Haberler

Etik Hacking Eğitimi – Yeni Başlayanlar İçin Kapsamlı Bir Kılavuz

Aşağıdaki makale size yardımcı olacaktır:Etik Hacking Eğitimi – Yeni Başlayanlar İçin Kapsamlı Bir Kılavuz

Bilgisayar korsanlığını nasıl öğreneceğinizi merak ettiyseniz, bugün bu Etik Bilgisayar Korsanlığı eğitiminde, Etik Bilgisayar Korsanlığının önemini ve ‘etik’ veya Beyaz Şapkalı Bilgisayar Korsanları tarafından erişim elde etmek için kullanılabilecek çeşitli teknolojiler ve araçları öğreneceksiniz. bir sisteme, uygulamaya veya veriye. Ethical Hacking’i her zaman çevrimiçi olarak öğrenmek istediyseniz, bu bilgisayar korsanlığı eğitimi size Ethical Hacking temelleri hakkında bir fikir verecektir.

Bu Etik Hacking eğitiminde aşağıdaki konuları ele alacağız:

Bu Etik Hacking eğitimine öncelikle bilgisayar korsanlığının gerçek anlamını anlayarak başlayalım.

Hacking Nedir?

Bilgisayar korsanlığı, bir sisteme erişmenin yetkisiz bir yoludur ve teknolojinin gelişmesiyle birlikte önemli bir endişe alanı haline gelmektedir. Bununla birlikte, sadece kötü amaçlı bilgisayar korsanlığı değil, aynı zamanda Etik Hacking de popüler hale geliyor. Şimdi, Ethical Hacking’in ne olduğunu merak ediyor olabilirsiniz.

Etik Hacking Kursu Çevrimiçi Eğitim Videosu:

Twitter’da hacklemek

Twitter’daki son siber saldırıya tanık oldunuz mu? Saldırı, birçok önde gelen şahsiyet ve kuruluşun profillerinin ele geçirildiği yaklaşık 130 hesabı hedef aldı.

Bilgisayar korsanları, az sayıda önemli hesabın kontrolünü ele geçirmeyi ve onlardan şüpheli tweet’ler göndermeyi başardı. Hacklenen hesaplar Jeff Bezos (Amazon’un kurucusu), Bill Gates (Microsoft Corporation’ın kurucu ortağı), Uber ve Apple’ın kurumsal hesapları, Warren Buffet ve rapçi Kanye West’e aitti.

Kaynak: Twitter

Özetlemek gerekirse, birisi uygulama güvenliğini aşmak için koddaki güvenlik açıklarından yararlandığında buna bilgisayar korsanlığı denir.

Peki, bir yazılım şirketi kendisini saldırıya uğramaktan nasıl korur? Cevap, Etik Hacking. Bir sonraki bölümde bu konuyu daha iyi anlayalım ve Etik Hackleme hakkında bilgi edinelim.

Etik Hacking nedir?

1970’lerde büyük şirketler, güvenlik açıklarını keşfetmek ve çözmek için ‘kaplan ekibi’ adını verdikleri bir grup insanı işe aldı. Tiger ekibinin işi, ne pahasına olursa olsun şirketlerin mevcut sistemlerini hacklemek ve ardından hack’i nasıl yaptıklarını paylaşmaktı.

Daha sonra bu ‘hack’ güvenlik ekibi tarafından düzeltildi.

Yukarıdaki, önce ‘hacker’ları işe alarak sistemi kırma ve ardından güvenlik açıklarını düzeltme yöntemine Etik Hacking denir.

Bir Etik Hacking Örneği

Ethical Hacking’i bir örnek üzerinden daha net bir şekilde öğrenelim.

Diyelim ki Instagram gibi bir sosyal medya uygulaması geliştirdiniz. Hazır olduğunda, onu İnternet’te kullanılabilir hale getirdiniz ve şimdi uygulamanızı kullanan binlerce kullanıcı var.

Bir gün, kullanıcılarınız profillerinin otomatik olarak herkese açık hale geldiğini bildirmeye başlar. Daha yakından iç gözlemde, uygulamanızın kodda kaçırdığınız bir boşluk kullanılarak saldırıya uğradığını fark edersiniz.

