Wie wird man Hacker?

Ein ethischer Hacker ist jemand, der Schwachstellen in Systemen findet und diese dem Eigentümer des Systems meldet, damit diese die Schwachstelle beheben können, bevor sie von jemandem mit böswilliger Absicht kriminell ausgenutzt wird.

Viele Unternehmen zahlen Geldprämien – Kopfgelder – für die besten Schwachstellenberichte, die sie erhalten. Die besten ethischen Hacker verdienen viel Geld mit Kopfgeldern (Hunderttausende Dollar pro Jahr).

Wenn Sie die nötige Intelligenz und Neugier haben, können Sie sich selbst die Kunst des Hackens und der Fehlersuche beibringen.

Ich würde damit beginnen, alle öffentlich gemeldeten Schwachstellenberichte zu lesen. Sie sind eine großartige Quelle des Lernens. Siehe hier: Neueste Sicherheitslücken gefunden, belohnt oder aufgedeckt

Und hier ist eine Liste weiterer nützlicher Ressourcen für diejenigen, die ethisches Hacken erlernen: Nützliche Online-Ressourcen für neue Hacker

Endlich ein Blog-Eintrag eines Top-Hackers, der beschreibt, was die besten Bug-Jäger von den anderen unterscheidet: 5 Dinge, die Top-Bug-Kopfgeldjäger anders machen

Viel Spaß beim Hacken!

Wenn ich Ihre Frage verstehe, möchten Sie Informationen dazu erhalten, wie Sie sicherheitsrelevante Probleme in einem beliebigen System (z. B. Software, Netzwerke, Server usw.) finden und dann das System ausnutzen können.

Stellen Sie zunächst fest, dass es keine Software gibt, die den gesamten Prozess vollständig automatisieren kann. Es gibt eine Reihe von Linux-Distributionen (wie Backtrack, Kali Linux, BlackBuntu, Blackbox usw.), die Ihnen dabei helfen können, die Dinge einfacher zu machen. Wenn Sie jedoch wirklich die Dinge lernen möchten, empfehle ich Ihnen, ein grundlegendes Betriebssystem wie Ubuntu zu installieren und zu installieren die gesamte Software selbst.

Hier sind einige Regeln, die du befolgen solltest, wenn du wirklich das Hacken lernen willst:
1. Never GiveUp (Da keine Software erstellt wurde, die keine Fehler aufweist, kann es bei guter Software zu einer gewissen Plattformanfälligkeit kommen.)
2. Es gibt keine Software, die den Prozess des Hackens vollständig automatisieren kann. Sie müssen also zuerst lernen und ausführen.
3. Befolgen Sie OpenSource so oft wie möglich, da Sie durch den Kauf sämtlicher Software viel Geld verdienen und Risse Sie zuerst ausspionieren.
4. Versuchen Sie niemals, ein Programm blind auf Ihrem Hauptcomputer auszuführen. Versuchen Sie zunächst herauszufinden, ob die Software von einer vertrauenswürdigen Quelle stammt. Ist dies nicht der Fall, installieren Sie sie in der virtuellen Maschine.
5. Erfahren Sie, wie Sie testen, um nicht auszunutzen, wenn Sie etwas gefunden haben, melden Sie es den Entwicklern.
6. Vermeiden Sie das Fischen und Keyloggen, da es sich nicht um Hacking handelt, sondern um eine Art Cheat.

