Viktor94
Участник клуба
- Регистрация
- 17 Июн 2020
- Сообщения
- 931
- Реакции
- 16
1. Безопасность и анонимность
Это далеко не пустой звук для хакера. Точнее говоря, это один из китов, на котором все держится.
И совсем не важно, какую сторону вы хотите занять: черную или белую. Безопасность и анонимность необходимы в любом случае.
У многих может возникнуть логичный вопрос:
Для чего мне заморачиваться с безопасностью и анонимностью, если я собираюсь делать легальные вещи?
На самом деле, причин огромное множество, вот лишь некоторые из них:
Начнем с того, что этичный хакер или белый хакер — это специалист по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем. Соответственно, тестировать то, в чем не разбираешься — невозможно. Согласны?
Допустим, что вы решили стать специалистом по кибербезопасности. Отличная идея, ведь на этой должности будет отличный и стабильный доход! Но и здесь необходимы знания в области безопасности и анонимности. Напомню, что специалист по кибербезопасности занимается тем, что выявляет угрозы информационной безопасности и риски потери данных, вырабатывает и внедряет меры противодействия угрозам и решения для защиты от потери информации, обеспечивает сохранность и конфиденциальность данных.
Я бы мог продолжать еще долго, но ценю ваше время. Уверен, что этих двух примеров хватит для того, что бы понять, о чем я говорю.
Паста немесе комент үшін кез-келген ТБ = ТБ
2. Хакинг
Поиск уязвимостей и, непосредственно взлом, — еще один кит на котором все держится, самый большой и жирный кит.
И опять же, совсем неважно, какую сторону вы решили занять. Данные знания и навыки применяются как в черной, так и в белой сферах.
У многих может возникнуть логичный вопрос:
Для чего мне учиться что-то там взламывать, если я хочу работать легально?
И я на него отвечу:
В законной сфере делают все тоже самое. Только теперь взлом называется пентестом или тестированием на проникновение. При этом белые хакеры имеют ровно такой же багаж знаний, используют те же инструменты, эксплуатируют те же уязвимости.
2.1 Что стоит изучить в первую очередь?
Основы ОС Linux ()
Основы WEB'a ()
Поиск уязвимостей
Эксплуатация уязвимостей и методы атаки
SQL-injection от А до Я
Эксплуатация Remote File Include
Уязвимость XSS
Уязвимость Remote Code Execution
Думаю, что для начала этого будет достаточно. Освоив хотя бы половину из этих пунктов вы можете смело идти на сайт hackerone.com и применять свои знания в багхантинге, получая за это щедрое вознаграждение.
3. Социальная инженерия
Настоящий хакер - это не только прекрасный IT специалист, но еще и первоклассный психолог.
Запомните: главная уязвимость любой, даже самой защищенной системы — человек.
У многих может возникнуть логичный вопрос:
Golden, ну для чего мне сдалась социальная инженерия, если я собираюсь работать в легальном поле? Для чего мне обманным путем заставлять человека что-либо делать?
Опять же, возьму и отвечу:
Социальная инженерия применятся белыми хакерами при аудите организации. В данном случае используются все возможные способы попасть в корпоративную инфраструктуру организации, в том числе и через работников.
Если вы решили устроится на должность специалиста по кибербезопасности, то ОБЯЗАНЫ знать все приемы социальной инженерии от А до Я. Если ценного специалиста из вашей компании уволят из-за того, что он открыл зараженный файл, то это будет в первую очередь ваша вина, т.к. вы не учли существование социальной инженерии или халатно к этому отнеслись, не проинформировав сотрудников об опасности должным образом.
И это только самые очевидные примеры, на самом деле сфер применения гораздо больше.
3.1 Что и где изучить?
Во-первых, статьи по теме на нашем канале Hacker Place. Используйте поиск по каналу, введя слово «инженерия», найдете уйму полезной информации.
Во-вторых, хотел бы порекомендовать вам книгу Кевина Митника — Искусство обмана.
