6 книг, которые рассказывают об этичном хакинге


Оглавление (нажмите, чтобы открыть):

23 сайта для практики хакинга

Навыки в информационной безопасности сейчас пользуются большим спросом. Так как люди стремятся из всего сделать приложение и подключить к интернету даже самые примитивные устройства, спрос будет только расти. Поэтому неудивительно, что сегодня все хотят научиться хакингу.

Однако на множестве форумов можно встретить новичков, которые не знают, с чего начать изучение хакинга или где его попрактиковать. Специально для них мы представляем подборку сайтов, на которых можно приобрести и улучшить навыки хакинга.

Прим. перев. Приведённые ниже площадки доступны только на английском языке.

1.CTF365

Пользователи CTF365 устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей. CTF365 подойдёт профессионалам в области безопасности, которые хотят приобрести наступательные навыки, или системным администраторам, заинтересованным в улучшении своих защитных навыков. Если вы новичок в инфосеке, вы можете зарегистрировать бесплатную учетную запись для начинающих и познакомиться с ним с помощью нескольких предварительно настроенных уязвимых серверов.

2.OVERTHEWIRE

OverTheWire подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач.

3.HACKING-LAB

Hacking-Lab предоставляют задачи CTF для European Cyber Security Challenge, но они также проводят на своей платформе регулярные соревнования, в которых может участвовать каждый. Просто зарегистрируйтесь, настройте vpn и выберите себе задачу по вкусу.

4.PWNABLE.KR

Данная площадка фокусируется на pwn-задачах, подобных CTF, суть которых заключается в поиске, чтении и отправке файлов-флагов, которые есть в каждой задаче. Для доступа к содержимому файлов вы должны использовать навыки программирования, реверс-инжиниринга или эксплуатации уязвимостей, прежде чем сможете отправить решение.

Задачи делятся на 4 уровня сложности: лёгкий — для новичков, средний, сложный и хардкор, где задачи требуют нестандартных подходов для решения.

IO — это варгейм от создателей netgarage.org, сообщества, в котором единомышленники делятся знаниями о безопасности, искусственном интеллекте, VR и многом другом. Было создано 3 версии варгейма: IO, IO64 и IOarm, из них всех IO является наиболее зрелой. Подключайтесь к IO через SSH и можете приниматься за работу.

6.SMASHTHESTACK

SmashTheStack состоит из 7 различных варгеймов: Amateria, Apfel (в настоящее время офлайн), Blackbox, Blowfish, CTF (в настоящее время офлайн), Logic и Tux. Каждый варгейм содержит множество задач, начиная от стандартных уязвимостей и заканчивая задачами на реверс-инжиниринг.

7.MICROCORRUPTION

Microcorruption представляет собой CTF, в котором вам нужно «зареверсить» вымышленные электронные блокирующие устройства Lockitall. Устройства Lockitall защищают облигации, размещённые на складах, принадлежащих вымышленной компании Cy Yombinator. На пути к краже облигаций вы познакомитесь с ассемблером, узнаете, как использовать отладчик, пошагово выполнять код, устанавливать точки останова и исследовать память.

8.REVERSING.KR

Здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга. Сайт не обновлялся с конца 2012 года, но имеющиеся задачи по-прежнему являются ценными учебными ресурсами.

9.HACK THIS SITE

Hack This Site — бесплатный сайт c варгеймами для проверки и улучшения ваших навыков хакинга. Нам нём можно найти множество хакерских задач в нескольких категориях, включая базовые задачи, реалистичные задачи, приложения, программирование, фрикинг, JavaScript, форензику, стеганографию и т.д. Также сайт может похвастаться активным сообществом с большим каталогом хакерских статей и форумом для обсуждения вопросов, связанных с безопасностью. Недавно было объявлено, что кодовая база сайта будет пересмотрена, поэтому в ближайшие месяцы можно ожидать большие улучшения.

10.W3CHALLS

W3Challs — это обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование. Цель платформы — предоставить реалистичные задачи. В зависимости от сложности решённой задачи вы получаете баллы. Также есть форум, на котором можно обсуждать и решать задачи с другими участниками.

11.PWN0

Площадка pwn0 — это VPN, в которой происходит почти всё, что угодно. Сражайтесь против ботов или пользователей и набирайте очки, получая контроль над другими системами.

12.EXPLOIT EXERCISES

Exploit Exercises предлагает множество виртуальных машин, документацию и задачи, которые пригодятся в изучении повышения привилегий, анализа уязвимостей, разработки эксплойтов, отладки, реверс-инжиниринга и т.д.

13.RINGZER0 TEAM ONLINE CTF

RingZer0 Team Online CTF предлагает более 200 задач, которые позволят вам проверить навыки взлома по нескольким направлениям — от криптографии, анализа вредоносных программ до SQL-инъекции, шеллкодинга и многого другого. После того, как вы нашли решение задачи, вы можете отправить его RingZer0 Team. Если ваше решение будет принято, вы получите RingZer0Gold, которое можно обменять на подсказки во время решения задач.

14.HELLBOUND HACKERS

На Hellbound Hackers можно найти традиционные задачи с эксплойтами и такие форматы задач, которых нет на других ресурсах. Например, патчинг приложений и задачи, ограниченные по времени. В задачах с патчингом вам даётся уязвимый фрагмент кода и вам нужно предложить исправление этой уязвимости.

15.TRY2HACK

Try2Hack — один из старейших сайтов по улучшению навыков хакинга, который всё ещё остаётся на плаву. Он предлагает несколько задач, чтобы развлечься. Задачи разнообразны и по мере продвижения становятся всё сложнее.

16.HACK.ME

Hack.me представляет собой большую коллекцию уязвимых веб-приложений для применения навыков взлома на практике. Все приложения предоставляются сообществом и каждое из них можно запустить «на лету» в безопасной, изолированной песочнице.

17.HACKTHIS!!

HackThis!! состоит из 50+ задач разного уровня, за решение каждой из которых вы получаете определённое количество очков в зависимости от уровня сложности. Подобно Hack This Site, у HackThis!! также есть живое сообщество, многочисленные статьи и новости о хакинге, а также форум, на котором вы можете обсудить задачи и вопросы, связанные с безопасностью.

18.ENIGMA GROUP

Enigma Group содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP. Сайт имеет почти 48000 активных участников и проводит еженедельные CTF-соревнования, а также еженедельные и ежемесячные конкурсы.

19.GOOGLE GRUYERE


Google Gruyere показывает, как можно эксплуатировать уязвимости веб-приложений и как от этого защититься. Вы сможете провести реальное тестирование на проникновение и фактически взломать настоящее приложение, используя атаки вроде XSS и XSRF.

20.GAME OF HACKS

Game of Hacks показывает вам набор фрагментов кода в виде викторины с несколькими вариантами выбора, а вы должны определить правильную уязвимость в коде. Этот сайт немного выделяется из этого списка, но тем не менее это хорошая игра для выявления уязвимостей в коде.

21.ROOT ME

Root Me предлагает более 200 задач и более 50 виртуальных сред, позволяющих вам применить на практике свои навыки взлома в различных сценариях. Это определённо один из лучших сайтов в данном списке.

22.CTFTIME

Хотя CTFtime не является хакерским сайтом, как другие в этом списке, это отличный ресурс, чтобы оставаться в курсе CTF-соревнований, происходящих по всему миру. Поэтому, если вы заинтересованы в присоединении к CTF-команде или участии в соревновании, вам стоит сюда заглянуть.

23.PENTESTERLAB

PentesterLab — это простой и удобный способ изучения пентестинга. Площадка предоставляет уязвимые системы, которые могут использоваться для тестирования и изучения уязвимостей. Вы на практике можете работать с реальными уязвимостями как онлайн, так и офлайн. Тем не менее онлайн-доступ открыт только тем, у кого есть подписка PentesterLab Pro, стоимость которой составляет 19.99$ в месяц или 199,99$ в год.