Hacking ist der Prozess, den Sie überall starten können. Zuerst müssen Sie wissen, welche Systemfehler vorliegen, und dann können Sie sie nach Belieben ausnutzen. Wenn Sie einige formale Schritte befolgen möchten
Schritt 1: Installieren Sie Ubuntu und einige der grundlegendsten Tools, mit denen Sie beginnen können. Ich würde folgendes empfehlen:
(i) Armitage mit Metasploi t {Penetration Testing Software, Pen Testing Security | Metasploit}: Metasploit enthält Tausende von Exploits für nahezu alle Systemtypen. Sie können diese Exploits verwenden, um auf dem gewünschten System auszuführen. Auf YouTube, auf der offiziellen Website und auf der Security Tube (Seite auf securitytube.net) finden Sie eine Reihe von Ressourcen. Abgesehen davon können Sie in Google-Blogs nach einer vielfältigeren Liste suchen.
(ii) Nmap {Kostenloser Sicherheitsscanner für Netzwerkerkundung und Sicherheitsüberprüfungen.}: Das beste Tool zum Scannen von Netzwerken oder Servern. Sie können in YouTube- und Google-Blogs nach Ressourcen suchen.
(iii) Wireshark {Wireshark · Go Deep.}: Das beste Tool zum Analysieren von Datenpaketen in denselben Netzwerken. Security-Tube (Seite auf securitytube.net) Hat einen Mega-Leitfaden zu WLAN-Sicherheit und netzwerkbezogenen Themen. Ich denke, diese Video-Lacture ist genug, damit jeder etwas über Wireshark, WLAN-Sicherheit usw. lernen kann.
(iv) SET (Social Engineering Toolkit) {trustedsec / social-engineer-toolkit}: Bestes Social Engineering Toolkit, das Sicherheitslücken in Windows-Software nutzt, um Man-in-the-Middle-Angriffe auf das System auszuführen.
(v) Air-Crack {Aircrack-ng}: Für Wi-Fi und verwandte Dinge.
(vi) TCPDump {Öffentliches TCPDUMP / LIBPCAP-Repository}: Sehr guter Befehlszeilen-Datenpaketanalysator.
(vii) Nikto {Nikto2 | CIRT.net}: Webserver-Scanner.
(viii) THC-Hydra : Gut für Brute-Force-Angriffe.
Ansonsten finden Sie bei VulnerabilityAssessment.co.uk eine sehr gute Liste. Sie können auch Kali Linux, Backtrack, BlackBuntu oder Blackbox installieren. Alle enthalten die oben angegebenen Tools.
Schritt 2: Graben Sie tief und sammeln Sie so viele Informationen wie möglich. Auf diese Weise können Sie das System und die im System vorhandenen Fehler besser verstehen.
Schritt 3: Versuchen Sie immer, die neuesten Tools und die neuesten globalen Schwachstellen in den Systemen verfügbar zu machen.
Schritt 4: Versuchen Sie jeden möglichen Angriff auf das System, das Sie hacken möchten.

Einige der am häufigsten empfohlenen Websites:
1. VulnerabilityAssessment.co.uk
2. The Hacker News – Hacking, Cyber- und Internet-Sicherheit
3. Nutzt die Datenbank durch anstößige Sicherheit aus
4. Informationen zur CERN-Computersicherheit
5. Seite auf owasp.org
6. Willkommen bei SecurityTube.net

PS: Bitte tun Sie alles zu Lern- und Testzwecken und so oft wie möglich in der virtuellen Maschine, da einige Skripte Ihrem Computer sehr schaden können.

Während ich Mr. Robot beobachtete, hielt ich immer dann, wenn Eliot einen Angriff durchführte, inne und notierte sorgfältig die Methoden, die er benutzte. Das war nicht schwer herauszufinden, da ich jetzt schon eine Weile im Sicherheitsbereich bin. Als ich diese Frage sah, entschied ich mich, noch einmal über ‘Hacks made by Eliot in Mr.Robot’ zu googeln und stellte fest, dass bereits viel über sie geschrieben wurde. Also, hier sind die Details:

  • Tiefer Ton

Wenn Sie sich fragen, warum jemand, der den Speicherchip seines Computers in der Mikrowelle brät, nachlässig genug ist, um Beweise für Personen zu speichern, die er auf als CDs getarnten CD-ROMs gehackt hat, ist Elliot Ihnen einen Schritt voraus. Mit DeepSound, einem Audio-Konverter-Tool, versteckte er alle Dateien auf allen, die er gehackt hat, sowie seine eigenen alten Familienfotos in WAV- und FLAC-Audiodateien. Und ja, die realen Dateien sind verschlüsselt und passwortgeschützt, wie wir in Episode 9 gesehen haben. DeepSound ist ein modernes Beispiel für Steganografie, die Kunst, Informationen im Blickfeld zu verbergen.

