Ε ωγή στο ethical hacking · * virtualbox, vmware * kali linux ... xp, windows server,...
TRANSCRIPT
Εισαγωγή στο Ethical Hacking
Καλώς Ήρθατε!!
Θεοφάνης Κασίμης
CEO of AudaxCybersecurity
White Hat hacker OSCP Certification Ομιλητής σε συνέδρια &
εκδηλώσεις PWB Offensive Security Twitter : @_thekondor_
Τι είναι το χάκινγκ;
Χάκινγκ είναι η τέχνη στο να βρίσκεις λύσειςστα προβλήματα των πληροφοριακώνσυστημάτων.
Η λέξη “Hack” δεν είναι απόλυτα συνδεδεμένημε τον κόσμο των υπολογιστών.
Χάκινγκ και Υπολογιστές
Το χάκινγκ εισήλθε στην κουλτούρα τωνυπολογιστών από το πανεπιστήμιο ΜΙΤ το1960.
Συνδέθηκε το κομμάτι της ασφάλειας!
Τι είναι η ασφάλεια;
Ασφάλεια είναι ο βαθμός αντίστασης και ηπροστασία από τις απειλές.
Είναι η κατάσταση στο να είναι απαλλαγμένοένα δίκτυο από κάποιο κίνδυνο ή απειλή.
Ασφάλεια vs Προστασία
Σαν έννοιες είναι κοντά αλλά δεν είναι ίδιες. Το αίσθημα της προστασίας οφείλεται στα
πολλαπλά επίπεδα ασφάλειας. Ασφάλεια είναι ένα είδος προστασίας από
εξωτερικές απειλές.
Ορισμός Χάκερ
Χάκερ είναι ένας τεχνικά καταρτισμένοςχρήστης υπολογιστή ο οποίος, είτε με αρνητικάείτε με θετικά κίνητρα, θα παραβιάσεισυστήματα υπολογιστών.
Κορυφαίοι Χάκερ
Κατηγορίες Χάκερ
Black Hat
White Hat (Ethical Hackers)
Grey Hat
Script Kiddies
Black Hat Hackers
Παραμόρφωση ιστοσελίδων με ανάληψη ελέγχου καιη αντικατάσταση των κύριων φωτογραφιών τηςσελίδας με αγενή συνθήματα.
Κλοπή ταυτότητας και κλοπή προσωπικώνπληροφοριών.
Botnetting: Τηλεχειρισμός δεκάδων προσωπικώνυπολογιστών, και προγραμματισμός των “ζόμπι”για εκτέλεση spam και επιθέσεις DDOS
White Hat Hackers
Έντιμα κίνητρα Ταλαντούχοι χρήστες στην ασφάλεια
πληροφοριακών συστημάτων Πρώην Black Hat Σύμβουλοι σε μεγάλες εταιρίες Ιδιοκτήτες Κορυφαίων εταιριών ασφάλειας
Grey Hat Hacker
Μεταξύ Black Hat + White Hat Χομπίστες Sharing αρχείων Καταλήγουν στην κατηγορία Black Hat
Script Kiddie
Κοίτα τι έκανα! Wannabe Hacker Επίδειξη στην παρέα του ή στην κοπέλα του Χρησιμοποιεί δουλειές άλλων
Ικανότητες Ethical Hacker
ProgrammingLanguages→ C, C++
ScriptingLanguages→ Python,Perl, PHP
Πολύ καλήγνώσηΒάσειςΔεδομένων→ SQL
AssemblyProgramming
ΆψογοςΧειρισμόςUnix
TCP/IP
Από που να αρχίσω;
TCP/IP IP Address MAC Address Ports Web Architecture LAN Architecture DOS Commands
Χρησιμοποίηση Γνώσεων
Οι καλοί ερευνητές ασφάλειας χρησιμοποιούν τιςγνώσεις του για να ασφαλίσουν οποιοδήποτε
πληροφοριακό σύστημα!
Τι είναι το Penetration Testing
Ως δοκιμή διεύσδυσης ορίζεται μια δοκιμαστικήεισβολή σε ένα πληροφοριακό σύστημα για την
αξιολόγηση της ασφάλειας του.
Lets start Hacking Now
Υπάρχουν 4 φάσεις για να γίνει κάτι τέτοιο!
* Σχεδιασμός και προετοιμασία
* Ανίχνευση ευπαθειών
* Εκμετάλλευση ευπαθειών
* Καταγραφή και αντιμετώπιση των κινδύνων
Σχεδιασμός & Προετοιμασία
Όσες το δυνατόν περισσότερες πληροφορίεςγια τα μηχανήματα/στόχους
Σχεδιασμός Δικτύου Ανοιχτές Πόρτες Υπηρεσίες που μπορεί να τρέχει Εύρεση λειτουργικού συστήματος Εύρεση πληροφοριών / χρήστη
Ανίχνευση Ευπαθειών
Εμπορικά εργαλεία ( Nessus )
Ανοιχτού Κώδικα (nikto, nmap)
Δικά μας εργαλεία
Είδη Αδυναμιών
* Remote Code Injection
* Remote File Include
* SQL Injection
* Cross-Site Scripting
* XML Injection
* Cross-Site Request Forgery
Εκπαίδευση
Υπομονή & επιμονή Συνεχώς ναπροσπαθείτε
Πολύ, πολύ, πολύ διάβασμα!! :) Εξάσκηση σε εικονικά συστήματα!
(Virtualization)
Δημιουργία Εικονικού Δικτύου
* VirtualBox, VMware * Kali Linux →Εξιδικευμένη διανομήLinux
* Ubuntu Linux, Ubuntu Server, Fedora, WindowsXP, Windows Server, Windows 7, ακόμη και μεεσωτερικό δίκτυο μέσα στο VirtualBox
Virtualization/PenTest Lab
Πώς, που...
Μόνοι σας Γραφτείτε σε φόρουμ (SecNews.gr) Διάβασμα Εικονικά συστήματα Challenges / Ethihak (Divani Caravel)
ETHIHAK CHALLENGE
Τέλος Παρουσίασης
Απορίες / Ερωτήσεις