12–13 ноября в 10:00, Санкт-Петербург, 3490–15 900 ₽

Что вам нужно знать о этичному хакингу

Навыки хакинга также могут быть полезны

С годами термин «хакинг» приобрел отрицательный оттенок, что неудивительно. Хакерство часто используется в злонамеренных целях, таких как способ выявления и использования уязвимостей системы для получения несанкционированного доступа или угрозы безопасности, что приведет к потере данных или финансовой потере и другому серьезному ущербу.

Однако, как утверждают эксперты из Reviewedbypro и других источников, навыки взлома могут использоваться не только для злонамеренных действий. Хакеры часто нанимаются службами безопасности, чтобы использовать свои навыки для повышения своей безопасности и не допускать злоумышленников в свои системы, серверы, сети или другое программное обеспечение.

Кроме того, этичный хакинг — это не просто хобби, это может стать работой на полный рабочий день или прибыльной деятельностью. Например, 19-летний хакер-самоучка заработал свой первый миллион за награду Bug Bounty. Итак, что вам нужно знать об «этичном хакинге».

Что такое «Этичный хакинг»?

Вы когда-нибудь слышали термин «этичный хакинг»? Этичный хакинг, также известный как «вайт хет хакинг» или «взлом белой шляпы» , представляет собой процесс вторжения в систему или сеть с целью обнаружения образцов вредоносных программ и уязвимостей, которые могут быть обнаружены вредоносными скриптами или эксплойтами, что приводит к серьезным убыткам в виде потерянных данных.

Основная цель этичного хакинга — повысить уровень безопасности. Образцы вредоносных программ и уязвимости, обнаруживаемые этичными хакерами, часто исправляются во время тестирования. Несмотря на то, что этичные хакеры часто применяют те же инструменты и методы, которые используются киберпреступниками и злоумышленниками, этичные хакеры имеют разрешение уполномоченной стороны на выполнение взлома. Кроме того, все обнаруженные уязвимости, как ожидается, будут сообщены руководству в процессе тестирования.

Кто такой этичный хакер?

Этичный хакеры, обычно называемые тестировщиками проникновения или хакерами в белой шляпе, являются опытными хакерами-профессионалами, которые выявляют и используют слабые места и уязвимости в целевых системах/сетях. В отличие от злонамеренных хакеров, вместо того, чтобы воспользоваться преимуществами обнаруженных уязвимостей, этичные хакеры работают с разрешения авторизованного руководства и должны все правила управления и законы страны.

Стоит отметить, что этичные хакеры нередко становятся белыми шляпами, будучи злонамеренными хакерами, решая использовать свои навыки и приемы для достижения позитивных целей. Тем не менее, хакеры в белых шляпах также нередко переключают свои белые шляпы на черные.

CIA или AIC Triad

Этичные хакеры часто руководствуются тремя основными принципами, включая конфиденциальность, целостность и доступность. Эти три принципа составляют Треугольник ЦРУ. Они используются для достижения гармонии трех принципов для повышения уровня безопасности организации. Первоначально Триада ЦРУ была разработана для руководства политиками информационной безопасности в организации. Эта модель также упоминается как триада AIC.

Требуются квалификация и обучение

Если вы когда-нибудь думали стать этичным хакером, важно узнать о навыках и квалификации, необходимых для этой работы. По словам основателя и исполнительного директора DrPete Technology Experts Питера Чадха, этичные хакеры должны обладать «огромным количеством технических знаний о ИТ-системах и программном обеспечении и, в частности, о том, как использовать их уязвимости». Ряд сертификатов, таких как наиболее распространенные сертификаты EC-Council Certified Ethical Hacker Certification или Communication-Electronics Security Group (CESG) также необходимы для выполнения какого-либо теста на проникновение в организацию.

Существуют также различные сертификаты тестирования начального уровня, разработанные для тех, кто желает работать в команде тестирования и управляться руководителем группы. Между тем, сертификаты и курсы старшего тестирования предназначены для более продвинутых хакеров, которые хотят работать самостоятельно или руководить своей командой.

Кроме того, вы можете самостоятельно проверить наличие сертификатов и онлайн-курсов. Например, Udemy часто предлагает сделки по курсам этичного хакерства, которые включают курсы для начинающих и более продвинутых пользователей. EcCouncil также предоставляет студентам обучение и курсы для тех, кто хочет стать сертифицированным этичным хакером. Курсы включают сертификаты Core, Advanced и Expert.

Согласно PrepAway, топ-7 сертификатов этичного взлома включают сертификат этичного хакинга (CEH), сертификат тестера проникновения GIAC (SANS GPEN), сертификат специалиста по безопасности (OSCP), CREST, Foundstone Ultimate Hacking, сертификат по взлому инженера-тестера (CTPC) и сертификат инженера по тестированию хакинга (CPTE). Сертификаты квалифицируют человека как сертифицированного этичного хакера и предоставляют различные преимущества для отдельных лиц, поскольку это помогает понять риски и уязвимости, влияющие на организации, показывают инструменты торговли, технических хакеров, различные виды средств для подбора отпечатков пальцев, контрмеры и инструменты для снятия отпечатков пальцев и многое другое.

Чадха также добавляет, что «это также помогает иметь достаточные общие знания и опыт наряду с такими сертификатами, как «Магистр информационной безопасности». Поэтому имейте в виду, что соответствующий опыт в области взлома также высоко ценится в отрасли.

Больше характеристик и информации о взломе

Несмотря на то, что этичный хакер не должен выполнять определенные действия во время взлома, существует пять основных этапов, включая разведку, сканирование, получение доступа, поддержание доступа и очистку треков.

  1. Первым этапом взлома является Разведка, также известная как следы или сбор информации. На этом этапе хакер должен собрать как можно больше информации. Собирается информация о сети, хосте и вовлеченных людях.
  2. Вторая фраза сканирования включает в себя три типа сканирования: сканирование портов, сканирование уязвимостей, сопоставление сети.
  3. Третья фаза получения доступа отражает фазу, когда хакер входит в целевую систему или сеть. После того, как хакер проник в систему, требуется разрешение администратора для установки программ и инструментов, необходимых для настройки или скрытия данных.
  4. После получения доступа следует фраза «Поддерживающий доступ». Злоумышленник, взломавший систему, может захотеть только показать, что она уязвима, или он также хочет сохранить или использьзовать несанкционированное соединение в фоновом режиме. Для этого хакеры часто используют вредоносные программы, такие как трояны, руткиты или другие вредоносные программы. Доступ должен поддерживаться до тех пор, пока задачи не будут выполнены.
  5. Последний этап — очистка дорожки. Злонамеренный хакер не хочет быть пойманным, поэтому необходимо очистить все улики и следы, которые могут привести к нему. Этот этап состоит из модификации, повреждения и/или удаления журналов, значений реестра, используемых приложений и т.д. Даже если каждый хакер выбирает свои собственные фазы взлома, это пять основных рекомендуемых и наиболее часто используемых этапов.
Мастер Йода рекомендует:  Кодирование данных с помощью эмодзи обзор инструмента Base100

Наиболее распространенные виды атак

Стоит отметить, что существуют разные типы атак. Атаки включают в себя атаки операционной системы, модификации конфигурации, атаки на уровне приложений и атаки с использованием сжатых кодов. Давайте немного подробнее поговорим о каждой атаке.

Атаки операционной системы относятся к обнаружению и использованию уязвимостей и слабых мест в операционной системе. Например, непропатченная система или переполнение буфера.

