すべてのハッカーが悪いわけではありません。いいえ、本当に、それは本当です!私たちはあなたの情報を邪悪な目的で盗む人々の最大のファンではありませんが、ハッキングスキルを十分に使用して、たくさんの人気のある人々がそこにいます。
そのような人の1人は、バルトティックアマデウスのジュニア倫理的ハッカーであるAgne Marija Bucyteです。倫理的なハッカーとして、アグネの仕事は悪者から企業を保護し、オンラインでより良い保護を受けている人を助けることです。
現実に倫理的なハッカーになるのはどんな感じですか?彼らの仕事の日はどのように見えますか?そして、どうすればホワイトナイトのハッカーになり、フィールドに入ることができますか?さて、私たちは幸運にもAgneと一緒に座って、倫理的なハッキングについてあらゆる種類の質問をすることができました。
以下は、Agneが倫理的なハッカーとしての生活について言わなければならなかったことと、暗黒面に参加した他のハッカーから自分自身をよりよく守ることができる方法です。
倫理的なハッカーAgne Marija Bucyteを備えたQ&A
倫理的ハッキングとは何ですか?そして、それは一般、黒い帽子、または違法なハッキングとどのように違いますか?
倫理的ハッキングとブラックハットの違い、または違法なハッキング、倫理的なハッキングは許可と善意を持って行われているということです。
たとえば、地元の銀行ウェブサイトをテストすることに興味があるとします(侵入テストを行うため)。その場合、最初に銀行に電子メールを送り、脆弱性またはデータ侵害を探す許可を得る必要があります。通常、契約が起草され、NDAが署名されます。浸透テストを行う許可がなければ、多くの深刻な法的トラブルに巻き込まれるかもしれません。
許可なくハッキングは、善意であっても、違法と見なされます。したがって、許可は大きな必須です。脆弱性を見つけた場合、それらを銀行に報告し、他の人と共有したり、ソーシャルメディアで知らせたりする必要はありません。それがNDAの目的です。
したがって、基本的に、私が許可なく同じことをする場合、それは違法なハッキングと見なされます。
黒い帽子とは、許可なく、そして悪意のある意図を持ってハッキングしているときです。たとえば、データの脆弱性を漏らし、身代金、恐mail、または政治的アジェンダを推進することを求めます。
どのようにしてウェブサイトをハッキングする許可を得ることができますか?
一部の企業は、他の企業がウェブサイトの特定の部分をハッキングできるようにするハッキングコンテストを持っています。たとえば、私の故郷であるVilnius Municipalityは、デジタルインフラストラクチャをテストするために「Hack Me You Can Can」というコンテストを開催しています。
会社で倫理的なハッカーとして働いている場合(私の場合など)、クライアントは浸透テストを行うために直接雇います。この場合、NDAに署名し、他のすべての関連する詳細をアレンジする必要があります。たとえば、勤務時間中にテストできない場合とできない場合。一部のクライアントは、勤務時間後、または特に週末に明示的に行われることを求めています。
あなたの話は何ですか?そもそもどのようにしてハッキングを始めましたか?そして、どのようにして倫理的なハッカーになりましたか?
私の話は少し「ランダム」です。私はプログラミングエンジニアリングを勉強し、同時に英語のクラスを受講していました。ある日、講師は私たちの職業に関連する英語の本を読むために宿題をくれました。
私の考えでは、宿題の別の部分が他の学生に本の要約を提示することだったので、私は言語のコーディングに関する本を読むつもりはありませんでした。それで、私は他の学生にとっても興味深いものであると読むことができるものを調べ始めました。KevinMitnickの「Ghost in the Wires:My Adventures as the Worlds the Worlds the World Wanted Hacker」を見つけました。彼は世界で最も有名なハッカーの一人として有名です。この本は彼の自伝であり、完全に魅力的でした。
それを読んでいる間、私は倫理的なハッキングとは何かを紹介しました。実際、著者は最初にやっていました違法なハッキングそして後になってから倫理的なハッカーに「変換」されました。彼の話は非常に面白く、私は一般的にハッキングをもっと見たいと思った。
VPN会社でフランスの顧客サクセスマネージャーとして働き始めたとき、彼らがハッキングに興味のある10〜15人のグループを集めていることに気付きました。私は志願し、グループに受け入れられました。タスクが与えられ、2週間ごとに会って、仕事とタスクに関する問題や困難について話し合いました。
コースが終了し、プロジェクトを完了した後、同社はジュニアハッカーの就職ポジションを掲載しました。応募しましたが、雇われませんでした。しかし、サイバーセキュリティ業界には提供できることに気付いたので、私はあきらめたくありませんでした。もっと学びたいと思いました。
私は後に別の会社でジュニアの倫理的ハッカーの職に応募し、それを手に入れました。皮肉なことに、私はいつも友達にサイバーセキュリティに興味がないだろうと言いましたが、ここにいます!
最初のオファーを確保する前に、他の多くのジョブに最初の仕事に応募し、電子工場で販売コンサルタントとして働いていなかったことを覚えているとき、私は見積もりを思い出します。
倫理的なハッカーになることの課題は何ですか?
