Hakkerointi on luovaa ja innostavaa ongelmanratkaisua - sen avulla pyritään löytämään ja hyödyntämään tietokoneverkoista ja järjestelmistä löytyviä heikkouksia. Hakkerointi on työkalu, jonka avulla tietoturva-alan ammattilaiset (ja valitettavasti myös rikolliset) pyrkivät testaamaan suojattavien kohteiden turvallisuuden tasoa.
Mikäli teknisempi kyberturvallisuus ja tietoturva-alan ammattilaisena toimiminen kiinnostavat, tarjoaa hakkeroinnin opiskelu loistavan väylän alan työtehtäviin. Järjestelmien teknisen testaamisen lisäksi hakkerointi opettaa hahmottamaan suojattavia kohteita, niiden rakennetta sekä mahdollisia heikkouksia. Työelämän näkökulmasta tämä on hyödyksi, sillä kokenut hakkeri osaa osoittaa organisaatioille näiden heikot kohdat sekä kuvata, miten näihin liittyviä haavoittuvuuksia voitaisiin tilkitä ja täten tehdä rikollisten työ vaikeammaksi.
Tässä artikkelissa jaamme tietoa hakkeroinnin opiskeluun soveltuvista alustoista ja haasteista sekä jaamme W4CFI:n hakkerointitiimin parhaita vinkkejä hakkeroinnin opiskeluun.
Legal Disclaimer Hakkerointia harjoitellessa on tärkeää kiinnittää huomiota siihen, mitä ja missä hakkeroi, jottei tule vahingossa syyllistyneeksi rikokseen. Hakkerointi ja sen yrittäminen ilman asianomaisen lupaa on Suomen rikoslain mukaan rangaistavaa. Taitojesi kehittyessä opit havaitsemaan sivustoilla ja alustoilla tietoturvaan liittyviä puutteita. Havaitut puutteet tulee raportoida, eikä näitä saa itse hyväksikäyttää tai jakaa eteenpäin. Suomessa oikea paikka raportoida havaittuja haavoittuvuuksia on Kyberturvallisuuskeskus.
Women4Cyber Finlandin hakkerointitiimin vinkit hakkeroinnin opiskeluun
Tiesitkö, että Women4Cyber Finlandilla on oma hakkeritiimi? Hakkeritiimi edustaa W4CFI:a erilaisissa hakkerointiin keskittyvissä tapahtumissa (Hack Day ja Capture The Flag). Pyysimme hakkerointitiimimme jäseniä jakamaan parhaat vinkkinsä aloitteleville hakkereille ja saimme heiltä kasan hyviä vinkkejä jaettavaksi.
Henna:
Opettele perusteet: Miten laitteiden pitäisi toimia ja miten tietoverkko toimii? Ole utelias. Sinun ei tarvitse tietää kaikkea, mutta on helpompi oppia lisää, kun tietää mihin sen tiedon yhdistää.
Tietoa perusteista löydät esimerkiksi katsomalla Udemyn ilmaisia kursseja ja suorittamalla Helsingin yliopiston ilmaisia MOOC-opintoja IT-alalta. Opiskella kannattaa edes pari tuntia viikossa.
Hakkeroinnin työvälineistä itse aloitin nmap:in ja burbsuiten opiskelulla. Burb suitesta kannattaa opiskella port swigger academyssä. Try hack me:ssä on hyvä ja perusteellinen huone (room) nmapista. Kummatkin ilmaisia. Muutenkin Try hack me on hyvä opiskelua varten.
Lola:
Kannattaa aloittaa TryHackMestä (THM). Sieltä löytyy Linuxin perusteet, intro kyberalan eri alueisiin ja siellä pystyy valitsemaan itselleen mieluisan oppimispolun. Kannattaa tehdä kattavat muistiinpanot kaikesta ja kuten Henna sanoi, kannattaa opiskella perusteet siinä ohessa. THM:ssä on myös aihealueittain ”huoneita”, kannattaa suorittaa kaikki, jotka kiinnostavat.
Kun TryHackMe on läpikoluttu voi tehdä picoCTF ja Burp Academyn tehtäviä, jälkimmäinen on hyvä webtestauksen opiskeluun.
Viimeisenä: HackTheBoxin retired boxit. Niihin löytyy täydet writeupit ja siinä oppii ajattelemaan laajemmin.
Perusosaaminen ohjelmoinnista on hyödyksi. Tähän suosittelen avoimen yliopiston Pythonin peruskurssia. Sen avulla oppii ohjelmointiajattelutavan, mistä on roimasti hyötyä kaikessa.
