Hacking for dummies

Les professionnels de la sécurité de l'information doivent connaître les faiblesses de sécurité communs que les pirates et les utilisateurs malveillants vérifier d'abord quand le piratage dans les systèmes informatiques. Les failles de sécurité, telles que les suivantes, devraient être sur votre liste lorsque vous effectuez vos tests de sécurité:

• Utilisateurs crédules et trop de confiance

• Construction non garantis et informatiques entrée des chambres

• Les documents mis au rebut qui ne sont pas déchiquetés et disques informatiques qui ne sont pas détruits

• Périmètres de réseau avec peu ou pas de protection pare-feu

• 
  
  
  
  

  Pauvres, inappropriés ou manquants fichier et de partage des contrôles d'accès

• Systèmes non patchés

• Applications Web avec des mécanismes d'authentification faibles

• Les réseaux sans fil fonctionnant sans WPA ou WPA2 permis

• Les ordinateurs portables sans chiffrement de lecteur

• Les appareils mobiles sans, ou facile à craquer, les mots de passe

• Faible ou aucune application, mots de passe base de données, systèmes d'exploitation et

• Les pare-feu, les routeurs et commutateurs avec des mots de passe par défaut ou faciles à deviner

Ports communs, tels que le port TCP 80 (HTTP), peuvent être verrouillés - mais d'autres ports peuvent les amener à négliger et être vulnérables aux pirates. Dans vos tests de sécurité, assurez-vous de vérifier ces TCP souvent piraté et les ports UDP:

• Le port TCP 21 - FTP (File Transfer Protocol)

• Le port TCP 22 - SSH (Secure Shell)

• Le port TCP 23 - telnet

• Le port TCP 25 - SMTP (Simple Mail Transfer Protocol)

• TCP et UDP port 53 - DNS (Domain Name System)

• Le port TCP 443 - HTTP (Hypertext Transport Protocol) et HTTPS (HTTP sur SSL)

• Le port TCP 110 - POP3 (Post Office Protocol Version 3)

• TCP et UDP port 135 - Windows RPC

• Ports TCP et UDP 137-139 - de Windows NetBIOS avec TCP / IP

• TCP port 1433 et le port UDP 1434 - Microsoft SQL Server

Que vous effectuez piratage éthique contre les systèmes d'un client ou la vôtre, vous devez être prudent et pragmatique pour réussir. Ces conseils pour le piratage éthique peuvent vous aider à réussir en tant que professionnel de la sécurité de l'information:

• Fixer des objectifs et élaborer un plan avant de vous lancer.

• Obtenir la permission d'effectuer vos tests.

• Avoir accès aux bons outils pour les tâches à accomplir.

• Test à un moment qui est le mieux pour l'entreprise.

• Gardez les acteurs clés dans la boucle pendant votre essai.

• Comprendre qu'il est pas possible de détecter chaque vulnérabilité de sécurité sur chaque système.

• Étudier pirate malveillant et les comportements et les tactiques d'initiés voyous. Plus vous en savez sur la façon dont les gens travaillent mauvaises, mieux vous serez à tester vos systèmes de failles de sécurité.

• Ne négligez pas la sécurité non technique issues- ils sont souvent exploités en premier.

• Assurez-vous que tous vos tests est aboveboard.

• Traiter des informations confidentielles d'autres personnes au moins aussi bien que vous le feriez avec votre propre.

• Apportez vulnérabilités que vous trouverez à l'attention de la direction et mettre en œuvre les contre-mesures appropriées dès que possible.

• Ne pas traiter chaque vulnérabilité découverte de la même manière. Toutes les faiblesses ne sont pas mauvais. Évaluer le contexte des problèmes rencontrés avant de déclarer que le ciel est en baisse.

• Montrer la gestion et les clients que les tests de sécurité est une bonne affaire et vous êtes le bon professionnel pour le travail. Ethical Hacking est un investissement pour atteindre les objectifs d'affaires, trouvez ce qui compte vraiment, et se conformer aux diverses lois et réglementations. Ethical Hacking est pas sur les jeux de pirates stupides.