Атаки модификации конфигурации часто являются результатом неправильной конфигурации развернутого устройства или системы. Эти атаки направлены на базы данных, серверы, программное обеспечение или сети. Атаки рычага приложений направлены на программы и приложения. Некоторые из примеров — внедрение SQL, межсайтовый скриптинг и подобные атаки. Атаки кода при сжатии кода выполняются с использованием компонентов по умолчанию или с готовых компонентов, если код или скрипт не настроены должным образом.

Это основные типы атак, которые обычно выполняются из-за слабых мест, уязвимостей, неправильной конфигурации и других ошибок в системах, сетях, программном обеспечении или кодах/скриптах.

Оценка уязвимости

Одной из самых популярных работ для этичных хакеров является оценка уязвимости.

Оценка уязвимости — это процесс выявления, количественной оценки и определения приоритетов уязвимостей в системах, сетях и каналах связи. Процесс выполняется как часть аудита и направлен на защиту целевых систем от атак. Обнаруженные уязвимости идентифицируются, классифицируются и сообщаются руководству с целью исправления ошибок и повышения безопасности организации.


Тестирование проникновения

Еще одной важной задачей в индустрии этичного хакинга является тестирование на проникновение. Тестирование на проникновение является актом оценки уровня безопасности организации. Во время тестирования на проникновение хакер использует обнаруженные уязвимости аналогично тому, как это делают потенциальные злоумышленники. Этичный хакер защищает и документирует процесс атаки.

Существует несколько типов тестирования на проникновение, в том числе черный ящик, белый ящик и серый ящик. Черный ящик — это тип тестирования на проникновение, когда тестеру не предоставляются какие-либо сведения, относящиеся к сети и/или инфраструктуре сети/организации, подлежащей тестированию. Белый ящик — это тип тестирования на проникновение, когда тестер получает полную информацию о сети и/или инфраструктуре сети/организации, подлежащей тестированию.

Серый ящик — это тип тестирования на проникновение, когда тестеру предоставляется часть ограниченной информации и сведения о сети и/или инфраструктуре сети/ организации, подлежащей тестированию. Как видите, оценка безопасности организации и использование ее уязвимостей — одна из основных задач этичного хакера.

Последние мысли

Как видите, хакинг не является негативным действием, если вы делаете это в хороших целях. Этичный взлом является важной частью уровня безопасности организации. Этичный хакинг позволяет организациям повысить уровень безопасности, выявляя и сводя к минимуму недостатки и уязвимости, а также исправляя ошибки и многое другое. Есть много курсов для обучения, доступных в интернете, если вы когда-нибудь задумывались о том, чтобы стать этичным хакером.

6 книг, которые рассказывают об этичном хакинге

Сейчас это наш мир. мир электроники, изменений и прелести бод. Мы пользуемся уже имеющимися услугами, не платя даже за то,что может быть очень дешевым, и ты можешь называть нас преступниками. Мы исследуем. Мы существуем без цвета кожи, без национальности, без религиозных уклонов.

01.07.2013
Саттон М., Грин А., Амини П. — Fuzzing: Brute Force Vulnerability Discovery / Fuzzing: Исследование уязвимостей методом грубой силы

Фаззинг — это процесс отсылки намеренно некорректных данных в исследуемый объект с целью вызвать ситуацию сбоя или ошибку. Настоящих правил фаззинга нет. Это такая технология, при которой успех измеряется исключительно результатами теста.

01.07.2013
Джон Эриксон — Хакинг: искусство эксплойта. 2-е издание

Хакинг — это искусство творческого решения задач, подразумевающее нестандартный подход к сложным проблемам и использование уязвимостей программ. Часто бывает трудно разобраться в методах хакинга, потому что для этого нужны широкие и глубокие знания. Автор не учит применять известные эксплойты, а объясняет их работу и внутреннюю сущность.

30.06.2013
М. Фленов — Компьютер глазами хакера

Рассмотрены компьютер, операционная система Windows и Интернет с точки зрения организации безопасной и эффективной работы на ПК. Описаны основные методы атак хакеров и рекомендации, которые позволят сделать компьютер быстрее, надежнее и безопаснее.

30.06.2013
Жуков Ю. В. — Основы веб-хакинга. Нападение и защита (2-е изд.)

Описаны реальные уязвимости широко распространенных бесплатных движков сайтов. К книге прилагается DVD-ROM с тестовой системой и двумя свободно распространяемыми хакерскими дистрибутивами Linux — Damn Vulnerable Linux и Back Track 4, которые работают на локальном компьютере пользователя под управлением виртуальной машины в ОС Windows. Подробно разобраны учебные примеры, включенные в тестовую систему.

22.01.2010
Энциклопедия Хакера

Эта книга изменит ваше представление о безопасности компьютера. Авторы энциклопедии хакера на протяжении многих лет собирали настолько ценную информацию, что использование ее в неумелых руках могут.

03.12.2007
Stuart McClure, Saumil Shah, Shreeraj Shah: Web Hacking. Attacks and Defense

Whether it`s petty defacing or full-scale cyber robbery, hackers are moving to the Web along with everyone else. Organizations using Web-based business applications are increasingly at risk. Web Hacking: Attacks and Defense is a powerful guide to the latest information on Web attacks and defense.

Самый этичный хакинг о котором Вы слышали

Этичный хакинг — это одна из форм хакинга, направленная на выявление уязвимостей с помощью атак и их исправлением.

Вообще хакинг появился еще задолго до распространения компьютеров. Под этим словом подразумевалась чертовски хитрая проделка студента MIT, который мог выявить ошибку в работе других программ и сообщить об этом разработчику. Как видите, ситуация координально изменилась. Сейчас под хакингом понимают взлом с целью кражи данных и извлечения из этого прибыли. Тогда и появился термин этичных хакинг.

Тестирование на проникновение

На данный момент это единственный вид хакерской деятельности разрешенный законом. Компании платят хакерам за поиск уязвимостей в их продуктах путем хакинга.

Сертифицированные специалисты по этичному хакингу проводят тесты на проникновение. При поиске критичных уязвимостей хакеры часто используют социальную инженерию. Некоторые сотрудники могут нарушить правила информационной безопаности и помочь хакеру в сборе информации и дальнейшем проникновении в систему.

Для снижения риска обнаружения атаки могут использоваться пассивные методы сбора информации для:

  • сканирования портов;
  • определения периметра сети;
  • определения типов и видов сетевого оборудования, ОС;
  • определения смежной переферии;
  • поиск публичных эксплоитов;

Сертифицированные хакеры работают по методологии The Open Source Security Testing Methodology Manual (OSSTMM). Они хорошо понимают процессы систем, которые атакуют, а значит смогут выявить больше критичных уязвимостей, чем не сертифицированные специалисты (самоучки).

Обучение

Для получения сертификата не обязательно ездить в столицу. Обучение этичному хакингу можно пройти удаленно, не отрываясь от работы или учебы. По завершению обучения нужно будет пройти тест, иначе это будут деньги выброшенные на ветер. Преподаватели советуют не тянуть с этим и в ближайшие полгода сдать тест и получить сертификат, пока знания свежи.

Как правило, Вам будет предложено множество ресурсов для самостоятельного изучения. Чтобы не увязнуть в потоке информации рекомендую сначала ознакомиться с программой обучения, которую можно глянуть в этом видео по IP Security (сокращенно IPSec).

Курсы по этичному хакингу

Стать хакером не нарушающим закон довольно просто. В сети есть хорошие ресурсы, где можно пройти курсы по этичному хакингу, познакомиться с единомышленниками, подтянуть свои знания, а самое главное попрактиковаться.

hackaday.com
Примечателен тем, что на нем выложено множество курсов по взлому железа. Постоянно публикуются новости из мира хакинга. Если хотите держать нос по ветру, то рекомендую почаще заходить на него и их канал на ютубе:
https://www.youtube.com/user/hackaday

hackthissite.org
Hack This Site — бесплатная обучающая площадка для пользователей, которые тестируют и расширяют свои навыки взлома. Это сообщество посвящает себя созданию открытой учебной среды, предоставляя ряд проблем с взломом, статей, ресурсов и обсуждения последних событий в хакерской культуре.

