Hacking Für Dummies Cheat Sheet - Dummies

Von Kevin Beaver

Nicht alles Hacken ist schlecht. Die in diesem Buch behandelten Sicherheitstests zeigen Sicherheitsmängel oder Schwachstellen in Ihren Computer-Setups auf. Dieser Cheat Sheet bietet Ihnen schnelle Hinweise auf Tools und Tipps und warnt Sie vor häufig gehackten Zielen - Informationen, die Sie benötigen, um Ihre Sicherheitstests zu erleichtern.

Hacking-Tools, für die Sie nicht leben können

Als Informationssicherheitsexperte ist Ihr Toolkit das kritischste Element, das Sie gegen Hacking besitzen können - außer praktischer Erfahrung und gesundem Menschenverstand. Ihre Hacker-Tools sollten folgende Komponenten enthalten (und sicherstellen, dass Sie nie ohne sie arbeiten):

• Software zum Knacken von Passwörtern, wie ophcrack und Proactive Password Auditor

• Software zum Scannen von Netzwerken, wie Nmap und NetScanTools Pro

• Netzwerk-Schwachstellenscansoftware, wie LanGuard und Nexpose

• Netzwerkanalysator-Software, wie Cain & Abel und CommView

• Drahtloser Netzwerkanalysator und Software , wie beispielsweise Aircrack-ng und CommView for WiFi

• Dateisuch-Software, wie FileLocator Pro

• Schwachstellen-Scansoftware für Webanwendungen, wie Acunetix Web Vulnerability Scanner und AppSpider

• Datenbank-Sicherheitsscansoftware, > wie SQLPing3 Exploit-Software,

• wie Metasploit Gemeinsame Sicherheitsschwächen, die kriminelle Hacker auf

Informationssicherheitsfachleute sollten die allgemeinen Sicherheitsmängel kennen, auf die kriminelle Hacker und böswillige Benutzer zunächst beim Hacken in Computersysteme achten. Sicherheitsmängel, wie die folgenden, sollten auf Ihrer Prüfliste stehen, wenn Sie Ihre Sicherheitstests durchführen:

Leichtgläubige und übermäßig vertrauende Benutzer

• Ungesicherte Gebäude- und Computerraum-Eingänge

• Verworfene und nicht geschredderte Dokumente Festplatten, die nicht zerstört wurden

• Netzwerkperimeter mit wenig bis gar keinem Firewallschutz

• Schlechte, unangemessene oder fehlende Datei und gemeinsame Zugriffssteuerung

• Nicht gepatchte Systeme, die mit kostenlosen Tools wie Metasploit

• Web ausgenutzt werden können Anwendungen mit schwachen Authentifizierungsmechanismen

• Drahtlose Gastnetzwerke, die es der Öffentlichkeit ermöglichen, eine Verbindung mit der Unternehmensnetzwerkumgebung herzustellen

• Laptop-Computer ohne vollständige Festplattenverschlüsselung

• Mobile Geräte mit leicht zu knackenden Passwörtern oder überhaupt keinen Passwörtern

• Schwache oder keine Anwendungs-, Datenbank- und Betriebssystemkennwörter

• Firewalls, Router und Switches mit standardmäßigen oder leicht erratenen Kennwörtern

• Commonly Hacked Ports

Gemeinsame Ports wie TCP-Port 80 (HTTP), kann gesperrt werden - aber andere Ports können übersehen werden und anfällig für Hacker sein.Überprüfen Sie in Ihren Sicherheitstests diese häufig gehackten TCP- und UDP-Ports:

TCP-Port 21 - FTP (Dateiübertragungsprotokoll)

• TCP-Port 22 - SSH (Secure Shell)

• TCP-Port 23 - Telnet

• TCP-Port 25 - SMTP (einfaches Mail-Transfer-Protokoll)

• TCP- und UDP-Port 53 - DNS (Domain Name System)

• TCP-Port 443 - HTTP (Hypertext-Transportprotokoll) und HTTPS (HTTP über SSL) TCP-Port 110 - POP3 (Post Office Protocol Version 3)

• TCP- und UDP-Port 135 - Windows RPC

• TCP- und UDP-Ports 137-139 - Windows NetBIOS über TCP / IP

• TCP-Port 1433 und UDP Port 1434 - Microsoft SQL Server

• Tipps für erfolgreiche IT-Sicherheitsbewertungen

• Sie benötigen erfolgreiche Sicherheitsbewertungen, um Ihre Systeme vor Hacking zu schützen. Unabhängig davon, ob Sie Sicherheitstests gegen Ihre eigenen Systeme oder für die von Dritten durchführen, müssen Sie umsichtig und pragmatisch vorgehen, um Erfolg zu haben. Diese Tipps für Sicherheitsbewertungen helfen Ihnen dabei, Ihre Rolle als Informationssicherheits-Experte zu meistern:

Stellen Sie Ziele und entwickeln Sie einen Plan, bevor Sie beginnen.

Holen Sie die Berechtigung ein, Ihre Tests durchzuführen.

• Zugriff auf die richtigen Werkzeuge für die anstehenden Aufgaben.

• Testen Sie zu einem Zeitpunkt, der für das Unternehmen am besten ist.

• Halten Sie die Schlüsselspieler während des Testens in der Schleife.

• Verstehen Sie, dass es nicht möglich ist,

• jede

• Sicherheitslücke auf jedem System zu erkennen. Studieren Sie bösartige Hacker und verrückte Insiderverhalten und -taktiken. Je mehr Sie darüber wissen, wie die Bösen funktionieren, desto besser werden Sie Ihre Systeme auf Sicherheitslücken testen. Übersehen Sie nichttechnische Sicherheitsprobleme nicht; Sie werden oft zuerst ausgebeutet.

• Stellen Sie sicher, dass alle Ihre Tests über Bord gehen.

• Behandeln Sie die vertraulichen Informationen anderer Personen mindestens so gut, als würden Sie Ihre eigenen behandeln.

• Bringen Sie Verwundbarkeiten, die Sie finden, dem Management zur Kenntnis und implementieren Sie die entsprechenden Gegenmaßnahmen so schnell wie möglich.

• Behandeln Sie nicht jede gefundene Sicherheitslücke auf die gleiche Weise. Nicht alle Schwächen sind schlecht. Bewerten Sie den Kontext der gefundenen Probleme, bevor Sie erklären, dass der Himmel fällt.

• Zeigen Sie Management und Kunden, dass Sicherheitstests ein gutes Geschäft sind und Sie der richtige Profi für diese Aufgabe sind. Sicherheitsbewertungen sind eine Investition, um Geschäftsziele zu erreichen, das zu finden, was wirklich zählt, und die verschiedenen Gesetze und Vorschriften einzuhalten -

• nicht

• über dumme Hacker-Spiele.