Nemokamas „Kali Linux“ skyrius – Rasosulo Ghaznavi-Zadeho etiško įsilaužimo vadovas


Rassoul Ghaznavi-zadeh, „kali linux - Įsilaužimų įrankių įvado“ autorius, buvo IT saugumo konsultantas nuo 1999 m. Jis pradėjo kaip tinklo ir saugumo inžinierius, kaupdamas žinias apie įmonių verslą, saugumo valdymą ir tokius standartus bei sistemas kaip ISO , COBIT, HIPPA, SOC ir PCI. Su jo pagalba daugybė įmonių organizacijų pasiekė saugų uostą, išbandydamos, audituodamos ir vykdydamos jo saugumo rekomendacijas.Rassoul Ghaznavi-zadeh, autorius

Kas privertė jus parašyti šią knygą?

Jau daugiau nei 10 metų dirbu kibernetinio saugumo srityje. Prieš porą metų surinkau visus savo užrašus apie skverbimąsi ir etinį įsilaužimą ir išleidau juos kaip knygą. Nors to nesitikėjau, gavau daug gerų komentarų ir pardavėu daugybę kopijų. Šiais metais nusprendžiau išleisti panašią knygą su daugiau informacijos ir informacijos, kuri gali būti panaudota net akademinėje aplinkoje.

Pirmame skyriuje teigiama, kad jūsų knygos tikslas yra paskatinti ir paruošti skaitytojus veikti ir dirbti kaip etinius įsilaužėlius. Ar galite apibūdinti savo požiūrį į tai, ką reiškia būti etiniu įsilaužėliu?

Etinis įsilaužimas - tai pažeidžiamumų aplinkoje tyrimas, jų analizė ir surinktos informacijos panaudojimas siekiant sustiprinti saugumą tos aplinkos apsaugai..

Etinis įsilaužėlis turėtų daug žinių apie įvairius prietaisus ir sistemas. Idealiu atveju jūs turėtumėte ilgametę patirtį IT pramonėje ir būti susipažinęs su skirtinga aparatine įranga, programine įranga ir tinklo technologijomis.

Jūs, kaip etinis įsilaužėlis, esate aiškiai atsakingi už tai, kaip naudojate savo žinias ir metodus. Taip pat svarbu suprasti etinio įsilaužėlio kliento lūkesčius ir atsižvelgti į juos vertinant kliento organizacijos saugumą..

Ar galite mums duoti greitą patarimą, kaip pradėti skverbties projektą kaip etinį įsilaužėlį?

Kaip įsilaužėliams, kartais gali būti sunku išvengti įstatymų pažeidimo ar patekus į bėdą, todėl svarbu elgtis teisėtai ir iš anksto pasiruošti savo dokumentus. Tai apima pasirašytus patvirtinimus dėl prieigos prie kliento tinklo ir sistemos, NDA pasirašymą, aiškių tikslų ir terminų apibrėžimą jums ir jūsų komandai bei atitinkamų šalių, tokių kaip sistemos administratorius, saugumo departamentas, juridinis skyrius, pranešimą ir kt..

Kokių naujų žinių įgijote rašydamas savo knygą?

 Aišku, knygos rašymas nėra lengva užduotis, nes manau, kad tai nėra mano pagrindinis darbas. Rašydamas šią knygą man buvo gera proga ne tik daugiau sužinoti apie profesionalų rašymą, bet ir atnaujinti savo žinias apie įsilaužimo įrankius ir metodus. Kiekvieną įrankio įvadą šioje knygoje aš padariau keletą rankinių darbų, įdiegdamas ir išbandydamas naujausią jų versiją naujausioje „Kali“ operacinės sistemos versijoje..

Kur galima įsigyti jūsų knygos?

Knygą galima įsigyti daugelyje internetinių parduotuvių, tokių kaip „Amazon“, „Google“, „iTunes“, „Barns and Noble“, „Kobo“ ir kt. Taip pat turiu dar keletą knygų, kurias galite rasti ten, įskaitant originalią šios knygos versiją „Įsilaužimas ir interneto programų užtikrinimas“. “Ir„ Įmonių saugumo architektūra “.

Toliau yra pirmasis iš trijų skyrių iš „Kali Linux - įsilaužimo įrankių įvedimas“..

1- skyrius. Etinis įsilaužimas ir žingsniai

Autorius Rassoul Ghaznavi-zadeh

Etinis įsilaužimas yra aplinkos pažeidžiamumų tyrimo, jų analizės ir surinktos informacijos panaudojimas siekiant apsaugoti aplinką nuo tų pažeidžiamumų. Etinis įsilaužimas reikalauja teisinio ir abipusio susitarimo tarp etinio įsilaužėlio ir turto bei sistemos savininkų su apibrėžta ir suderinta darbo apimtimi. Bet koks veiksmas, nesusijęs su sutarta darbo sritimi, yra neteisėtas ir nelaikomas etinio įsilaužimo dalimi.

