Об этом приложении
Это приложение, содержащее информацию об этическом взломе для начинающих - Руководства, содержит информацию об этическом взломе.Что такое этичный взлом?
Этический взлом, также известный как тестирование на проникновение или пентестинг, по закону взламывает компьютеры и устройства для проверки защиты организации. Это одна из самых увлекательных ИТ-профессий, в которой может быть задействован любой человек. Вам буквально платят за то, чтобы идти в ногу с новейшими технологиями и взламывать компьютеры без угрозы ареста.
Компании привлекают этичных хакеров для выявления уязвимостей в своих системах. С точки зрения тестера на проникновение недостатков нет: если вы пройдете мимо текущих средств защиты, вы дадите клиенту шанс закрыть брешь до того, как ее обнаружит злоумышленник. Если вы ничего не найдете, ваш клиент будет еще счастливее, потому что теперь он может объявить свои системы «достаточно безопасными, чтобы даже платные хакеры не смогли взломать их». Беспроигрышный вариант!
Что делают этичные хакеры?
Объем и постановка целей-
Любому профессиональному тестеру на проникновение необходимо задокументировать согласованные объем и цели. Вам нужно задать следующие вопросы о сфере охвата:
* Какие компьютерные ресурсы подлежат тесту?
* Включает ли он все компьютеры, только определенное приложение или услугу, определенные платформы ОС или мобильные устройства и облачные сервисы?
* Включает ли объем только определенный тип компьютерных активов, таких как веб-серверы, серверы SQL, все компьютеры на уровне ОС хоста, и включены ли сетевые устройства?
* Может ли пентестирование включать автоматическое сканирование уязвимостей?
* Разрешена ли социальная инженерия, и если да, то какие методы?
* В какие даты будет разрешено тестирование на проникновение?
* Существуют ли дни или часы, когда нельзя проводить тестирование на проникновение (чтобы избежать непреднамеренных отключений или прерываний обслуживания)?
* Должны ли тестировщики изо всех сил стараться избегать прерывания обслуживания или вызывать какие-либо проблемы, которые может сделать настоящий злоумышленник, включая прерывания обслуживания, что является важной частью теста?
* Будет ли тестирование на проникновение «черным ящиком» (то есть у пентестера практически нет внутренних деталей задействованных систем или приложений) или «белым ящиком» (то есть у них есть внутреннее знание атакованных систем, возможно, включая соответствующий исходный код)?
• Сообщат ли защитникам компьютерной безопасности о тесте на проникновение или часть теста будет направлена на то, чтобы увидеть, заметят ли защитники?
* Если профессиональные злоумышленники (например, красная команда) попытаются взломать, не будучи обнаруженными защитниками (например, синяя команда), или они должны использовать обычные методы, которые могут использовать настоящие злоумышленники, чтобы увидеть, не срабатывает ли это существующее обнаружение и предотвращение защиты?
Как стать этичным хакером
Любой хакер должен предпринять некоторые общие шаги, чтобы стать этичным хакером, самый минимум из которых - убедиться, что у вас есть документальное разрешение от нужных людей, прежде чем взламывать что-либо. Чтобы быть этичным хакером, главное - не нарушать закон. Все профессиональные тестеры на проникновение должны следовать этическому кодексу, которым они руководствуются во всем, что они делают. EC-Council, создатель экзамена «Сертифицированный этический хакер» (CEH), имеет один из лучших общедоступных этических кодексов.
