Pentesting(penetration testing)-Axborot texnologiyalari tizimlaridagi muammolar(IT security) va zaifliklarni o’z vaqtida aniqlash uchun qo’llaniladi.Pentesting avtomatlashtirilgan vositalari(tools) yoki qo’lda tekshirish usullari yordamida amalga oshirilishi mumkin.

Pentester kim?

Pentester ham mumkin bo’lgan xavfsizlik zaifliklaridan(vulnerabilities) foydalangan holda Black hat Hacker kabi hujum uyushtiradi.Ya’ni ikkalasida ham ishlatiladigan texnika va texnologiyalar bir xil.Agar himoya zaif bo’lsa, pentester tizim ma’lumotlarga kirish huquqiga(access) ega bo’ladi va topilgan zaiflik(vulnerability) dasturchilar tomonidan tug’irlanishi uchun zaiflik haqida hisobot beradi.

Pentesterlik ham o’z navbatida ba’zi potentsial yo’nalishlarga bo’linadi.Ularning eng muhumlari bilan tanishtirib o’tamiz.

1.Web PentestingVeb saytlar va veb tizimlar xavfsizligini tekshirish

2.Network Pentesting-Tarmoq xavfsizligini tekshirish

3.Mobile Pentesting-Mobil qurilmalar xavfsizligini tekshirish

4.Reverse Engineering-Dasturiy ta’minotning funksionalini kodlar orqali tahlil qilish

5.Malware Analysis-Zararli dasturlarni analiz qilish

6.Security Research-Xavfsizlik bo’yicha tadqiqotchi

7.OSINT – Razvedka,ma’lumot to’plash bilan bog’liq alohida yo’nalish

Ethical hacking

Pentester uchun kerak bo’ladigan eng asosiy ko’nikmalar

Umuman olganda, xavfsizlik sohasida ishlash turli bilimlarning kombinatsiyasini talab qiladi. Pentester boshlanishiga hamma texnologiyalarni chuqur bilishi shart emas(buning imkoni ham yo’q), lekin hech bo’lmaganda biror savol tug’ilganda javobni qayerdan izlash haqida fikrga ega bo’lishi uchun asosiy ko’nikmalarni bilishi kerak.

Yuqoridagi yunalishlardan qaysi birini tanlashingizdan qat’iy nazar siz quyidagi mavzular bo’yicha kamida boshlang’ich asosiy bilimlarga ega bo’lishingiz kerak:

Knowledge of English – Ingliz tilini bilish.

Ingliz tilini bilmasdan pentestingda biror natijaga erishish qiyin.Chunki ko’plab texnik hujjatlar(docs) bilan tanishib chiqish,savollar paydo bo’lganda forumlardan kerakli javoblarni topishga izlanishga tugri keladi va deyarli barcha materiallar hujjatlar ingliz tilida shuningdek ingliz tilidagi saytlarda. Afsuski,bu yo’nalishda o’zbek tilida ma’lumot topish xozircha qiyin va bor ma’lumotlar ham yangilanishga muhtoj.Agar ingliz tilini bilmasangiz o’rganishni bugundan boshlash kerak.

Basic Computer skills – Asosiy kompyuter ko’nikmalari.

Asosiy kompyuter ko’nikmalari-deganda kompyuterlardan va tegishli texnologiyalardan mustaqil tushungan holda foydalana olish ya’ni siz asosiy operatsion tizim (OS) ko’nikmalariga ega bo’lishingiz kerak.Masalan windows operatsion tizimi misolida gapiradigan bulsak siz kerakli dasturlarni o’rnata olishiz,tizimdagi kamchilikka ega drayverlarni aniqlash,tug’irlash,kompyuterga printerni sozlash kompyuterni internetga ulash va shunga uxshagan ishlarni bajara olishingiz kerak.

Ushbu asosiy ko’nikmalar pentestingni o’rganishga asos yaratadi. Ushbu asosiy IT ko’nikmalarini o’zlashtirmasdan turib, pentester uchun zarur bo’lgan qolgan ko’nikmalarni o’rganishni boshlay olmaysiz.Pentester kompyuter tizimlari bo’yicha mutaxassis bo’lishi kerak.

Linux administration – Linuxda administratsiya

Bu punkt eng muhimi hamma uchun MUST HAVE.Kali Linuxni kompyuterga o’rnatishni bilishingiz sizni Linux adminstratoriga aylantirib qo’ymaydi.Bu punktda asosiy ta’lab qilinadigan bilimlar bu linuxda fayllar bilan ishlash fayllar ustida amallar,servislar holatini tekshirish,uchirish,qayta yuklash.Kerakli paketlarni o’rnata olish,yangilash uchirish kabi shunga uxshash boshlang’ich bilimlar.

