2. Nesvarbu ką girdėjote Jūs
Hakeriai yra motyvuoti, išradingi ir kūrybingi.
Jie įsigilina į tai kaip veikia tam tikri dalykai iki kokio
lygio, kad gali perimti jų kontrolę ir pakeisti juos į
kažką naujo.
Jie atsižvelgia į dideles idėjas ir išsiaiškina kaip viskas
veikia.
Jie nebijo padaryti tos pačios klaidos du kartus, dėl
mokslinio smalsumo, kad patikrinti ar ta klaida visada
sukelia tokias pat pasekmes. Tai yra bruožai, kurie
reikalingi bet kokios bendruomenės progresui.
3. Hakeris nėra...
... žmogus, kuris nužiūrinėja žmonių slaptažodžius ir
įsilaužia į jų internetines paskyras.
Taip pat hakeris nėra žmogus, kuris parsisiunčia “script
kiddie“ įrankį, kad galėtų įsilaužti į kieno nors
paskyrą. Šie žmonės nėra hakeriai; tai tik vagys ir
vandalai.
Hakerio įsilaužimas nėra kenksminga ataka; ji atliekama
dėl tyrimo. Šie žmonės netyrinėja to, kaip taktinė
sistema iš tikrųjų veikia, tam, kad ja kūrybiškai
manipuliuoti, kad pasiektų savo tikslą.
4. Ar hakerių įsilaužimai yra legalūs?
Patys įsilaužimai nebūtinai yra nelegalūs. Bent jau ne
daugiau nelegalu, nei mesti akmenį. Viskas priklauso nuo
tikslo. Jeigu jūs metate akmenį su tikslu ką nors sužeisti, tai
yra nusikaltimas. Jeigu jūsų tikslas nėra ką nors sužeisti,
bet kažkas yra sužeidžiamas, tai gali būti ne nusikaltimas,
bet jūs esate atsakingas už savo veiksmus ir turėsite mokėti
restituciją.
Toks projektas pavadintas Hakerių Profiliavimo Projektu,
parodė, kad daugiausia žalos padaro jauni, nepatyrę
hakeriai, kurie netyčia ištrina duomenis. Tai yra lyg
žaidžiant mėtyti akmenis į gatvę, bet netyčia sudaužyti ir
sulankstyti kažkieno automobilį. Jeigu ką nors tokio
padarytumėt galite tikėtis, kad reikės atlyginti padarytą
žalą.
5. Vis dėl to...
gali būti nelegalu įsilaužti į kažką ką jūs nusipirkote ir kas
priklauso jums. Norite tikėkite norite ne, bet yra atvejų kai
hakeriai buvo nubausti už įsilaužimą į savo elektroninius
prietaisus.
Yra hakerių, kurie įsilaužė į filmus ir muziką, kurią nusipirko – jie
buvo patraukti baudžiamojon atsakomybėn. Taigi, gali būti
nelegalu įsilaužti į programinę įrangą, kurią nusipirkote, netgi
jei tai darote tik dėl to, kad patikrinti ar ji yra pakankamai saugi,
kad veiktų jūsų kompiuteryje. Tai yra todėl, kad dauguma
dalykų, kuriuos nusiperkate gali būti su sutartimi arba galutinio
vartotojo licencijos sutartimi (EULA) (LATGA), kuri nurodo,
kad negalite to daryti.
Jūs su tuo sutinkate kai atidarote arba instaliuojate produktą.
Turėkite tai omenyje kai norite išbandyti savo hakerio įgūdžius.
6. Kam yra naudojami hakerių
įsilaužimai
Apgalvokite kaip mokslininkai atvaizdavo žmogaus genomą: jie naudojo
metodą sukurtą slaptažodžių nulaužimui. Slaptažodžiai yra laikomi
šifruotoje formoje, kad juos būtų sunku pavogti. Hierarchinis
dvivamzdžio šautuvo brutalios jėgos metodas yra skirtas iššifruoti
slaptažodžius, nulaužiant jų užšifruotą formą. Jis išdalina
slaptažodžio užšifruotą kaitą, atrenka po kelis simbolius vienu metu ir
tada tai vėl sudeda į vieną. Genomo tyrėjai naudojo tą patį metodą, kad
galėtų atvaizduoti visas 3.3 bilijono pagrindinių žmogaus genomo
porų.
