Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

„Chcę zostać Hackerem” - to nie łam prawa, jest mnóstwo atrakcyjnych alternatyw! :-)

Częstokroć w wiadomościach, na portalach informacyjnych bądź stricte branżowych – słyszymy o przeróżnych włamaniach na strony/serwery. Kradzieżach baz danych albo po prostu zwykłych aktach wandalizmu w postaci podmiany strony głównej danej instytucji.

Wszystko ma swój cel oczywiście – włamania na strony/serwery dają dostęp do baz tudzież zdobycia roota na serwerze i tym samym wykorzystania go np. jako część tworzonego botnetu. Czyli „atakujący” bo takiego terminu można użyć – tworzy sobie narzędzie do „pracy zarobkowej” bądź poprzez takie działania stara się kształtować swoje umiejętności i jednocześnie zdobywać cenne doświadczenie.

Zaś co do wandalizmu w postaci podmian strony głównej (tzw. „deface”) danego celu – zazwyczaj mają one pobudki czysto polityczne/społecznościowe albo są wyznacznikiem umiejętności będącej składową zdobywania uznania w środowisku.

r   e   k   l   a   m   a

Abstrahując jednak od intencji/pobudek atakującego, a także późniejszego wykorzystania efektów jego działań – skupmy się na tym co robi. Nie na tym jakie mogą być późniejsze ewentualne następstwa jego działań. Faktem jednak jest, że zgodnie z artykułami kodeksu karnego Art. 267, Art. 269 i 269a – popełnia on przestępstwa. I w przypadku, gdy podwinie mu się noga w którymś kroku albo pozostawi po sobie jakiś ślad – odpowiada on za to karnie.

Pytanie, czy warto?

Wydaje mi się, że nie – a bardzo często na forach stricte dotyczących bezpieczeństwa komputerowego gdzie omawiane są tematy dotyczące bezpieczeństwa sieciowego/webaplikacji – towarzyszą im sporadyczne pytania o to „jak hackować”/”jak zostać hackerem?”. Zamieszczone w danym wątku treści zwykle sprowadzają się do tego, że nie ma innej opcji jak hackować serwery „produkcyjne” albo strony, które są pewną piramidą... Im bardziej popularniejszy cel, tym więcej zabezpieczeń i trudniej je złamać. Ok, logiczne, ale z drugiej strony warto zauważyć, że „wyższe w piramidzie” to najczęściej firmy, a za nimi mogą stać prawnicy – którzy wiedzą jak sobie radzić z tego typu sprawami... i jak duże odszkodowanie mogą spokojnie wywalczyć ;-)

A jeśli chodzi o sytuacje, kiedy atakujący ma naprawdę dobre intencje – i znalazł lukę/podatność danej strony/serwera o której ma zamiar powiadomić właściciela/administratora. To nawet jakby miał certyfikat na szlachetność i nieposzlakowaną opinię – historia pokazuje, że „niezamówione testy penetracyjne” nie są pozytywnie odbierane...

Kierowanie się założeniami, które opisałem powyżej to tak naprawdę stąpanie po cienkiej linii – albo się uda, albo nie. Zwłaszcza, że mówimy tutaj o początkujących „hackerach” więc częściej może się nie udać ;-)

Są inne alternatywy – LEPSZE!

W pełni legalne, dające częstokroć zdecydowanie większe profity w przypadku sukcesów. Do tego warto dorzucić fakt, że umożliwiające znacznie lepsze kształtowanie swoich umiejętności i co najważniejsze... w przypadku ich pomyślnego realizowania i osiągania sukcesów na tym polu – można się nimi pochwalić w CV ;-)

A są to:

>> CrackMe! / HackMe!

Są to specjalnie tworzone zagadki algorytmiczne, kryptograficzne, bazujące na programowaniu nisko bądź wysoko poziomowym. Polegają na złamaniu zabezpieczeń (CrackMe) w celu uzyskania określonego celu – np. odczytania zaszyfrowanej informacji.
Albo, mogą polegać na ominięciu owych zabezpieczeń (HackMe!) np. poprzez wykorzystanie kilku (wydawało by się mało znaczących ;-) informacji dostępnych na stronie, po których sprytnym połączeniu – jesteśmy w stanie osiągnąć wyznaczony cel.

Przykładowe HackMe! bądź CrackMe! Znajdziecie zarówno na portalach branżowych jak i przy okazji jakichś eventów – organizatorzy bardziej popularnych konferencji tworzą specjalne CrackMe!, którego rozwiązanie uprawnia do zdobycia wejściówki ;-)

*Profity*:


  • Oprócz wejściówek na popularne eventy, o których wspominałem – często można wygrać inne rzeczy np. staże pracy (niektórzy pracodawcy wystawiają swoje autorskie CrackMe, które ma zweryfikować umiejętności kandydata) lub nagrody rzeczowe. Wszystko zależy od okoliczności.
  • Co najważniejsze – to zdobyte doświadczenie i kształtowanie umiejętności. Cały czas będę to powtarzał, ponieważ jest to podstawowy czynnik sukcesu realizacji naszych celów, a to chyba jest jeden z podstawowych zasad, którymi kierujemy się w życiu? ;>

>> CTF - Capture The Flag

To skrót od znanej zabawy „Capture The Flag ”, tylko w ujęciu stricte informatycznym. Zazwyczaj polegają na specjalnie organizowanych turniejach, które polegają na rozwiązywaniu szeregu zagadek (takich właśnie jak CrackMe albo HackMe) za których skuteczne rozwiązanie dostaje się punkty. Liczone one są do generalnej klasyfikacji (ctftime.org ).

