Hogy kezdjek hozzá a tanuláshoz ha hacker szeretnék lenni és nem pedig script kiddie?

Aki tényleg ért hozzá, azt is tudja, mi a különbség a hacker és a cracker között, és nem ír ostobaságokat arról, hogy illegális lenne.

Kérdező: mindenképpen mélyebben kell megismerkedned a Linux oprendzerrel, és tanulj programozni. Ennyi a lényeg. Az eredeti kérdésedre majd térjél vissza később, ha már programoztál egy csomót, nem vezet hozzá direkt út.

'Információs rendszer vagy adat megsértése

423. § (1) Aki

a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,........

és itt a jogosulatlanul-on van a hangsúly.

"mint rendőri - nem 'talpas' rendőr voltam, mielőtt leszólnátok - mint szakmai"

Ezért is mondtam: szakmádnak - függetlenül a hierarchiában betöltött szerepedtől - megfelelő reakció. ;)

"általában nem törvényes dolgokra használják fel tudásukat."

Mármint kik?

Azok a szerencsétlen flótások, akik valamilyen - általában magánéleti (például elhagyta/megcsalja őket a párjuk) - probléma online világban történő megoldására bűncselekményt (megszerzik a másik fél közösségi oldalának jelszavát és illetéktelenül lépnek be) valósítanak meg?

Vagy azon kis - általában tizenéves - semmirekellő nímandok, akik azt hiszik, hogy vicces/menő mások munkájának tönkretétele/megnehezítése úgy, hogy ehhez semmilyen saját munkát nem fektetnek be?

Ezek egyike sem hacker - egyrészt mert eleve kárt akarva/akaratlanul is kárt okoz; másrészt semmi újat, maradandót nem alkot, hanem általában mások munkáját használja fel. Ezzel ellentétben a kérdező hozzászólásaiban nyíltan deklarálta:

class hacker {

bool karokozas = false;

bool masok_munkajanak_esz_nelkuli_atvetele = false;

bool motivacia_a_tanulasra = true;

};

"A nagyon 'zsenikben' már van annyi, hogy önkontrolt gyakoroljanak."

Az egyszeri laikus érdeklődőben is lehet önkontroll - nevelés (nem piszkáljuk más tulajdonát, nem teszünk benne kárt) kérdése.

A probléma inkább az - és itt újból utalnék a média fogadatlan prókátoraira - hogy főként a hormonoktól duzzadó, lázadozó tizenévesek fejébe azt próbálják beleplántálni, hogy az Internet a teljes, kontrollálatlan szabad(dos)ságról szól, ahol "névtelenül", ingyenesen lehet bármit tenni. Ezt persze megfelelő neveléssel ellensúlyozni lehet.

Szerintem a kérdés nem megfelelően lett megfogalmazva. Ha ilyen munkakörben szeretnél elhelyezkedni, akkor van rá lehetőség, ilyen munkakörök pl az etikus hacker, security analyst, penetration tester stb...

Pár héttel ezelőtt részt vettem egy 40 órás etikus hacker tanfolyamon, előtte pedig egy network security tanfolyamon, előtte pedig valamikor egy websecurity tanfolyamon. Utóbbi leginkább a webalkalmazások feltöréséről szólt. Komolyabban fél éve kezdtem el magam képzeni security tanfolyamokon és a következő meglátásokkal élnék:

Amennyiben webalkalmazások biztonságával szeretnél foglalkozni, akkor javascript, php, mysql. Nem tudom, hogy mennyire ismered a Linux disztribúciókat. Én első körben a Debian-t javasolnám, ennek legfőbb oka, hogyha valóban IT Sec vonalon akarsz továbbmenni, akkor előbb-utóbb elkerülhetetlen lesz, hogy Kali Linux-ot használj, ami tulajdonképpen egy Debian disztribúció. Egy Linux disztribúció ismerete elengedhetetlen.

Ethical Hacking / Hacking NEM csak a programozásról szól, sőt szerintem leginkább pont nem arról... Persze, ha le akarsz DoS-olni egy szervert és Bufferoverflow-t szeretnél csinálni a célalkalmazáson, akkor Assemby nyelvre szükséged lesz, ha te akarod megírni a kódot, de ez tényleg arról szól, hogy TE mivel szeretnél foglalkozni. Lentebb felsoroltam néhány olyan skillt security téren, amelyhez ugyan nem kell programozás vagy csak minimális. A lentiek alapján döntsd el magad, hogy tényleg az etikus hacker valóban csak ennyi volna: "művészi szinten programozó ember" (szerintem ez bullshit).

- Hálózatok ismerete, hálózatbiztonsági megoldások (tűzfalak, IDS/IPS rendszerek, Proxy-k)

- Cisco és/vagy Juniper eszközök alapszintű ismerete és ezekhez az eszközökhöz tartozó security beállítások

- Authentikációk, hashing ismerete, kriptográfia

- Programok: Wireshark, NMAP

- Jelszavak feltörése (lokális és hálózaton futó)

- MySQL / MSSQL adatbázis ismeretek: a webalkalmazások mögött lévő adatbázisokat SQL injection-nel lehet támadni, így az SQL nyelv szintaxisát alapszinten ismerni kell (egyáltalán nem nehéz megtanulni)

- Programok: SQLmap (én ezt preferálom biztonsági tesztelésre), GreenSQL (védekezésre)

- Vannak automatizált eszközök, amelyek feltérképezik a webalkalmazások sérülékenységeit (XSS, SQLinjection, CSRF, LFI stb). Azt ne felejtsük el, hogy weboldalaknál nem a hacker írja az alkalmazást, hanem csak kihasználja a rosszul megírt kódot! Így nem gondolnám, hogy php vagy javascript fejlesztőnek kéne lenni, hogy egy XSS-t vagy LFI-t sikeresen abszolválj egy weblapon. Egy alapszintű php, javascript elegendő szerintem, illetve ha látsz egy php kódot, akkor tudod, hogy mit csinál.

- Metasploit: ez egy picit kilóghat a sorból, mert itt te is írhatsz exploitot (rosszindulatú kód) de akár az exploit-db-n lévő mások által írt kódokat is felhasználhatod, DE itt sem kell akkora fejlesztőnek lenni!

Egyébként, ha programnyelvek mellett kell letenni a voksot, akkor python, perl, ruby. Mint ahogy előttem is írták már, te magad is írhatsz kisebb-nagyobb programokat, pl az sqlmap python-ban írodott, amivel automatizálni lehet egy adatbázis feltörését, vagy a metasploit, amit ruby-ban írtak. Tehát én határozottan NEM a programozás ellen vagyok, csak úgy gondolom, hogy egy etikus hackernek nem feltétlen kell több nyelven komplex programokat írnia.

"Sajnos nekem az az élettapasztalatom, mint rendőri - nem 'talpas' rendőr voltam, mielőtt leszólnátok - mint szakmai"

Azért pedig le fogunk szólni, ha még a magyar szavakat sem érted, és nem tudod a különbséget a mint és a mind között. Minttel értelmetlen a mondat. Bár rendőröktől máskor is hallottam már, de aki olyanokat ír a jegyzőkönyvbe, hogy "elmondani kívánom", attól nem is meglepő.