Νοοτροπία wanna-be hacker
Ευχάριστο τον (gcoder) για αυτό το θέμα!
Είναι ένα από τα θέματα που σκέφτομαι πάρα πολύ καιρό να κάνω και με θλίβει πραγματικά που με φτάσατε στο σημείο να το δημιουργήσω...
Αυτό το θέμα αφορά άτομα που θέλουν να γίνουν hackers αλλά δεν θέλουν να σπαταλήσουν χρόνο ή περιμένουν από κάποιον άλλον να τους μάθει... Επιπλέον για κάποιον παράξενο λόγο γίνεσαι κακός αν δεν του βοηθήσεις σε αυτό που σε ρωτάνε, άσχετα με το αν δεν τους βοηθάς επειδή δεν έχουν τις απαιτούμενες γνώσεις για να το πετύχουν.
Πριν προχωρήσω θα πω ότι δεν γράφω αυτό το άρθρο για κάποιο συγκεκριμένο άτομο και πως σκέφτομαι να το γράψω εδώ και αρκετό καιρό... Επιπλέον δεν ανταποκρίνεται μόνο σε ένα άτομο αλλά σε μια ομάδα ατόμων...
Τώρα ας ξεκινήσουμε από την αρχή.
Πολύ από εσάς γράφεστε στο φόρουμ και είσαστε στο 0. Συνήθως ρωτάτε βοήθεια για το πως να ξεκινήσετε να ασχολείστε και συνήθως καταλήγετε με έναν κατάλογο από βιβλία που πρέπει να διαβάσετε...
Δεν ξέρω τι κάνετε όταν φεύγετε αλά συνήθως σας βλέπω μετά από μια βδομάδα και ξεκινάτε να ρωτάτε πράγματα τύπου:
Πως μπορώ να χακάρω ένα pc με το metasploit/armitage/nmap/nessus και οποιοδήποτε άλλο πρόγραμμα βρήκατε στο youtube
Πως μπορώ να χακάρω facebook.
Πως μπορώ να κάνω sqli/xss/rce κλπ και να πάρω πρόσβαση σε μια ιστοσελίδα.
Γιατί το rat μου δουλεύει μόνο σε local δίκτυο.
Η λίστα αυτή συνεχίζετε κατά πολύ μεγάλο βαθμό αλλά για λόγους βιασύνης δεν θα την συνεχίσω τώρα. Τα πράγματα είναι ακόμα ποιο τραγικά όταν ένα άτομο σε ρωτάει όλες τις παραπάνω ερώτησης όπου βρίσκονται σε διαφορετικούς τομείς του hacking η κάθε μία.
Γιατί είναι πρόβλημα... Αρχικά θα σας θυμίσω ότι πριν μια βδομάδα δεν ξέρατε τίποτα... Πάμε να δούμε τι χρειάζεται να ξέρετε για τις παραπάνω ερώτησης...
1) Για να απαντήσω αυτήν την ερώτηση και να σας κάνω να καταλάβετε τι λέω, πρέπει να σας πω τα παρακάτω:
Ένα βιβλίο για το πως λειτουργούν τα κενά ασφαλίας
Το εγχειρίδιο του metasploit
Πιθανότατα κάποια πράγματα για C/Assembly και buffer overflows.
Όλα τα παραπάνω είναι όμως τρία βιβλία...
2)Για να απαντήσω αυτήν την ερώτηση και να σας κάνω να καταλάβετε τι λέω, πρέπει να σας πω τα παρακάτω:
Αρχικά να μάθω με ποιον τρόπο θέλετε να το χακάρετε... Υπάρχουν 100.000 διαφορετικοί τρόποι αλλά ας πάμε στον ποιο απλό... phising.
Μπορώ να σας πω τι είναι σε 2 λεπτά και να το καταλάβετε... αλλά για να σας πω πως να το κάνετε χρειάζεται:
Να σας μάθω php
Να σας μάθω CSS
Να σας μάθω html
Να σας μάθω ίσως mysql (αν θέλετε να γλιτώσετε από google dorks :P)
Να σας μάθω Social Engineering
Σύνολο 2 με 3 βιβλία...