Hakerių įsilaužimas tampa vis svarbesnis karo technikoje. Pavyzdžiui,
Antrojo Pasaulinio Karo Colossus projekto metu Britų kodų laužėjai
sukūrė kompiuterius skirtus iššifruoti Vokiečių komunikacijoms.
Armijai reikia karių, kurie yra sumanūs ir kūrybingi įvykdant užduotis,
o hakeriai būtent tokie ir yra. Hakeriai yra vertinga šalies ginkluotų
pajėgų ir žvalgybos operacijų dalis. Nacionalinės ir tarptautinės
saugumo agentūros netgi vyksta į hakerių suvažiavimus, kad juos
užverbuoti!
7. Koks tikslas būti hakeriu
Tikroji priežastis būti hakeriu yra tai, kad tai suteikia labai daug
galios. Kokių nors gilių žinių turėjimas visada suteikia daug
galios. Kai žinote, kaip kažkas veikia taip išsamiai, kad galite
perimti jo valdymą, savo rankose turite labai galingą jėgą.
Svarbiausia, kad turite jėgą, kuri padės apsisaugoti ir apsaugoti
tuos, kurie jums rūpi. Kadangi vis daugiau žmonių gyvenimo
vyksta internete ir susiformuoja santykiai, surandami darbai,
uždirbami pinigai, hakeriai gali tyrinėti kas vyksta su jų
duomenimis. Jie gali užsitikrinti, kad atskleis tik tai ką nori, kad
žmonės apie juos žinotų ir tiesiog bendrai išlaiko didesnį savo
saugumą ir privatumą.
Tai yra labai didelis konkurencinis privalumas mokykloje, darbe ir
gyvenime, kadangi net mažiausia neigiama įžvalga bus
panaudota prieš jus. Neabejokite tuo.
8. Kaip reikia laužti. Atgarsio procesas
Kaip ir sušunkant į olą ir laukiant atsako, atgarsio procesas reikalauja sąveikos ir
skleidžiamo atsako stebėjimo, kad nustatyti tokius rodiklius kaip saugus arba
nesaugus, pažeidžiamas arba apsaugotas, įjungtas ir išjungtas. Atgarsio
procesas yra priežasties ir poveikio tipo patikrinimas.
Tai yra keistas būdas kažko tokio svarbaus kaip apsauga testavimui, todėl, kad ir
nors tai yra labai greitas tekstas, jis taip pat yra labai neatsparus klaidoms.
Pavyzdžiui, apsaugos teste naudojant echo procesą , taikinys, kuris neatsako
yra laikomas saugiu. Vadovaujantis šia logika, reikštų, kad taikiniui tereikia
neatsakyti į tam tikro tipo užklausą, kad jis būtų “saugus“.
Deja apsaugos testavime, dauguma testų yra paremti tik atgarsio procesu. Tiek
daug informacijos yra prarandama tokio tipo, vieno matavimo testavime, kad
mes turėtume būti dėkingi, kad bent jau sveikatos apsaugos industrija yra
išsivysčiusi daugiau nei “Ar jums skauda kai padarau taip ?“ diagnozės
metodas. Jeigu ligoninės naudotų atgarsio procesą nustatyti žmogaus sveikatai,
jie retai padėtų žmonėms, bet bent jau laukimo eilėje laikas būtų labai
trumpas. Vis dėl to, ligoninės, kaip ir dauguma kitų mokslinių institucijų,
naudoja keturių taškų procesą (FPP).
10. Iliustracija
Indukcija: (Z) Ką galime pasakyti apie taikinį pagal jo
aplinką? Kaip jis elgiasi toje aplinkoje ? Ar taikinys yra
veikiamas jo aplinkos, tai yra taip pat įdomu.
Apklausa: (C) Kokius signalus taikinys pateikia ? Ištirti šių
signalų požymius ir pėdsakus. Sistema arba procesas
dažniausiai palieka žymę susijusią su sąveika su jo aplinka.
Sąveika: (A-B) Kas atsitinka kai jį baksnojate? Šiam
punktui reikalingas atgarsio testas, įskaitant tikėtinas ir
netikėtinas sąveikas su taikiniu, kad sukelti atsaką.
Intervencija: (X-Y-Z) Kiek galima jį sulenkti prieš jam
sulūžtant. Sutrikdyti taikinio išteklių, tokių kaip elektra,
tiekimą arba įsiterpti į sąveikas su kitomis sistemomis, kad
nustatyti kraštutinumus prie kurių jis vis dar gali dirbti.
