyini qiymətləndirməyə də cəhd edə bilərsiniz.

Bacardığınızı görməyə cəhd edə bilərsiniz məlumatları oğurlamaq, yol kəsmək və ya qəza prosesləri. Bununla birlikdə, müştəri ilə etik hack müqavilənizin sərhədlərini aşmamağınız vacibdir.

Faza 4: Giriş və yolların qorunması

Bu üçüncü mərhələnin məqsədi əlaqəniz aşkarlanmadan nə qədər davam edə biləcəyinizi tapmaqdır.

Bəzi növ hücumlar günlər, həftələr və hətta aylar ərzində baş verir. Müdaxiləni gizlətmək və bir müddət ərzində girişi qorumaq mümkün olub olmadığını öyrənməyə cəhd edə bilərsiniz.

Mərhələ 5: Təhlil və hesabat

Nüfuz testinizin sonunda bir yaradacaqsınız test zamanı öyrəndiklərinizin hər biri barədə dərin hesabat.

Buraya aşkar edilmiş bütün zəifliklərin təsviri, onların nə qədər kritik olduğu, necə istifadə oluna biləcəyi, mümkün nəticələr və təhlükəsizliyin yaxşılaşdırılması üçün tövsiyələr daxildir..

III. Qırmızı komanda

Qırmızı komanda bir neçə vacib fərqlə standart bir nüfuz testinə bənzəyir.

Qırmızı bir komanda etik hakerlər qrupudur və ya ətraf mühitin müdafiəsini sınamaq üçün müəyyən bir məhsul, xidmət və ya fiziki obyekt sınaqdan keçirən kibertəhlükəsizlik mütəxəssisləri.

Qırmızı bir komanda çalışır bir real dünya işğalını yenidən yaradın mümkün qədər çox. Buna görə, şirkətin İT və təhlükəsizlik komandalarının əksəriyyətinə əvvəlcədən test tələb olunmur.

Test tez-tez digər metodlara nisbətən daha uzun müddət ərzində baş verir. Qırmızı komandalar ümumiyyətlə bir kombinasiyadan istifadə edirlər proqram vasitələri, sosial mühəndislik texnikaları və fiziki mühitin istismarı.

Etik Hackin faydaları

Səthində, bir şirkətin öz sistemini pozmağa çalışması üçün kimisə işə götürməsi dəli görünə bilər. Amma qara papaq xakerinin zehninə girmək bir iş üçün müdafiələrini həqiqətən sınamaq üçün yeganə yoldur.

Etik bir haker işə götürmək istəməyən bir şirkət, mümkün olan hər bir hücum üçün mükəmməl bir müdafiəyə etibar etməlidir. Bu, kompaniyanı daimi əlverişsiz vəziyyətdə buraxır.

Bir şirkət dünyada ən yaxşı müdafiə qabiliyyətinə sahib olsa belə, reallıq belədir bir hacker bütün sistemi güzəşt etmək üçün yalnız bir zəif nöqtə tapmalıdır.

Müdafiəinizi real bir testə qoymadan, o zəif nöqtənin nə olduğunu tapmaq, demək olar ki, mümkün deyil. Bacarıqlı bir etik haker bir şirkətə xeyli vaxt, pul və səy göstərə bilər.

Bir İT şirkətinin bazar üçün yeni bir proqram hazırladığını düşünün. Onlar sıx bir cədvəldədirlər, amma təhlükəsizlik sınaqlarını atlamamaq gələcəkdə ciddi nəticələrə səbəb ola bilər.

Hansı biri daha asandır: proqramın hər cür hücumdan immun olması üçün və ya proqramın ən həssas sahələrini müəyyənləşdirmək üçün etik bir haker işə götürmək üçün təsəvvür edilə bilən hər cür müdafiə daxil olmaqla?

Bir təşkilatın etik hakerlərlə işləməsinə nə təşviq edə biləcəyinə dair aşağıdakı real dünya nümunəsinə baxaq:

  • 2017-ci ildə WannaCry kimi tanınan bir ransomware hücumu İngiltərədəki onlarla xəstəxanaya zərər verdi. Xəstəxana işçiləri kompüterlərindən kilidlənmişdilər və 19 mindən çox görüş ləğv edilməli idi. Hücumun İngiltərənin Milli Səhiyyə Xidmətinə (NHS) IT təmirində 92 milyon funt sterlinqə başa gəldiyi və qazancını itirdiyi təxmin edilir. Hücumdan sonra, İngiltərənin Milli Səhiyyə Xidməti, etik hücumdan istifadə edərək təhlükəsizliyi yaxşılaşdırmaq və qiymətləndirmək üçün 20 milyon funt sterlinqlik bir yeni Təhlükəsizlik Əməliyyat Mərkəzi yaratdı..

etik hack 1

Proqram tərtibat qrupuna etik bir haker əlavə etmək nəinki təhlükəsizlik testini aparır daha sürətli və daha səmərəli, eyni zamanda daha təsirli.