  • ProtonMail

Wenn Sie davon ausgegangen sind, dass Elliot seinen eigenen Server betreibt oder Pond schon früh nutzt, ist die Enthüllung von Episode 8, dass er einen ProtonMail-Account hat, möglicherweise eine Überraschung. ProtonMail ist ein browserbasierter E-Mail-Dienst in der Schweiz, der von Forschern entwickelt wurde, die sich an einer CERN-Forschungseinrichtung getroffen haben. (Ja, das CERN: dasjenige, wo das World Wide Web geboren wurde.)

“Einer der Vorteile von ProtonMail besteht darin, dass es sich um eine End-to-End-Verschlüsselung handelt und dass selbst die Eigentümer von ProtonMail Ihre Inhalte nicht sehen können und keine IP-Protokollierung stattfindet”, sagt Michael Bazzell, einer der Techniker Berater in der Show. Sie können sogar Ablaufdaten für Ihre E-Mails festlegen, nach denen sie sich selbst zerstören (vorausgesetzt, der Empfänger hat keine Kopie davon erstellt).

ProtonMail ist kostenlos, es gibt jedoch eine Warteliste für Einladungen zur Kontoerstellung. Vor kurzem wurden Beta-Versionen von iOS- und Android-Apps für Mobilgeräte angekündigt. Mit einer Spende von 29 US-Dollar ist es möglich, die Warteschlange zu sprengen. Die nächste Charge wird am Donnerstag veröffentlicht.

  • Himbeer-Pi

ARaspberry Pi ist dieser winzige und äußerst kostengünstige Computer, mit dem Sie das Programmieren erlernen und Ihr eigenes digitales Spielzeug bauen können. Es hat sich herausgestellt, dass es auch verwendet werden kann, um Fernzugriff auf HLK-Systeme zu erhalten. In der Sendung sollte Elliot über den Pi Zugang erhalten und dann die Temperatur im Lagerraum von Evil Corp, in dem Bandsicherungen aufbewahrt werden, erhöhen, wodurch die Aufzeichnungen eines Großteils der Verbraucherschulden der Welt zerstört wurden.

  • Tastic RFID Dieb

Fsociety würde nicht einmal daran denken, in die sicherste Einrichtung des Landes einzudringen, ohne einen Plan zum Diebstahl von Ausweisinformationen von Mitarbeitern zu haben. Glücklicherweise war fSociety-Mitglied Mobley beim Besuch von Steel Mountain mit Bishop Fox’sTastic RFID Thief bewaffnet, einem RFID-Lesegerät (Radio Frequency Identification), das Ihre Punktzahl auf einer microSD-Karte als Textdatei speichert, damit Sie das Abzeichen später klonen können . Es ist komplett tragbar und passt problemlos in eine Umhängetasche oder eine Aktentasche.

  • RSA SecurID

Die Zwei-Faktor-Authentifizierung kann definitiv die Pläne eines durchschnittlichen Betrügers vereiteln. Wie 25.000 Unternehmen weltweit nutzt auch Allsafe, das Cybersicherheitsunternehmen, in dem Elliot tätig ist, RSA SecurID. Die Zwei-Faktor-Authentifizierung von RSA SecurID erhöht die Sicherheit der geschützten Ressourcen eines Unternehmens, indem Benutzer nicht nur ihre RSA SecurID-PIN eingeben müssen, sondern auch ein in der App erstelltes Einmalkennwort, das nur 60 Sekunden dauert. Aus diesem Grund brauchte Elliot einen vielschichtigen Plan, um Gideons Telefon in Episode 8 in den Griff zu bekommen. Zuerst schrieb er ihm große MMS-Dateien, um zu versuchen, den Akku seines Chefs zu entladen, und dann schnappte er sich das Telefon, um den temporären Authentifizierungscode unter einzugeben das Ende des Passworts mit einer Sekunde zu ersparen. Er machte Gideon mit dem cleveren Trick zweifellos misstrauisch, aber zumindest erledigte er den Job.

