Etisk hacking: en praktisk introduktion till inbrott • Av Daniel G Graham • No Starch Press • 376 sidor • ISBN 9781718501874 • £41,99/49,99 USD
Det dåliga tillståndet för mjukvara och IT-infrastruktursäkerhet är också en karriärmöjlighet, med malwareanalytiker, säkerhetsforskare, penetrationstestare och röda team som alla efterfrågas. Försvarare behöver veta hur angripare tänker och vilka verktyg de använder, så att de kan bedöma sin egen infrastruktur för sårbarheter och lära sig att upptäcka skadlig aktivitet i nätverket.
I Ethical Hacking: A Hands-on Introduction to Breaking In ger Daniel G Graham en praktisk guide för att lära sig hackningstekniker, och du hoppar direkt in i den praktiska guiden genom att skapa en uppsättning virtuella Linux-datorer för att vara värd för miljön du kommer att bryta sig in i (eftersom du inte etiskt kan hacka någon annans miljö). Du arbetar sedan igenom några kända sårbarheter, går vidare till att fånga trafik, bygga ett botnät och en ransomware-server, generera nätfiske-e-post och deepfakes.
Även om du behöver veta hur man skriver och kör Python-kod, behöver du inte mycket expertis för att komma igång eftersom steg-för-steg-instruktionerna är tydliga och detaljerade. Längs vägen förklaras komplexa begrepp väl: om du vill köra ransomware eller försöka kringgå TLS måste du först förstå kryptering, du måste förstå syscalls och grunderna för Linux för rootkits, och likaså hashing för att knäcka lösenord.
Graham går igenom vanliga hackningstekniker, skapar deepfake video och ljud, utforskar hur allmänt tillgänglig information är sammankopplad med Maltego för att avslöja information om en organisations personal och infrastruktur, laddar ner databaser med knäckta och brutna lösenord, letar efter utsatta sårbara enheter med Masscan, Shodan och Nessus, bygga trojaner och Linux-rootkits (du behöver känna till C-kodning för detta), använda SQL-injektion för att extrahera användarnamn och lösenord från webbplatser, cross-site scripting attacker och privilegieskalering när du väl kommer in i ett nätverk. Det är osannolikt att du kommer att upptäcka dina egna nolldagar, men du kommer att lära dig fuzzing och hur man utnyttjar OpenSSL Heartbleed-sårbarheten.
SE: Ransomware: Att leta efter svagheter i ditt eget nätverk är nyckeln till att stoppa attacker
Längs vägen introducerar Graham andra hackningsverktyg som King Phisher, swaks SMTP-revisionsverktyget i Kali Linux, John the Ripper för lösenordsknäckning, Hydra för automatisering av brute force-lösenordsattacker och många andra.
Kapitlet om att attackera domänservrar, Active Directory och Kerberos på stora Windows-nätverk skulle förmodligen kunna utökas för att fylla en egen bok, men om du är en Windows-nätverksadministratör och du inte redan vet hur du använder Mimikatz, även detta snabb undersökning av tillvägagångssätt hackare kommer att ta bör vara något av en väckarklocka. (Microsoft har omfattande vägledning för att åtgärda många av de problem som tas upp här.)
Även om den här boken kommer att hjälpa även en relativ nybörjare att bli bekant med ett brett utbud av verktyg som är användbara för hackare, är den – som utlovat – en praktisk introduktion. Läsarna kommer att ha möjlighet att utforska ytterligare, och det sista kapitlet talar om hur du härdar en värdbaserad virtuell dator som du kan använda för faktisk etisk hackning. Den nämner också några lockande avancerade mål som industriella system och cellulär infrastruktur, även om läsarna inte omedelbart kommer att kunna gå efter dem utan att göra en hel del extraarbete.
Även om du inte planerar att göra någon aktiv etisk hackning, bör det vara en välgörande varning för alla inom IT att hackningsverktyg är både sofistikerade och allmänt tillgängliga. Det finns gott om handledningar som syftar till att använda dem på ett skadligt sätt, så detaljen i den här boken ökar inte risken för de med sårbara system. Om du vill göra det här som en karriär, kommer Ethical Hacking att guida dig genom de första stegen.
Läs fler bokrecensioner
The New Breed-bokrecension: Använd djur, inte människor, som modell för robotarExponential, bokrecension: Teknikacceleration och dess inverkan på samhälletTikTok Boom, bokrecension: The rise and rise of YouTubes younger, hipper competitorSocial Warming, bokrecension: Temperatur stigande, reglering krävsThe Token Woman, bokrecension: Hur man hanterar vanliga irritationer på arbetsplatsen After Hours | Säkerhets-TV | Datahantering | CXO | Datacenter