Bu o deməkdir ki, etik bir haker işə götürən şirkət hər ikisidir pula qənaət etmək və daha güclü bir məhsul yaratmaq.

Müştərilər etik bir hakerdə nə axtarır?

Bir şirkət etik bir haker işə götürdükdə, kimisə axtarır kibertəhlükəsizliyə dair ekspertiza kim nə üçün zərərli bir hackerin perspektivini öz üzərinə götürə bilər real hücumları təkrarlamaq.

Etik hakerlərin olması lazımdır qara şapka hakerlərin təhlükəsizlik müdafiəsini güzəşt etmək üçün istifadə etdikləri metodlar, bacarıqlar və zehniyyət haqqında geniş məlumat.

Şirkətlər də kimisə axtarırlar peşəkar, ünsiyyətcil və şəffafdır. Şirkətlər çox vaxt etik hakerlərə çox etibar etməlidirlər. Çox məsuliyyətlə gələn bir rol.

Etik hakerlərin məsuliyyəti var şirkətə tam məlumat verin sınaq zamanı aşkar etdikləri hər şeydən.

İdeal olaraq, etik haker eyni zamanda sınaqdan keçdikdən sonra bütün problemlərin və zəifliklərin etibarlı şəkildə həllini təmin etmək üçün şirkətlə birlikdə çalışacaqdır.

Etik Hacking Qanuni?

Etik hack bəzən a mövcud ola bilər qarışıq hüquqi boz sahə. Dünyanın əksər ölkələrində etik haker hücumu ilə bağlı mövcud qanunlar birmənalı deyil və bütün mümkün ssenariləri açıq şəkildə əhatə etmir.

Həm hakerlər, həm də şirkətlər özlərini qorumaq üçün addımlar atmalı və heç bir qanun pozulmadığından əmin olmalıdırlar.

Qanuni Hack üçün şərtlər

Ümumiyyətlə, hər iki tərəfin qanuni qaydada olduqlarına əmin olmağın ən yaxşı yolu budur yazılı bir razılaşma imzalayın etik hakerin işə götürüldüyü işi müəyyənləşdirir.

Qanuni və qanunsuz hakerlik arasındakı əsas fərqlərdən biri də hackin icazəli və ya icazəsiz olmasıdır.

Yazılı razılaşma, etik hakerin qanuni səlahiyyətli olduğunun sübutudur şirkətin təhlükəsizlik zəifliklərindən istifadə etməyə və sistemə giriş əldə etməyə çalışmaq.

Etik bir hacker işə götürməzdən əvvəl, şirkətlər də tədqiqatlarını aparmalı və hakerdən qanunsuz bir şey etməsini istəmədiklərinə əmin olmalıdırlar..

Təşkilatlar tərəfindən qanunu pozanlar ola bilər hakerlərdən gizli müştəri məlumatlarına daxil olmağı xahiş edir müştərilərin icazəsini almadan.

Etik bir haker işə götürən bir şirkət üçün, yazılı bir razılaşma, şirkətin hack sorğusunun qanuni olduğuna əmin olmaq və hackerə nə üçün icazə verdiklərini sübut etmək üçün bir fürsət ola bilər..

Aşağıdakı dörd şərtə cavab vermək, hər iki tərəfin özlərini qorumaq üçün ən yaxşı yoldur hüquqi nəticələrdən qaçın etik haker hücumuna görə:

  1. Etik haker və müştəri həm razılaşırlar, həm də iş elanı imzalamaq (SOW) etik haker hücumunun məqsədini, hakerin nəyi tələb olunduğunu, hakerin hansı hərəkətləri etməyə icazə verildiyini, hackerin layihə tamamlandıqda müştəriyə nə verəcəyini və hakerə verilən hər hansı bir məhdudiyyət və məhdudiyyətləri təsvir edən.
  2. Etik haker gizli məlumatlara məruz qala bilərsə, hakerdən soruşulmalıdır açıqlanmayan bir müqavilə imzalamaq belə ki, şəxsi və ya həssas məlumatlar düzgün işlənir.
  3. Hər iki tərəf olmalıdır öhdəlikdən azad sənədini imzalamaq etik haker qarışıqlığı zamanı edilən səlahiyyətli hərəkətlərə görə xidmətin kəsilməsi və ya problem olduqda hər hansı bir məsuliyyətdən azad edir..
  4. Etik haker bütün səylərini göstərməlidir mümkün qədər şəffaf olun müştəri ilə. Tam açıqlama etik hücumun ən vacib prinsiplərindən biridir.