Вы считаете, что обладаете достаточными знаниями, чтобы получить сертификат по этичному хакингу?

Тогда попробуйте сдать тест состоящий из 125 вопросов. На все про все Вам будет дано 4 часа.

Именно этот тест Вам придется сдавать после того, как Вы пройдете дистанционное обучение, о котором я писал выше. Он тоже стоит денег.

Если Вы не уверены в своих знаниях, то можете начать с бесплатных онлайн курсов по этичному хакингу.


Регистрируйтесь на cybrary.it

Книги по этичному хакингу

Хороший специалист информационной безопасности должено обладать целостными знаниями. Нельзя зарываться с головой в какую-то одну тему. У Вас должна быть структура, которая должна «обрасти» знаниями в каждой из областей этичного хакинга.

Если Вы совсем новичок или любитель, то можно начать с бесплатных книг по этичному хакингу.

Использование Kali Linux

Самостоятельная настройка VDS / VPS

Настройке антидетекта VirtualBox лучше учиться у Вектора

Бесплатное обучение программированию на Java

15 книг по психологии, которые перевернут ваши знания о себе и окружающих

Ребята, мы вкладываем душу в AdMe.ru. Cпасибо за то,
что открываете эту красоту. Спасибо за вдохновение и мурашки.
Присоединяйтесь к нам в Facebook и ВКонтакте

Когда кажется, что все идет под откос — в отношениях, на работе или в целом во взаимодействии с окружающими, первое, что приходит в голову, — записаться на прием к психологу. Или же поделиться своими страхами с друзьями. Но зачастую проблемы лежат совсем на поверхности и решить их можно самостоятельно, прочитав специальную литературу.

AdMe.ru составил список книг, которые помогут вам лучше понять себя, окружающих и направить свою жизнь в нужное русло.

Роберт Чалдини

Психология влияния

Отличная книга из серии обязательных к прочтению. Хоть и написана давно, актуальности не теряет. Простым языком автор рассказывает об основных поведенческих особенностях человека, дает советы, как влиять на людей и оградить себя от действия чужого влияния.

«Психология влияния» рекомендована маркетологам, менеджерам и всем, кто в своей работе контактирует с людьми. Также книга будет полезна широкому кругу читателей: вы узнаете, какие психологические уловки используют работники сферы услуг, научитесь им сопротивляться и выбирать действительно нужные вещи.

Стивен Р. Кови

7 навыков высокоэффективных людей

Эта книга — мировой бестселлер № 1 по теме личностного роста и саморазвития. Она уже помогла миллионам людей (в их числе Билл Клинтон, Стивен Форбс и Ларри Кинг). Автор легко и увлекательно рассказывает, как понять себя, правильно сформулировать свои цели и достичь их.

Здесь не будет простых решений и мгновенных результатов — все это требует определенных усилий и времени. Для людей, которые стремятся стать лучше, управлять своей жизнью, воплотить в реальность заложенные в них возможности, книга обязательно станет настольной библией.

Келли Макгонигал

Сила воли. Как развить и укрепить

Книга для всех — от домохозяек до бизнесменов. Автор — преподаватель Стэнфорда — дает простые техники и доступно объясняет, как работают наш мозг и психика. И, что самое важное, книга основана на научных исследованиях, а не только на опыте и мнении автора.

Вы узнаете, из чего на самом деле состоит сила воли, как строится ваше поведение и поведение ваших близких в разных ситуациях и как на это можно повлиять. Книга идеально подойдет тем, кому не хватает мотивации, усидчивости, кто хочет изменить свое мышление и добиться поставленных целей.

Михаил Лабковский

Хочу и буду

Современный и, пожалуй, самый известный и обсуждаемый российский психолог Михаил Лабковский уверен: каждый человек может стать счастливым. Его книга рассказывает о том, как понять себя, свои желания и научиться радоваться жизни.

На самый сложный вопрос дается понятный каждому ответ. Советы психолога изначально кажутся чересчур радикальными и с первого взгляда могут даже шокировать. Главный посыл автора — «Делай то, что хочешь» — большинство понимает слишком буквально. Речь в книге все же идет о здоровых желаниях здорового человека. А цель автора — показать, что изменить жизнь и себя самого вполне реально, если есть на то искреннее желание.

Чарлз Дахигг

Власть привычки. Почему мы живем именно так, а не иначе

В книге описаны последние научные открытия на тему того, как формируются наши привычки, как от них можно избавиться или чем заменить плохие.

Вы узнаете, что стоит за тем, как мы едим, спим и ходим по магазинам и почему находимся под такой властью привычек. Выполнение на практике рекомендаций автора однозначно пустит вашу жизнь в нужное русло и изменит ее к лучшему.

Колин Типпинг

Радикальное прощение

Эта книга — отличный помощник, чтобы обрести гармонию, любовь и счастье. Если вы хотите разобраться в происходящих в вашей жизни событиях, понять причины повторяющихся неудач и любых жизненных происшествий — книга точно для вас.

Она поможет вам изменить свои взгляды на прошлое и настоящее. Вы полностью избавитесь от переживаний прошлого, откажетесь от роли жертвы и с благодарностью начнете принимать все, что преподносит жизнь.

Джен Синсеро

НИ СЫ

Джен Синсеро — автор, которая действительно разобралась со своими проблемами, любит жизнь, радуется каждому моменту и делится этой радостью с окружающими.

В ее книге написаны вроде бы очевидные вещи, которые почему-то забываются. Книга легко читается, воодушевляет и мотивирует встать с дивана и начать двигаться к жизни своей мечты.

Эрик Берн


Игры, в которые играют люди. Люди, которые играют в игры

Из книги вы узнаете, как наладить отношения в семье, понять мотивы своих и чужих поступков, научиться избегать конфликтов с окружающими. Также работа помогает пересмотреть свое поведение и поведение людей вокруг, учит не играть в отношениях с самим собой и другими.

Недаром книга считается одним из основополагающих трудов по психологии взаимоотношений. Читается не так просто, но если вникнуть, понять суть, то книга избавит от многих настоящих и будущих проблем. Решать их можно будет просто и быстро.

Гэри Чепмен

Пять языков любви

Эта книга о том, как выразить любовь к мужу/жене, молодому человеку/девушке. Независимо от того, в браке вы или нет, мужчина или женщина, — знание «языка» другого человека поможет в отношениях с близкими.

Вероятно, если бы люди, находящиеся в кризисных отношениях с супругом, познакомились с «Пятью языками любви» — разводов и расставаний было бы меньше. Как говорят те, кто прочитал книгу, ее нужно выдавать в загсе вместе со свидетельством о браке для изучения.

Автор помогает понять другого человека и свои ошибки, показывает, что нельзя всех мерить по себе. Дает практические рекомендации и советы, как разобраться в отношениях с партнером, родителями, ребенком.

Катерина Ленгольд

Просто космос. Практикуем по Agile-жизни, наполненной смыслом и энергией

В своей книге Катерина Ленгольд делится простыми рекомендациями, которые использует сама и которые помогли ей самой добиться успеха.

Читатель узнает, где и как искать мотивацию и энергию, как получать удовольствие, ставить правильные цели, пробовать новое, а главное — что всегда можно изменить свою жизнь, если что-то в ней не устраивает.