Co prawda, poziom takich turniejów CTF'owych jest naprawdę wysoki – co można zobaczyć tutaj i tutaj, gdzie... no właśnie! Polacy opisują swoje poczynania na arenie CTF – mało tego.. są w tym naprawdę dobrzy bo należą do ścisłej czołówki :-)

*Profity*:


  • Czasem pieniężne, czasem traktowane jako „prestiż”.
  • Bardzo cenne doświadczenie, których zdobycie de facto już wymaga konkretnego poziomu umiejętności.
  • Możliwość pochwalenia się w CV udziałem w prestiżowych turniejach CTF.

>> Laby

A dokładniej coś w deseń „Pentesters Lab” - portalu poświęconemu rozpowszechnianiu autorskich zadań stricte edukacyjnych z zakresu realizowania ataków XSS, SQLi, CSRF itd.

Chętna osoba, przechodzi na interesujący ją dział – po czym dostaje pakiet zadań wraz z przygotowanym specjalnie środowiskiem w postaci niezałatanej strony/aplikacji (czasem serwera) – jej zadaniem jest znalezienie wszystkich podatności. Oczywiście ma do tego wskazówki, ale to czy będzie z nich korzystała – jest tylko jej wyborem :-)

*Profity*:

  • Tym razem żadnych pieniężnych, ale za to bardzo wartościowe pod względem edukacyjnym. Pentesters Lab tworzone jest przez pentesterów, którzy tworząc takie zadania kierują się swoim doświadczeniem. Dlatego też, opatrzone są one właściwymi nawykami dotyczącymi testowania zabezpieczeń, co jest bardzo cenne w miarę rozwoju dalszej kariery.
  • >> BugBounty

    Są to specjalnie prowadzone programy/projekty przez popularniejsze portale/firmy/instytucje etc. które pozwalają na testowanie zabezpieczeń swoich stron/aplikacji/serwerów pod kątem podatności bądź luk – a w zamian za to nagradzają (często bardzo sowicie) za zgłoszone błędy, które faktycznie mają istotny wpływ pod kątem bezpieczeństwa.

    To jest właśnie przeciwieństwo „niezamówionych testów penetracyjnych”, tylko prowadzonych na własną rękę za zgodą właściciela. Bug Bounty to coraz popularniejsza praktyka stosowana przez największe marki branży IT.

    Oto ich krótka lista:

    *Profity*:


    • Pieniężne – wyrażane nawet w postaci kilku tysięcy dolarów za zgłoszone luki/podatności/błędy.
    • Doświadczenie? Zależy od znalezionego błędu i stopnia zaawansowania.
    • Na pewno prestiż – każdy taki sukces w programie BugBounty jest szeroko omawiany przez kilka czołowych bądź lokalnych portali branżowych :-)
    • Do tego rzecz, którą na pewno można wrzucić w CV („Ha! Zhackowałem Facebooka i Google'a!”) :P

    Możliwości, jak widać – jest mnóstwo!

    I cały czas powstają nowe – ponieważ temat bezpieczeństwa, a zwłaszcza jego testowania robi się coraz bardziej popularny.

    Przedstawiłem najpowszechniejsze alternatywy umożliwiające skuteczną naukę dla „początkujących hackerów”, które zdecydowanie pozwalają uniknąć niepotrzebnych problemów (np. prawnych) za lekkomyślne podejście do tematu :-)

    Mam nadzieję, że co prawda stworzyłem dosyć mocno rozbudowany wpis – to jednak pomimo tego zachęce przyszłe pokolenia „bezpieczników” do pójścia w dobrym i przyszłościowym kierunku budowania swojej kariery z sukcesem :-)

    PS. Idealnym zawodem dla takich „początkujących hackerów” jest Pentester. Jest to osoba, która zawodowo zajmuje się testowaniem zabezpieczeń np. webaplikacji – przy czym naprawdę sporo dobrej kasy na tym zarabia. Jak zostać Pentesterem? Uczyć się i wykorzystać opisane wyżej wskazówki – dla wytrwałych, efekt 100% gwarantowany :-)

    PPS. Swoją drogą, chciałbym się podzielić ciekawym odczuciem towarzyszącym mi przy pisaniu tego wpisu. Generalnie to nie jest jakaś szczególna rzecz aczkolwiek spróbujcie kiedyś podczas podróży (w moim przypadku akurat jadę pociągiem w którym złapała mnie wena :P) spróbować spłodzić jakieś wpisy/artykuły.
    Szczerze powiedziawszy, nie chodzi o sam fakt tworzenia w gorącym przedziale czując wibracje pociągu pod siedziskiem – tylko o hmm.. ograniczenie czasowe. Ale nie czasu podróży, tylko baterii!! Kurczę, jeszcze nigdy bateria nie stała się dla mnie tak bardzo priorytetowym aspektem pracy laptopa... ale – no właśnie, to takie tam moje odczucie :P

    Pozdrawiam. 

    bezpieczeństwo porady inne

    Komentarze