İcazəsiz Etik Hack – Qanuni?

Tamam, buna görə yazılı bir razılaşma əladır və hamısı. Ancaq o qədər də qara və ağ olmayan vəziyyətlər haqqında?

Təsəvvür edin ki, bir şirkətin veb saytında təhlükəsizlik nöqsanlarına uğrayan ağ şapka haker. Təhlükəsizliyin pozulduğunu şirkətə bildirməyə cəhd edib etmədiyini öyrənmək üçün qiymətləndirməyə çalışır.

Bunu edərkən o bilməyərəkdən əldə edir veb saytın məxfi məlumat bazasına. O, kəşfi barədə şirkətə tez və özəl məlumat verir və problemi necə həll etmək üçün onlara fikir verir.

Təəccüblənmək yerinə şirkət tərəfindən təşəkkür və mükafatlandırılmaqdır, Sistemin verilənlər bazasına icazəsiz daxil olması üçün qanuni ittihamlarla üzləşir.

Təəssüf ki, bu çox ssenarinin bir çox real dünya nümunələri var. Hakerlərin niyyətləri yaxşı olsa da, qanun həmişə niyyətləri nəzərə almır.

Bütün etik hakerlərin birbaşa bir şirkət tərəfindən işə götürülməməsini nəzərə alsaq işlər çətinləşir. Bunun əvəzinə bəzi ağ şlyapalar sayıqlıq edir. Zamanlarını şirkətlərin özlərini düzəldə bilmədikləri təhlükəsizlik qüsurlarını tapmaq və bildirmək üçün sərf edirlər.

Çox vaxt nəcib niyyətləri olur, əsas məqsədi dünyanı daha etibarlı bir yerə çevirməkdir. Hüquqi baxımdan buna bəzən deyilir yaxşı vicdanlı hücum.

Təhlükəsizlik araşdırmaçıları hack üsullarından da istifadə edə bilərlər tədqiqatların bir hissəsi olaraq şəbəkələrdə, cihazlarda və ya proqramlarda təhlükəsizlik qüsurlarını qiymətləndirmək.

Səhv lütf proqramları və zəiflik açıqlama proqramları (VDP) bəzi təklif edə bilər hüquqi qorunması etik hakerlərə.

Bir səhv lütf proqramı bir proqram inkişaf etdiricisi və ya veb sayt tərəfindən şirkətə bir zəifliyi aşkar edən və bildirən hər hansı bir ağ şapka hakerinə təklif olunan mükafat sistemidir.

Adətən, səhv lütf proqramları şirkət tərəfindən açıq şəkildə müəyyən edilir və yazılı şəkildə ictimaiyyətə təqdim olunur. Bu yazılı bir razılaşma kimi hərəkət edə bilər və etik hakerlərə təhlükəsiz liman təmin edə bilər və mülki və ya cinayət ittihamlarından qoruya bilər.

Zəifliyin açıqlanması proqramları (VDP) səhv lütflərinə bənzəyir, lakin maddi stimul vermir. Ağ şapka hakerləri və təhlükəsizlik tədqiqatçıları üçün vicdanla aşkar edilmiş zəiflikləri bildirmək üçün etibarlı bir kanal yaradırlar.

Kiber cinayətlər rəqəmsal əsrdə müəssisələr üçün artan bir təhlükəyə çevrildiyi üçün getdikcə daha çox təşkilat öz VDP-lərini elan edir.

Bir çox şirkət VDP və səhv lütf proqramlarının təhlükəsizliyini yaxşılaşdırmağın ən yaxşı yolu ola biləcəyini tanıyır və hakerlərə açıqlığı açıq elan etmədən və ya istismar etməkdənsə kəşflərini bildirməyə təşviq edir..

Səhv lütflərində iştirak etmək istəyirsinizsə, ən başlıcası budur şərtləri oxuyun proqramın çox diqqətlə.

Etik hakerlər özlərini qanuni nəticələrdən qorumaq üçün hərəkətlərinin proqramın yazılı şərtləri ilə tamamilə təmin edilməsinə əmin olmalıdırlar.