11. Grįžkime prie ligoninės pavyzdžio...
... keturi FPP etapai atrodytų taip:
Sąveikos funkcija naudojama atgarsio procese;
Tyrimas, tai yra paciento požymių tokių kaip pulsas,
kraujo spaudimas ir smegenų bangų, skaitymas;
Intervencija, kuri pakeičia arba apsunkina paciento
homeostazę, elgesį, rutiną arba komforto lygį;
Indukcija, kuri tiria aplinką ir tai kaip ji galėjo
paveikti taikinį, išsiaiškinant su kuo pacientas
sąveikavo, ką lietė, gėrė arba įkvėpė.
12. Ką laužti? Apimtis
Apimtis..
Yra terminas naudojamas apibūdinti visą galimą darbo
apsaugos aplinką: kiekvieną sąveiką su turtu, įskaitant
fizines apsaugos priemones. Apimtis sudaryta iš trijų
klasių, kurios padalinamos į penkis kanalus:
13. Ką laužti? Kanalai
Klasė Kanalas
Fizinė apsauga (PHYSSEC) Žmogaus
Fizinis
Spektro apsauga
(SPECSEC)
Bevielis
Komunikacijų apsauga
(COMSEC)
Telekomunikacijos
Duomenų tinklai
14. Ką laužti? Klasė
Klasės.. yra oficialūs paskyrimai šiuo metu naudojami
apsaugos industrijoje, vyriausybėje ir kariuomenėje.
Klasės nurodo tyrimo, studijavimo arba darbo sritį.
15. Ką laužti? Kanalai..
Kanalai... yra tai kaip jūs sąveikaujate su turtu. Turtas gali
būti bet kas, kas yra vertingas savininkui. Tai gali būti
fizinis turtas kaip auksas, žmonės, projektai, nešiojami
kompiuteriai, tipinis 900 MHz dažnio telefono signalas ir
pinigai; arba intelektualinė nuosavybė, tokia kaip
asmeniniai duomenys, santykiai, prekinis ženklas, verslo
procesas, slaptažodžiai ir tai kas yra pasakoma per 900MHz
telefono signalą.
Teoriškai, kruopštus apsaugos auditas reikalauja visų penkių
kanalų testavimo. Realiai, testai yra sudaromi ir skirstomi į
kategorijas pagal analitiko įgūdžius, auditui reikalingą
įrangą ir biudžetą.
16. Ką laužti? Priklausomybės..
Priklausomybės... yra dalykai, kurių turto savininkas negali
tiekti nepriklausomai. Pavyzdžiui, labai nedaug
kompiuterių savininkų patys gamina elektrą. Net jei ir nėra
tikimybės, kad kažkas nutrauks jums elektros tiekimą, tai
įeina į jūsų apsaugos apimtį.
Vis dėl to... yra dalykų, kuriais mes nesirūpinsime. Į juos
įeina:
Negalimi įvykiai tokie kaip ugnikalnio išsiveržimas ten,
kur nėra ugnikalnio,
Įvykiai nedarantys įtakos, tokie kaip šviečiantis mėnulis
per duomenų centro langą
Globalaus poveikio įvykiai, tokie kaip katastrofiškas
susidūrimas su meteoru.
17. Ką laužti? Atskyrimas
Atskyrimas... tarp turto ir bet kokios grėsmės yra tikslas kurį
norime pasiekti. Mes sakome, kad apsauga yra atskyrimo
funkcija. Yra trys būdai kaip mes galime sukurti tokį
atskyrimą:
Perkelti turtą, kad sukurti barjerą tarp jo ir grėsmės.
Pakeisti grėsmę taip, kad ji negalėtų padaryti žalos.
Sunaikinti grėsmę.
Taigi kai mes analizuojame apsaugą , mes ieškome vietų,
kuriose būtų įmanoma sąveika su taikiniu ir kuriose
neįmanoma. Įsivaizduokite duris skirtas įėjimui į pastatą.
Kai kurios yra reikalingos darbuotojams; kitos reikalingos
klientams. Kitos gali būti reikalingos išsigelbėjimui gaisro
atveju. Kai kurios gali būti nereikalingos išvis.
