Conceitos básicos de hackers éticos
Hacking
Hacking é um processo de identificação e exploração de vulnerabilidades em sistemas de computador e rede para obter acesso a esses sistemas. A quebra de senha é um tipo de hacking usado para obter acesso ao sistema. Hacking é um ato fraudulento que permite que os criminosos invadam um sistema, roubem dados pessoais ou realizem fraudes de qualquer maneira por meio de dispositivos digitais.
Tipos de hackers
Uma pessoa que encontra e explora vulnerabilidades em uma rede ou sistema de computador é chamada de hacker. Ele ou ela pode ter habilidades muito avançadas em programação e um conhecimento prático de segurança de rede ou computador. Os hackers podem ser categorizados em seis tipos:
Chapéu branco
Hackers éticos também são chamados de hackers de chapéu branco. Esse tipo de hacker ganha acesso a um sistema para identificar suas fraquezas e avaliar vulnerabilidades no sistema.
Chapéu preto
Hackers de chapéu preto também são chamados de “biscoitos.”Esse tipo de hacker ganha acesso não autorizado a sistemas de computador e rede para ganho pessoal. Roubar dados e violar os direitos de privacidade são as intenções deste hacker.
Chapéu cinza
Os hackers de chapéu cinza estão na fronteira entre o White Hat e Black Hat Hackers. Esses hackers invadem sistemas de computador ou rede sem autorização para identificar vulnerabilidades, mas apresenta essas fraquezas ao proprietário do sistema.
Novatos de script
Os hackers novatos são novos programadores ou pessoal não qualificado que usam várias ferramentas de hackers feitas por outros hackers para obter acesso a sistemas de rede ou computador.
Ativistas de hackers ("hacktivistas")
Hacking ativista ou hackers "hacktivistas" pode ter uma agenda social, política ou religiosa como justificativa para hackers ou outros sistemas. Um hacktivista geralmente deixa uma mensagem no site ou sistema seqüestrado por sua causa.
Phreakers
Phreakers são aqueles hackers que exploram os telefones, em vez de explorar sistemas de computador ou rede.
Regras para hackers éticos
- Antes de invadir a rede ou sistema de computador, primeiro, você deve receber permissão por escrito do proprietário do sistema.
- Coloque a principal prioridade para proteger a privacidade do proprietário do sistema hackeado.
- Relate todas as vulnerabilidades reveladas de maneira transparente ao proprietário do sistema hackeado.
- Os fornecedores de software e hardware usando esse sistema ou produto também devem ser informados sobre as vulnerabilidades do sistema.
Hacking ético
Informações sobre a organização são um dos ativos mais importantes para hackers éticos. Esta informação precisa ser protegida contra todos os ataques antiéticos de hackers para salvar a imagem da organização e impedir a perda monetária. Hacking de fora pode levar a muitas perdas para uma organização em termos de negócios. Hacking ético identifica as vulnerabilidades ou fraquezas em um sistema de computador ou rede e cria uma estratégia para proteger essas vulnerabilidades.
Hacking ético: legal ou ilegal?
Hacking ético é uma ação legal somente se o hacker seguir todas as regras definidas na seção acima. O Conselho Internacional de comércio eletrônico fornece programas de certificação para testes de habilidades éticas de hackers. Esses certificados devem ser renovados após um período de tempo. Existem outros certificados de hackers éticos que também serão suficientes, como as certificações RHC Red Hat e Kali Infosec.
Experiência necessária
Um hacker ético precisa de certas habilidades para obter acesso a um computador ou sistema de rede. Essas habilidades incluem o conhecimento de programação, o uso da Internet, a solução de problemas e a conceituação de algoritmos de contra-segurança.
Linguagens de programação
Um hacker ético requer comando suficientes de muitas linguagens de programação, porque diferentes sistemas são criados com diferentes linguagens de programação. A idéia de aprender um idioma específico deve ser evitado e o aprendizado de idiomas de plataforma cruzada deve ser priorizada. Alguns desses idiomas estão listados abaixo:
- Html (plataforma cruzada): Usado para hackers da web combinados com formulários HTML.
- JavaScript (plataforma cruzada): Usado para hackers na web com a ajuda de scripts de código Java e script de sites cruzados.
- Php (plataforma cruzada): Usado para hackers da Web combinados com HTML para encontrar vulnerabilidades em servidores.
- SQL (plataforma cruzada): Usado para hackers da web usando injeção de SQL para ignorar o processo de login em aplicativos ou bancos de dados da Web.
- Python, Ruby, Bash, Perl (plataforma cruzada): Usado para criar scripts para desenvolver ferramentas automatizadas e criar scripts para hackers.
- C, c++ (plataforma cruzada): Usado para escrever e explorar via shellcodes e scripts para executar rachaduras de senha, adulteração de dados, etc.
Você também deve saber como usar a Internet e os mecanismos de pesquisa para obter informações com eficiência.
Os sistemas operacionais Linux são os melhores para realizar hackers éticos e têm uma variedade de ferramentas e scripts para hackers básicos e avançados.
Ferramentas
Esta seção recomenda algumas das melhores ferramentas de hackers éticas. Recomendamos que você use um sistema operacional baseado em Linux para realizar hackers éticos.