Etik Hackin Həqiqi Dünya Nümunələri

Etik hakerlərin bəzi həqiqi nümunələri və hack fəaliyyətlərinə görə çəkdikləri yaxşı və pis nəticələrə nəzər salaq..

Bu misallar etik hackin hüquqi və ya vəziyyətdən və kontekstdən asılı olmayaraq necə ola biləcəyini izah etməyə kömək edir.

Deyv Dittrich

Vaşinqton Universitetinin proqram mühəndisi və kibertəhlükəsizliyi tədqiqatçısı Dave Dittrich, Distribution Denial of Service (DDoS) hücum alətləri üzərində apardığı araşdırma ilə ən yaxşı tanınıb..

90-cı illərin sonu və 2000-ci illərin əvvəllərində dünyada bir sıra geniş miqyaslı DDoS hücumlarından sonra Dittrich etik Hacking texnikalarından istifadə edərək güzəştli ev sahiblərini araşdırmağa başladı..

Tədqiqatları bəzən şəxsi məlumatları əldə etməyə məcbur etdi güzəştli sistemli hesab sahiblərindən.

Dittrich, tez-tez etdiyi hacker fəaliyyətinin ciddi bir hüquqi problemlə üzləşə biləcəyindən danışır. Niyyətləri yaxşı olsa da, bəzi hərəkətlərinə icazəsiz müdaxilə kimi baxmaq olardı.

Xoşbəxtlikdən, Dittrich, heç vaxt heç bir qanuni nəticəsi ilə üzləşməmişdir. Dittrichin hərəkətlərinin etik pozuntusu hesab edilməsinin səbəblərindən biri ciddi etik qaydalara riayət etmək üçün çox çalışması idi.

Tədqiqatçı olmağa çalışdı şəffaf və ünsiyyətcil tədqiqatında iştirak edən DDoS hücum qurbanlarının hamısı ilə. O, fəaliyyəti və tədqiqat nəticələri barədə dövlət orqanlarına məlumat verdi.

Dittrich, hazırda zərərli hack vasitələrinə qarşı mübarizə aparmaq üçün etik haker hücumunun böyük bir müdafiəçisidir. Hesab edir ki, etik hakerlər özlərini və başqalarını qorumaq üçün ciddi bir etik kodeksini yaratmaq və izləmək üçün birlikdə işləməlidirlər.

Glenn Mangham

İngilis proqram inkişaf tələbəsi Glenn Mangham’ın hekayəsi buna gözəl bir nümunədir niyyətləriniz yaxşı olsa belə, icazəsiz Hack ilə əlaqəli risklər.

2011-ci ildə Mangham Yahoo-da bəzi təhlükəsizlik zəifliklərini gördü. Axtarış Motoru. Hacking texnikalarından istifadə edərək proqram təminatını inkişaf etdirən tələbə zəifliklərini daha ətraflı araşdırdı.

O, fəaliyyəti və tapıntıları barədə hesabat hazırladı, sonra Yahoo-ya göndərdi! təhlükəsizliyi necə artırmaq üçün tövsiyələr ilə birlikdə.

Yahoo! Manghamın hərəkətlərini etik haker hücumu hesab etdi. Şirkət hesabatına görə ona təşəkkür etdi və səylərinə görə bir neçə min funt sterlinq mükafat da verdi.

Bununla birlikdə, Mangham’ın bəxti o il sonra Facebook ilə eyni işi sınayarkən dəyişdi. Əvvəlki müvəffəqiyyətindən həvəsləndirən bu dəfə, zəiflikləri tapmaq üçün ovunda daha ifrat hərəkətlər etdi.

Mangham bir neçə Facebook serverinə girmək üçün istifadə etdiyi bir Facebook işçisinin hesabına uğurla girildi.

Qarşılaşdığı təhlükəsizlik zəifliklərini araşdırarkən, Mangham məxfi mənbə kodu yüklədi Facebook serverlərindən evindəki sabit diskə. O, Yahoo üçün yaratdığı hesabata bənzər bir hesabat hazırlamağa çalışdığını iddia edir! Facebook’a təhlükəsizliklərini yaxşılaşdırmağa kömək etmək üçün.

Təəssüf ki, Facebook hər şeyi başqa cür gördü. Şirkət icazəsiz bir pozuntu sübutu tapdı və birbaşa Manghama girişi izləyən FTB-yə getdi.

İngilis səlahiyyətliləri proqram təminatını inkişaf etdirən tələbə ilə qarşılaşdıqda, dərhal etdiyi əməlləri etiraf etdi və niyyətlərini izah etməyə çalışdı, amma çox gec idi.