Şimdi, yukarıdaki sorunu nasıl çözeceğimizi anlayalım. İki şey yapabilirsiniz:

  1. Bilgisayar korsanlarının uygulamanıza nasıl eriştiklerini belirlemeye çalışın ve geliştirme ekibinizle bu sorunu çözmeye çalışın
  2. Birkaç ‘Etik Hacker’ kiralayın. Yani, uygulamanızı hacklemeden önce izninizi alacak kişiler, daha sonra daha fazla güvenlik açığı için sisteminize girecek ve daha sonra bunu nasıl yaptığını size anlatacaktır.

Hangi yöntem kulağa daha çekici ve daha az zaman alıcı geliyor? İkinci seçeneği seçerseniz, oradaki birçok büyük kuruluşun CTO’su ile aynı fikirde olursunuz!

Özetlemek gerekirse, Etik Hacking, şirketin düzeltebileceği ve çözebileceği güvenlik açıklarını bulmak için bir şirketin bir uygulamasını veya sistemini kasıtlı olarak hackleme uygulamasıdır. Şirket/yazılım sahibinin izni olmadan Etik Hacking kesinlikle yapılmaz.

Ancak, iyi ve kötü ya da etik ve etik olmayan bilgisayar korsanları arasında nasıl ayrım yaparsınız? Devam edelim ve anlayalım.

Tavsiye Edilen:  Toodledo-21 Şaşırtıcı İstatistikler ve Gerçekler

Hacker Türleri

Temel olarak, üç tür bilgisayar korsanı vardır:

Siyah Şapkalı Hacker:

Bunlar, bilgileri çalmak veya genel halka rahatsızlık vermek amacıyla izin almayan ve sistemlerde yetkisiz saldırılar gerçekleştiren kötü şöhretli kişilerdir.

Beyaz Şapkalı Hacker:

Bunlar tartıştığımız ‘Etik Hacker’lar. Güvenliklerini daha iyi hale getirmek amacıyla yazılım/sistem sahiplerinden izin alarak sistemleri hacklerler.

Gri Şapkalı Hacker:

Bunlar, yetkisiz bilgisayar korsanlığı yapan ancak Black Hat Hacker’larla aynı amaca sahip olmayan kişilerdir. Örneğin, yazılım sahiplerini para karşılığında açıklardan haberdar edebilirler, ancak ilk etapta şirketler tarafından işe alınmazlar.

Burada bir örnek verelim. Diyelim ki Myntra gibi bir çevrimiçi alışveriş uygulaması başlattınız ve kullanıcılar uygulamanızdan alışveriş yapmaktan keyif alıyor.

Bildiğiniz gibi, müşterilerin çevrimiçi bir ürün satın almak için banka/kredi kartı, internet bankacılığı vb. kullanarak ödeme yapması gerekir. çevrimiçi ödeme yapan başka bir müşterinin kayıtlı kart bilgilerini kullanan bir ürün.

Eh, bu sizin ve müşterileriniz için de korkutucu bir durum olacaktır. Burada bilgisayar korsanı iki şey yapabilir:

Birincisi, diğer müşterilerin kart bilgilerini kullanmaya devam edebilir ve uygulamanızdan yüzlerce sahte sipariş verebilir. Bunu yaparsa, Kara Şapkalı Hacker olarak kabul edilir.

İkincisi, kaynak kodunuzdaki bu kusur hakkında size bilgi verebilir ve bunun için size bir çözüm önerebilir, ancak bu sefer sizi bu güvenlik açıkları hakkında bilgilendirir ve karşılığında sizden para ister. Pekala, bu durumda, bir Gri Şapkalı Hacker ile uğraşıyor olmalısınız.

Şimdi, bu olaydan birkaç gün önce, tüm bu zayıflıkları bulması ve bir saldırgandan önce çözmesi için bir kişiyi tuttuğunuzu hayal edin. Bu tür saldırganlar Beyaz Şapkalı Hacker olarak bilinir.

Artık Etik Hacking’in ne olduğunu anladığınıza göre, yeni başlayanlar için bu Ethical Hacking eğitimine geçelim ve Ethical Hacking’i öğrenmek için gerekli olan çeşitli teknikleri ve Hacking araçlarını anlayalım.