Кевин Митник — это человек, благодаря которому слова «хакер» и «социальная инженерия» стали общеизвестными. Он начинал, когда и компьютеров в массовом пользовании не было, и многие телефоны были с дисковым номеронабирателем. Сегодня он работает консультантом по компьютерной безопасности, а 30 лет назад был первым хакером в США и самой желанной добычей ФБР.
Книга The Art of Deception - "Искусство обмана" - доказывает, насколько мы все уязвимы. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социоинженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы "Искусство обмана" не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.
Ссылка на скачивание книги в формате .pdf (кликабельно)
4. OSINT
Начну с того, что OSINT — это полностью легальное направление.
OSINT (Open Source INTelligence) — это разведка по открытым источникам, то есть поиск информации о человеке или организации по базам данных, которые, теоретически, доступны всем.
Чаще всего OSINT используется для сбора информации о конкретном человеке. Но также его можно использовать для поиска информации о конкретных организациях, в том числе для оценки их защищенности.
В рамках кибербезопасности OSINT используется для пентеста, форензики, реверсивной и социальной инженерии.
Пентестеры используют OSINT для оптимизации первого этапа работы: разведки и сбора информации об определенном онлайн-объекте или субъекте. В этом случае OSINT необходим, чтобы наметить цели, которые нужно атаковывать, или понять, что ломать ничего не нужно – оно и так для всех доступно.
Так же считаю важным отметить, что OSINT — это самодостаточное направление. Т.е. вы можете работать исключительно в нем, осуществляя сбор досье на людей или компании. Что касается среднего прайса по рынку:
30.000 руб. стоит досье на человека.
40.000-50.000 руб. стоит досье на компанию.
Согласитесь, доход в 150-200 тысяч рублей в месяц при таких возможностях, скорее начало чем потолок.
Подводя итог
Как вы видите, все перечисленные мной направления одинаково важны для профессионального хакера.
Невозможно изучить только одно из них и считать себя профи. Что бы начать хорошо зарабатывать, необходимо комплексно изучить все приведенные выше ниши.
Это далеко не пустой звук для хакера. Точнее говоря, это один из китов, на котором все держится.
И совсем не важно, какую сторону вы хотите занять: черную или белую. Безопасность и анонимность необходимы в любом случае.
У многих может возникнуть логичный вопрос:
Для чего мне заморачиваться с безопасностью и анонимностью, если я собираюсь делать легальные вещи?
На самом деле, причин огромное множество, вот лишь некоторые из них:
Начнем с того, что этичный хакер или белый хакер — это специалист по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем. Соответственно, тестировать то, в чем не разбираешься — невозможно. Согласны?
Допустим, что вы решили стать специалистом по кибербезопасности. Отличная идея, ведь на этой должности будет отличный и стабильный доход! Но и здесь необходимы знания в области безопасности и анонимности. Напомню, что специалист по кибербезопасности занимается тем, что выявляет угрозы информационной безопасности и риски потери данных, вырабатывает и внедряет меры противодействия угрозам и решения для защиты от потери информации, обеспечивает сохранность и конфиденциальность данных.
Я бы мог продолжать еще долго, но ценю ваше время. Уверен, что этих двух примеров хватит для того, что бы понять, о чем я говорю.
Паста немесе комент үшін кез-келген ТБ = ТБ
2. Хакинг
Поиск уязвимостей и, непосредственно взлом, — еще один кит на котором все держится, самый большой и жирный кит.
И опять же, совсем неважно, какую сторону вы решили занять. Данные знания и навыки применяются как в черной, так и в белой сферах.
У многих может возникнуть логичный вопрос:
Для чего мне учиться что-то там взламывать, если я хочу работать легально?
И я на него отвечу:
В законной сфере делают все тоже самое. Только теперь взлом называется пентестом или тестированием на проникновение. При этом белые хакеры имеют ровно такой же багаж знаний, используют те же инструменты, эксплуатируют те же уязвимости.