Linux administration

Agar siz Linuxni o’rganmoqchi bo’lsangiz, Kali linux dan boshlamang.

Gap shundaki, Kali linux bu Linux distributi boʻlib, maxsus pentesterlar,testlovchilar va xavfsizlik boʻyicha mutaxassislarga moʻljallangan,agar siz Linux bilan tanish boʻlmasangiz Kali tavsiya etilmaydi.Bu ma’lumotlar Kali linux dakumentatsiyasida keltirilgan.Debian yoki Ubuntudan boshlashingiz ham mumkin.

Agar siz Kali linux dan foydalanishni rejalashtirayotgan bo’lsangiz, rasmiy dakumentatsiya bilan tanishib chiqish savollar paydo bo’lganda Kali Linux Forums dan foydalanish yaxshi fikr

Windows administration – Windowsda administratsiya

Yuqorida aytib o’tganlarimiz Windows uchun ham amal qiladi. Tarmoq va tarmoq qo’rilmalarini boshqarish va qanday ishlashini tushunish sizga yaxshigina yordam beradi.Aniqroq aytadigan bo’lsak Active Directory shuningdek DNS, DHCP va ARP tarmoq protokollarini nimaligi va ishlash prinsiplari bilan tanishib chiqish kerak.

Windows Server

Skills in programming languages – Dasturlash tillaridan xabardor bo’lish

Dasturlashni bilmasdan, xakerlikni o’rganishingiz mumkin. Biroq, dasturlashni o’rganish muvaffaqiyatga erishishingizni ancha osonlashtiradi. Deyarli barcha xakerlik usullari dasturlash bilimini talab qiladi.

Dasturlashni bilish -Pentester bo’lish uchun zarur bo’lgan yana bir muhim elementdir.Yana bir muhim jihati faqatgina bitta dasturlash tili bilan cheklanib qolmaslik kerak.

Dastlab veb yunalishda foydalaniladigan asosiy texnologiyalar: HTML,CSS, JavaScript va uning frameworklari bilan tanishib chiqish mumkin

Programming Languages

Server qismini yaratish uchun ishlatiladigan texnologiyalar: PHP va uning frameworklari buyicha bilimlar, shuningdek tayyor sayt yaratish uchun muljallangan WordPress,Joomla va boshqa CMS lar buyicha bilimlar ham ta’lab etiladi.

Shundan so’ng siz Java, Python, Node.JS, C#, Golang va boshqa murakkabroq dasturlash tillariga o’tishingiz mumkin.Xulosa qilib aytganda qaysi darajada bulishdan qat’iy nazar dasturlashni o’rganishni tuxtatmaslik kerak.

Computer networking skills and basic protocols – Kompyuter tarmoqlari va asosiy protokollar buyicha bilimlar.

Xaker bo’lishning eng muhim ko’nikmalaridan yana biri bu kompyuter tarmog’i qanday ishlashini tushunish.Kompyuter tarmog’i bu ma’lumotlarni junatish/qabul qilish uchun hostlar deb ataladigan bir nechta qurilmalarning o’zaro bog’lanishidan hosil bo’lgan tarmoq hisoblanadi.

Boshlanishiga tarmoqni jismoniy tashkil etish,tarmoq dasturiy ta’minotlari,tarmoq standartlari,protokollar steklari,OSI modeli,IP hamda Mac manzillar,TCP/IP, veb, Internet, HTTP va FTP protokollari,tarmoq hujumlarining tasniflari haqida boshlang’ich bilimlarni o’rganish zarur.

Mustaqil izlanish uchun kompyuter tarmoqlariga oid asosiy terminlardan bazilarini keltirib o’tamiz.

IP-Address, Mac-address, Router, Switch, Subnet

Firewall, DNS, DHCP, LAN, WAN

VPN, SSL/TLS, TCP/IP, Gateway

DNS Server, DHCP Server, FTP, HTTP, HTTPS,

SSID, Proxy Server, MAC Filtering, NAT, Ping,

IPv4, IPv6, Port, Traceroute, UDP va boshqalar.

Database Managment and SQL – Ma’lumotlar bazalarini boshqarish va SQL

Barcha ma’lumotlar saqlanadigan ma’lumotlar bazasiga ruxsatsiz kirish har qanday kompaniya yoki veb saytni katta xavf ostida qoldirishi mumkin, shuning uchun ma’lumotlar bazasini boshqarishni bilish va ma’lumotlar bazasidagi kamchiliklarni ertachiroq aniqlash va xavfsizligini ta’minlash muhim ahamiyatga ega.