Etik Hacking Araçları

Etik Hacking’in önemini ve anlamını anladıktan sonra, yeni başlayanlar için bu Ethical Hacking eğitiminde daha ileri gidelim ve Ethical Hacker’ların bir sistemi yetkisiz davetsiz misafirlerden korumak için kullandıkları teknikleri anlayalım.

Bir bilgisayar korsanının gerçekleştirebileceği çeşitli saldırı türleri vardır. Örneğin, bir sosyal medya uygulaması kullanıyorsunuz ve uygulama bir anda isteklerinize yanıt vermiyor. Bunun iki nedeni olabilir:

İlk olarak, uygulamada bazı bakım çalışmaları yapılıyor olabilir. İkincisi, bir bilgisayar korsanı, uygulamanın hizmetlerini kesintiye uğratmak amacıyla veri trafiği oluşturmak için kasıtlı olarak gereksiz istekler gönderiyor olabilir. İkinci tür saldırı, hizmet reddi olarak bilinir, yani hedef makineye normal operasyonlarını aksatmak için büyük miktarda hileli istekler sızdırma.

Bu Etik Hacking eğitiminde daha ileri gidelim ve Ethical Hacking için hangi araçların kullanıldığını görelim.

NMAP

NMAP, ağ eşleyici anlamına gelir. Bu araç, çevrenizde bulunan ağları keşfetmek için kullanılır. Sızma testi yapmak istiyorsanız, bu araç Etik Hacking’in ilk aşamasında, yani bir kuruluşa ait tüm ağları gözlemlemeniz gereken keşif aşamasında kullanılabilir.

NMAP, bir bilgisayar ağındaki ana bilgisayarları ve sunucuları tarayan ücretsiz, açık kaynaklı bir ağ tarayıcısıdır. Paketleri gönderir ve yanıtlarını analiz eder.

metasploit

Metasploit, Rapid7 tarafından geliştirilen açık kaynaklı bir çerçevedir. Hem ‘kötü niyetli’ bilgisayar korsanları hem de ‘etik’ bilgisayar korsanları tarafından kullanılan en güçlü istismar araçlarından biridir. Metasploit’in yardımıyla bilgisayar korsanları, küçük ağlarda temel kalem testleri gerçekleştirebilir. Sızma testinin erişim elde etme aşamasında kullanılan birincil araçtır.

Metasploit’in üç farklı sürümü vardır:

  1. Çerçeve: Komut satırı sürümü
  2. Toplum: Grafik kullanıcı arabirimi sürümü
  3. profesyonel: Tam özellikli ve ücretli sürüm
Tavsiye Edilen:  Bir E-Ticaret Mobil Uygulaması Oluşturmak Buna Değer mi?

Geğirme Süiti

Burp Suite, web uygulamalarında penetrasyon testi yapmak için kullanıcı dostu bir platform sağlayan bir PortSwigger ürünüdür.

Bu araç, tarayıcınız tarafından yapılan her HTTP isteği ve tarayıcınızda ziyaret ettiğiniz URL’ler gibi bilgiler sağlar. Burp aracılığıyla bir uygulamaya göz attığınızda tüm isteklerin ve yanıtların kaydını tutar.

Kızgın IP Tarayıcı

Angry IP Scanner, bir sisteme bağlı IP adreslerini ve bağlantı noktalarını taramak için kullanılan açık kaynaklı ve hafif bir araçtır. Bildiğiniz gibi her sistemin, internetteki diğer sistemlerle bağlantı kurmasını sağlayan bir IP adresi vardır. Angry IP Scanner, taranan IP’ler hakkında her türlü bilgiyi toplar.

Bu araç, taranan her IP adresi için ayrı bir tarama dizisi oluşturur ve bu yöntem çok iş parçacıklı bir yaklaşım olarak bilinir.

Tel Köpekbalığı

Wireshark, ağ paketlerini analiz etmek için kullanılan en ünlü araçlardan biridir. Yakalanan veri paketleri hakkında ayrıntılı bilgi sağlar.