18. Ką laužti? Kiekvienos durys
Kiekvienos durys... yra sąveikos taškas, toks kuriame gali vykti reikalingos
operacijos, bet nenorimos, tokios kaip vagystė. Mes apsaugos testuotojai,
nežinome ar visi šie interaktyvūs taškai turi pritaikymą versle, taigi mes visi
juos vadiname poringumu. Kai kalbame apie specifinius sąveikos taškus, mes
juos vadiname poromis. Poros yra trijų rūšių: matomumas, priėjimas ir
pasitikėjimas. Kodėl gi tiesiog neuždarius jų visų ? Todėl, kad be porų
(sąveikos taškų) neįmanoma vykdyti verslo.
Įsivaizduokit žmogų, kuris nori būti visiškai apsaugotas nuo žaibo. Turbūt
vienintelis būdas tai padaryti (būnant žemėje) tai įlysti į kalno vidų, kur žaibas
negali trenkti ( arba bent jau laikykime, kad taip yra). Toje vietoje jo apsauga
yra absoliuti, 100%. Bet jeigu kalne pradėsime gręžti skyles, su kiekviena
išgręžta skyle atsiras vienas įėjimo taškas žaibui ir taip padidės poringumas.
Taigi kaip apsaugos testuotojai (arba hakeriai) ,mes turime klasifikuoti skyles
arba poras susijusias su taikinio priėjimu arba apsaugojimu. 1.3 lentelė pateikia
informacijos apie tai kaip poras galima aptikti, klasifikuoti ir nustatyti
testavimo procese.
19. Ką laužti? Poros
Terminas Apibrėžimas
Matomumas Kai policija tiria nusikaltimą, jei nori išsiaiškinti priemones,
motyvą ir progą. Jeigu turtas yra matomas, jį galima atakuoti,
bet jeigu jis nėra matomas, į jį neina nusitaikyti – nors jį
galima aptikti.
Priėjimas Priėjimas yra apskaičiuojamas pagal skirtingų vietų, kuriose
gali įvykti sąveika, skaičių. Pastate tai gali būti durys;
interneto serveryje gali būti atvirų priėjimų kiekis
Pasitikėjimas Pasitikėjimas yra tada kai vienas subjektas priima
neribojamą sąveiką su kietu subjektu. Tai yra ir saugumo
skylė ir dažnas pakeitimas autentifikavimui. Pasitikėjimo
metrika leidžia mums išmatuoti kiek patikimas ar teisingas
yra pasitikėjimas.
20. Ištekliai
Efektyvus tyrimas ir mokymasis yra svarbiausia įgūdžiai hakeriui. Realybėje, nulaužimas yra
kūrybinis procesas paremtas daugiau gyvenimo būdu nei pamokomis. Mes negalime jūsų išmokinti
visko ką jūs turite žinoti, bet galime padėti suprasti ką jums reikia išmokti. Kadangi kompiuterių
technologija vystosi taip greitai, tai ką mokome šiandien gali būti nenaudinga rytoj. Daug geriau jums
yra perimti hakerio mokymosi įpročius, kurie greičiausiai yra svarbiausia nulaužimo dalis ir tai kas jus
atskirs nuo script kiddie (žmogus, kuris naudoja laužimo įrankius nežinodamas kodėl ir kaip jie
veikia).
Jeigu šioje pamokoje susidursite su žodžiu arba koncepcija, kurios nesuprantate, būtinai turite jį
išsiaiškinti naudodami internetą arba biblioteką. Naujų žodžių ignoravimas tik sukels sunkumų
suprantant koncepcijas tolimesnėse pamokose. Jūsų bus prašoma išanalizuoti temą internete ir bus
tikimasi, kad naudodami surastą informaciją įvykdysite užduotis pateiktas toje pamokoje – bet tos
pamoks nepaaiškins kaip atlikti tyrimą. Taigi tyrimui skirkite tiek laiko kiek jums reikia, kad
išmoktumėte naudoti įvairius jums prieinamus resursus.
Hakerių laužimas neapsiriboja vien kompiuteriais ir internetu. Geri hakeriai yra kūrybingi ir
apsišvietę. Daugelis jų yra dailininkai, rašytojai ir dizaineriai. Hakerių laužimo įgūdžiai gali būti
panaudoti kitoms sritims, tokioms kaip politiniai mokslai (Pavyzdžiui, pažiūrėkite Princas (the
Prince) sukurtą Machiavelli). Knygų skaitymas apie viską nuo psichologijos iki mokslinės fantastikos
jus padarys daug universalesniu ir funkcionalesniu hakeriu.
