Εισαγωγή στο Ethical Hacking

Καλώς Ήρθατε!!

Θεοφάνης Κασίμης

CEO of AudaxCybersecurity

White Hat hacker OSCP Certification Ομιλητής σε συνέδρια &

εκδηλώσεις PWB Offensive Security Twitter : @_thekondor_

Τι είναι το χάκινγκ;

Χάκινγκ είναι η τέχνη στο να βρίσκεις λύσειςστα προβλήματα των πληροφοριακώνσυστημάτων.

Η λέξη “Hack” δεν είναι απόλυτα συνδεδεμένημε τον κόσμο των υπολογιστών.

Χάκινγκ και Υπολογιστές

Το χάκινγκ εισήλθε στην κουλτούρα τωνυπολογιστών από το πανεπιστήμιο ΜΙΤ το1960.

Συνδέθηκε το κομμάτι της ασφάλειας!

Τι είναι η ασφάλεια;

Ασφάλεια είναι ο βαθμός αντίστασης και ηπροστασία από τις απειλές.

Είναι η κατάσταση στο να είναι απαλλαγμένοένα δίκτυο από κάποιο κίνδυνο ή απειλή.

Ασφάλεια vs Προστασία

Σαν έννοιες είναι κοντά αλλά δεν είναι ίδιες. Το αίσθημα της προστασίας οφείλεται στα

πολλαπλά επίπεδα ασφάλειας. Ασφάλεια είναι ένα είδος προστασίας από

εξωτερικές απειλές.

Ορισμός Χάκερ

Χάκερ είναι ένας τεχνικά καταρτισμένοςχρήστης υπολογιστή ο οποίος, είτε με αρνητικάείτε με θετικά κίνητρα, θα παραβιάσεισυστήματα υπολογιστών.

Κορυφαίοι Χάκερ

Κατηγορίες Χάκερ

Black Hat

White Hat (Ethical Hackers)

Grey Hat

Script Kiddies

Black Hat Hackers

Παραμόρφωση ιστοσελίδων με ανάληψη ελέγχου καιη αντικατάσταση των κύριων φωτογραφιών τηςσελίδας με αγενή συνθήματα.

Κλοπή ταυτότητας και κλοπή προσωπικώνπληροφοριών.

Botnetting: Τηλεχειρισμός δεκάδων προσωπικώνυπολογιστών, και προγραμματισμός των “ζόμπι”για εκτέλεση spam και επιθέσεις DDOS

White Hat Hackers

Έντιμα κίνητρα Ταλαντούχοι χρήστες στην ασφάλεια

πληροφοριακών συστημάτων Πρώην Black Hat Σύμβουλοι σε μεγάλες εταιρίες Ιδιοκτήτες Κορυφαίων εταιριών ασφάλειας

Grey Hat Hacker

Μεταξύ Black Hat + White Hat Χομπίστες Sharing αρχείων Καταλήγουν στην κατηγορία Black Hat

Script Kiddie

Κοίτα τι έκανα! Wannabe Hacker Επίδειξη στην παρέα του ή στην κοπέλα του Χρησιμοποιεί δουλειές άλλων

Ικανότητες Ethical Hacker

ProgrammingLanguages→ C, C++

ScriptingLanguages→ Python,Perl, PHP

Πολύ καλήγνώσηΒάσειςΔεδομένων→ SQL

AssemblyProgramming

ΆψογοςΧειρισμόςUnix

TCP/IP

Από που να αρχίσω;

TCP/IP IP Address MAC Address Ports Web Architecture LAN Architecture DOS Commands

Χρησιμοποίηση Γνώσεων

Οι καλοί ερευνητές ασφάλειας χρησιμοποιούν τιςγνώσεις του για να ασφαλίσουν οποιοδήποτε

πληροφοριακό σύστημα!

Τι είναι το Penetration Testing

Ως δοκιμή διεύσδυσης ορίζεται μια δοκιμαστικήεισβολή σε ένα πληροφοριακό σύστημα για την

αξιολόγηση της ασφάλειας του.

Lets start Hacking Now

Υπάρχουν 4 φάσεις για να γίνει κάτι τέτοιο!

* Σχεδιασμός και προετοιμασία

* Ανίχνευση ευπαθειών

* Εκμετάλλευση ευπαθειών

* Καταγραφή και αντιμετώπιση των κινδύνων

Σχεδιασμός & Προετοιμασία

Όσες το δυνατόν περισσότερες πληροφορίεςγια τα μηχανήματα/στόχους

Σχεδιασμός Δικτύου Ανοιχτές Πόρτες Υπηρεσίες που μπορεί να τρέχει Εύρεση λειτουργικού συστήματος Εύρεση πληροφοριών / χρήστη

Ανίχνευση Ευπαθειών

Εμπορικά εργαλεία ( Nessus )

Ανοιχτού Κώδικα (nikto, nmap)

Δικά μας εργαλεία

Είδη Αδυναμιών

* Remote Code Injection

* Remote File Include

* SQL Injection

* Cross-Site Scripting

* XML Injection

* Cross-Site Request Forgery

Εκπαίδευση

Υπομονή & επιμονή Συνεχώς ναπροσπαθείτε

Πολύ, πολύ, πολύ διάβασμα!! :) Εξάσκηση σε εικονικά συστήματα!

(Virtualization)

Δημιουργία Εικονικού Δικτύου

* VirtualBox, VMware * Kali Linux →Εξιδικευμένη διανομήLinux

* Ubuntu Linux, Ubuntu Server, Fedora, WindowsXP, Windows Server, Windows 7, ακόμη και μεεσωτερικό δίκτυο μέσα στο VirtualBox

Virtualization/PenTest Lab

Πώς, που...

Μόνοι σας Γραφτείτε σε φόρουμ (SecNews.gr) Διάβασμα Εικονικά συστήματα Challenges / Ethihak (Divani Caravel)

ETHIHAK CHALLENGE

Τέλος Παρουσίασης

Απορίες / Ερωτήσεις