Bu araç, ağ sorunlarını gidermek, güvenlik sorunlarını incelemek, ağ uygulamalarını doğrulamak, protokol uygulamalarında hata ayıklamak ve ağ protokolünün dahili özelliklerini öğrenmek için kullanılabilir.

Kayin ve Habil

Windows 95, Windows 98, Windows 2000, Windows 7, Windows 8 vb. Microsoft İşletim sistemleri için bir şifre kurtarma aracıdır. Ağı koklamak ve Sözlük kullanarak şifreleri kırmak gibi belirli yöntemler kullanır. Bu iki yöntemin dışında Brute-Force ve Cryptanalysis saldırıları, VoIP konuşmalarının kaydedilmesi, şifreli şifrelerin çözülmesi, kablosuz ağ anahtarlarının kurtarılması, şifre kutularının açığa çıkarılması gibi birkaç yöntem daha bulunmaktadır.

Bu araç, güvenlik danışmanları, profesyonel penetrasyon testçileri ve beyaz şapka korsanları için oldukça kullanışlıdır.

EterPeek

Bu araç, çok protokollü heterojen bir ağ ortamında ağ analizini basitleştirmek için kullanılır. EtherPeek, 2 MB’den daha küçük bir boyuta sahip olan ve kısa sürede kolayca kurulabilen küçük bir araçtır.

Bir ağdaki trafik paketlerini koklar. Varsayılan olarak bu araç, IP Adresi Çözümleme Protokolü (ARP), NetWare, TCP, AppleTalk, Adres ve NBT paketleri gibi tüm ana protokolleri destekler.

Nikto

Nikto, alınan tanımlama bilgilerini yakalayarak sunucuya özgü ve genel kontroller ve baskılar gerçekleştirebilen açık kaynaklı bir araçtır. Araç, eski yazılımları belirlemek için birkaç web sunucusunu tarar ve test eder.

Nikto, başka sorunlara neden olabilecek bu eski yazılımın kontrol edilmesinde önemli bir rol oynamaktadır. Nikto’nun eklentilerinin yardımıyla, potansiyel olarak tehlikeli olan 6400’den fazla CGI veya dosyayı kontrol etmek için kullanılabilir.

NetStumbler

NetStumbler, Windows tabanlı işletim sistemlerinde araba sürmeyi engelleyen etik bir bilgisayar korsanlığı aracıdır.

IEEE 902.11g, 802 ve 802.11b ağlarını algılama yeteneğine sahiptir. Bu araç aşağıdaki özelliklere sahiptir:

  • AP (Erişim Noktası) ağ yapılandırmasını belirleme
  • Girişimin nedenlerini bulma
  • Alınan sinyallerin gücüne erişme
  • Yetkisiz erişim noktalarını algılama

Bunlar, Ethical Hacker’lar tarafından bir sisteme erişim elde etmek için kullanılan bazı temel araçlardır.

Penetrasyon testi

Bu Etik Hacking eğitiminin başında okuduğunuz gibi, Ethical Hacking, bilgisayar güvenliği, Siber Güvenlik saldırı türleri, ağ güvenliğini sağlama ve çok daha fazlası gibi Siber Güvenlik ile ilgili her şeyi içeren geniş bir konudur.

Etik Hackerlar tarafından kullanılan ilk yöntem sızma testidir. Ethical Hacking’in özellikle bilgi sistemleriyle ilgili bir parçasıdır. Diyelim ki müşterilerinize çeşitli hizmetler sunan bir web sitesi açtınız ve bu hizmetlerden yararlanmak için müşterilerin iletişim bilgilerini sağlamaları gerekiyor.

Tavsiye Edilen:  Satın alma başarısı için müşteri eğitimine yenilikçi yaklaşımlar

Web sitenizdeki güvenlik ihlalleriyle ilgili olası tüm sorunları çözmüş olsanız da, bilgisayar korsanları geliştirme ekibi üyeleriniz kadar yenilikçidir. Bu nedenle, bir bilgisayar korsanının kodunuzda bir kusur bulması ve iletişim bilgilerini kullanarak müşterilerinize şüpheli mesajlar göndermesi mümkündür.

