News

POST TYPE

IT

Hacker တစ်ယောက် ဖြစ်ဖို့ဆိုရင်
24-Apr-2018


ဟက်ကာတစ်ယောက် ဖြစ်ချင်တယ်။ ဘာလုပ်ရမလဲဆိုတာ ကျွန်တော့်ကို လူငယ်တွေ မကြာခဏ လာမေးလေ့ရှိတဲ့ မေးခွန်းတစ်ခုပါ။

“ကျွန်တော် Security ပိုင်းစိတ်ဝင်စားတယ် Hacker ဖြစ်ချင်လို့ ဘာတွေလုပ်ရမလဲ”၊ “ဘယ်သင်တန်းတွေတက်ရမလဲ”၊ “Hacker တစ်ယောက်ဖြစ်ဖို့ ဘာတွေလေ့လာရမလဲ” ဒီလိုတွေမေးခံရတိုင်း ကျွန်တော် ဒီမေးခွန်းလေးတွေ ပြန်မေးဖြစ်တယ်။

“White Hat ဖြစ်ချင်တာလား Black Hat ဖြစ်ချင်တာလား”၊ “Programming ဘယ် Language တွေ ရသလဲ”၊ “Networking နဲ့ System Administration ကိုကော ဘယ်လောက်သိထားပြီးပြီလဲ” ဆိုတာပါပဲ။

Security ပိုင်း

Website/Web Application တွေ၊ Mobile Application တွေ၊ Server/Service တွေ၊ အဲဒါတွေကြားထဲမှာသွားတဲ့ Protocol တွေမှာ လုံခြုံရေးဆိုတာရှိတဲ့အပြင် နောက်ဆုံး ကုန်ကုန်ပြောရရင် Physical တွေဖြစ်တဲ့ Server အခန်း၊ ရုံးတွင်းဝင်ပေါက် စတာတွေမှာပါ Security ရှိပါတယ်။ ဒါကြောင့် နေရာတိုင်းမှာ Security ရှိပါတယ်။ ကိုယ်က Security ဆိုတာကို စိတ်ဝင်စားပြီဆိုရင် ဘယ်အပိုင်းကို လေ့လာမလဲဆိုတာ Scope သေချာချရမှာပါ။ ရောက်တတ်ရာရာ အကုန်လုပ်မယ်ဆိုရင်တော့ အားလုံးပရမ်းပတာတွေဖြစ်ပြီး ဟိုစပ်စပ်ဒီစပ်စပ်နဲ့ နောက်ဆုံး မျောက်သစ်ကိုင်းလွတ်ဖြစ်ပါလိမ့်မယ်။

White Vs Black Hats

ကတ်သီးကတ်ဖဲ့လိုက်ပြောရင်တော့ Online ပေါ်မှာတွေ့နေရသလို ရောင်စုံဦးထုပ်တွေ တွေ့နေရမှာပဲ။ Security သို့မဟုတ် Pentesting ကို လေ့လာလိုက်စားတဲ့လူတစ်ယောက်အဖို့ ငါ့ဦးထုပ်က ဘယ်အရောင်ဆိုတာ သိပ်အရေးမကြီးပါဘူး။ အခြေခံအားဖြင့် နှစ်မျိုးခွဲကြည့်ရအောင် အဖြူနဲ့အမည်းပေါ့။

အခုအချိန်မှာ လူတွေနားလည်ထားကြတာကို အရင်ပြောကြည့်ရအောင်။ White Hat ဆိုတာကို ဘယ်လိုနားလည်ထားကြလဲဆိုတော့ Ethic ရှိတဲ့ Hacker တွေ၊ ကာကွယ်တဲ့အပိုင်းကို အာရုံစိုက်ကြတဲ့ Hacker တွေ၊ Company သော်လည်းကောင်း၊ Government သော်လည်းကောင်း ကျောထောက်နောက်ခံရှိပြီး ၎င်းတို့သက်ဆိုင်ရာအဖွဲ့အစည်း၊ နိုင်ငံတွေရဲ့ Cyber Space နဲ့တကွ Infrastructures/Servers/Web စတာတွေအတွက် ကောင်းကျိုးဆောင်ရွက်တဲ့ Hacker တွေဆိုပြီး လူတွေနားလည်ထားကြတယ်။ Black Hat ဆိုတာကိုတော့ Ethic မရှိဘဲ ထင်ရာစိုင်း လုပ်ချင်တာလုပ်ပြီး အဖျက်အမှောင့်တွေ လုပ်တဲ့ Hacker တွေ တိုက်ခိုက်တာကို ဦးစားပေးတဲ့ Hacker တွေ၊ ကျောထောက်နောက်ခံအဖွဲ့အစည်း ကြီးကြီးမားမားမရှိဘဲ မိမိတို့ဝါသနာအရသော်လည်းကောင်း၊ အမျိုးသားရေး၊ ဘာသာရေးကြောင့်သော်လည်းကောင်း အကြောင်းအရာတစ်ခုခုကို အခြေပြုပြီး ရပ်တည်နေကြတဲ့ Hacker တွေဆိုပြီး လူတွေနားလည်ထားကြတယ်။

