Grazie a Guillermo per avermi suggerito l'argomento per questo post, è qualcosa che anche se ho la fortuna di sperimentare, non so se è stato scritto qui in passato, ma in ogni caso lo riporterò alla luce per essere posso condividere qualcosa con te
L'arte di essere un hacker
Uno dei libri che più ha attirato la mia attenzione su questo argomento è senza dubbio Hacking: l'arte dello sfruttamento, de Jon erickson. È un gioiello per chiunque voglia immergersi in questo mondo di vero hacker. E com'è nel libro, mi permetto di prendere la prima domanda che mi è esplosa in mente quando l'ho letto.
L'essenza di un hacker
Usando esattamente ciascuno dei seguenti numeri 1,3,4 e 6 una volta con una qualsiasi delle operazioni di base (somma, sottrazione, moltiplicazione, divisione) ottieni un totale di 24. Ogni numero deve essere utilizzato solo una volta e l'ordine dipende da te. Per esempio:
3 * (4 + 6) + 1 = 31
Corretto nella sintassi, ma errato nel risultato.
Devo ammettere che non sono stato in grado di risolvere il problema finché non ho finito di leggere il libro e ho visto la soluzione nell'ultima pagina. Ma fondamentalmente questa è l'essenza di un hacker, per poter vedere ciò che gli altri non vedono.
I primi hacker
Un gruppo di studenti del MIT (Massachusetts Institute of Technology), intorno agli anni '50, ricevette una donazione di apparecchiature telefoniche, con questi pezzi, svilupparono un sistema che consentiva loro di gestire la linea di comunicazione a distanza tramite chiamate speciali. Hanno fatto una scoperta utilizzando una tecnologia che già esisteva, ma usandola in modi che pochi o nessuno avevano visto prima. Questi sono stati i primi hacker.
Una comunità di supporto
Oggi ci sono molti esami di "certificazione" per diventare un "hacker", ma la realtà è che non si diventerà un vero hacker fino a quando un membro della comunità che è già un hacker non accetterà di chiamarci con quel qualificatore. Uno dei modi per farlo è essere in grado di contribuire con qualcosa di utile alla comunità. Alla fine, molti hacker lo sono programmatori di basso livello, poiché hanno una profonda conoscenza di come funzionano i computer, a livello di memoria e sistema operativo; bit come ultima opzione.
Questa conoscenza consente loro di trovare le vulnerabilità
È come quando impariamo la matematica per la prima volta, quando eravamo bambini, avevamo bisogno di qualcuno che ci spiegasse e insegnasse simboli e forme, e questo accade in un certo modo anche con i programmatori, un vero hacker è colui che conosce questi simboli e queste forme, e ci segnala quando vede che non siamo riusciti a usarli (una vulnerabilità). E come lo stesso Linus Torvalds (un altro grande hacker, nel vero senso della parola) le "vulnerabilità" sono solo bug. Con questo riferimento al fatto che non sono altro che errori di programmazione, anche se forse con altri tipi di conseguenze per il bug più comune.
Gli hacker NON sono necessariamente criminali
Questo è vero fino a un certo punto, pensiamoci un momento. Quando un vero hacker vuole sapere qualcosa, testa anche il più piccolo dettaglio del sistema, con tutte le sue conoscenze può schivare, o evitare i controlli di accesso, o modificare gli ordini per eseguire altre attività, o addirittura convertire il programma in un altro cosa. Ma da dove viene questo?
Motivazioni di un hacker
Questi possono andare in una vasta gamma di possibilità, alcuni (i più veri hacker) scoprono ciò che scoprono per puro piacere intellettuale, amano la sfida di trovare queste "lacune". Altri lo fanno per ego, dal momento che vogliono essere in grado di dire che sono i migliori in qualcosa. Ma è innegabile che alcuni o molti di loro saranno presenti anche per i soldi, dal momento che controllare cose incontrollabili per la maggior parte delle persone è sicuramente uno strumento che può produrre molti soldi. Questo è il motivo per cui possiamo dire che gli hacker no Sono necessariamente cattivi, ma attenzione a lui necessariamente.
Un altro motivo importante è quello hacker reale diffidano della tecnologia che tutti usiamo. Questo perché nella loro profonda conoscenza dei sistemi, conoscono i limiti, le lacune o le vulnerabilità. È questa conoscenza in definitiva che consente loro di "aggirare" i sistemi per soddisfare alcune delle loro altre motivazioni (intellettuali, economiche, ecc.).
3 tipi di hacker oggi
Oggi possiamo trovare 3 noti gruppi di hacker, distinti in modo curioso dal tipo di cappello che indossano: bianco, nero y cappello grigio. In poche parole e con un'analogia che abbiamo già accennato in precedenza, scopriamo che i bianchi sono i buoni, i neri sono i cattivi e i grigi sono nel mezzo dove usano le loro capacità per essere buoni o cattivi, a seconda della situazione. Ma c'è un ultimo termine, molto più utilizzato nei circoli degli hacker. reale.
Script kiddie
Cos'è uno script-kiddie? Come dice il suo nome, è un "bambino" agli occhi del vero hacker che utilizza solo script a tuo vantaggio. E qui devi fare una distinzione molto grande,
Essere certificati nella sicurezza informatica NON ti rende necessariamente un hacker.
E questo è un punto di vista personale, oltre che a degli hacker potresti essere incerto e comunque un grande hacker. Ma vediamo perché dico questo. Molti esami / corsi di certificazione / ecc. Ti insegnano i passaggi di un file pentesting di successo, ti insegnano la teoria dei tipi di vulnerabilità, ti introducono al mondo della sicurezza informatica come se fossi esperto in materia. Ma la realtà è che fino a quando non si dà un contributo sostanziale alla comunità degli hacker, questo significa, fino al no creare uno strumento che dimostrarsi utile per gli hacker, tu non sei uno. Così semplice e facile.
Non importa quanto bene puoi usare nmap, o zen, o anche metasploit, fintanto che non sei in grado di fornire un vero exploit, o un vero strumento di ricognizione, NON sei un hacker, solo uno script kiddie, e non lo fa Non importa che tu abbia N certificazioni in materia di sicurezza, questo non lo cambierà.
Gli hacker rendono questo mondo migliore
È grazie a loro che abbiamo la tecnologia in costante movimento. Il kernel è un ottimo esempio di questo, ci sono centinaia di menti molto esperte in materia, chi creare codice che serve non solo la comunità degli hacker, ma il mondo intero. Ma non solo questo, se non fosse per loro, la tecnologia ristagnerebbe nei punti in cui le persone non vorrebbero continuare a svilupparsi, questo perché trovando le vulnerabilità, gli hacker aiutano a motivare gli sviluppatori a scrivere codice migliore e, a sua volta, questo codice migliore motiva gli hacker per dimostrare che sono ancora migliori, creando un circolo virtuoso nel mezzo.
Riflessione finale
Bene, lo interrompo proprio così, perché ho visto che mi sto estendendo e anche se vorrei spiegare un po' come trovare un exploit, ciò dovrà essere per un'altra volta. Personalmente mi considero ancora uno 'script-kiddie', poiché sebbene abbia trovato alcune vulnerabilità là fuori e sia stato anche in grado di assegnare loro CVE, non ho ancora creato il mio exploit o strumento da mettere a disposizione della comunità, ma spero che cambi in breve tempo Senza ulteriori indugi, grazie mille per il tuo tempo, saluti.