Radovan Psotný
Predstavím vám základné informácie, ako začať s etickým hackingom, ak ešte nemáte skúsenosti s informačnými technológiami. Zistíte, koľko času budete musieť obetovať učeniu, ako aj, odkiaľ nadobudnete potrebné vedomosti s uvedenými zdrojmi. Pre uľahčenie učenia tu nájdete aj návrh študijného plánu.
Hackovanie - môže byť aj etické?
Samozrejme. Záleží iba na motivácii a presvedčení jednotlivca. Niekoho lákajú peniaze získané krádežou a podvodmi (black-hat hackeri), iní môžu vidieť svoje životné poslanie v pomoci firmám so zabezpečením ich kyber-priestoru (white-hat hackeri alebo aj etickí hackeri). Je iba na vás, ktorým smerom sa vydáte, no treba myslieť aj na legálnu stránku tohto biznisu.
Vízia vs realita
Mnohí poznáme tie filmy, v ktorých nájomný hacker trikrát ťukne do klávesnice a odrazu má prístup ku kódom od amerických jadrových hlavíc. Je vtipné a zároveň pozoruhodné, aké percento ľudí netuší, čo hackovanie skutočne obnáša. Štúdium hackingu je pomerne ťažké, treba naň mať dostatok času aj chuti. Proces hackovania nie je o nič menej zložitý - neraz som pri úlohách z kybersúťaží strávil dlhé hodiny, len aby som zistil, že môj postup bola slepá cesta. Majte teda trpezlivosť a nenechajte sa odradiť prvými neúspechmi alebo nechuťou.
Bez základov to nepôjde
Nedáva zmysel, aby sa človek učil prelamovať zabezpečenie zariadenia, pri ktorom ani len nerozumie, ako funguje. Je to ako vyjsť s autom na závodný okruh, pričom ani len neviete zaradiť rýchlostný stupeň. V prvom rade je teda potrebné vytvoriť si solídne základy vedomostí z odvetvia IT. Odporúčam vám siahnuť po odbornej literatúre, zaoberajúcej sa počítačmi - konkrétne knihu Informatika na maturity mám veľmi rád, pretože vie človeka uviesť do sveta moderných technológií. Nájdete v nej podrobné vysvetlenie fungovania jednotlivých komponentov počítača, základy kryptografie, oboznámenie s časťami operačného systému aj úvod do algoritmov a programovania.
Návrh študijnej cesty
Ak máte zvládnuté základy IT, je čas posunúť sa na konkrétnejšie okruhy. Ponúkam vám zoradený zoznam okruhov, ktoré sú nevyhnutné pre zvládnutie a pochopenie postupov hackovania. Prosím, nesnažte sa preskakovať jednotlivé kroky učenia - urobil som rovnakú chybu a dodnes to ľutujem. Je veľmi dôležité pochopiť každý okruh, pretože tieto na seba úzko nadväzujú a vytvárajú logický celok; bez pochopenia súvislostí je učenie iba stratou času.
1. Sieťové technológie
Väčšina aplikácií dnes funguje prostredníctvom internetu, je teda nevyhnutné, aby ste chápali fungovanie počítačových sietí na elementárnej úrovni. Naučíte sa, čo je to OSI model, ako funguje smerovanie dát medzi sieťami po celom internete, čo sú to porty a ako je možné zisťovať a využívať zraniteľnosti rôznych služieb. Odporúčam vám priplatiť si za kvalitné kurzy od Cisco, prípadne CompTIA akadémie. Ak hľadáte informácie v slovenčine, na stránke itnetwork.sk nájdete viacero častí kurzu sieťových technológií, ktorý vychádza z materiálov od Cisca.
2. Základy Linuxu
Takmer každý hacker používa na prácu operačný systém Linux kvôli jeho nenáročnosti na výkon zariadenia a prispôsobiteľnosti. Existujú dokonca distribúcie, ktoré sú vytvorené priamo pre etických hackerov a majú predinštalované všetky potrebné nástroje. Linux je však trošku iný ako Windows, zložitejší. Práci s terminálom sa nevyhnete, dôležité nástroje sa v drvivej väčšine ovládajú práve z neho. Kniha Linux Basics for Hackers vás naučí solídne základy práce s Linux nástrojmi a terminálom, taktiež fungovanie operačného systému do hĺbky. Zdôrazním, čo je povedané aj v knihe - prax je základom úspechu; vyskúšajte si, čo ste si prečítali, takto sa vám budú naučené postupy ukladať do pamäti samé.