Facebook Manghamın hərəkətlərini etik hücum kimi qiymətləndirmədi. Şirkətin vəkilləri, icazəsiz girişin heç vaxt zərərsiz olduğunu və hakerin niyyətindən asılı olmayaraq cəzalandırılmalı olduqlarını iddia etdilər. Mangham etdiyi hərəkətlərə görə 8 ay həbs cəzasına məhkum edildi.

Charlie Miller

Charlie Miller, əvvəllər NSA, Twitter və Uber-də işləmiş Amerikalı kibertəhlükəsizlik tədqiqatçısıdır və tanınmış etik haker.

Məşhur qurğularda və proqramlarda kritik təhlükəsizlik qüsurlarını aşkarladığına görə Miller dəfələrlə ictimai mükafatlandırıldı. Hackləmə etikasının ciddi qaydalarına əməl etdiyinə görə heç vaxt qanuni nəticələrlə üzləşməyib.

Budur, Millerin etik haker hücumu ilə nələr etdiyinə dair bəzi nümunələr:

  • 2007: Miller, Safari iPhone tətbiqetməsində iPhonları gizlətmək və qaçırmaq üçün istifadə edilə bilən bir kritik bir kəşf etdi. Apple, Miller şirkətə etdiyi nəticələri bildirdikdən sonra problemi uğurla həll edə bildi.
  • 2008: Kanadadakı bir haker konfransı, təhlükəsizlik zəifliyinin MacBook Air-i 2 dəqiqədən az müddətdə hack etmək üçün necə istifadə olunacağını nümayiş etdirdiyinə görə Miller-ə 10000 dollar mükafat verdi..
  • 2009: Miller, iPhone’ların DDoS hücumlarına həssas qalmasına səbəb olan iPhone’un mətn mesajı emal sistemindəki bir təhlükəsizlik qüsurunu ifşa etdi.
  • 2011: Apple noutbuklarının batareya çiplərində kritik bir zəiflik tapdı ki, laptopu zərərli proqramla yoluxdurmaq və ya cihazı zədələmək üçün asanlıqla istismar edilə bilər.
  • 2012: Miller, hakerlərin Google’un mobil tətbiqlər mağazasının qorunmasını aşması üçün istifadə edə biləcəyi bir metodu ifşa etdi, bu, hakerlərin məlumatları oğurlamaq, spam göndərmək və ya pul almaq üçün zərərli Android tətbiqləri yaratmalarına imkan verdi. Google Millerin köməyi ilə problemi həll edə bildi.
  • 2015: Charlie Miller və digər etik haker Chris Valasek, Jeep Cherokee-nin internetə bağlı əyləncə sistemində bir zəiflik aşkar etdilər. Yalnız avtomobilin IP ünvanı ilə, iki haker avtomobilin mühərrikini, qırılmalarını, sükan çarxlarını və daha çox şeyləri avtomobilin daxili nəzarət cihazı şəbəkəsinə (CAN) əmr göndərməklə uzaqdan idarə edə bildi. Jeep Cherokee sahibi olan Fiat Chrysler, Miller və Valasek məsələni açıqladıqdan sonra tez bir zamanda təhlükəsizlik yamağı yarada bildi.

Etik Hacker olmaq

Əvvəlki hissədəki real dünyadakı nümunələr, bir etik kodun sındırılması bir hakerin 10000 dollar mükafat və ya həbs cəzası qazanan hərəkətləri arasındakı fərqi necə dəyişdiyini göstərir..

Etik Hacking qaydalarına riayət etmək, haker kimi etibarlı və qanuni olaraq işə başlamaq üçün yeganə yoldur. Həmçinin bu da etik bir haker kimi pul qazanmaq çox asandır qara şapka və ya boz şapka kimi.

Dünyada getdikcə artan şirkətlər kiber təhlükəsizliyə çox sərmayə qoymağın vacibliyini dərk edirlər. Bu artan şüur, informasiya təhlükəsizliyi sahəsinin həmişəkindən daha sürətli böyüdüyünü ifadə edir.

Bacarıqlı etik hakerlər üçün hazırkı sürətlə artan tələb iş yerlərinin yaradılması və maaşların artırılması, Ağ şapka xakerlərinin dünyagörüşü heç də parlaq olmamışdır.

Qara şapka hakerlərin keçid tərəflərini dəyişdirməsinə dair nümunələr də var, çünki keçmişdən fərqli olaraq etik hakerlər üçün bu qədər çox imkan var..