Мастер Йода рекомендует:  Квантовый компьютер теория и первая программа

Джозеф Халлинан

Почему мы ошибаемся. Ловушки мышления в действии

Книга для тех, кто интересуется процессом мышления, кто хочет смотреть вглубь своих проблем и понять причины их возникновения. В легкой и увлекательной форме автор рассказывает об ошибках, с которыми мы сталкиваемся в своей жизни. Дает подсказку, как не переоценить свои способности, не мыслить стереотипами.

Любая ситуация объясняется на примерах, даются рекомендации. Используя методики из книги, вы начнете более осознанно подходить к принятию решений и извлекать уроки из своих прошлых ошибок.

Юрий Вагин

Доктор, я счастлив? Небанальные советы психотерапевта

Психотерапевт Юрий Вагин за свою многолетнюю практику выслушал более 30 тыс. жизненных историй и на их основе создал свою методику достижения счастья. Его книга подойдет абсолютно всем, а главное, тем, кто находится в непростой жизненной ситуации, кто любит заниматься самокопанием.

Автор с юмором раскладывает все по полочкам, объясняет сложнейшие вещи об устройстве психики и взаимодействии с окружающими. После прочтения вы поймете, что нужно делать, чтобы чувствовать себя счастливым каждый день.

Дэниел Пинк

Тайм-хакинг. Как наука помогает нам делать все вовремя

Главный посыл книги: продуктивным может стать любой человек, главное — следовать своим естественным биоритмам. Автор рассказывает, как правильно сформировать свой график, чтобы вовремя завершать все поставленные задачи и при этом успевать общаться с близкими и посвящать время себе. Ведь многим не хватает времени на эти необходимые сферы жизни.

Дэниэл Пинк дает практические советы, как использовать время во благо себе. Вы сможете точно определять, когда нужно приступить к делу, узнаете о своих внутренних часах и научитесь управлять настроением для повышения работоспособности. Применяя рекомендации автора, вы легко будете все успевать и достигать в жизни гораздо большего.

Даниэль Канеман

Думай медленно. Решай быстро

Из книги вы узнаете, что у нас есть две системы мышления. Быстрое мышление (автоматическое) — легко обучаемая система, мы его называем интуицией. Второе, медленное (разумное) — не любящее работу, но способное научить первую различным вещам, позволяет решать сложные жизненные ситуации, с которыми не справляется интуиция.

Автор книги, кстати нобелевский лауреат, доходчиво объясняет, как мы принимаем решения, верные и неверные, посредством работы одной из этих систем мышления. Канеман на примерах показывает, как эти системы взаимодействуют друг с другом и определяют поведение человека. Осознав это, вы точно разберетесь со своей жизнью и решите все свои основные проблемы.

Виктор Франкл

Сказать жизни «да!». Психолог в концлагере

Сильная книга о сильных людях. Ее автор, психолог Виктор Франкл, во время войны оказался в концлагере. Он описывает собственные наблюдения о том, что происходит с человеком, которому приходится преодолевать большие трудности и выживать.

Книгу необходимо прочитать, если кажется, что нет сил бороться, нет понимания, куда двигаться дальше. После прочтения многое встанет на свои места, придет понимание, что любое препятствие зачем-то дано, любое страдание не бессмысленно.

А что вы читали из психологии и как на вас это повлияло? Или, может, вы выбираете поход к специалисту?

Питер Яворски. Основы веб-хакинга. Более 30 примеров уязвимостей (2020) PDF

Издательство: Интернет-издание
Автор Питер Яворски
Год: 2020
Формат: PDF
Страниц: 201
Язык: русский
Размер 11.1 Мб

Описание «Основы веб-хакинга» рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко. С небольшими исключениями, существующие книги являются чрезмерно технологическими, посвящая лишь одну главу уязвимостям в сайтах или не включают примеров из реального мира. Эта книга отличается от них.

Используя более 30 примеров, эта книга описывает такие темы, как: HTML инъекции; межсайтовый скриптинг (XSS); межсайтовая подмена запроса (CSRF); открытые перенаправления; удаленное исполнение кода (RCE); логика приложений и многое другое.
Каждый пример содежит классификацию атаки, ссылку на отчет, понятное описание и ключевые выводы. После прочтения этой книги ваши глаза откроются, и вы увидите огромное количество существующих уязвимостей, и вы вряд ли когда-либо сможете смотреть на сайт или API прежними глазами.

ForCoder

Книги о безопасности и хакинге, скачать бесплатные книги, самоучители и учебники о безопасности и хакинге в хорошем качестве

Learn how to break systems, networks, and software in order to determine where the bad guys might get in. Once the holes have been determined, this short book discusses how they can be fixed. Until they have been located, they are exposures to your organization. By reading Penetration testing Basics, you\’ll gain the foundations of a simple methodology used to perform penetration testing on systems and networks for which you are responsible.

What You Will Learn


— Identify security vulnerabilities
— Use some of the top security tools to identify holes
— Read reports from testing tools
— Spot and negate common attacks
— Identify common Web-based attacks and exposures as well as recommendations for closing those holes

2,926 просмотров всего, сегодня нет просмотров

Computer Security: Principles and Practice

Computer Security: Principles and Practice, Third Edition, is ideal for courses in Computer/Network Security. It also provides a solid, up-to-date reference or self-study tutorial for system engineers, programmers, system managers, network managers, product marketing personnel, system support specialists.
In recent years, the need for education in computer security and related topics has grown dramatically—and is essential for anyone studying Computer Science or Computer Engineering. This is the only text available to provide integrated, comprehensive, up-to-date coverage of the broad range of topics in this subject. In addition to an extensive pedagogical program, the book provides unparalleled support for both research and modeling projects, giving students a broader perspective.
It covers all security topics considered Core in the EEE/ACM Computer Science Curriculum. This textbook can be used to prep for CISSP Certification, and includes in-depth coverage of Computer Security, Technology and Principles, Software Security, Management Issues, Cryptographic Algorithms, Internet Security and more.
The Text and Academic Authors Association named Computer Security: Principles and Practice, First Edition, the winner of the Textbook Excellence Award for the best Computer Science textbook of 2008.
Teaching and Learning Experience
This program presents a better teaching and learning experience—for you and your students. It will help:
Easily Integrate Projects in your Course: This book provides an unparalleled degree of support for including both research and modeling projects in your course, giving students a broader perspective.
Keep Your Course Current with Updated Technical Content: This edition covers the latest trends and developments in computer security.
Enhance Learning with Engaging Features: Extensive use of case studies and examples provides real-world context to the text material.
Provide Extensive Support Material to Instructors and Students: Student and instructor resources are available to expand on the topics presented in the text.

3,019 просмотров всего, сегодня нет просмотров

The Hackers Manual 2015

Take your Linux skills to the next level with 80+ security tricks and hardware hacks. Over 80 hacking tutorials to get your teeth into! Networking – dive into the protocols, build a network and analyse your traffic. Sysadmin – harness the power of Docker and learn time-saving terminal tricks. Hacking – get a full Linux OS on your phone and hack your distro for speed. Privacy – give The Man the slip and protect your privacy with our help.

5,945 просмотров всего, 1 просмотров сегодня

The Hacker Playbook: Practical Guide To Penetration Testing

Just as a professional athlete doesn’t show up without a solid game plan, ethical hackers, IT professionals, and security researchers should not be unprepared, either. The Hacker Playbook provides them their own game plans. Written by a longtime security professional and CEO of Secure Planet, LLC, this step-by-step guide to the “game” of penetration hacking features hands-on examples and helpful advice from the top of the field.

Through a series of football-style “plays,” this straightforward guide gets to the root of many of the roadblocks people may face while penetration testing—including attacking different types of networks, pivoting through security controls, and evading antivirus software.

