Zpět na seznam článků     Číst komentáře (8)     Verze pro tisk

Manuál hackera

Autor: .cCuMiNn.   
27.5.2008

Jedna z knih, kterou mohu s klidným svědomím doporučit jak těm zkušenějším z vás, tak i těm, kteří se o etický hacking teprve začínají zajímat.


obálka knihyJiž v recenzi na knihu Kybernetická kriminalita jsem se zmínil o tom, že Grada začátkem tohoto roku vydala knihu "Manuál hackera", jejímž autorem je Shon Harris a spol. Protože jde o velmi zajímavý knižní titul, který splnuje všechny předpoklady pro zrecenzování na tomto portále, můžete se s ním na následujících řádcích blíže seznámit.

Kniha se zaměřuje na podobná témata jako knihy z edice Hacking bez tajemství. Autor však několikrát zdůraznuje, že se v této knize nezastavuje na místech, kde ostatní podobné tituly končí, ale snaží se jít mnohem dál. Autora sice v jeho tvrzení moc nepodpořím, ale je pravda, že jsem se pár nových věcí dozvěděl.

Obsah knihy, ze které je neustále patrno, že je určena etickým hackerům, je vybrán a seřazen skutečně mistrovsky. Jednotlivé kapitoly se postupně věnují těmto oblastem:

  • Etický hacking - Jaké motivy podněcují hackery k testování bezpečnosti informačních systémů. Zdůraznění důležitosti etického hackingu za účelem ochrany vlastních systémů.
  • Etický hacking a právní systém - Hackování není často zrovna legální záležitostí a tak neuškodí, když se předem seznámíte se zákony, které se vztahují k tomuto tématu. Dokonce i při etickém hackování by měly být sepsány patřičné smlouvy tak, abyste se nechtěně nedostali do problémů. Skoda, že se tato kapitola věnuje zákonům platným v USA.
  • Etické ohlašování chyb - Ohlášení chyby tvůrcům aplikací je jedním z nejdůležitějších kroků etického hackování. Stejně jako všude jinde existuje i zde mnoho různých cest, kterými lze celou proceduru provést. Autor zde podrobně rozebírá klady a zápory jednotlivých možností.
  • Penetrační testování - Co je to penetrační testování a jaké jeho druhy můžeme rozlišovat z hlediska cílů, které se stávají jeho cíly.
  • Nástroje dnešního hackera - Nástroje používané pro průzkum sítě, o kterých jste se mohli dočíst v knihách Hacking bez záhad, mají přecijen již nějaký věk a protože se ve světě informačních technologií mění nástroje skutečně rychle, představuje autor v této kapitole nástroje nové generace, které při průzkumu využívají modernějších, rychlejších a méně nápadných metod.
  • Automatické penetrační testování - Existuje spousta nástrojů, které automaticky prověří zabezpečení Vašich systémů. Samozřejmě, že tyto nástroje nenaleznou všechny zranitelnosti a ne všechny z nalezených je možné zneužít. Na druhou stranu poskytují tyto nástroje rychlý přehled o stavu systému a upozornují na slabá místa, která je potřeba prověřit.
  • Základní programátorské dovednosti - Takový rychlokurz programování, který Vás ve zkratce seznámí s programováním v jazyce C a Assembleru. Je jasné, že se autorovi nepodaří Vás naučit programovat na několika málo stranách. O to mu ani nejde. Seznámí Vás pouze s příkazy, které budete potřebovat v následujících kapitolách a upozorní na chyby, kterých se programátoři často dopouštějí.
  • Základní exploity pro Linux - Přetečení bufferu je jednou ze závažných chyb, která je v současné době velmi rozšířena. Stojí proto za to, se seznámit s jejím principem a možnostmi jejího zneužití.
  • Složitější exploity pro Linux - Kapitola, jež navazuje na tu předchozí. Na rozdíl od ní se ale zaměřuje na přetečení haldy a exploitování formátovacích funkcí.
  • Psaní linuxového shellkódu - Jak napsat shellkód, který provede námi požadované funkce.
  • Základní exploity pro Windows - Podobně jako předchozí kapitoly se i tato věnuje způsobům, kterými je možné exploitovat zranitelné aplikace běžící tentokrát pod Windows. Kapitola mimojiné seznámí čtenáře s několika dostupnými nástroji, které se mohou hodit.
  • Analýza slabých míst - Úvod do reverse engineeringu a odhalování slabých míst v aplikaci. Kapitola o ruční analýze kódu a automatických nástrojích, které mohou při vyhledávání zranitelných míst pomoci.
  • Pokročilý reverse engineering - Několik stránek, které jsou věnovány především fuzzingu.
  • Od chyby k exploitu - Již název napovídá, že nalezenou chybu je nutné nejprve pořádně analyzovat. Teprve poté se můžeme věnovat tvorbě exploitu, který danou zranitelnost spolehlivě využije.
  • Přechodná obrana - Ve chvíli, kdy jsou informace o nově nalezené zranitelnosti veřejně dostupné (v lepším případě po jejím nahlášení tvůrci software), přichází na řadu obrana. Ta nejčastěji spočívá v aplikaci příslušných záplat, nebo třeba i ve změně používaného softwaru.

Výše uvedený výčet témat hovoří za vše. Osobně na mě kniha udělala ten nejlepší dojem a to hlavně z toho důvodu, že je určena etickému hackování. Tato skutečnost z knihy prostě vyzařuje a málokde se o etickém hackingu dočtete tolik informací, co zde. Osobně tuto knihu doporučuji a to jak pokročilým testerům, tak i těm, kteří do světa hackingu teprve pronikají.


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 3.25/4

1  2  3  4  5    
(známkování jako ve škole)