Ən məşhur hadisələrdən biridir Kevin Mitnick, qazandığı güman edilən inanılmaz bir istedadlı Amerika qara papaq hakeridir yüzlərlə cihaz və şəbəkəyə icazəsiz giriş bir neçə onilliklər ərzində.

Mitnik uzun illər hakimiyyətdən yayındı, lakin 1995-ci ildə yüksək səviyyəli FBI təqibindən sonra nəhayət tutuldu, həbs olundu və 5 il həbs cəzasına məhkum edildi.

Bu gün Mitnick çox müvəffəq bir təhlükəsizlik məsləhətçisidir Dünyanın bəzi ən böyük şirkətlərinə etik haker xidməti təqdim etdi. Keçmiş qara şapka hakerin hekayəsi həm heyranedici, həm də hackdə karyera quran hər kəs üçün ruhlandırıcıdır.

Etik hackin faydaları haqqında artan bir məlumatlandırma sayəsində var bir ton ehtiyat və imkanlar etik hakerlərin faydalanması üçün orada.

Etik Haker kimi Pul qazanmaq

Etik hakerlik girmək üçün əyləncəli və maraqlı bir sahədir, amma bu da ola bilər pul qazanmağın əla yolu. Etik hakerlərin pul qazanmaq üçün aparacaqları iki əsas yol var.

Etik hakerlərin çoxu müəssisələr və ya konsaltinq şirkətləri tərəfindən işə götürülür. Bunlardan bəziləri Etik hakerləri cəlb edən ümumi iş adları:

  • İnformasiya Təhlükəsizliyi Təhlilçisi
  • Kiber Təhlükəsizlik Təhlilçisi
  • Təhlükəsizlik Mühəndisi
  • Nüfuz Testeri
  • İnformasiya Təhlükəsizliyi Meneceri
  • Kiber Təhlükəsizlik Tədqiqatçısı

Payscale’nin sözlərinə görə, ABŞ-da Sertifikatlı Etik Hacker üçün orta illik əmək haqqı 2019-cu ildə 90.000 dollardır, ancaq ən çox qazananlar 130.000 dollardan çox ola bilər..

Bunlardan bəziləri orta əmək haqqı 2019-cu ildə dəyişir ABŞ-da yerləşməyə əsaslanan etik bir haker üçün:

  • Vaşinqton, DC: 66.182 – $ 125.937
  • Nyu-York, Nyu-York: 49.518 dollar – 128.634 dollar
  • Atlanta, Georgia: 49,682 dollar – 112,217 dollar
  • San Antonio, Texas: 51.824 dollar – $ 91.432

Bəzi etik hakerlər bir şirkətə qoşulmaqdansa, solo işləməyi üstün tuturlar. Bu hakerlər adətən pullarını səhv lütfləri hesabına qazanırlar.

Bug Lütf Proqramları

Bir çox veb sayt və proqram təminatçısı insanlara təklif etməyin dəyərini tanıyır hər hansı bir səhv və ya zəifliyi açıqlamağa motivasiya onları istismar etmək və ya açıq elan etməkdənsə, qarşılaşdıqları.

Səhv lütfü, veb sayt və ya proqram təminatçısı tərəfindən təklif olunan mükafatdır istifadəçilər və şirkətə bir səhv tapan və məlumat verən etik hakerlər. Ən böyük mükafatlar, adətən, zərərli bir haker tərəfindən istismar edilə biləcək bir səhvin aşkarlanması üçün təklif olunur.

Səhv lütfü proqramlarının qanuni qorunması, daha əvvəl bu məqalədə müzakirə edilmişdir. Ümumiyyətlə, ən vacib şeydir səhv lütf proqramının şərtlərini və qaydalarını diqqətlə oxuyun və şirkətin verdiyi qaydalara əməl edin.

Səhv lütfləri istedadlı etik hakerlərin pul qazanması üçün əla bir yol ola bilər. Mümkün qazancla yanaşı, tanınmış şirkətlər tərəfindən təklif olunan bir neçə səhv lütf proqramının siyahısı:

  • Facebook: 500 – 50.000 dollar
  • Apple: 200.000 dollara qədər
  • GitHub: 600 – 30.000 dollar+
  • Google: 100 – 30.000 dollar+
  • Microsoft: 100.000 dollara qədər
  • Netflix: 200 – 20.000 dollar
  • Uber: 500 – 10.000 dollar
  • PayPal: 30.000 dollara qədər

Bir çox veb sayt, hackerone bazasında səhv lütf proqramları haqqında məlumat yerləşdirir.

etik hack 2

Etik Haker kimi işə başlayın

Etik hack ilə əlaqəli ən yaxşı şeylərdən biri də budur hər kəs üçün əlçatandır. Mükəmməl bir haker olmaq üçün tək bir düzgün yol yoxdur.
Etik hack, müvəffəq olmaq üçün ciddi, ənənəvi bir yolu izləməli olduğunuz bir çox digər karyeralardan fərqlidir. Əslində, ən məşhur etik hakerlərdən biri olmuşdur tamamilə özünü öyrədir.