From “Pregame” research to “The Drive” and “The Lateral Pass,” the practical plays listed can be read in order or referenced as needed. Either way, the valuable advice within will put you in the mindset of a penetration tester of a Fortune 500 company, regardless of your career or level of experience.

Whether you’re downing energy drinks while desperately looking for an exploit, or preparing for an exciting new job in IT security, this guide is an essential part of any ethical hacker’s library—so there’s no reason not to get in the game.

6,114 просмотров всего, сегодня нет просмотров

Web Security: A WhiteHat Perspective

In late 2013, approximately 40 million customer debit and credit cards were leaked in a data breach at Target. This catastrophic event, deemed one of the biggest data breaches ever, clearly showed that many companies need to significantly improve their information security strategies. Web Security: A White Hat Perspective presents a comprehensive guide to web security technology and explains how companies can build a highly effective and sustainable security system.

In this book, web security expert Wu Hanqing reveals how hackers work and explains why companies of different scale require different security methodologies. With in-depth analysis of the reasons behind the choices, the book covers client script security, server applications security, and Internet company security operations. It also includes coverage of browser security, cross sites script attacks, click jacking, HTML5/PHP security, injection attacks, authentication, session management, access control, web frame security, DDOS, leaks, Internet transactions security, and the security development lifecycle.

3,237 просмотров всего, сегодня нет просмотров

Инструментарий хакера

Оригинальное изложение материала позволит читателю понять методы обеспечения защиты информации, как на личных компьютерах, так и в профессиональных системах. Описаны основные принципы подбора инструментария хакера. Приведено множество примеров взлома и сокрытия следов: перехват паролей, атаки на Wi-Fi-роутеры, подмена MAC-адресов, способы оставаться невидимым в Интернете. В противовес злоумышленнику описаны методы защиты с помощью cоответствующих программных инструментов. Даны рекомендации, как поступать, чтобы не лишиться своих денег при дистанционном банковском обслуживании. Книга может быть использована в качестве практического руководства для начальной подготовки специалистов информационной безопасности. За счет подробного описания настроек, качественной визуализации материала, преобладания ориентированности на Windows-системы (для примеров с Unix подробно описывается каждый шаг), она также будет интересна и понятна любому пользователю персонального компьютера: от старшеклассника и студента до профессионала.

13,906 просмотров всего, сегодня нет просмотров

Основы веб-хакинга. Нападение и защита

Второе издание популярной книги Юрия Жукова предназначено для всех интересующихся хакингом и надежной защитой веб-сайтов. Описаны реальные уязвимости широко распространенных бесплатных движков сайтов. К книге прилагается DVD-ROM с тестовой системой и двумя свободно распространяемыми хакерскими дистрибутивами Linux — Damn Vulnerable Linux и Back Track 4, которые работают на локальном компьютере пользователя под управлением виртуальной машины в ОС Windows. Подробно разобраны учебные примеры, включенные в тестовую систему.
Информация, приведенная в данной книге, может быть использована только в ознакомительных и учебных целях. Издательство не несет ответственности за неправомерное использование читателями полученной информации, приведшее к нарушению закона.

10,639 просмотров всего, 1 просмотров сегодня

Практическая криптография: алгоритмы и их программирование

Описание книги Практическая криптография: алгоритмы и их программирование: Эта книга предназначена прежде всего для тех, кто интересуется не только теоретическими аспектами криптологии, но и практическими реализациями алгоритмов криптографии и криптоанализа. В книге уделено очень много внимания вопросам компьютерного криптоанализа и логике программирования защищенных криптосистем. Книга изложена таким образом, что она будет полезной как для неподготовленного читателя, так и для высококвалифицированного специалиста, желающего расширить свой кругозор и по-новому взглянуть на криптографический аспект систем информационной защиты. Речь в книге не идет о каких-то конкретных программных продуктах, наоборот — прочтя книгу, подготовленный читатель будет способен самостоятельно создавать программное обеспечение, содержащее криптографические алгоритмы.

Кроме стандартных и популярных средств одноключевого шифрования, в книге рассматриваются нестандартные алгоритмы, которые могут использоваться на практике, оригинальные и необычные подходы к шифрованию и криптоанализу, что может значительно расширить кругозор даже опытного специалиста. Тем, кто интересуется созданием собственных шифросистем, будут также интересны и полезны многочисленные исторические справки о создании блочных систем шифрования.Таким образом, эта книга будет чрезвычайно полезной для студентов вузов как соответствующих специальностей, так и просто интересующихся компьютерными технологиями, а также для специалистов в области обеспечения информационной безопасности и разработки соответствующих программных средств. Книга носит практический характер и наряду со множеством описаний шифров содержит исходные тексты программ, их реализующих. Книга может быть использована в качестве справочника либо учебного пособия.

11,773 просмотров всего, сегодня нет просмотров

Основы современной криптографии для специалистов в информационных технологиях

Описание книги Основы современной криптографии для специалистов в информационных технологиях:
В монографии изложены основные подходы и методы современной криптографии для решения задач, возникающих при обработке, хранении и передаче информации. Основное внимание уделено новым направлениям криптографии, связанным с обеспечением конфиденциальности взаимодействий пользователей компьютеров и компьютерных сетей.

Рассмотрены основные шифры с открытыми ключами, методы цифровой подписи, основные криптографические протоколы, блоковые и потоковые шифры, криптографические хеш-функции, а также редко встречающиеся в литературе вопросы о конструкции доказуемо невскрываемых криптосистем и криптографии на эллиптических кривых.

Изложение теоретического материала ведется достаточно строго, но с использованием довольно элементарного математического аппарата. Подробно описаны алгоритмы, лежащие в основе криптографических отечественных и международных стандартов.

Книга предназначается студентам и инженерам, работающим в области информационных технологий.

6,254 просмотров всего, 1 просмотров сегодня

Секреты хакеров. Безопасность Web-приложений — готовые решения

Описание книги Секреты хакеров. Безопасность Web-приложений — готовые решения: В современном мире безопасность Web-приложений является ключевым фактором общей безопасности бизнеса. Профессионалы в области защиты информации найдут в этой книге немало ценных сведений, которые позволят им успешно противостоять угрозам безопасности Web-приложений.

В книге наглядно продемонстрировано, как можно защититься от любых методов взлома, понимая образ мышления хакеров и зная приемы, которыми они пользуются.Систематизировав самые серьезные угрозы безопасности Web-приложений и раскрыв детали их реализации, авторы объясняют, как можно противостоять этим угрозам.Книга будет полезной специалистам в области защиты информации, разработчикам Web-узлов, администраторам сетей, специалистам по электронному бизнесу, программистам и менеджерам по информационным технологиям.

12,453 просмотров всего, сегодня нет просмотров

Программирование [Яворски] Основы веб-хакинга. Как заработать деньги этичным хакингом

BonAqua

BonAqua


Автор: Яворски
Название: Основы веб-хакинга. Как заработать деньги этичным хакингом

Статистика-
По состоянию на 30 мая 2020 года, Twitter выплатил более $300,000 белым хакерам за отчеты об уязвимостях на доменах сайта. Это не было вымогательством. Сайты, подобные Twitter, Shopify, Dropbox, Airbnb, Google, Facebook и многие другие, просят белых хакеров сообщать о проблемах с безопасностью и выплачивают им за это вознаграждение.

Мастер Йода рекомендует:  Как реагирует сообщество на «вопросы низкого качества» на Stack Overflow, и что делать, если такой

О книге
«Основы веб-хакинга» рассказывает об этичном использовании софта для поиска уязвимостей в безопасности и о том, что научиться взламывать не всегда легко. С небольшими исключениями, существующие книги являются чрезмерно технологическими, посвящая лишь одну главу уязвимостям в сайтах или не включают примеров из реального мира. Эта книга отличается от них.