主な課題は、オンラインで無料の素材がたくさんあるにもかかわらず、どこから始めればいいのかを把握するのが難しいので、倫理的なハッキングは本当に初心者に優しいわけではないということです!
他の人への私の推薦は、ある種の倫理的ハッキング認定を取得することです。たとえば、Comptia Pentest+認定があります。この証明書は基本をカバーし、それほど高価ではありませんその他の証明書。
実際の部分に関しては、開始する最良の方法は、いまいましい脆弱なWebアプリケーション(DVWA)をチェックすることです。このアプリケーション内で、難易度レベルを設定し、あらゆる種類の浸透を練習し、より良くなるにつれて難易度を高めることができます。
あなたがちょうど私に言ったことから、倫理的なハッカーの立場は高い需要があるべきだと思われます。それでのあなたの経験は何ですか?
実際、倫理的なハッカーの位置は非常に高い需要があります。仕事を見つけるのは非常に簡単です。適切な経験があれば、ほぼ毎日LinkedInでオファーを受け取るでしょう。
あなたがこれまでに達成した最も印象的なハックは何ですか、そしてその背後にあなたの動機は何でしたか?
NDAのために、私は詳細に説明することはできませんが、漠然と説明しようとします。私は最近、私が働いているクライアントのデータベースに高レベルのセキュリティ侵害を見つけました。 Black Hat Hackerがこれを手に入れた場合、主に違反が個人情報を含む顧客データベースにあったため、損害は壊滅的なものであった可能性があります。
自由時間にハックをしますか?
はい、時間を見つけたとき、私は会社以外のハッカーの浸透テストを許可する企業を探します。次に、詳細(契約とNDA)について連絡します。これが手配されたら、セキュリティ侵害を探し始め、レポートを送り返します。通常、違反は高レベルではありません。
これらのハッキングについていくつかの重要なことについて言及する必要があります。私は常に違反を会社に戻し、ソーシャルメディアチャネルで共有しないでください。サービスを混乱させるサービス拒否攻撃(DO)を実行することはできません。特に顧客データベースにある場合、私が見つけた脆弱性を悪用することはできません。
どのように生計を立てますか?ハッカーとしての日々の生活は何ですか?
私が言ったように、私は1つの会社の倫理的なハッカーとして働いて生計を立てています。人々は通常、私が一日中するのは浸透テストまたはハッキングだけだと考えています。しかし、そうではありません。ハッキングに関する記事も書きます。
さらに、クライアント向けの浸透テストレポートも準備します。これは実際に私の一日の最大の部分を占めています。これらのレポートの中で、攻撃をどのように実行したか、どのように再現できるか、将来回避するために何をすべきかを詳細に説明する必要があります。
私が責任を負うもう1つの大きなタスクはですサイバーセキュリティ認識トレーニング。
それに加えて、私は仕事の後に浸透テストも行います。私が取り組んでいる現在のプロジェクトは、Vilnius自治体のために「ハックミーができれば私をハッキング」しています。自由時間がもっとあるときは、Hackeroneにも訪れます。そこでは、企業が合法的にハッキングできるサイトのリストを提供します。
要約するために、ハッカーとしての私の一日は、通常、浸透テスト、報告、執筆、およびサイバーセキュリティコースの準備で構成されています。
現在取り組んでいるプロジェクトについて教えてください。
私は現在、2つの別々のクライアントのサイバーセキュリティトレーニングに取り組んでいます。このようなトレーニングは通常、年に1回行われます。クライアントが望むものに応じて、素材、スライド、クイズなどを準備する必要があります。
私が取り組んでいるもう1つのプロジェクトは、ネットワーク浸透テストです。私はネットワークの脆弱性を探していて、ネットワークセキュリティ違反。繰り返しますが、署名したNDAのために多くの詳細を開示することはできません。
倫理的なハッカーであることの最良の部分と最悪の部分は何ですか?
倫理的なハッカーであることの最大の利点は、あなたが常に何か新しいことを学んでいるということです。サイバーセキュリティフィールドは絶えず変化しており、学習を止めることはできません。
私が最良の部分の1つとしても言及した最悪の部分は、学ぶべき非常に多くの新しいことがあり、どこから始めたり何を学ぶべきかわからないことです。
繰り返しますが、これは初心者向けのフィールドではなく、多くの場合、迷子に感じることができます。あなたは多くの努力をし、良いハッカーになるための深刻な動機を持っている必要があります。多くの場合、人々はこの職業を過小評価し、それが簡単だと思います。
倫理的なハッカーになるにはどのようなスキルが必要ですか?誰かがこれらのスキルをどのように獲得できますか、そしてあなたが推奨するコースはありますか?
