Etisk hacking: En praktisk introduksjon til innbrudd • Av Daniel G Graham • No Starch Press • 376 sider • ISBN 9781718501874 • £41,99/$49,99
Den dårlige tilstanden til programvare- og IT-infrastruktursikkerhet er også en karrieremulighet, med malware-analytikere, sikkerhetsforskere, penetrasjonstestere og røde team som alle er etterspurt. Forsvarere må vite hvordan angripere tenker, og hvilke verktøy de bruker, slik at de kan vurdere sin egen infrastruktur for sårbarheter og lære å oppdage ondsinnet aktivitet i nettverket.
I Ethical Hacking: A Hands-on Introduction to Breaking In setter Daniel G Graham seg for å levere en praktisk veiledning for å lære hacking-teknikker, og du hopper rett inn i den praktiske guiden ved å lage et sett med Linux VM-er for å være vert for miljøet du kommer til å bryte seg inn (siden du ikke kan hacke andres miljø etisk). Deretter jobber du deg gjennom noen kjente sårbarheter, går videre til å fange opp trafikk, bygge et botnett og en løsepengevareserver, generere phishing-e-poster og deepfakes.
Selv om du trenger å vite hvordan du skriver og kjører Python-kode, trenger du ikke mye ekspertise for å komme i gang fordi trinn-for-trinn-instruksjonene er klare og detaljerte. Underveis blir komplekse konsepter godt forklart: Hvis du vil kjøre løsepengevare eller prøve å omgå TLS, må du først forstå kryptering, du må forstå syskaller og grunnlaget for Linux for rootkits, og likeledes hashing for å knekke passord.
Graham går gjennom vanlige hacking-teknikker, lager dypfalske videoer og lyd, utforsker hvordan offentlig tilgjengelig informasjon er sammenkoblet med Maltego for å avsløre informasjon om en organisasjons ansatte og infrastruktur, laster ned databaser med knekkede og brutte passord, ser etter utsatte sårbare enheter med Masscan, Shodan og Nessus, bygge trojanere og Linux-rootkits (du må kjenne til C-koding for dette), bruke SQL-injeksjon for å trekke ut brukernavn og passord fra nettsteder, skriptangrep på tvers av nettsteder og privilegieeskalering når du kommer inn i et nettverk. Du vil neppe oppdage dine egne null dager, men du vil lære fuzzing og hvordan du kan utnytte OpenSSL Heartbleed-sårbarheten.
SE: Ransomware: Å lete etter svakheter i ditt eget nettverk er nøkkelen til å stoppe angrep
Underveis introduserer Graham andre hackingverktøy som King Phisher, swaks SMTP-revisjonsverktøyet i Kali Linux, John the Ripper for passordknekking, Hydra for å automatisere brute force passordangrep og mange andre.
Kapittelet om å angripe domeneservere, Active Directory og Kerberos på store Windows-nettverk kan sannsynligvis utvides til å fylle en egen bok, men hvis du er en Windows-nettverksadministrator og ikke allerede vet hvordan du bruker Mimikatz, selv dette rask undersøkelse av tilnærmingene hackere vil ta bør være noe av en vekker. (Microsoft har omfattende veiledning for å utbedre mange av problemene som dekkes her.)
Selv om denne boken vil hjelpe selv en relativ nybegynner til å bli kjent med et bredt spekter av verktøy som er nyttige for hackere, er den – som lovet – en praktisk introduksjon. Leserne vil være i stand til å utforske videre, og det siste kapittelet forteller deg gjennom å herde en vertsbasert VM som du kan bruke til faktisk etisk hacking. Den nevner også noen fristende avanserte mål som industrielle systemer og mobilinfrastruktur, selv om leserne ikke umiddelbart vil være i stand til å gå etter dem uten å gjøre mye ekstra arbeid.
Selv om du ikke planlegger å gjøre noen aktiv etisk hacking, bør det være en nyttig advarsel til alle innen IT om at hackingverktøy er både sofistikerte og allment tilgjengelige. Det er nok av opplæringsprogrammer som er rettet mot å bruke dem ondsinnet, så detaljene i denne boken øker ikke risikoen for de med sårbare systemer. Hvis du ønsker å forfølge dette som en karriere, vil Ethical Hacking guide deg gjennom de første trinnene.
Les flere bokanmeldelser
The New Breed-bokanmeldelse: Bruk dyr, ikke mennesker, som modell for roboter Eksponentiell bokanmeldelse: Teknologiakselerasjon og dens innvirkning på samfunnetTikTok Boom, bokanmeldelse: The rise and rise of YouTubes younger, hipper competitorSocial Warming, bokanmeldelse: Temperaturstigning, regulering nødvendig The Token Woman, bokanmeldelse: Hvordan håndtere vanlige arbeidsplassirritasjoner After Hours | Sikkerhets-TV | Databehandling | CXO | Datasentre