Koks šios knygos tikslas?
Šios knygos tikslas yra paruošti skaitytojus, kad jie galėtų elgtis ir dirbti kaip etiniai įsilaužėliai. Šios knygos technikos neturi būti naudojamos jokiuose gamybos tinkluose, neturint formalių dokumentų
galutinių sistemų ir turto savininkų sutikimas. Šių metodų naudojimas neturint leidimo gali būti neteisėtas ir padaryti didelę žalą kitų intelektinei nuosavybei ir yra nusikaltimas.

Kokios yra etinio piratininko pareigos?

Kaip etinis įsilaužėlis aiškiai ir atsakingai suprantate, kaip naudojate savo žinias ir metodus. Taip pat labai svarbu suprasti, kokie yra etinio įsilaužėlio lūkesčiai
ir į ką turėtumėte atsižvelgti vertindami klientų organizacijos saugumą. Žemiau yra keletas svarbių dalykų, kuriuos turite apsvarstyti kaip etinį įsilaužėlį:

  • Turite naudoti savo žinias ir priemones tik teisėtiems tikslams
  • Tik nulaužkite saugumo problemas siekdami gynybos
  • Prieš pradėdami testą, visada prašykite vadovybės patvirtinimo
  • Sukurkite bandymo planą su tiksliais bandymo parametrais ir tikslais ir gaukite valdymo patvirtinimą tam planui
  • Nepamirškite, kad jūsų darbas yra padėti sustiprinti tinklą ir nieko daugiau!

Kokie yra kliento lūkesčiai??

Prieš pradedant bet kokį darbą, labai svarbu suprasti kliento lūkesčius. Kadangi šio darbo pobūdis (etinis įsilaužimas) kelia didelę riziką ir reikalauja daug dėmesio; jei neturite

aiškiai suprantant jų reikalavimus ir lūkesčius, galutinis rezultatas gali būti ne toks, kokio jie nori, o jūsų laikas ir pastangos bus iššvaistytos. Tai taip pat gali turėti tam tikrų teisinių padarinių, jei nesilaikysite taisyklių ir nepaisysite kliento lūkesčių. Žemiau pateikiami keli svarbūs dalykai, į kuriuos turėtumėte atkreipti dėmesį:

  • Turėtumėte kartu su klientu apibrėžti tikslus ir lūkesčius
  • Nenustebkite ir nemėtykite jų problemomis, kurias galite rasti
  • Visada laikykite rezultatus ir informaciją konfidencialią
  • Rezultatai dažniausiai priklauso įmonei, o ne jums
  • Klientai tikisi, kad bus išsamiai atskleistos problemos ir jų taisymai

Kokie yra reikalingi įsilaužėlio įgūdžiai?

Norėdami būti etiniu įsilaužėliu, turite turėti daug žinių apie įvairius prietaisus ir sistemas. Idealiu atveju jūs turėtumėte ilgametę patirtį IT pramonėje ir būti susipažinęs su skirtinga aparatine įranga, programine įranga ir tinklo technologijomis. Kai kurie svarbūs įgūdžiai, reikalingi norint būti etiniais įsilaužėliais, yra šie:

  • Jau turėtų būti saugos ekspertas kitose srityse (perimetro apsauga ir kt.)
  • Jau turėtų turėti tinklo ar sistemos administratoriaus patirtį
  • Patirtis įvairiose operacinėse sistemose, tokiose kaip Windows, Linux, UNIX ir kt.
  • Plačios žinios apie TCP / IP - prievadus, protokolus, sluoksnius
  • Bendros žinios apie saugumą ir pažeidžiamumus bei kaip juos ištaisyti
  • Turi būti susipažinęs su įsilaužimo įrankiais ir būdais (apie tai mes papasakosime šioje knygoje)

Kaip pasiruošti pasiruošimo testavimui

Kai norite pradėti skverbties projektą, turite atsižvelgti į daugybę dalykų. Atminkite, kad nesiėmę reikiamų veiksmų, negavote patvirtinimų ir nesudarote susitarimo su klientu; šių metodų naudojimas yra neteisėtas ir prieštarauja įstatymams.

  • Svarbūs dalykai, į kuriuos reikia atsižvelgti prieš pradedant:
  • Gaukite kliento pasirašytą visų bandymų patvirtinimą
  • Turite pasirašyti konfidencialumo sutartį (NDA)
  • Gaukite įkaito šalių (IPT) patvirtinimą
  • Sudėkite komandą ir įrankius ir pasiruoškite bandymams
  • Apibrėžkite tikslus (DoS, Penetration ir kt.)
  • Nustatykite pagrindines taisykles (bendravimo su klientu ir komanda taisykles)
  • Nustatykite tvarkaraštį (ne darbo valandos, savaitgaliai?)
  • Pranešti atitinkamoms šalims („Sys“ administratoriui, Saugumo skyriui, Teisės skyriui, teisėsaugai)

 

>

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

8 + 1 =

map