Security & Hacking

Những kỹ năng cần thiết để trở thành Ethical Hacker

Ethical hacker hay hacker thiện chí đều có phương pháp thực hiện tương tự như những kẻ tấn công “thiếu thiện chí” nhưng mục tiêu của họ thì hoàn toàn khác. Ethical hacker tìm kiếm các điểm yếu bảo mật và xác định cách thức để thâm nhập vào mục tiêu nhằm đánh giá mức độ thiệt hại do các lổ hỗng này gây ra, từ đó đưa ra cảnh báo cùng những phương án gia cố, kiện toàn bảo mật thích hợp. Tiến trình này thường được gọi là penetration test hay các cuộc tấn công thử nghiệm mà chúng ta đã trình bày ở trên. Công cụ hàng đầu hay được sử dụng để tiến hành penetration test các trang web là Acunetix Web Vulnerability Scanner với thông điệp quảng cáo mà ta thường thấy là IS YOUR WEBSITE HACKABLE?

Ngoài mục tiêu thì một trong những điểm khác biệt quan trọng giữa ethical hacker và những hacker thông thường là hacker thiện chí chỉ hành động trên các hệ thống mà họ có thẩm quyền hay được sự cho phép, ủy quyền của người chủ hệ thống.

Nhiều hacker tại Việt Nam nhầm lẫn về khái niệm này trong quá trình thi lấy chứng chỉ CEH cũng như hành động của họ trong việc tìm kiếm lỗi. Một số người đã chủ động dò lỗi của trang web, thâm nhập vào và sau đó gởi yêu cầu vá lỗi cho chủ nhân của hệ thống, đây là hành động không hợp lệ vì chưa có sự cho phép của chủ nhân thì bất kì sự xâm nhập nào cũng đều là trái phép. Tuy nhiên, nếu chỉ dừng lại ở hành động dò quét lỗi và gởi thông báo riêng về các lỗi được phát hiện thì hoàn toàn hợp lệ, ngoại trừ một số máy chủ hay dãy địa chỉ IP tuyệt mật như của NASA hay Bộ Quốc Phòng Mỹ thì ngay cả việc quét IP cũng không được phép.

Những kỹ năng cần thiết để trở thành Ethical Hacker

Để trở thành một ethical hacker các bạn cần có những kỹ năng của một hacker mũ đen đó là kiến thức về hệ thống mạng và máy tính, có khả năng quản trị và hiểu rõ hệ thống Windows , Linux.

Chúng ta cần nắm vững cách khai thác một lổ hổng bảo mật và phương pháp khắc phục sự cố vì mục tiêu của chúng ta là “tấn công để phòng thủ” chứ không phải “tấn công để phá hoại”.

Ngoài ra, để có thể hiểu rõ các mã khai thác, hay biên soạn các công cụ, kịch bản dùng cho việc thử nghiệm thì ethical hacker nên có kiến thức về lập trình, mặc dù các hacker ngày nay có nhiều công cụ hỗ trợ viết các đọan mã hiểm độc một cách dễ dàng như sử dụng công cụ tạo kịch bản Auto IT hay những chương trình chuyên dụng để tạo ra trojan, virus, worm.

Bên cạnh những kiến thức và kỹ năng đã trình bày thì những hacker thiện chí cần có chứng chỉ CEH, đây là chứng nhận rõ ràng và hợp lệ nhất dành cho một ethical hacker.

Các kiểu tấn công của Ethical Hacker

Ethical hacker có thể sử dụng nhiều phương pháp khác nhau để đánh giá tính an toàn của hệ thống thông qua việc tấn công thử nghiệm, những phương pháp này bao gồm:

Remote network: Giả lập các cuộc tấn công từ xa hay từ hệ thống internet. ·

Remote dial-up network: Tiến hành các cuộc tấn công vào hệ thống modem hay các kết nối dial-up của hệ thống như máy chủ VPN.

Local network: Giả làm nhân viên của tổ chức và thực hiện các cuộc tấn công lên các tài nguyên để tìm ra các điểm sơ hở trong chính sách bảo mật hay điểm nhạy cảm của hệ thống.

Stolen equipment: Giả lập một tình huống đánh cắp tài nguyên để dự đóan các thiệt hại và tác động của nó lên quá trình kinh doanh. Đã có tình huống một sân bay của Úc bị hacker giả làm nhân viên bảo trì đánh cắp ổ cứng làm hệ thống điều khiển và vận hành bị tê liệt trong vòng 2 giờ.

Social engineering: Quá trình này dùng để kiểm tra sự hiểu biết của người dùng và các kiến thức về an toàn thông tin, phòng chống bị các đối tượng xấu giả mạo, đánh lừa nhằm lất cắp thông tin quan trọng.

Physical entry: Trong mô hình này các ethical hacker sẽ tiến hành tấn công trực tiếp và cáo thành phần vật lý của hệ thống như các máy chủ, hệ thống lưu điện v.v nhằm kiểm tra xem các tài nguyên này có được đặt dưới sự bảo vệ tốt hay không.

Giới thiệu về tác giả

letrungdo

Real name: Lê Trung Đô | Height: 1.67m, Weight: 55kg | Blood type: AB | Sport: Taekwondo ♥
Xamarin Developer at GMO-Z.com RUNSYSTEM

Thêm bình luận

Bấm vào đây để viết bình luận

This site uses Akismet to reduce spam. Learn how your comment data is processed.