-
João o Estripador
John the Ripper é um kit de ferramentas rápido e confiável que contém numerosos modos de rachaduras. Esta ferramenta é altamente personalizável e configurável de acordo com suas necessidades. Por padrão, John, o Estripador, pode trabalhar com muitos tipos de hash, incluindo DES tradicional, BigCrypt, FreeBSD MD5, Blowfish, BSDI, Extended Des, Kerberos e MS Windows LM. John também suporta outros códigos de Tripcodes baseados em DES que precisam ser configurados apenas. Essa ferramenta também pode funcionar em hashes sha hashes e hashes Sun Md5, e suporta chaves privadas OpenSsh, arquivos PDF, ZIP, RAR Archives e Kerberos TGT.
John, o Ripper, contém muitos scripts para vários propósitos, como UNAFs (aviso sobre senhas fracas), não -condescedentes (senhas e arquivos de sombras combinados) e exclusivos (as duplicatas são removidas da WordList).
-
Medusa
Medusa é uma ferramenta de login de força bruta com um design muito rápido, confiável e modular. A MEDUSA suporta muitos serviços que permitem autenticação remota, incluindo testes paralelos baseados em threads múltiplos, esta ferramenta possui entrada flexível do usuário com um design modular que pode suportar serviços independentes de força bruta. Medusa também suporta muitos protocolos, como SMB, HTTP, POP3, MSSQL, SSH versão 2 e muito mais.
-
Hidra
Esta ferramenta de ataque de senha é um crack de login paralelo centralizado com vários protocolos de ataque. Hydra é altamente flexível, rápido, confiável e personalizável para a adição de novos módulos. Esta ferramenta pode obter acesso remoto não autorizado a um sistema, o que é muito importante para os profissionais de segurança. A Hydra trabalha com a Cisco AAA, Cisco Authorization, FTP, HTTPS get/post/proxy, IMAP, MySQL, MSSQL, Oracle, PostgreSQL, SIP, POP3, SMTP, SSHKEY, SSH e muito mais mais.
-
Metasploit Framework (MSF)
A Metasploit Framework é uma ferramenta de teste de penetração que pode explorar e validar vulnerabilidades. Esta ferramenta contém a maioria das opções necessárias para ataques de engenharia social e é considerada uma das estruturas de exploração e engenharia social mais famosas. MSF é atualizado regularmente; Novas explorações são atualizadas assim que forem publicadas. Este utilitário contém muitas ferramentas necessárias usadas para criar espaços de trabalho de segurança para testes de vulnerabilidade e sistemas de teste de penetração.
-
Ettercap
Ettercap é um kit de ferramentas abrangente para ataques de "homem no meio". Este utilitário suporta farejo de conexões vivas, filtrando o conteúdo. O Ettercap pode dissecar vários protocolos ativamente e passivamente e inclui muitas opções diferentes para análise de rede, bem como análise de hosts. Esta ferramenta possui uma interface GUI e as opções são fáceis de usar, mesmo para um novo usuário.
-
Wireshark
Wireshark é um dos melhores protocolos de rede que analisam pacotes disponíveis gratuitamente. Wireshark era anteriormente conhecido como etéreo. Esta ferramenta é amplamente usada pelas indústrias, bem como institutos educacionais. Wireshark contém uma capacidade de "captura ao vivo" para investigação de pacotes. Os dados de saída são armazenados em documentos XML, CSV, PostScript e TEXTINO. Wireshark é a melhor ferramenta para análise de rede e investigação de pacotes. Esta ferramenta possui uma interface de console e uma interface gráfica do usuário; A opção na versão da GUI é muito fácil de usar.
-
NMAP (Mapper de rede)
NMAP é curto para “Mapper de rede.”Esta ferramenta é um utilitário de código aberto usado para digitalizar e descobrir vulnerabilidades em uma rede. O NMAP é usado por pentesters e outros profissionais de segurança para descobrir dispositivos em execução em suas redes. Esta ferramenta também exibe os serviços e portos de cada máquina host, expondo ameaças em potencial.
-
Reaver
Para recuperar as sessões WPA/WPA2, Reaver adota uma força bruta contra pinos de registrador de configuração protegida por WiFi (WPS). Reaver é construído para ser uma ferramenta de ataque WPS confiável e eficaz e foi testado contra uma ampla gama de pontos de acesso e estruturas WPS. Reaver pode recuperar o ponto de acesso desejado WPA/WPA2 senha segura em 4 a 10 horas, dependendo do ponto de acesso. Na prática real, no entanto, desta vez pode ser reduzido a metade.
-
Autópsia
A autópsia é uma utilidade forense tudo em um para recuperação rápida de dados e filtragem de hash. Esta ferramenta esculpe arquivos e mídia excluídos de espaço não alocado usando o Photorec. A autópsia também pode extrair a extensão Exif multimídia. Além. Esta ferramenta está disponível na linha de comando, bem como na interface da GUI.
Conclusão
Este artigo abordou alguns conceitos básicos de hackers éticos, incluindo as habilidades necessárias para hackers éticos, idiomas necessários para executar essa ação e as principais ferramentas que os hackers éticos precisam.