3)Πως μπορώ να κάνω sqli/xss/rce
Τα πράγματα αλλάζουν από στόχο σε στόχο και για να μπορείτε να καταλάβετε τι χρειάζεται σε κάθε περίπτωση πρέπει να σας μάθω:
PHP
CSS
MYSQL
Javascript
XML
HTML
JSON (για serialization γατάκι :P)
Και πιθανότατα python αν θέλετε να φτιάχνετε και δικά σας scriptakia ώστε να μην παιδεύεστε συνέχεια...
Σύνολο 2 με 3 βιβλία...
4)Γιατί το rat μου δουλεύει μόνο σε local δίκτυο.
Πρέπει να σας μάθω πως λειτουργούν τα δίκτυα και πως επικοινωνούν οι συσκευές μεταξύ τους... 1 βιβλίο
Ακόμα και να ήθελα να σας τα εξηγήσω θα πρέπει να γράφω 8 ώρες στο chat για να σας πάω από το 0 στο βήμα 123 που είναι αυτή η ερώτηση. Από την άλλη τα βιβλία σας σας προετοιμάζουν για αυτές τις απορίες, ώστε να σας τις λύσω με 2 κουβέντες ή να βρείτε μόνοι σας τις απαντήσεις εύκολα...
Για παράδειγμα αν πριν ρωτήσετε πως μπορώ να κάνω sqli/xss/rce και έχετε ήδη μάθει τις γλώσσες που έχω αναφέρει τότε φτάνει να πω: σπας το tag και βάζεις δίκες σου εντολές στον κώδικα μαζί με ένα παράδειγμα η μια μικρή περιγραφεί αρκεί για να καταλάβετε τι γίνετε, άσχετα αν χρειάζεται ένα βιβλίο για να καταλάβετε όλες τι περιπτώσεις και πως μπορείτε να εκμεταλλευτείτε την κάθε μια μαζί με tips & tricks που υπάρχουν...
Και ναι θα ήταν τόσο απλό να σας το εξηγήσω αν είχατε τις γνώσεις...
Που θέλω να καταλήξω: Σας έχω δώσει υλικό για αυτές τις απορίες πριν ακόμα τις ρωτήσετε, αλλά δυστυχώς αυτό απαιτεί χρόνο και κόπο. Πραγματικά γιατί ΜΕΡΙΚΟΙ νομίζετε ότι σας προτείνω βιβλία ολόκληρα? Για να σας προετοιμάσω... δεν μπορείτε να μάθετε hacking χωρίς το ανάλογο υπόβαθρο... Το μόνο που μπορείτε να κάνετε είναι να μάθετε επιφανειακά κάποια πράγματα και μηχανικά κάποιες μεθόδους, πότε όμως δεν θα καταλαβαίνεται τη γίνετε από πίσω... Αυτό όμως δεν είναι hacking είναι παίρνω ένα εργαλείο ή 5 μεθόδους και παίζω με αυτά για να περάσει η ώρα.
Δεν με πειράζει όμως τόσο αυτό... αλλά με πειράζει ότι σας εξηγώ ότι ακόμα και να σας βοηθήσω τώρα, εσείς δεν θα μάθετε τίποτα. Στην καλύτερη περίπτωση θα προσθέσετε μια μέθοδο στην λίστα σας. Δεν θα καταλάβετε όμως κάτι παραπάνω όπου είναι και το νόημα της βοήθειας που μου ζητάτε πιστεύω. Προσθέτω επίσης, ότι δεν αντιλαμβάνεστε την βοήθεια που σας προσφέρεται είδη... Αλλά ας πάμε τώρα στην δική μου περίπτωση για να δείτε τι εννοώ..