Используя публично описанные уязвимости, «Основы веб-хакинга» объясняет распространенные веб-уязвимости и покажет вам, как начать искать уязвимости и получать за это деньги.

Используя более 30 примеров, эта книга описывает такие темы, как-

  • HTML инъекции
  • Межсайтовый скриптинг (XSS)
  • Межсайтовая подмена запроса (CSRF)
  • Открытые перенаправления
  • Удаленное исполнение кода (RCE)
  • Логика приложений
  • и многое другое.

Каждый пример содежит классификацию атаки, ссылку на отчет, сумму выплаченного вознаграждения, понятное описание и ключевые выводы. После прочтения этой книги ваши глаза откроются, и вы увидите огромное колиство существующих уязвимостей, и вы вряд ли когда-либо сможете смотреть на сайт или API прежними глазами.

6 книг про «этичный хакинг»

Хакинг становится все популярнее, и все больше людей хотят работать в этой сфере. Поэтому мы и подготовили эту подборку книг о хакинге.

Если вы начинающий хакер и хотите узнать как можно больше об этичном хакинге, то хорошим источником, кроме интернет-ресурсов, станут книги. И если вы не знаете, с каких книг начать, то именно для вас мы подготовили список из шести лучших книг.

Hacking: The Art of Exploitation, второе издание

Это, пожалуй, лучшая книга для начинающих. Она фокусируется на многих препятствиях, с которыми сталкиваются новички. Также она рассказывает, как делать свою работу эффективно.

Кроме того, она рассказывает о таких технических аспектах, как командные оболочки и эксплуатация уязвимостей. И независимо от того, полный ли вы новичок или имеете какие-то познания во взломе, эта книга будет вам полезна.

The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy (Syngress Basics Series)

Первое и лучшее, что я хочу сказать об этой книге — это то, что она покрывает все потребности начинающего хакера или пентестера, предполагая, что у читателя нет никакого опыта в данной сфере. Она обеспечит вам крутое путешествие, в ходе которого вы научитесь сбору информации, эксплуатации и даже правильному составлению отчетов о найденных уязвимостях.

Metasploit: The Penetration Tester’s Guide

Эта книга немного отличается от прошлых, так как рассказывает не просто о хакинге, а о пентестинге с использованием конкретного инструмента — фреймворка Metasploit. Она будет вам интересна, даже если у вас нет опыта в использовании Metasploit. Книга выполнена в виде туториалов, которые постепенно ознакомят вас с ним. А в конце книги вам предстоит пройти тест на проникновение, схожий с реальными условиями, поэтому к концу книги у вас будут не только теоретические, но и практические навыки.

BackTrack 5 Wireless Penetration Testing Beginner’s Guide

С самого начала эта книга дает вам то, что вас интересует, не теряя время на необязательную теорию. К тому же, эта книга вообще не зацикливается на теории, она скорее набор туториалов с практической частью. Интересна она будет как начинающим, так и более продвинутым читателям.

CEH Certified Ethical Hacker All-in-One Exam Guide

В этой книге есть не только отличное объяснение принципов взлома, но и хорошие шутки, чтобы немного разбавить скучную атмосферу. Контент этой книги хорошо организован в разделы и написан без лишней воды. Но для того, чтобы получить максимум выгоды от этой книги, вы должны быть ознакомлены с основами работы сетей.

CompTIA Security+: Get Certified Get Ahead: SY0-301 Study Guide

Эта книга легка для восприятия, она рассказывает о сложных вещах простым языком. Все, что вам нужно чтобы пройти тест, — это прочитать книгу и выполнить упражнения. К тому же, материал книги хорошо организован и структурирован, название разделов точно отражает их темы, а в конце всегда есть короткое заключение, которое поможет вспомнить главные аспекты.

В заключение хочу сказать, что хакинг — очень сложное занятие. Это только звучит так легко, на практике все куда сложнее, поэтому хороший хакер должен быть внимателен, смекалист и всегда готов к обучению.

6 книг, которые рассказывают об этичном хакинге

ФБР против Славика. История охоты на главного российского хакера

Кибервойна между США и самым разыскиваемым российским хакером Евгением Богачевым началась весной 2009 года. Тогда ФБР обратило внимание на то, что недавние пропажи денег с банковских счетов ряда компаний ($100 тысяч здесь, $450 тысяч там) объединяет нечто странное: все они были совершены с IP-адресов внутри самих компаний. Как оказалось, компьютеры были заражены популярным в определенных кругах вирусом-трояном Zeus(«Зевс») – незаметным, гибким и эффективным. Кто придумал его, в ФБР не знали: этот человек был известен только по псевдонимам в сети – Slavik, lucky12345 и еще нескольким, которые ничего не говорили о человеке. Каверстори апрельского Wiredрассказывает подробности восьмилетней безуспешной охоты за хакером.

Zeus проникал в компьютер стандартным способом – через фальшивый имейл от Налогового управления США или уведомления от курьерской компании UPS, которые заставляли пользователя перейти по ссылке. В зараженном компьютере хакеры могли делать что хотели – узнавать пароли, PIN, ответы на «секретные» вопросы и многое другое, как только пальцы владельцев касались клавиатуры. Получая таким образом информацию, злоумышленники опустошали счета своих жертв. Кроме того, подцепившие вирус компьютеры можно было объединить в ботнет – сеть из тысяч машин, чьи ресурсы скрытно использовались. Постепенно Zeus стал любимым оружием киберпреступников – чем-то вроде Microsoft Office для онлайн-мошенничества. Его создатель Slavik вел себя в высшей степени профессионально – регулярно выпускал обновления для программы, устраивал бета-тестирование новых функций.

В 2009 году, когда ФБР уже наблюдало за деятельностью Slavik, пишет Wired, тот пошел дальше: начал собирать вокруг себя команду хакеров-единомышленников. Ущерб от их работы оказался огромным – все новые и новые случаи кибермошенничества сыпались на следователей, как спелые груши. Когда в сентябре 2009 года ФБР сумело раздобыть переписку членов группировки на русском и украинском (с расшифровкой сленга пришлось попотеть, признаются агенты), они обнаружили упоминания о сотнях жертв. Чтобы *ичить украденное, мошенники пользовались услугами «денежных мулов» – десятков людей, которые ходили по банкам в Нью-Йорке, открывая там счета и снимая определенные суммы через несколько дней за скромный процент; десятки тысяч долларов на счетах возникали из ниоткуда благодаря переводам Славика и его сообщников. Для некоторых «мулов» это занятие стало постоянной работой: один из них рассказал, что отправлялся снимать деньги в 9 утра, заканчивал в 3 часа дня, а вечера проводил на пляже.

Сеть *ьщиков в США была лишь частью общей картины: впоследствии такие же схемы обнаружились в Румынии, Чехии, Великобритании, на Украине и в России. ФБР удалось связать с группой Славика $70–80 млн, присвоенных таким образом, но реальная сумма, по мнению следователей, гораздо больше.

В 2010 году ФБР и Министерство юстиции США определили местонахождение нескольких лидеров преступной группы – это оказался украинский Донецк. Операция по поимке киберглаварей – троих мужчин в возрасте 20 с лишним лет – состоялась осенью; после нее ФБР удалось провести еще 39 арестов по всему миру и нарушить работу сети, но ключевые игроки ускользнули. Slavik, стоявший за всей схемой, так и остался фантомасом – тем, кого никто никогда не видел.

Невидимый хакер затаился примерно на год, а затем, осенью 2011-го, независимые эксперты по кибербезопасности начали замечать, что в сети появились новые варианты Zeus. Исходный код программы фактически оказался в открытом доступе, что позволило желающим адаптировать, улучшать и использовать его в своих целях. Но одна из версий отличалась от всех прочих: она была особенно сложной и имела дополнительные механизмы сохранения работоспособности при атаке со стороны. Называлась она GameOver Zeus – «Игра окончена». Специалисты, изучавшие программу, пришли к выводу, что ее контролирует группа очень умелых хакеров под предводительством Славика. Хакер не только вновь вернулся к активной деятельности, но и создал новую преступную группу – Business Club.