2.1 Что стоит изучить в первую очередь?
Основы ОС Linux ()
Основы WEB'a ()
Поиск уязвимостей
Эксплуатация уязвимостей и методы атаки
SQL-injection от А до Я
Эксплуатация Remote File Include
Уязвимость XSS
Уязвимость Remote Code Execution
Думаю, что для начала этого будет достаточно. Освоив хотя бы половину из этих пунктов вы можете смело идти на сайт hackerone.com и применять свои знания в багхантинге, получая за это щедрое вознаграждение.
3. Социальная инженерия
Настоящий хакер - это не только прекрасный IT специалист, но еще и первоклассный психолог.
Запомните: главная уязвимость любой, даже самой защищенной системы — человек.
У многих может возникнуть логичный вопрос:
Golden, ну для чего мне сдалась социальная инженерия, если я собираюсь работать в легальном поле? Для чего мне обманным путем заставлять человека что-либо делать?
Опять же, возьму и отвечу:
Социальная инженерия применятся белыми хакерами при аудите организации. В данном случае используются все возможные способы попасть в корпоративную инфраструктуру организации, в том числе и через работников.
Если вы решили устроится на должность специалиста по кибербезопасности, то ОБЯЗАНЫ знать все приемы социальной инженерии от А до Я. Если ценного специалиста из вашей компании уволят из-за того, что он открыл зараженный файл, то это будет в первую очередь ваша вина, т.к. вы не учли существование социальной инженерии или халатно к этому отнеслись, не проинформировав сотрудников об опасности должным образом.
И это только самые очевидные примеры, на самом деле сфер применения гораздо больше.
3.1 Что и где изучить?
Во-первых, статьи по теме на нашем канале Hacker Place. Используйте поиск по каналу, введя слово «инженерия», найдете уйму полезной информации.
Во-вторых, хотел бы порекомендовать вам книгу Кевина Митника — Искусство обмана.
Кевин Митник — это человек, благодаря которому слова «хакер» и «социальная инженерия» стали общеизвестными. Он начинал, когда и компьютеров в массовом пользовании не было, и многие телефоны были с дисковым номеронабирателем. Сегодня он работает консультантом по компьютерной безопасности, а 30 лет назад был первым хакером в США и самой желанной добычей ФБР.
Книга The Art of Deception - "Искусство обмана" - доказывает, насколько мы все уязвимы. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социоинженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы "Искусство обмана" не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.
Ссылка на скачивание книги в формате .pdf (кликабельно)
4. OSINT
Начну с того, что OSINT — это полностью легальное направление.
OSINT (Open Source INTelligence) — это разведка по открытым источникам, то есть поиск информации о человеке или организации по базам данных, которые, теоретически, доступны всем.
Чаще всего OSINT используется для сбора информации о конкретном человеке. Но также его можно использовать для поиска информации о конкретных организациях, в том числе для оценки их защищенности.
В рамках кибербезопасности OSINT используется для пентеста, форензики, реверсивной и социальной инженерии.
Пентестеры используют OSINT для оптимизации первого этапа работы: разведки и сбора информации об определенном онлайн-объекте или субъекте. В этом случае OSINT необходим, чтобы наметить цели, которые нужно атаковывать, или понять, что ломать ничего не нужно – оно и так для всех доступно.
Так же считаю важным отметить, что OSINT — это самодостаточное направление. Т.е. вы можете работать исключительно в нем, осуществляя сбор досье на людей или компании. Что касается среднего прайса по рынку:
30.000 руб. стоит досье на человека.
40.000-50.000 руб. стоит досье на компанию.
Согласитесь, доход в 150-200 тысяч рублей в месяц при таких возможностях, скорее начало чем потолок.
Подводя итог
Как вы видите, все перечисленные мной направления одинаково важны для профессионального хакера.
Невозможно изучить только одно из них и считать себя профи. Что бы начать хорошо зарабатывать, необходимо комплексно изучить все приведенные выше ниши.