Όταν μου είπε ο Gnosis να μάθω python γιατί είναι χρήσιμη στο hacking τον άκουσα (πριν από 6 χρόνια περίπου κάπου πολύ μακρυά από εδώ )... Άλλα ήμουν αρκετά ηλίθιος ώστε να μην ρωτήσω για καλό υλικό. Διάβασα 2 βιβλία μέχρι να βρω ένα καλό βιβλίο που να σου μάθαινε όντος την γλώσσα σε βάθος και όχι απλά 5 πράγματα για το πως συντάσσεται... Χαμένος χρόνος και κόπος αυτά τα δύο βιβλία... Ναι έμαθα tricks άξιζαν να διαβάσω 2 βιβλία για να μάθω 1 trick? (πραγματικά ακόμα δεν ξέρω την απάντηση :P) Μετά βρήκα καλό υλικό (βιβλίο) και έμαθα καλά την γλώσσα python... Το email bruteforcer και email dictonary attack (προγράμματα που έχουν ανέβει στο φόρουμ) τότε τα έφτιαξα με αυτές τις γνώσεις που πείρα από το βιβλίο...
Εσείς έρχεστε, σας λέω τι χρειάζεστε σας δίνω το υλικό έτοιμο και το μόνο που έχετε να κάνετε είναι να το διαβάσετε και να με ρωτήσετε απορίες. Ε πόσο ποιο μασημένη τροφή ποια? το επόμενο βήμα είναι να σας τα κάνω σε μάθημα... Κάτι που δεν θα γίνει πότε...
Το χειρότερο είναι (ναι υπάρχει και άλλο). Ότι εφόσον με ρωτάτε ότι με ρωτάτε (που είναι πολύ προχωρημένο για εσάς και δεν μπορώ να σας το μάθω αν δεν κάτσουμε 2-3 ώρες), σας λέω ότι η απάντηση είναι στο βιβλίο και για να σας λύσω την απορία και να μάθετε όπως πρέπει θα χρειαστεί να το διαβάσετε, και συνεχίζετε να το αγνοείτε ... Ε τη περιμένετε να κάνω να σας ανοίξω το κεφάλι και να σας βάλω μέσα τις γνώσεις?
Θέλω να πω ότι δεν γίνετε να μάθεις διαφορετικά και αυτό που έχω κάνει εγώ είναι να συγκεντρώσω το υλικό σε μια γραμμή ώστε να μην χαλάτε χρόνο για να ψάχνεστε και να μαθαίνεται συνέχεια... Πριν μου πει ο Gnosis μάθε python σκεφτόμουν έναν μίνα τι έπρεπε να μάθω τότε (χαμένος χρόνος). Αυτά εγώ σας τα προσφέρω αλλά δεν μπορώ να σας τα μάθω όλα από το 0. Με ποιο απλά λόγια, σας δείχνω τον δρόμο αλλά θα τον περπατήσετε μόνοι σας. Δεν θα σας κουβαλήσω...
Κάτι άλλο που μου λένε πολύ... Εγώ έχω μάθει τόσα πράγματα από το youtube... ΌΧΙ... ΜΕ ΚΕΦΑΛΑΙΑ ΌΧΙ... έχεις παρακολουθήσει 5-10-100 video και έχεις μάθει πολύ επιφανειακά πράγματα... τόσο επιφανειακά που το δεύτερο (και πολύ λέω) κεφάλαιο των βιβλίων που λέω έχει πολύ σημαντικότερα πράγματα που όχι μόνο είναι σημαντικά αλλά δεν μπορείς να πας παρακάτω χωρίς αυτά (προσοχή μιλάω για τον κλασικό τύπο που βλέπει videakia για το πως να χακάρις facebook,windows 7 machine,wifi κλπ. Αν τα πάρεις από την σειρά και μάθεις τις γλώσσες από courses του youtube και μετά που θα είναι η ώρα μάθεις και hacking τότε αλλάζουν όλα εκεί και είναι και εφικτό...)