Prisiminkite, hakerių laužimo tikslas yra išsiaiškinti kaip viskas veikia – neatsižvelgiant kaip tai turėtų
veikti. Taip jūs surandate silpnumus, pažeidžiamumus ir nutekėjimus.
21. Knygos
Galbūt nustebsite, kad jūsų iškarto nenukreipiame į internetą, bet knygos yra geras būdas išmokti
pagrindus ir faktinį mokslą apie viską ką norite ištirti. Norite žinoti ką nors apie kompiuterių mokslą,
kaip pavyzdžiui apie jūsų PK techninės įrangos detales? Niekas geriau jums nepadės kaip dabartinė
knyga apie šį dalyką. Pagrindinė problema su knygomis skirtomis kompiuteriams yra tai, kad jos labai
greitai pasensta. Paslaptis yra sugebėjime pamatyti pagrindinę struktūrą po detalių paviršiumi. MS-
DOS ir Windows aiškiai skiriasi, bet abu yra paremti Boolean logikos principais, kuriuos kompiuteriai
naudojo nuo Ada, lovelaso grafienė (Countness of lovelase) ,parašė pirmąsias kompiuterio programas
devynioliktame amžiuje. Apsaugos ir privatumo problemos pasikeitė per paskutinius 2500 metų, bet
Karo Menas parašytas Sun Tzu aprašo pagrindinius principus, kurie naudojami ir dabar.
Nors informacija iš knygų gali būti labiau pasenusi nei iš kitų šaltinių, jūs pamatysite, kad tai didesnė
tikimybė, kad informacija, kurią randate knygose yra faktiškai tikslesnė nei kitų šaltinių informacija.
Labiau tikėtina, kad rašytojas, kuris rašo knygą vienus metus, patikrins faktus geriau, nei tas kuris
atnaujina savo blogą 6 kartus per dieną. (Dėl daugiau informacijos žiūrėkite dalį apie mažo tiražo
laikraščius ir blogus). Įsidėmėkite – tikslus, tai dar nereiškia, kad nešališkas.
Nebūtina sukurti savo biblioteką, bet gali būti jog norėsite užsirašyti pastabas paraštėse arba kitaip
pasižymėti tai ką skaitote, o tai galite daryti tik savo fizinėje knygoje. Elektroninės knygos taip pat
leidžia pridėti pastabas ir jos yra pigios bei visada po ranka.
Galiausiai, neatsisakykite knygos vos tik į ją pažiūrėję dėl to, kad ji tokia didelė. Daugumos šių didelių
knygų niekas neskaito nuo viršelio iki viršelio. Galvokite apie jas kaip apie senoviškus interneto
puslapius. Atsiverskite atsitiktinai pasirinktą puslapį ir pradėkite skaityti. Jeigu ko nors nesuprantate,
grįžkite atgal ir ieškokite paaiškinimo (arba šią dalį praleiskite iki ten kur pradėsite suprasti).
Pasirinkinėkite puslapius tai iš knygos pradžios tai iš pabaigos taip lyg naudotumėtės interneto
puslapiu ir eitumėte iš nuorodos į nuorodą. Tokio tipo neeilinis tyrimas yra daug įdomesnis ir
malonesnis hakeriams, kadangi čia svarbiausia patenkinti smalsumą, o ne skaityti.
22. Žurnalai
Žurnalai ir laikraščiai yra naudingi, nes pateikia glaustą, naują
informaciją. Deja šių abiejų tipų leidiniai gali pateikti neišsamią
informaciją. Taip pat, žinokite, kad kiekvienas laikraštis arba
žurnalas turi savo auditoriją bei temas, neskaitant pareiškimų
apie buvimą “teisingu ir nešališku“. Žinoti leidinio temą: Linux
žurnalas gali nebūti labai geras informacijos apie Microsoft
Windows sistemą šaltinis, kadangi Windows yra konfliktinė
tema (konkurentų operacinė sistema) ir greičiausiai Linux
žurnalo skaitytojai nori perskaityti apie Linux sistemos
pranašumus. Žinokite apie galimą žurnalų šališkumą.
Apsvarstykite šaltinį!
Geriausias būdas išvengti tikslumo ir šališkumo problemų yra
būti gerai ir plačiai apsiskaičiusiam. Jeigu perskaitote apie įdomų
dalyką žurnale, pasidomėkite juo daugiau. Ieškokite
patvirtinimų ir paneigimų apie tą dalyką.