Мир информационной безопасности постоянно развивается и требует постоянного вклада новых специалистов, способных реагировать на растущие вызовы сектора. Речь идет не только о защите данных и деятельности пользователей от злонамеренных киберпреступных атак, но и о предотвращении краха общих мер защиты частной жизни и надлежащего функционирования компьютерных систем.
В этой области особенно важен «этический» мир взлома так называемых «белых шляп» — профессионалов, отвечающих за тестирование безопасности систем и сетей. Люди, которые каждый день по поручению компании-владельца анализируют работу программного обеспечения, которое мы используем для нашей повседневной деятельности, с целью выявления и минимизации последствий малых или больших пробелов в программировании. И хотя я не являюсь признанным профессионалом в этой области, в следующем уроке я постараюсь объяснить, как стать этическим хакером, чтобы дать вам «основу» для начала этого (длительного) пути.
Как стать этическим хакером
В следующих параграфах мы кратко исследуем этот мир и попытаемся понять, кто такие белые шляпы, что они делают и какая подготовка необходима для выхода на их рынок. Я также покажу вам операционные системы, наиболее соответствующие этой профессии, и расскажу об особой проблеме профессиональной сертификации в этой категории.
Напоминаю, что мои путеводители предназначены только для информационных целей и не дополняют и не заменяют юридических, финансовых, деловых или иных консультаций. Несанкционированный доступ к компьютерной системе является преступлением, и если у вас есть какие-либо сомнения в законности ваших действий, вы должны проконсультироваться с компетентными юридическими консультантами.
Индекс
- критерии классификации хакеров
- Кто эти профессиональные белые шляпы
- Кто может нанять хорошего хакера
- Рассмотрение программ вознаграждения за ошибки
- Создание тестовой среды для этических хакеров
- Знания, необходимые для того, чтобы быть белым хакером
- Языки программирования для обучения этичному хакеру
- Операционные системы для этического взлома
- Как быть этичным хакером с нуля.
- Поиск работы в качестве этического хакера
- Хакерские вдохновленные фильмы и сериалы
критерии классификации хакеров
Около тридцати лет хакеры классифицируются в соответствии с их социально-экономической ролью, выделяя их живописным образом, с цветами «мундира», как будто у них есть шляпа в качестве символа.
Поэтому мы говорим об этом:
- Белая шляпа: «хороший» или этичный хакер, о котором я расскажу в этом руководстве, нанятый компаниями для выявления дефектов в компьютерной системе;
- Черная шляпа: «плохие» хакеры, т.е. преступники, которые нарушают безопасность компьютерной системы с целью кражи информации, получения выкупа или мошенничества с целью угона, не забывая при этом о более экстремальных гипотезах атак с целью шпионажа или даже хуже (например, с помощью эксплойтов или фишинга). Это очень опасное бедствие современного мира информационных технологий, которое может привести к очень тяжелым уголовным приговорам.
Наряду с этими двумя традиционными категориями со временем появилась и третья, называемая «серая шляпа«: это маргинальная реальность, состоящая из людей, которые обнаруживают ошибки или другие уязвимости по причинам, отличным от причин хороших и плохих хакеров. Среди них могут быть как простое изучение системы, желание получить не предусмотренные программистами возможности, так и другие более или менее невинные причины. Однако это рискованная деятельность, которая в любом случае может нарушить бесчисленные правила и привести к преступному поведению.
Кто такие профессионалы в белой шляпе?
Поэтому белые шляпы — это технически хакеры, т.е. специалисты, которые исследуют функционирование компьютерной программы, но их функция довольно сложна в проектной структуре компаний, и на самом деле они могут выглядеть как тестеры высшего уровня, которые совместно с инженерами работают над выявлением дефектов и ограничений информационных технологий.
Классическим примером может служить история (реальная и довольно приятная) первых контактов Билла Гейтса с миром программирования: тот, кто впоследствии стал самым богатым человеком в мире, был всего лишь подростком в 1968 году, когда он положил руки на арендованный в школе компьютер, умудрившись заблокировать его бесчисленное количество раз, и, наконец, обнаружил внутреннюю ошибку, которая позволила ему обойти таймер, наложенный на пользователей (на самом деле в то время компьютеры были настолько дорогими, что их арендовали по секундам пользования процессором). Владелец устройства, после первого же момента смущения (что стоило молодому Биллу изгнания из компьютерного зала!), решил нанять его методично взломать все свои системы, и вот так он и начал работать в этой области.