Tärkein: tekemällä oppii. Opiskella voi loputtomiin, mutta jos et oikeesti TEE niin et sä mitään opi.
Katarina:
Ihan ensimmäiseksi tutustuisin ohjelmistokehitykseen yleisesti, jotta ymmärtäisin miten tietoturvahaavoittuvuuksia syntyy. Esim. Fullstack MOOC antaa sekä ymmärrystä, että teknistä osaamista. Tietoturvaan suosittelisin alkuun Helsingin yliopiston MOOCia ja Try Hack Me:n ja Portswigger academyn materiaaleja.
Tykkään HackDay-tapahtumista: pääsee testaamaan oikeita sovelluksia, mutta mukana on kilpailullinen/pelillinen aspekti ja tiimityötä. Kiinnostavia tapahtumia hakkerille ovat esimerkiksi LähiTapiola HackDay, W4CFI:n tapahtumat ja Disobey.
Mikäli haasteissa jumiutuu, vinkkejä kannattaa etsiä esimerkiksi W4CFI:n ja Levelup Koodareiden yhteisöistä. Mielestäni on tärkeää verkostoitua sen verran, että löytää vertaistukea, apua sekä samanhenkisiä ihmisiä tilanteisiin, joissa tarvitsee tiimin.
Hyödyllisimmät työkalut riippuvat paljon siitä, mitä tekee. Kannattaa aloittaa ihan selaimen developer toolsista ja kun sitä osaa käyttää niin siirtyä eteenpäin. Kali Linux kannattaa asentaa ja alkaa siellä harjoittelemaan työkalujen käyttöä aina kun tarve uudelle tulee vastaan.
Anne:
Anu Laitilan koostama aloittelijan opas on hyvä: Anu Laitila: Linkit ja vinkit kyberturvallisuudesta kiinnostuneille
Mikään ei mene tosimaailmassa oppikirjan mukaan. Hakkerin on osattava soveltaa ja etsiä tietoa - ihan itse.
Suomenkieliset alustat
Hakatemia Hakatemia on kotimainen, uuden sukupolven verkkopohjainen koulutusalusta, jossa opit ammattilaisilta eettistä hakkerointia ja pääset harjoittelemaan oikeita hyökkäyksiä turvallisesti labraympäristössä.
Next Gen Hack - haaste Tietoturvatestaamisesta ja hakkeroinnista kiinnostuneille nuorille suunnattu haaste. Tieto- ja kyberturva-alan asiantuntijoiden rakentamissa haasteissa on otettu huomioon eri taitotasot. Haaste on suunnattu pääsääntöisesti alle 26-vuotiaille nuorille, mutta ympäristö on avoin kaikille halukkaille. Palkitsemiset ovat kuitenkin mahdollisia vain alle 26-vuotiaille haasteeseen osallistuville.
Englanninkieliset alustat
TryHackMe TryHackMe is an online platform that teaches cyber security through short, gamified real-world labs. The plaform has content for both complete beginners and seasoned hackers, incorporation guides and challenges to cater for different learning styles.
HackTheBox Hack The Box is a leading gamified cybersecurity upskilling, certification, and talent assessment software platform enabling individuals, businesses, government institutions, and universities to sharpen their offensive and defensive security expertise. The ideal solution for cybersecurity professionals and organizations continuously enhance their cyber-attack readiness by improving their red, blue, and purple team capabilities.
Hakatemia (English version) Hakatemia is a Finnish-based, next-generation web-based training platform where you can learn from professionals about ethical hacking and practice real attacks safely in a lab environment.
Englanninkieliset haasteet
Hacker101 CTF Web application security focused CTF provided by the HackerOne bug bounty platform.
Root Me Root Me is a platform for everyone to test and improve knowledge in computer security and hacking.
VulnHub A collection of intentionally vulnerable Linux virtual machines - Training requires building your own virtual environment.
Next Gen Hack- challenge A challenge for young people interested in security testing and hacking. The challenges have been built by experts in the field of information and cyber security, taking into account different skill levels. The challenge is mainly aimed at young people under 26, but the environment is open to anyone who wants to take part. However, rewards are only available for participants under 26 years of age.
Disobey Challenge 2024 What’s going on in Kouvostoliitto? A hacker group AHVEN has declared an operation to overthrow the leadership of Kouvostoliitto. Disobey Hacker Puzzle is live.
Reply Cybersecurity Challenge The Cyber Security Challenge is a Capture the Flag, a team-based security online competition whereeach team tries to solve 25 problems, divided into 5 categories. Test your skills in coding, web, miscellaneous, crypto and binary and win an amazing gaming laptop!
Comments