1. Guia do Hacker
Matéria: O que é um hacker?
Saber o que é um hacker é, obviamente, o primeiro passo para se
tornar um. Se você perguntar a qualquer pessoa normal que é um
hacker, eles provavelmente irão apenas dizer-lhe "Alguém que mexe
computadores e espalha vírus". Muitos também pensam que é como
nos filmes, onde um hacker só tecla e digita alguma coisa e logo
instantaneamente irão invadir qualquer sistema. Uma maneira de
pensar bastante superficial, para não dizer ridícula, mas a mídia está
fazendo parecer algo que não é “Hacking mesmo”, onde alguns que se
acham hacker só porque usam ferramentas hackers mais nunca se
quer pegaram um livro. Muita gente vai dizer que o hackear só se faz
na frente do computador e nada mais, hoje em dia quaisquer meios
métodos e mídia veiculada é vulnerável a possível hacker (“ Admin,
esse site é seguro”). Muita gente acha que hacker são pessoas ruins,
mas que não é o caso.
Existem três tipos principais de hackers:
BLACKHAT
Estes são os maus vistos; os que você ouve falar nas notícias. Eles
almejam somente o lucro pessoal, e destruir computadores de outras
pessoas e redes para se divertir. Isso faz com que uma grande parte da
comunidade de hackers, quando as pessoas ouvem sobre hackers na
TV, os descriminam generalizando. Há muitos outros motivos que
podem ser a causa de um “chapéu preto”, como a ganância ou vingança.
GRAYHAT
2. Hackers de chapéu cinza são as pessoas que caem no meio chapéu,
branco e preto. Eles geralmente não saem invadindo só pelo lucro
ilegal é possível ser um profissional, mas pode fazer algo ilegal de vez
em quando. Outra diferença entre chapéus cinza e chapéus brancos é
que os hackers de chapéu branco obtém permissão para pentest (teste
de penetração) em uma empresa ou site e depois dizem os
proprietários sobre vulnerabilidades, enquanto hackers de chapéu
cinza vão fazê-lo sem permissão, e possivelmente até mesmo liberar o
exploit para o público.
WHITEHAT
O profissional de TI Mestre SEO, nosso professor de faculdade! Chapéis
brancos dedicam seu tempo à segurança na Internet e torná-la um
lugar seguro para todos. Os nossos professores chapéus brancos têm
anos de experiência em segurança de computadores, e podem corrigir
qualquer problema no mundo da informática e vão contra as pátricas
errôneas que seus alunos comentem como invadir por diversão nesse
caso os alunos (alguns) os chapeis pretos.
A LISTA DE MÉTODO HACKING
● Ferramentas de Administração Remota (ratos)
● Keyloggers
● Criptografia
● Decodificação
● Proxies
● Socks
● Redes Privadas Virtuais (VPNs)
● Virtual Private Servers (VPS)
● Windows
● Linux
3. ● Unix
● FreeBSD
● Todas as linguagens de programação (C + +, Java, Ruby, PHP, Pearl, PASCAL,
C #, VB.NET, entre outras)
● Exploração
● Injeção Structured Query Language (SQLI)
● Cross Site Scripting (XSS)
● Remote File Inclusion (RFI)
● Inclusão de arquivos local (LFI)
● Cracking
● Website Design
● Computer Security
● Administração de Redes
● Engenharia Social
HTML
é uma linguagem de programação muito básico baseado na web. HTML
significa HyperText Markup Language, e é o bloco de construção básico
para a maioria dos sites. É um excelente ponto de partida para
iniciantes, já que ajuda a ganhar uma compreensão de ambos, a
Internet, e programação. O código HTML para um site pode ser visto
com o botão direito em qualquer lugar da página, e clicar em "View
Page Source"
Prós:
● Vai ajudá-lo ainda mais a sua carreira como web designer
● Ajuda você a ganhar uma compreensão da Internet
4. ● ajuda a entender como os sites são feitos
Contras:
● Pode ser um método bem mais chato do que ir e invadir computador de
alguém por progrmas.
● Se você nunca fez em um site, pode ser meio complicado no começo.
RAT é um acrônimo que significa ferramenta de administração remota.
Wikipedia define uma RAT como: Uma ferramenta de administração
remota (um RAT) é usada para conectar remotamente e gerenciar
computadores com uma variedade de ferramentas de software, tais
como:
● Captura de tela / câmera ou controle de imagem
● Gerenciamento de arquivos (download / upload / executar / etc.)
● Shell de controle (do prompt de comando)
● controle do computador (desligar / ligar / log off se recurso remoto é
suportado)
● Gerenciamento de Registro (consulta / adicionar / excluir / modificar)
● Outros softwares específicos do produto funções
5. Sua função principal é para um operador de computador para ter
acesso a computadores remotos. Um computador será executado o
"cliente" aplicação de software, enquanto o outro computador (s)
funciona como o "host (s)". Próprios rats são ilegais, porque eles são
usados principalmente para fins maliciosos. A única coisa que faz com que
alguns rats é legal permissão. Legal ferramentas de administração
remota, como o TeamViewer, requerem outro computador para aceitar
a conexão de entrada. Além disso, rats legais não tem nenhuma
característica maliciosa embutida.