ဒါဖြင့် White Hats တွေက တိုက်ခိုက်မှုတွေ မလုပ်နိုင်ကြဘူးလား သို့မဟုတ် မလုပ်ကြဘူးလားလို့ မေးစရာဖြစ်လာတယ်။ အဖြေကတော့ ရှင်းပါတယ်။ လုပ်နိုင်တဲ့အခြေအနေ သူတို့မှာ ရှိကြတယ်။ လုပ်လို့ပြောရင် လုပ်သင့်တဲ့ကိစ္စတစ်ခုခုရှိရင်တော့ လုပ်ကြမှာပါပဲ။ Black Hats တွေကကော ကာကွယ်တဲ့အပိုင်းတွေ လုပ်ခွင့်မရှိတော့ဘူးလား သို့မဟုတ် မလုပ်ကြဘူးလားလို့ မေးရင်လည်း သူတို့လုပ်ချင်ရင်လုပ်ကြမှာပါပဲ။ ဥပမာအားဖြင့် စားဝတ်နေရေးအရ ကိုယ်တတ်တဲ့ပညာကို ထုတ်ရောင်းတဲ့အခြေအနေဖြစ်တဲ့ ဝန်ဆောင်မှုပေးတဲ့အခြေအနေမျိုးမှာဆိုရင်တော့ Black Hats တွေလည်း သူတို့ပေးတဲ့ဝန်ဆောင်မှုကိုအသုံးပြုတဲ့ အရာတွေကို ကာကွယ်တဲ့ကိစ္စတွေ လုပ်ကြရမှာပဲ။

White Hat နဲ့ Black Hat ဘာများကွာခြားသလဲ

သေချာတွေးကြည့်ရင် ဘယ် Hat ဖြစ်ဖြစ် စက် ရုပ်တစ်ရုပ်မဟုတ်ဘဲ လူတွေချည်းပဲဆိုတာ သိလာမှာပါ။ သေချာတာတော့ White Hat ဆိုတာ “ကောင်းတာလုပ်မယ်လို့ လူတွေနားလည်ထားပြီး ဆိုးတာလည်း လုပ်ခွင့်ရှိတဲ့ Hacker တွေ” ဖြစ်သလို Black Hat ဆိုတာ “တိုက်ခိုက်မှုတွေပြုလုပ်မယ်လို့ လူတွေသိထားပေမယ့် ကာကွယ်မှုတွေကိုလည်း ပြုလုပ်နိုင်တဲ့ Hacker တွေ” ပါပဲ။

ကဲ ဒါဆို White Hat ဖြစ်ဖြစ်၊ Black Hat ဖြစ်ဖြစ် နှစ်မျိုးစလုံးဟာ Hacker တွေဖြစ်တဲ့အတွက် Hacker ဆိုတဲ့ ဝေါဟာရကို ဘုံထုတ်လိုက်ရအောင်။ ဒါကြောင့် ဒီဆောင်းပါးမှာ ဆက်ပြောမယ့် “Hacker” ဆိုတဲ့ ဝေါဟာရကို Cyber Security ကိုလေ့လာသောသူများ အသုံးချသူများလို့ ဆက်လက်သတ်မှတ်လိုက်ပါတယ်။ ဒီစာကိုရေးရတဲ့အကြောင်းအရာက အခုမှ စမှာပါ။ Hackerတစ်ယောက်ဖြစ်လာဖို့ ဘာတွေ သိထားရမလဲ၊ ဘာတွေလေ့လာရမလဲ (သို့မဟုတ်) ဘယ်သင်တန်းတွေ တက်ရမလဲဆိုတဲ့အကြောင်းလေး ဆက်ပြောရအောင်။