Unutmayın ki, bir gecədə heç kim istedadlı bir haker olmur. Hacking bacarıqlarını öyrənmək tələb olunur vaxt, səy və fədakarlıq. Hətta təcrübəli hakerlər daima yeni bacarıqları öyrənməyə məcbur olurlar, çünki texnologiya bu qədər sürətlə dəyişir.

Əgər sərmayə qoyursan öyrənmək və daim bacarıqlarınızı artırmaq, onda siz artıq böyük bir başlanğıcındadır.

Həvəsli bir etik haker kimi götürməyin mümkün yolları çox olduğundan, hər şeyi parçalayacağıq rəsmi və qeyri-rəsmi addımlar ala biləcəyinizi.

Rəsmi öyrənmə – dərəcələr və sertifikatlar

Etik hackdə bir karyera üçün tələb olunan xüsusi bir dərəcə və ya ixtisas yoxdur, lakin kurslarda iştirak edir informasiya texnologiyaları, kompüter elmləri, kompüter mühəndisliyi və ya hətta riyaziyyat sahəyə girməyə hazırlaşmağınıza kömək edə bilər.

Öyrənməyi əhatə edən istənilən dərəcədir proqramlaşdırma dilləri və proqram təminatı etik hakerlər üçün ən aktual olacaqdır.

Əgər real dünya təcrübəsi yoxdursa, istedadlı bir etik haker kimi özünüzü fərqləndirməyin ən yaxşı yollarından biri bu sertifikatlaşdırma. Etik hakerlərin əldə edə biləcəyi bir neçə fərqli etimadnaməsi var.

Sertifikatlı Etik Hacker (CEH)

Sertifikatlı Etik Hacker olmaq üçün Beynəlxalq Elektron Ticarət Məsləhətçiləri Şurasının (EC-Council) etimadnaməsini almalısınız.

CEH bir giriş səviyyəli sertifikat. Əldə etməyiniz, nəzəri səviyyədə etik hackin nə olduğunu, qeyri-etik hakerlikdən nə ilə fərqləndiyini, hansı hücumların mövcud olduğunu və onlardan necə qorunmağınızı sübut edir..

İmtahan təşkil edilir 125 çox seçim sualları kimi mövzuları əhatə edir: ayaq izi və kəşfiyyat, şəbəkə taraması, məlumatları qarışdırmaq, serverləri qaçırmaq, SQL injektoru, sistemin hacklənməsi, veb tətbiqetmələrin hücumu və sosial mühəndislik. İmtahan təxminən davam edir dörd saat.

Sertifikatlı Etik Haker (Praktik)

CEH etimadnamənizi əldə etdikdən sonra CEH praktik imtahanı vermək hüququnuz var. Bu bir orta səviyyəli sertifikat.

Giriş səviyyəli CEH etimadnaməsi, etik hacking metodologiyasını və vasitələrini başa düşdüyünüzü nümayiş etdirməyinizə baxmayaraq, praktik imtahan da onlardan necə istifadə etməyinizi sübut etmək üçündür..

Adından göründüyü kimi, CEH əldə edərkən qarşılaşdığınız bütün nəzəriyyələri tətbiq edəcəksiniz. İmtahandır daha çətin haqqında və CEH daha çox tələb edəcək altı saat Problemlərin həlli – Cəmi 20 problem – Hacked maşınları olan bir virtual şəbəkədə.

Təhlükəsiz Təhlükəsizlik Sertifikatlı Professional (OSCP)

OSCP sertifikatlaşdırma yalnız hack etməyi bilmədiklərini, eyni zamanda bunu necə edəcəyinizi bildiklərini sübut etmək istəyən etik hakerlər üçündür. ciddi etika və iş etiket standartı.

Yaxşı bir haker olmaq bir şeydir, amma peşəkar və etik bir haker olmaq başqa şeydir. OSCP keçmək üçün canlı bir simülasyona qarşı bir nüfuz testini həyata keçirin həssas cihazları olan şəbəkə.