必要な主なスキルは、ハッカーの考え方です。それによって、私はあなたが非常に好奇心が強く、細部に非常に注意を払わなければならないことを意味し、「深く掘る」ことを好みます。これらのスキルを所有していない場合、Webサイトのすべての機能に興味を持ち、それをテストする必要があるため、脆弱性を見つけられない可能性が高いでしょう。
また、探すのに多くの時間と労力がかかるので、あなたは多くの動機、決意、忍耐を持っている必要がありますセキュリティ違反と脆弱性ウェブサイトで。最後に、倫理的なハッキングについて学びたいという願望を持ち、常に成功するとは限らないことに留意してください。
開始する最良の方法は、証明書を取得することです。さまざまな認定から選択できます。私の個人的なお気に入りの選択は、comptia pentest+です。
倫理的なハッカーは本当に何ができるのでしょうか?メディアで人々が聞いたり、映画で見たりするものとどのように比較されますか?
ハッカーは通常、メディアの悪役として描かれていることに気付きました。倫理的なハッキングとその利点について誰も実際には話しません。悪い話だけが聞こえます。
しかし、ハッカーは映画の善人としてしばしば示されています。たとえば、「ロボットさん」をご覧ください。ハッカーはヒーローとして描かれており、あなたが彼らを応援したいと思うようにします。
他のハッキングに関する映画「私は誰ですか」と「ドラゴンのタトゥーを持つ少女」です。本物のハッカーの生活を見たいなら、これらは素晴らしいことであり、倫理的なハッキングについてもっと知りたいと思っています。
もちろん、多くの意見は、ハッカーについて行うオンライン検索の種類に依存しています。サイバー犯罪にほとんど興味がある場合、これはあなたが検索するものに基づいて最も見られるコンテンツのタイプですが、オンラインでもたくさんの良いストーリーがあります。
倫理的なハッキングは一般に、通常は良いまたは普通の話であるほど魅力的ではないと思います。それがおそらく、多くの人々が倫理的なハッキングに気づいていない理由です。
おそらく、人々はインターネット上のセキュリティの欠如がどれほど危険であるかを知らないと思いますか?そして、あなたが出会う最も一般的なセキュリティの脆弱性は何ですか?
はい、間違いなく。通常、人々はそれが不可欠ではないと考えているか、彼らに決して起こらないので、サイバーセキュリティを真剣に受け止めていません。また、多くの人が努力と時間をかけたくないサイバーセキュリティ、彼らが彼らがしていることはすでに十分であり、ほとんどの場合、これはそうではありません。
私の意見では、あなたの最も貴重なものを持っているよりも、他の人の間違いから学ぶ方が良いですデータが漏れましたパスワードが弱く、サイバーセキュリティに関する認識がほとんどないため、オンラインフォーラムに参加します。
オンラインユーザーの中で最も人気のあるセキュリティの問題は、パスワードです。人々は、非常に弱いパスワードまたは同じパスワードをどこでも使用しています。多くの場合、登録時に指定されたデフォルトのパスワードを変更することさえありません。また、2FAはほとんどのインターネットユーザーの間では一般的に使用されていません。
別の問題はフィッシングです。人々は気づいていませんフィッシングとは何ですか多くの場合、受信したメールの疑わしいリンクをクリックします。パンデミックが始まり、より多くの人々が自宅から働き始めて以来、フィッシング攻撃は大幅に増加しています。しかし、それについての人々の知識はありませんでした。
最後に、別の一般的なセキュリティの問題は、オペレーティングシステムの更新です。多くの人々は、最新の更新を単に無視するため、セキュリティ侵害に簡単にさらされます。新しい更新があればすぐにオペレーティングシステムを更新してください。
繰り返しますが、最も簡単なハックはそうでしょうパスワードの強度を高める。最も一般的なパスワードは、人の名前または都市です。このような一般的なパスワードは、簡単でソフトなターゲットです。
また、データ侵害の後、2012年のLinkedIn侵害など、パスワードが漏れている場合、人々はパスワードを変更しません。主にどこでも同じパスワードを使用している場合、ハッカー攻撃に対して脆弱なままです。
ハッキングにさらされる人々は何を間違っているのですか?通常の人がオンラインで安全を保つためにどのようなツールやヒントをお勧めしますか?
彼らはどこでも弱いパスワードまたは同じパスワードを使用するか、データ侵害後にパスワードを更新しません。
他の人への私のヒントは、サイバーセキュリティとフィッシング攻撃について自分自身をよりよく教育し、常に使用することです強力なパスワード。
hasibeenpwned.comおよびESETサイバーセキュリティのウェビナーに従っているかどうかを確認することをお勧めします。
また、YouTubeにはサイバーセキュリティに関する多くの情報があります。もっと知りたいなら、すべてが非常に簡単にアクセスできます!
家でこれを試さないでください!
間違ったことから正しいことを知らずにハッキングの世界に真っ先に飛び込みます。倫理的ハッキングに参加したい場合は、Agneのアドバイスに従って認定されてください。
そこには悪意のあるハッカーがたくさんありますが、インターネットをより良い、より安全な場所にするために働いているのと同じくらい多くの良いハッカーがいます。 Agneのような情熱的で有能な倫理的なハッカーが料金をリードし、オンラインサービスを安全なオンラインサービスをリードしていますinternxt主流になって、すぐにインターネットを掃除する必要があります!