Prós:
● Pode dar-lhe o acesso a dados sensíveis, tais como informações de
conta bancária.
● Vai dar satisfação temporária
● direito de se gabar, se você tiver infectado pessoas suficientes.
Contras:
● Pode entrar em sérios apuros se você for pego
Criptografia não é tanto um método de hacking, mas vai certamente
ajudar ao longo do caminho. A criptografia é basicamente o ato de
codificar / decodificar algo (ex. um arquivo) para que os olhos errantes
não possam velos. Existir muitos links de livros a respeito no fórum.
Uma boa ferramenta a ser usada para criptografar seu computador é
::http://www.truecrypt.org/::
Características principais:
*Cria um disco virtual criptografado dentro de um arquivo e monta-lo
como um disco real.
6. *Criptografa uma partição inteira ou dispositivo de armazenamento,
como USB flash drive ou disco rígido.
*Criptografa uma partição ou unidade onde o Windows está instalado
(autenticação pré-boot).
*Criptografia é automático, em tempo real (on-the-fly) e transparente.
*Paralelização e pipelining permitir que dados sejam lidos e escritos
tão rápido como se a unidade não foi criptografada.
*A criptografia pode ser acelerado por hardware em processadores
modernos.
*Fornece negação plausível, no caso de um adversário obriga a revelar
a senha:
*Volume oculto (esteganografia) e sistema operacional oculto.
*Mais informações sobre os recursos do TrueCrypt pode ser
encontrada na documentação.
*Citação direta do site TrueCrypt.
ESTRUTURAS
● SQL Injection
● XSS
● RFI
● LFI
7. SQLI
(Injeção Structured Query Language)
Injeção de SQL é uma técnica de injeção de código que explora uma
vulnerabilidade de segurança que ocorrem na camada de banco de
dados de um aplicativo (como consultas). A vulnerabilidade está
presente quando a entrada do usuário é ou incorretamente filtrado
para caracteres strings literais de escape embutidas em instruções SQL
ou de entrada do usuário não é fortemente digitados e, assim,
inesperadamente executado. É um exemplo de uma classe mais geral
de vulnerabilidades que podem ocorrer sempre que uma linguagem de
programação ou scripting é incorporada dentro de outro. Ataques de
injeção de SQL são também conhecidos como ataques de inserção SQL.
XSS
Cross-site scripting (XSS) é um tipo de computador vulnerabilidade a
segurança normalmente encontrados em aplicações web que permite
que atacantes para injetar client-side script em páginas visualizadas
por outros usuários. A cross-site scripting vulnerabilidade pode ser
utilizado por atacantes para contornar os controles de acesso, como a
política de mesma origem. Cross-site scripting realizadas em sites
responsáveis por cerca de 80% de todas as vulnerabilidades de segurança
documentadas pela Symantec a partir de 2007. O seu efeito pode variar de um
incômodo pequeno para um risco de segurança significativo, dependendo da
sensibilidade dos dados manipulados por o site vulnerável e a
natureza de qualquer atenuação de segurança implementada pelo
proprietário do site.
RFI
Inclusão de arquivos remotos (RFI) é um tipo de vulnerabilidade mais
frequentemente encontrado em sites. Ele permite que um atacante
para incluir um arquivo remoto, geralmente através de um script no
servidor web. A vulnerabilidade ocorre devido ao uso de entrada
fornecido pelo usuário, sem a devida validação. Isto pode conduzir a
algo tão mínima quanto à saída do conteúdo do ficheiro, mas,
dependendo da gravidade, para uma lista de alguns, pode levar:
● A execução de código no servidor web
8. ● A execução de código no lado do cliente, tais como JavaScript, o que pode
levar a outros ataques, tais como cross-site scripting (XSS).
● Negação de Serviço (DoS)
● roubo de dados / Manipulação
LFI
Inclusão do arquivo local (também conhecida como LFI) é o processo
de inclusão de arquivos em um servidor através do navegador. Esta
vulnerabilidade ocorre quando uma página incluem não está
devidamente higienizado, e permite que personagens de passagem de
diretório a ser injetada. Um exemplo típico de um script PHP
vulneráveis a LFI pode ser descrito assim:
<?php
$file = $_GET['file'];
if(isset($file))
{
include("pages/$file");
}
else
{
include("index.php");
}
?>
Acredito que o iniciante nessa área só tenha a ganhar utilizando seus
conhecimentos para se qualificar no mercado de trabalho, mostrando
que é um hacker ético, hoje se ganha muito bem com tecnologia além
do respeito das pessoas menos esclarecidas no assunto.
[SQL] - Structured Query Language
[LFI] - Local File Include