Bu nedenle, bilgisayar korsanlarının yaptığı kararlılıkla sisteminizde düzenli kalem testleri yapmanız önemlidir. Ancak sizin durumunuzda sisteme zarar vermiyorsunuz; bunun yerine, sisteminizi daha güvenli hale getirmeye çalışıyorsunuz.

Bu nedenle, sisteminizin kötü amaçlı faaliyetlere nasıl yanıt vereceğini kontrol etmek için sisteminizin tüm güvenlik açıklarını ortaya çıkarma süreci sızma testi olarak bilinir. Sistemin diğer işlevlerini engellemeden zayıflıkları bulmak zorunda kalacakları için yüksek düzeyde eğitimli profesyoneller gerektirir.

Etik Hackleme ile ilgili bu YouTube videosunu izleyin

Sızma Testi İhtiyacı

Şimdi, neden penetrasyon testine ihtiyacımız var? İşte bunun birkaç nedeni:

  • Bir web sitesi veya uygulama geliştirdiyseniz, onu herhangi bir veri ihlalinden korumak istersiniz. Sızma testi bu durumda yardımcı olacaktır.
  • Sisteminizi korumak için güvenlik duvarları gibi tüm güvenlik kontrollerini kurduğunuzu, ancak güvenlik kontrollerinin sisteminizi koruyup korumadığını kontrol etmek için sistemi tüm güvenlik ihlallerine karşı test etmeniz gerektiğini düşünün.

Sızma Testi Aşamaları

‘Etik’ bir şekilde hacklemeyi öğrenmek için penetrasyon testi gerçekleştirirken geçirmemiz gereken çeşitli aşamalardan bahsedelim:

Keşif:

Bir kuruluşa ait tüm ağlar ve sunucular hakkında bilgi toplama ve gözlemleme işlemidir. Temel olarak, bu aşamada, bir kuruluş ve nasıl çalıştığı hakkında sosyal mühendislik, İnternet aramaları, müdahaleci olmayan ağ taraması vb. dahil her şeyi öğrenmeye çalışacaksınız.

Tarama:

Hedef kuruluşla ilgili tüm bilgiler toplandıktan sonra, saldırgan, kuruluşun kullandığı sunucuları ve ana bilgisayarları, sistemde güvenlik açığı bulunan herhangi bir uygulama olup olmadığını vb. araştırmak için ağı taramaya başlar.

Erişim Kazanma:

Bu aşamada, saldırgan sistemdeki güvenlik açıklarının farkındadır ve sisteme erişmek için bunları kullanmaya çalışır. Saldırgan bir sisteme erişim elde etmek için kaba kuvvet de dahil olmak üzere çeşitli teknikler kullanabilir.

Erişimi Sürdürmek:

Bilgisayar korsanının sisteme erişim sağladıktan sonra, tüm hedeflerini gerçekleştirmesi için bu erişimi yeterince uzun süre sürdürmesi gerekir. Saldırgan bu aşamada, gelecekte o sisteme de erişebilmek için sisteme bazı arka kapılar da yüklemeye çalışır.

İzleri Temizleme:

Bir Etik Hacker, saldırı sırasında hangi etkinliklerin gerçekleştiğini asla takip etmek istemez, bu nedenle saldırıyla ilgili tüm günlük dosyalarını temizlemesi gerekir.

Raporlama:

‘Etik’ hacker’ın bulduğu güvenlik açıklarını, kullandığı araçları vb. raporlaması gereken penetrasyon testinin son aşamasıdır. Saldırganın tüm süreci adım adım sistem sahibine açıklaması gerekir.

Etik Hacking Alanında Kariyerinizi Artırın

Şimdiye kadar, bu Etik Hacking eğitiminde, başarılı bir Ethical Hacker olmak için kullanabileceğiniz çeşitli araç ve tekniklerin yanı sıra tüm Ethical Hacking temellerini tartıştık. Ayrıca adım adım prosedürü ve Ethical Hacking’i etkili bir şekilde gerçekleştirmek için kullanılabilecek bazı temel araçları tartıştık. Bu alanda daha yetkin hale gelmek için birkaç Siber Güvenlik Öğreticisini daha keşfedebilirsiniz.

Post Views: 9