Το παραπάνω είναι ότι ποιο εύκολο για να το αποδείξω... Έστω ότι μαθαίνετε να σπάτε ιστοσελίδες με το sqlmap ή ακόμα και χειροκίνητα. Αν σας ρωτήσω πως δουλεύει η ιστοσελίδα ή πως συνδέετε η php στην mysql που προσπαθείτε να exploitarete δεν ξέρετε να μου απαντήσετε... Αυτό όμως σημαίνει ότι αν αλλάξει το παραμικρό πράγμα και χρειαστεί μια αλλαγή πάνω στην μέθοδο που έχετε η οποία δεν είναι στο google, τότε δεν θα καταφέρετε πότε να χακάρετε τον στόχο. (Πέρα από μερικές εξαιρέσεις που ίσως τύχει να δουλέψει το payload αλλά και πάλι δεν θα ξέρετε γιατί δούλεψε και γιατί όχι)
Ένα άλλο τεράστιο και μοιραίο λάθος που κάνετε είναι ότι επικεντρώνεστε στο πως να σπάσετε (χειραγωγήσετε ποιο σωστά) πράγματα. Δεν ενδιαφέρεστε καθόλου για την ιδεολογία του hacking και πως ξεκινήσετε και για τον ανοικτό κώδικα, κάποια πράγματα που κανονικά θα έπρεπε να ξεκινούσατε από εκεί. Μάλιστα οι περισσότεροι δεν έψαξαν καν για το τι σημαίνει/είναι χακέρ, νομίζουν ότι είναι ότι λέει η τηλεόραση και πως είδη το ξέρουν και δεν χρειάζεται να ψάξουν...
Προσπαθώ πραγματικά να σας βοηθήσω και θέλω... Σας λέω πως να γίνετε καλύτεροι από εμένα όσο ποιο γρήγορα γίνετε... Σας λέω τι θα έκανα εγώ αν ξεκινούσα τώρα από το 0 και ήθελα να μάθω σωστά γρήγορα και τσάμπα. Αλλά αν δεν με ακούτε, δεν μπορώ να σας βοηθήσω αλλιώς. Ακόμα και να πω ότι θα σας τα μάθω όλα και θα το παίξω καθηγητής, πόσους νομίζετε ότι θα διδάξω, σε πόσο χρόνο και μέχρι που θα φτάσουν και πόσο καλοί θα γίνουν? Σας πληροφορώ ότι επειδή θα ασκείτε πίεση για να βγει η ύλη, άτομα που ακολούθησαν απλά τις συμβουλές μου, σε βάθος χρόνου θα γίνουν καλύτεροι από αυτούς και πιθανότατα και από εμένα αν μείνω στάσιμος.
Αν θέλετε πραγματικά να μάθετε στρωθείτε στην μελέτη... Αν θέλετε να χασομεράτε και να χάνετε τον χρόνο σας απλά βλέποντας και κάνοντας επιφανειακά πράγματα που δεν έχουν και σχέση με το hacking τότε καθίστε στο youtube
Δυστυχώς ήρθε και για εμένα η ώρα να πάρω αυτήν την δύσκολη απόφασή. Στου αρχάριους που δεν ξέρουν τίποτα θα τους λέω μια φόρα πως να ξεκινήσουν και τη να διαβάσουν... Αν έρθουν με μια απορία του βήματος 87 την επόμενη βδομάδα και βρίσκονται στο βήμα 3 τότε απλά θα τους στέλνω αυτό εδώ το κείμενο... Έχω φάει πολλαπλές ώρες να εξηγώ γιατί με τα videakia δεν μαθαίνεις και γιατί βιβλία ή courses είναι απαραίτητα ή ακόμα και να κάνω τον άλλον να καταλάβει κάτι όπου υστερεί τις γνώσεις για να το καταλάβει. Προτιμώ να αφιερώσω αυτόν τον χρόνο ώστε πραγματικά να βοηθήσω κάποιον μέσο του φόρουμ ή ακόμα και το φόρουμ το ίδιο... Όποιος θέλει θα μάθει και θα είμαι εδώ για να τον βοηθήσω αλλά δεν θα ταΐσω/διδάξω κανέναν...
(Το θέμα αυτό προέρχεται από το greekhacking.gr)
Σχόλια