Gerçəkliyi təqlid edən şəraitdə hack edəcəksiniz. Giriş sınağınızın sonunda tapıntılarınıza bir neçə yüz səhifəlik bir hesabat yazmalı və verməlisiniz.

Bu bir qabaqcıl sertifikat, lakin bunu əldə etməyiniz görkəmli bir etik haker olduğunuzu sübut edir.

Qeyri-rəsmi öyrənmə – Bacarıqlar və mənbələr

Başlamağın ən yaxşı yollarından biri, bir və ya daha çox proqramlaşdırma dilini öyrənməyə başlamaqdır. Rəsmi bir proqramlaşdırma sinifinə üzv ola bilərsiniz, ancaq mütləq məcbur deyilsiniz.

Əla çox var pulsuz onlayn mənbələr həm başlanğıc, həm də qabaqcıl hakerlər üçün proqramlaşdırma bacarıqlarını artırmaq üçün. Bir neçə nümunə:

Proqramlaşdırma mənbələri

Codecademy, yeni başlayanlar üçün əla olan bir interaktiv saytdır. Fərqli proqramlaşdırma dillərinin əsaslarını praktik bir şəkildə öyrənməlisiniz.

Codewars bir neçə populyar proqramlaşdırma dillərində əsas və aralıq kodlaşdırmağı öyrənmək üçün əyləncəli, interaktiv bir yoldur.

Pulsuz Kod Kampı özünü kodlaşdıran bootcamp kimi reklam edir. Tədris proqramı ilə işlədikdən sonra qeyri-kommersiya üçün real layihələr üzərində işləmək imkanınız olacaq.

Coursera, edX, Udacity, Udemy və hətta Youtube kimi onlayn təlim platformalarında bəzi əla pulsuz proqramlaşdırma kursları tapa bilərsiniz..

Proqramlaşdırma ilə tanışsınızsa və harada başlamağınızdan əmin deyilsinizsə, hakerlər tərəfindən istifadə olunan ən populyar proqramlaşdırma dilləri Python, HTML, Javascript, SQL, Ruby və Perl.

Onlayn Hacking Resursları və platformaları

Orada etik hakerlərə kömək edən çox sayda resurs var yeni bacarıqlar öyrənmək və mövcud biliklərini tətbiq etmək. Əsas hack üsullarını öyrənmək və hətta həqiqi bacarıqları real simulyasiyalarda tətbiq etmək üçün bəzi mənbələr var.

Kiberhakerlik, hack və kiber təhlükəsizliyə dair geniş bacarıqlar üzrə pulsuz onlayn təlim kursları təklif edir.

Bug Hunter Universiteti, Google tərəfindən yaradılan böyük bir qaynaqdır. Bu, etik hakerlərə səhv lütfləri üçün peşəkar zəiflik hesabatlarını necə yaratmağı öyrənməyə kömək edir..

Hacksplaining, müxtəlif hacking texnikaları üzrə dərslər verən əyləncəli, interaktiv saytdır. Hack texnikasının əsaslarını, həmçinin onlara qarşı necə müdafiə olunacağını öyrənmək üçün əla bir yerdir.

Hack Me, təhsil və tədqiqat məqsədləri üçün həssas veb tətbiq kodunu qura, keçirə və paylaşa biləcəyiniz pulsuz bir cəmiyyətə əsaslanan bir layihədir.

EnigmaGroup, potensial etik hakerlərin nüfuzetmə test bacarıqlarını inkişaf etdirmələri üçün bir qaynaqdır.

Hack Bu Sayt, hackerlərin hacking bacarıqlarını sınamaq və genişləndirmək üçün özünü pulsuz və qanuni bir təlim sahəsi və cəmiyyət olaraq təqdim edir.

Əlavə Hacking Resursları

Həqiqətən etik hackə girməyə can atırsınızsa, bu əlavə resurs siyahıları sizin üçün faydalı ola bilər.

  • Pulsuz Təhlükəsizlik e-kitabları: Github-da yerləşdirilən pulsuz hack və kiber təhlükəsizlik e-kitabları.
  • Onlayn Hacking Resources Database: Hacking bacarıqları və mövzularına dair forumların, bloqların, YouTube kanallarının, məqalələrin və istinadların siyahısı..
  • Kurslar və Təlimlər: Kibertəhlükəsizlik mövzusunda nüfuzlu kursların və təlim sessiyalarının siyahısı.
  • Sosial Mühəndislik: Həqiqi sosial mühəndislik texnikalarını öyrənməyə kömək edəcək mənbələr və materiallar.
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map