Сегодня реальность белой шляпы явно не сопоставима с ретро-образами подросткового возраста Билла Гейтса, и хотя некоторые из этих профессионалов, правда, время от времени могут набираться среди очень талантливых энтузиастов, даже сложность современных систем требует глубоких знаний в области информатики. Из этого следует, что белые шляпы — это, как правило, выпускники факультетов информатики с особыми навыками в этой области, но это не обязательно так, что они должны были пройти университетский курс обучения, как я расскажу вам позже, потому что очень талантливые люди, и желающие применить себя в учебе, могут достичь отличных уровней, в том числе благодаря курсам частного программирования и безопасности.
Кто может нанять хорошего хакера
Работодателями в белой шляпе являются все предприятия и некоммерческие государственные или частные организации, которые заинтересованы в тестировании качества своих IT-систем.
Поэтому мы говорим о программном обеспечении, веб-сайтах и сетевых архитектурах, размещенных в банках, административных офисах или в тех же компаниях, которые их создают, которые должны быть уверены в качестве своего продукта. Очевидно, что это работа самого высокого уровня, основанная также на престиже и личной респектабельности участвующего в ней профессионала.
Рассмотрение программ вознаграждения за ошибки
Программы вознаграждения за ошибки» — это инициативы, обычно инициируемые компаниями, предлагающими онлайн-сервисы (например, Google или Facebook), с целью поощрения пользователей к выявлению ошибок в своих продуктах.
На самом деле это не бета-тестирование или служба в белой шляпе, потому что все заканчивается «наградой» (вознаграждением), предоставляемой материнской компанией для тех, кто определил конкретную проблему, немного похоже на награду за то, что сообщили новости. В любом случае, это может быть то, что ближе всего подходит к самым низким задачам белой шляпы, которые, однако, как правило, не практикуют этот тип вмешательства.
Создание тестовой среды для этических хакеров.
Среда, в которой работает IT-специалист, особенно белая шляпа, безусловно, отличается от среды обычного пользователя, но вы не можете приводить общие аргументы, не зная, в какой именно ситуации вы работаете.
Широко распространенной особенностью, например, может быть использование виртуализации, которая обычно требует очень мощных процессоров для получения результатов высокого уровня, что приводит к повышению рабочих температур (это предполагает не только более высокое энергопотребление, но и необходимость внедрения более сложных и дорогостоящих систем охлаждения для используемых ПК).
Вам, несомненно, понадобится стабильное подключение к Интернету и, при необходимости, другие аппаратные устройства (сетевые карты Raspberry, Alpha Networks и т.д.), характерные для тестирования, часто выполняемые с помощью «use-and-go» (т.е. разрушаемые) операционных систем или виртуальных машин.
Знания, необходимые для того, чтобы быть белым хакером
Знания, требуемые от белых шляп, как правило, связаны с видами работ, которые они должны выполнять, но мы обычно находим среди них:
- Программирование высокого и низкого уровня (различие см. ниже);
- Современное управление ИТ-системами (Информационные технологии, т.е. компьютеры и сети);
- Сетевое администрирование;
- Безопасность и веб-программирование;
- Социальная инженерия;
- Сильные аргументы и навыки решения проблем;
- Управление протоколами.
Языки программирования для обучения этичному хакеру
Невозможно узнать требования к белой шляпе на уровне программирования, не зная, какие действия она должна будет выполнять. Однако в целом может потребоваться компетенция в одной или нескольких из этих областей:
- Низкоуровневое программирование: это программирование, которое напрямую взаимодействует с аппаратным обеспечением и переводит инструкции на машинном языке на короткие английские слова. Это языки, называемые «ассемблерами», с помощью которых создаются основные элементы операционной системы;
- Программирование высокого уровня: это самое сложное программное обеспечение, которое невозможно будет написать на ассемблере, потому что коды будут очень длинными и нечитаемыми. Это наиболее распространенные языки, такие как C, C++, BASIC и многие другие. Ваш веб-браузер, например, написан на этих языках;
- Веб-программирование: это языки, связанные с миром интернета и онлайн-сервисов, поэтому веб-страницы и приложения, работающие со скриптами, т.е. коды, интерпретируемые в данный момент программным интерпретатором, таким как Java, Tcl, Python и PHP.