Первоначально Business Club работал с банками, причем метил на счета с шести- и семизначными суммами. Хакеры заражали компьютеры GameOver и перехватывали банковские данные и пароли, как только пользователь входил в свой аккаунт онлайн. Со счета снимали все деньги, а чтобы их владелец и сотрудники банка не успели заметить это, на экран выводилось сообщение об ошибке или сбое в работе, который длился несколько дней. С помощью этой схемы за один день 6 ноября 2012 года, пишет Wired, на изумленных глазах ФБР злоумышленники украли $6,9 млн одной транзакцией. Скрыть такие огромные суммы с помощью *ьщиков в Бруклине уже было невозможно, и вместо этого хакеры прятали денежные переводы внутри самой банковской системы – в триллионных потоках легальных транзакций. Это, признают эксперты, стало революцией в организованной преступности: хакерам не нужно было даже приближаться к стране, из которой они выводили деньги.

Помимо банков, злоумышленники не брезговали любыми суммами, большими и маленькими, лежащими на чьих угодно счетах – некоммерческих организаций, компаний и даже частных лиц. Именно группа Славика ввела в практику кибершантаж, который процветает по сей день: хакеры заражают сторонние компьютеры программой, которая делает невозможным доступ к хранящимся на них файлам, и требуют с владельцев выкуп за снятие блокировки. Размер выкупа был сравнительно небольшим, в среднем $500, но за счет массовости схема приносила неплохой доход. В ноябре 2013 года даже полицейский участок в штате Массачусетс вынужден был заплатить $750 в биткоинах, о которых до этого, как признался местный полицейский, «мы даже не слышали никогда». По оценке компании Dell SecureWorks, в 2013 году конкретной программой CryptoLocker для шантажа были заражены 250 тысяч компьютеров по всему миру.

Остановить Business Club пытались многие: с 2011 по 2013 год коммерческие и некоммерческие специалисты по кибербезопасности (включая антикриминальное подразделение Microsoft) предприняли несколько попыток, которые, однако, не увенчались успехом. Во время одной из операций против GameOver европейские расследователи почти сумели взять вирус под контроль, но оказалось, что у программы был резервный уровень защиты, который программисты не учли. Крестовый поход против сети Славика вновь провалился. Именно тогда европейские специалисты решили объединиться с ФБР.

После неудачи с украинскими хакерами ФБР расстроилось, но не забыло. Отдел ведомства по борьбе с киберпреступностью в Питтсбурге следил за успехами GameOver около года, когда с его руководителем Китом Муларски связались независимые эксперты по безопасности. Обычно Бюро не сотрудничает с частным сектором и не делится информацией, но цель – свалить ботнет разошедшегося Slavik – требовала исключений. Работа шла по трем направлениям. Во-первых, необходимо было установить, кто управлял GameOver и кому в будущем предъявлять обвинение – спустя год пристального наблюдения за Business Club у агентов не было ни одного имени. Во-вторых, следовало найти способ одолеть цифровую инфраструктуру вируса. И наконец, нужно было вывести из строя физическую инфраструктуру – добиться решений суда для отключения серверов в самых разных точках земного шара. Параллельно необходимо было, чтобы частные компании обновили свои антивирусные программы и прочее ПО, чтобы восстановить зараженные компьютеры, как только это станет возможно. Словом, команда Муларски начала собирать международный отряд для победы над хакерами, в который вошли специалисты из Великобритании, Швейцарии, Украины, Люксембурга и дюжины других стран, а также эксперты из Microsoft, McAfee, Dell SecureWorks и других профильных компаний.

Постепенно отряд начал понимать, как работает Business Club. Выяснилось, что в группу входит около 50 киберпреступников, каждый из которых оплатил вступительный взнос, чтобы получить возможность контролировать GameOver. Сеть опиралась на два британских сайта. Судя по логам, которые удалось раздобыть расследователям, группа состояла из действительно высококлассных профессионалов. Через несколько месяцев после начала объединенного расследования эксперты из голландской компании Fox-IT напали на важный след: они смогли отследить на британском сервере электронный адрес, который Slavik использовал для управления сайтами Business Club, а затем сумели сопоставить адрес с аккаунтом в одной из российских соцсетей, который наконец дал имя: Евгений Михайлович Богачев. Только недели спустя расследователи поняли, что Богачев и есть тот, за кем они охотятся, – призрак, создавший Zeus и Business Club. Так выяснилось, что Slavik – это тридцатилетний мужчина, живущий в Анапе, у которого были жена, дочь и кот.

Плакат ФБР с фотографией Евгения Богачева и обещанием вознаграждения $3 млн. Фото: Reuters

В процессе расследования эксперты также обнаружили, что GameOver был не только вирусом для кражи паролей к банковским аккаунтам, но и сложнейшим инструментом для сбора разведывательных данных – кто-то, используя программу, искал на зараженных компьютерах информацию о грузинской службе разведки, турецкой полиции, сирийском конфликте, российских поставках оружия. Доступ к этому инструментарию, судя по всему, имел только Богачев. Команда специалистов не смогла выявить прямой связи между хакером и российскими государственными структурами, но предположила, что он работает на российскую разведку: сразу после вторжения в Крым часть ботнета принялась искать засекреченные файлы Украины. По мнению экспертов, Slavik мог начать сотрудничать со спецслужбами в 2010 году, когда симулировал отход от дел, – возможно, в обмен на свободу.

К концу весны 2014-го, после года подготовки, команда борцов с киберпреступностью была готова начать атаку на организацию Славика. Операцию назначили на 30 мая, проинформировав о ней Белый дом. Атака началась в пятницу (причем компания McAfee умудрилась еще до старта разместить на своем сайте объявление в духе «берегись, CryptoLocker и Zeus, игра окончена») и завершилась только спустя 60 часов, в воскресенье вечером. Объединенная команда в Питтсбурге праздновала победу, Slavik перестал пытаться реанимировать свою сеть. На следующий день, 2 июня 2014 года, ФБР и Министерство юстиции США предъявили Богачеву заочное обвинение по 14 пунктам.

В 2015 году ФБР объявило, что готово выплатить за информацию, ведущую к поимке Евгения Богачева, рекордную сумму – $3 млн. Это максимальная награда, когда-либо назначавшаяся за киберпреступника. В конце декабря 2020 года СШАвключилиБогачева в санкционный список. Несмотря на все это, хакер остается на свободе и вне зоны досягаемости ФБР и Госдепартамента. Хотя агенты в Питтсбурге продолжают по крупицам собирать намеки на то, где он может находиться и чем заниматься, местоположение Славика неизвестно; в профиле Богачева на сайте ФБР указано, что он «может путешествовать на катере вдоль берега Черного моря». Главные вопросы, касающиеся этого человека, – каковы его отношения с российскими спецслужбами, сколько денег он присвоил – остаются без ответа. На сайте американского казначейства говорится, что «Богачев и его сообщники ответственны за кражу более $100 млн у финансовых учреждений и государственных агентств США»; в действительности сумма, скорее всего, больше, а круг пострадавших – шире.

Тем временем дело самого разыскиваемого российского хакера продолжает жить. Тактики, которые Slavik использовал одним из первых, стали массовыми, отмечает Wired, распространение злокачественных программ набирает обороты. Сегодняшние ботнеты – например, Mirai, сеть зараженных девайсов интернета вещей – даже опаснее созданий Богачева.

Добавить комментарий