  • Kali Linux

Kali Linux, der Nachfolger von BackTrack Linux, ist eine Debian-basierte Version von Linux, die speziell für Penetrationstests und Sicherheitsüberprüfungen entwickelt wurde und in mehreren Folgen von Mr. Robot verwendet wird . Es ist kostenlos, Open Source und mit Hunderten von Pen-Testprogrammen vorinstalliert. Damit können Sie Wi-Fi-Passwörter knacken, Antivirensoftware umgehen und Sicherheitslücken in Ihrem Netzwerk testen. Viele der in Mr. Robot verwendeten Werkzeuge werden in Kali verwendet. “Das ist der Vorteil von Kali, dass alle Werkzeuge eingebaut sind”, sagt Bazzell. “Es hat ein Vertriebssystem mit allem, was Sie brauchen.”

  • John the Ripper

John the Ripper ist ein Tool, mit dem Elliot in der zweiten Folge der Serie Tyrells Passwort geknackt hat. Sein Hauptzweck ist es, schwache Unix-Passwörter zu erkennen, aber es kann schwache Passwörter mit mehreren tausend (oder sogar mehreren Millionen) Versuchen pro Sekunde knacken. John the Ripper ist auf der Kali Linux-Plattform verfügbar.

  • Metasploit und Meterpreter

Episode 6 enthält das Metasploit Framework von Rapid7. Metasploit ist ein Exploit-Entwicklungs- und Bereitstellungssystem, mit dem Benutzer Exploits erstellen und ausführen können, normalerweise für Penetrationstests. Das spart Hackern Zeit, da sie nicht jedes Mal ein neues Tool erlernen müssen, wenn sie einen Exploit ausführen möchten. Meterpreter ist nur eine von mehreren hundert Nutzlasten, die in Metasploit verwendet werden können. Es befindet sich vollständig im Arbeitsspeicher und schreibt nichts auf die Festplatte, kann jedoch einem Angreifer die Kontrolle über das System seines Ziels und Teile des Netzwerks geben. Es wird häufig in Kali Linux auf einer virtuellen Maschine unter Windows oder unter Windows selbst verwendet.

  • Social-Engineer-Toolkit

Das Social-Engineer Toolkit von TrustedSec ist ein Open-Source-Pen-Test-Framework, das speziell für die Simulation von Social-Engineering-Angriffen wie Phishing, Spear-Phishing, Credential Harvesting und mehr entwickelt wurde. Elliot verwendete SMS-Spoofing in SET, einem Modul, das in den neueren Versionen nicht verfügbar ist. Mr. Robot-Technikberater Michael Bazzell sagte jedoch, dass es Benutzern möglich sei, dieses Paket wieder in die neue Version aufzunehmen.

  • FlexiSPY

Diese Liste wäre ohne die Einbeziehung eines Werkzeugs, das von einem der weniger sympathischen Charaktere der Show verwendet wird, nachlässig. In der dritten Folge von Mr. Robot installiert Tyrell Wellick heimlich mobile Überwachungssoftware auf dem Android-Handy eines Liebhabers. Nachdem er mithilfe von SuperSU Root-Rechte erlangt hat, installiert er FlexiSPY, ein Tool, mit dem Sie die Geräteaktivitäten anderer Benutzer über ein Online-Portal überwachen können. FlexiSPY stellt vergangene Daten nicht wieder her, zeigt jedoch alles an, was noch im Telefonspeicher oder auf der SIM-Karte gespeichert ist, sowie alle zukünftigen Daten. Es verbirgt auch SuperSU als Teil seiner Installation. Hinterhältig hinterhältig.

Quelle: Dieser erstaunliche Artikel bei Wired.

Abgesehen von den oben genannten Methoden ist Eliot ein Master in Social Engineering. Die Art und Weise, wie seine Social-Engineering-Fähigkeiten dargestellt werden, erinnert mich an Kevin Mitnick. Das beste ist, Leute zu hacken!

Wenn Sie noch eine Website lesen und nicht möchten, dass Hacker wie Eliot sie hacken, schauen Sie sich bitte unser fantastisches Produkt ASTRA unter https://GetAstra.com/ an.