SQL ko’nikmalari pentester bo’lish uchun zarurdir. SQL surovlar tili xakerlik uchun zarur bo’lgan dasturlash tillaridan biridir. Bundan tashqari, SQL – ma’lumotlar bazasi bilan bog’lanish uchun ishlatiladigan til.

Agar sizda yuqorida keltirilgan ko’nikmalar bo’lmasa, darhol xavfsizlik dunyosiga kirishga shoshilmang. Aks holda, ishtiyoq tushish xavfi mavjud. O’rganishni yuqorida sanab o’tilgan dasturlash tillarimizdan biri bilan boshlang masalan PHP yoki Python yaxshi variant.

Agar sizda kerakli asosiy ko’nikmalar mavjud bo’lsa, quyida axborot xavfsizligi sohasiga yanada chuqurroq kirish uchun foydalanishingiz mumkin bo’lgan yaxshi havolalar va pentestingni avtomatlashtirishga muljallangan vositalar ruyxati keltiramiz.

Qo’shimcha vositalar(Tools)

Kompleks

OWASP ZAP — bu veb-ilovalardagi zaifliklarni ishlab chiqish va sinovdan o’tkazish vaqtida avtomatik ravishda qidirish uchun ochiq kodli krosplatforma vositasi;

Burp Suite — keng qamrovli xavfsizlik auditi uchun o’zaro bog’liq komponentlar to’plami;

Metasploit — turli xil operatsion tizimlar uchun eksploit yaratish va mavjudlaridan foydalanish uchun ochiq platforma;

Metasploit

Brutu force hujum tashkillashtirish vositalari

THC-Hydra — ko’p funktsiyali parollarni aniqlash vositasi;

RainbowCrack — Parol heshlarini buzuvchi vosita;

John the Ripper — Parollarning murakkabligini baholash shuningdek turli parol buzish rejimlarini qo’llab-quvvatlaydigan vosita;

Tarmoq skanerlari

Nmap — bu tarmoqni skanerlash vositalari to’plami;

Zmap — bu bir paketli tezkor tarmoq skaneri;

Masscan — bu ommaviy IP port skaneri;

Trafik analiz qilish vositalari

Wireshark — tarmoq trafigini yig’ish va tahlil qilish uchun juda mashhur ochiq kodli vosita;

Tcpdump — Tarmoq trafigi tahlili uchun yana bir ajoyib vosita(tool);

Mustaqil o’rganish uchun resurslar.

Endi biz pentester nimalarni bilishi kerakligini belgilaydigan talablar ro’yxatini bilamiz. Biz bepul o’rganish mumki bo’lgan manbalarni taklif qilamiz. Pentesting uchun kerakli bilimlarni olish uchun ularni birgalikda o’rganing.

How to become a pentester — Bu yerdan ham ko’p narsani o’rganish mumkin;

Vulnhub— mashq qilish uchun juda ko’p zaifliklarga(vulnerabilities) ega mashinalar;

Youtube —Pentestinga oid ko’plab videodarslar;

cybrary.it — ko’proq xavfsizlikka oid videodarslar.

Pentester Lab — Pentestinga oid turli mashqlar;

Awesome Penetration Testing — GitHub-da resurslar to’plami;

Introduction to Linux — Linux asoslari;

Xalqaro sertifikatlar

To’plangan bilimlarni keyinchalik xalqaro sertifikatlar olish bilan ham tekshirish mumkin.

1.Offensive Security

2.Kali Training

3.eLearnSecurity

4.Sans

5.EC-Council

Xulosa

Shunday qilib, ushbu maqolada xaker bo’lish uchun qanday ko’nikma va bilim kerakligini aniqlashga harakat qildik va foydali manbalarga havolalar berdik. Albatta, bu mavzu shunchalik kengki,bitta maqola bilan uni to’liq qamrab olish qiyin, chunki kiberxavfsizlik muammolari deyarli butun IT sohasiga ta’sir qiladi. Shunga qaramay, tanlangan yo’nalishda birinchi qadamni qo’yish uchun maqola foydali bo’ladi deb hisoblaymiz.

Agar urganish jarayonida savollar paydo bo’lsa guruhimizga yozib yordam olishingiz mumkin.

Savol javoblar uchun telegramdagi guruhimizni eslatib o’tamiz

https://t.me/wearecwg

Categorized in: