Ungefär som att lära sig hur man gör en bakåtvolt eller tränar för att bli brandman kan du inte bara träna hacking var som helst – du behöver en säker och kontrollerad miljö, annars kan du orsaka skada på dig själv och andra.
Etisk hacking är när en programmerare har tillstånd att använda sina tekniska färdigheter för att avsiktligt bryta sig in i datorsystem och komma åt känslig data för att hitta vanliga sårbarheter i kod som andra personer har skrivit.
Skillnaden mellan etisk och oetisk hacking beror vanligtvis på samtycke och avsikt; en illvillig hackare skulle använda samma färdigheter (utan tillstånd) för att stjäla information eller tillgångar för ekonomisk vinning eller orsaka annan skada.
För att vara tydlig är det olagligt att komma åt data i ett system utan auktorisation, och en av nyckelprinciperna för etisk hacking är att följa lagen. Så om du är intresserad av att ha en karriär som involverar hackning eller säkerhetsanalytiker, kanske du undrar hur du kan få praktisk övning utan, du vet, att bryta mot lagen.
Här är några (definitivt lagliga) resurser som du kan använda för att få praktisk etisk hackerfarenhet utan att utsätta dig själv eller andra i fara.
Lär dig teknikerna
Det är viktigt att förstå de tekniska färdigheter som används vid etisk hacking innan du dyker in. Det finns bra introduktioner till etisk hacking som täcker några av de vanliga verktygen och teknikerna som hackare använder.
Utforska virtuella maskiner
Virtuella maskiner som du laddar ner och kör lokalt på din dator är idealiska för att öva hacka. Med en fristående virtuell maskin kan du göra vad du vill med ett program, utan att oroa dig för att du kommer att överskrida.
Det är mycket mer förlåtande. Om du haar sönder något i de här lådorna, tar du bara bort det och börjar om. Men om du raderar fel sak i ett företags miljö, även om dina avsikter kan ha varit goda, kan du alltid kosta företaget stora summor pengar.
Börja med VulnHub, som är en samling webbplatser som är sårbara till sin design. Dessa system är inställda så att du kan köra dem lokalt på din maskin för att lära dig verktygen, tankeprocessen och färdigheter som är förknippade med hackning.
Hack the Box är en annan plattform där du kan leka med gamified pentesting labs – de lägger alltid till nya labs baserat på de senaste sårbarhetsteknikerna. Och PortSwigger, företaget som tillverkar programvaran för webbsäkerhetstestning Burp Suite, har också massor av labb som täcker sårbarheter som SQL-injektion, cross-site scripting och autentisering.
Bli inblandad i bug-bounty-program
När du blir mer erfaren med etisk hackning kan du kanske överväg att delta i bug-bounty-program, där organisationer ger hackare tillåtelse att upptäcka sårbarheter eller svagheter i sina system för en monetär belöning. Du kan hitta aktiva bug-bounty-program på sajter som HackerOne och Bugcrowd.
Tänk på: Det här är levande och verkliga system, så du måste hålla dig inom ramen för en organisations bug-bounty-program och följa deras regler för att avslöja sårbarheterna. Se till att du har åtminstone lite kunskap om de olika typerna av sårbarheter där ute innan du hoppar in. Om du inte gör det kommer du förmodligen inte att hitta något. Och om du gör det kan du gå tillväga på ett potentiellt farligt sätt.
Gå med i ”capture the flag”
Inom cybersäkerhet är capture the flag-tävlingar är evenemang där hackare slår sig samman för att avslöja ”flaggor” eller sårbarheter i ett program.
Det finns några olika typer av CTF:er: I Jeopardy-stil CTF:er, till exempel, måste deltagarna utföra uppgifter i kategorier som kriminalteknik, webbexploatering, kryptografi och reverse engineering. Attack-defense CTFs, å andra sidan, tenderar att vara mer komplicerade eftersom de involverar lansering av attacker och försvar mot ett annat lag som använder en sårbar server.
Du kan hitta en lång lista över kommande CTF-tävlingar och läsa artiklar från tidigare tävlingar på webbplatsen CTFtime. CTF-tävlingar är inte bara roliga sätt att få praktisk hackerfarenhet, de är också ett sätt att nätverka med andra människor inom cybersäkerhet.
Slutsats
Om du har några betänkligheter om huruvida en åtgärd är etiskt eller lagligt, sluta med det du gör och ta ett steg tillbaka.
Om du verkligen inte är säker på något är det i allmänhet bäst att undvika att göra det tills du känner dig mer bekväm eller har en bättre förståelse för det. Hacking är ett av de områden där det är väldigt lätt att orsaka skada på andra saker och dig själv.