3. Základy programovania v Pythone
Hacking vyžaduje aj schopnosť vytvárať si vlastné nástroje. Práve Python je najpoužívanejší jazyk na tvorbu takýchto skriptov - obsahuje množstvo predpripravených knižníc, ktoré môžete využívať vo svojom kóde. V mojich začiatkoch som najprv študoval skripty profesionálov, naučil sa základné postupy a skúšal som si tvoriť vlastné skripty - lepšia cesta neexistuje. Naozaj, pohľadajte hackerské Python skripty a študujte ich. Kurzov pre Python je na internete nespočet, platených aj zdarma. Stačí si ktorýkoľvek z nich spustiť a experimentovať s tvorením malých programov, ako základná kalkulačka, štatistika písmen v zadanom texte alebo hra na hádanie náhodného čísla.
4. Exploitovanie web aplikácií
Poznatky nadobudnuté pri štúdiu sieťových technológií budú pre vás základom pre hackovanie aplikácií bežiacich vo webovom prehliadači. Osobne považujem prelamovanie zabezpečenia webových aplikácií ako najlepší “entry point” pre začínajúceho hackera - učí vás logickému mysleniu, hľadaniu kreatívnych riešení a praktické úlohy z tejto vetvy hackingu sú často robené na spôsob hry hľadania pokladu - máte motiváciu pre dokončenie úlohy a samotné hackovanie nie je len zdĺhavé písanie príkazov, ale nadobúda rozmer zaujímavosti cez vytvorený príbeh. Najlepšou a najkomplexnejšou príručkou pre základy web exploitingu je Web Application Hacker’s Handbook, prípadne online kurz od PortSwigger akadémie.
Skúšať, skúšať, skúšať
Neexistuje lepší spôsob upevňovania teoretických vedomostí, ako ich praktické uplatňovanie. Rôzne CTF platformy vám ponúkajú oceán rôznych úloh, kde si môžete trénovať svoje hackerské zručnosti. Ich základom je hľadanie vlajok (CTF = Capture The Flag), ktoré vám budú odhalené po splnení určitej úlohy vo forme textového reťazca. Tento môžete nájsť napríklad v prelomenom virtuálnom počítači, či na odhalenej skrytej podstránke webovej aplikácie.
TryHackMe
TryHackMe bola mojou prvou CTF skúsenosťou. Páči sa mi, že ich úlohy majú výborný príbeh aj popis s postupom, ktorý vás prevedie cez jednotlivé časti úlohy a objasní vám kľúčové procesy. Naviac, TryHackMe ponúka predpripravené “roadmaps” pre začiatočníkov, aby pre nich urobili učenie usporiadanejším a logicky nadväznejším.
PicoCTF
Ak chcete riešiť úlohy, ktorými vás platforma neprevedie “za ručičku”, PicoCTF je miesto, ktoré hľadáte. Ponúka množstvo úloh s rôznymi obtiažnosťami, ku ktorým dostanete maximálne zopár nápovied, no ich vyriešenie je čisto na vás a vašich zručnostiach. Ich úlohy boli pre mňa veľmi cennými skúsenosťami - sú vytvorené podľa scenárov z reálneho sveta, čo vám vie značne pomôcť aj v možnej budúcej hackerskej kariére.
OverTheWire
Veľmi nenáročná platforma, niektoré jej úlohy môžete riešiť aj priamo z prehliadača (ja som ich dokonca riešil na školských počítačoch aj so spolužiakom), bez nutnosti používania akýchkoľvek externých nástrojov alebo Linuxu. Neponúkne vám žiadne nápovedy, ste odkázaní sami na seba. OverTheWire vám silne odporúčam po dočítaní Web Application Hacker’s Handbook - hacking webových aplikácií si tu vyskúšate naozaj výborne.