Операционные системы для этического взлома
Некоторые операционные системы использовались в большей степени для целей белой шляпы, чем другие, но строгих правил нет. Я могу привести несколько примеров, основанных на текущей реальности.
Кали Linux
Кали Linux Это дистрибутив Linux, основанный на Debian, специально разработанный для облегчения тестирования и тестирования на проникновение в сети с помощью белых шляп, и предлагающий некоторые типичные предустановленные инструменты; это, вероятно, самая известная версия Linux для белых шляп, потому что она пришла из двух проектов, которые сейчас прекращены, а именно WHAX (закрыт в 2005 году) и особенно BackTrack (прекращен в 2013 году, преемник предыдущего).
Это операционная система, не предназначенная для повседневного использования, и обычно не устанавливается, а используется вживую с USB или виртуальной машины, хотя родная установка, конечно, доступна. Чтобы узнать больше, читайте, как использовать Kali Linux.
Попугай ОС
Попугай ОС это дистрибутив Linux на основе Debian, сформулированный в рамках очень гибкого проекта, который предлагает, среди прочего, также версии, подходящие для обычных пользователей, которые хотят исследовать мир компьютерной безопасности в целях обучения, имея программы шифрования и другие продвинутые инструменты.
подсистема Linux для Windows 10
В Windows 10 можно установить подсистему, набор библиотек, которые позволяют Windows запускать программы Linux так, как если бы они были в своей оригинальной среде.
Это мощное решение, доступное не так давно, которое уже обещает большой потенциал. Дополнительную информацию по этому адресу можно найти на веб-сайте Майкрософт.
Как быть этичным хакером с нуля.
Как вы уже поняли, этический хакерство не для всех. Тем не менее, сектор также открыт для высокомотивированных людей, которые, не получив конкретных университетских дипломов, приобрели солидные навыки в одной или нескольких областях.
В Интернете вы найдете много курсов, также или особенно онлайн, которые предлагают возможность приобрести навыки программирования даже достаточно продвинутые, но очевидно, что их серьезность должна быть проверена, особенно путем проверки их партнерства с официальными учебными заведениями и/или конкретными IT-компаниями, которые часто сопровождают сертификацию, потому что они непосредственно заинтересованы в приеме на работу людей с навыками белой шляпы.
Существуют также независимые сертификаты, предлагающие как курс, так и экзамен, открытый для внешних кандидатов, такие как сертификаты, выданные Международным советом консультантов по электронной торговле (EC-Council), профессиональной организацией США, которая смоделировала свои курсы с учетом потребностей правительства США в области кибербезопасности. Как правило, эти сертификаты оплачиваются в момент сдачи экзамена и действительны в течение нескольких лет, после чего их необходимо продлить; это необходимо, поскольку быстрое развитие технологий делает приобретенные навыки легко устаревшими.
Поиск работы как этический хакер
Независимо от ваших навыков, найти работу никогда не бывает просто, даже в таком быстроразвивающемся секторе, как IT-безопасность. Безусловно, наличие соответствующих сертификатов является хорошей отправной точкой, но успех в мире труда также зависит от того, чтобы быть в нужном месте в нужное время, посылать множество учебных программ в рекрутинговые агентства IT-компаний и практиковаться, при необходимости, с людьми, уже работающими в отрасли.
Очень часто, однако, белые шляпы являются самозанятыми, т.е. они не нанимаются по трудовому договору, а оплачиваются по частям в соответствии с установленными в договоре параметрами; в Италии это означает, что они, как правило, являются работниками, зарегистрированными по НДС.
Также возможно, конечно, что белая шляпа работает на иностранную компанию, что очень распространено в IT-индустрии.
Хакерские вдохновленные фильмы и сериалы
Тема взлома была очень модной в последние годы, когда интернет рассматривался как новая и загадочная реальность, но в последнее время фокус сместился в сторону белых шляп как позитивных героев, особенно в кино.
Самыми известными работами, безусловно, являются сериал «Мистер Робот», в котором эксплуатируется персонаж «сумасшедшего» хакера, но анимированного благими намерениями, и фильм «Сноуден» Оливера Стоуна, в котором проблема компьютерной безопасности и роль правительств в ее защите рассматривается более серьезно.
Конечно же, не стоит забывать, что фильм V — это месть, где таинственная V, одетая в маску Гая Фокса, выступает против тоталитарного правительства. Эту маску также использует Anonymous, известная группа активистов, которая работает для достижения обычно согласованных целей.