တိုက်ခိုက်မှုပုံစံများနှင့် ၎င်းတို့အတွက် အခြေခံသိထား သင့်သည်များ

အခြေခံသိထားသင့်တဲ့အချက်တွေကို ခေါင်းစဉ်တွေခွဲပြီး လေ့လာကြည့်ရအောင်။

DDoS Attack

“လာပြန်ပြီ DDoS Attack ဆိုတဲ့ခေါင်းစဉ်။ အဲဒါက Hacking ထဲမှာ ပါလို့လား။ သူက Hack တာမှမဟုတ်တာ” လို့ အငြင်းပွားဖွယ်တွေ ရှိပါတယ်။ “မှန်ပါတယ် သူဟာ Hacking ထဲမှာ မပါပါဘူး။ ဒါပေမဲ့ Hacking ပြုလုပ်ဖို့အတွက် တချို့ကိစ္စတွေမှာ အသုံးဝင်သလို အခြေခံတိုက်ခိုက်မှုတွေထဲမှာလည်း အမျိုးအစားတစ်ခုအနေနဲ့ ပါတဲ့အတွက် ပြောရမှာပါ” လို့ ပြန်ဖြေရမှာပါပဲ။ ရိုးရိုးသာမန် တိုက်ခိုက်မှုမျိုးအတွက် သိထားသင့်တဲ့ အခြေခံအများကြီး မပါဝင်ပါဘူး။ Tools လေးကို Download ဆွဲမယ်၊ ပြီးရင် ကိုယ်တိုက်ချင်တဲ့ Domain/IP လေးရိုက်ထည့်မယ်၊ Attack  ဆိုတာလေးကိုနှိပ်မယ်။ ဒီလောက်ပါပဲ။ ဒါပေမဲ့ ဥပမာအားဖြင့် Loadbalancer သို့မဟုတ် Cloudflare လိုမျိုးရဲ့ နောက်ကွယ်မှာရှိတဲ့ Server တစ်ခုကို တိုက်ခိုက်တော့မယ်ဆိုပါတော့။ ဒီလိုအခြေအနေမျိုးမှာ ကိုယ်တိုက်ချင်တဲ့ Target သည် Loadbalancer ခံထားလား၊ Cloudflare ခံထားလား ကနဦး သိရှိဖို့ လိုပါတယ်။ သူကတစ်ဆင့် ကိုယ်တိုက်ချင်တဲ့ Target  (ဥပမာ- Website ဆိုပါတော့) ဟာ Loadbalancer မကာထားတဲ့ တချို့အစိတ်အပိုင်းလေးတွေ (ဥပမာ- Mail Server) ရှိမရှိ Subdomain တွေ ထပ်စစ်ကြည့်ရပါမယ်။ အဲ့ကနေတစ်ဆင့် Target ရဲ့ IP Address အစစ်အမှန် သိရှိနိုင်ပါတယ်။ တခြား Loadbalancer/ CloudFlare တွေကိုကျော်ပြီး IP အစစ်အမှန်ကို ရယူတဲ့နည်းလမ်းတွေလည်း ရှိပါတယ်။ နောက်ထပ် တစ်ဆင့်အနေနဲ့ ပုံမှန် DoS မျိုးမဟုတ်ပဲ DDoS လိုမျိုး Bot တွေ အလုံးအရင်းနဲ့ တိုက်ခိုက်မှုပုံစံဆိုရင် Bot တွေကို တခြား Server တွေ Website တွေမှာ သွားထားဖို့ DDoS မဟုတ်တဲ့ အခြား Hacking တတ်မြောက်ထားရမှာပဲ ဖြစ်ပါတယ်။

အဲ့ဒီအပြင် DNS, NTP, SNMP Amplification DDoS တိုက်ခိုက်မှုတွေအတွက်ဆို အခြေခံသိထားသင့်သည့်အချက်တွေ အရမ်းများသွားပါပြီ။ ကိုယ့်တိုက်ခိုက်မှုသည် အထိရောက်ဆုံးဖြစ်ဖို့ အတွက် Firewall တွေ ဘယ်လိုအလုပ်လုပ်နေကြမလဲ။ သူတို့အာရုံစိုက်ပြီး ကာကွယ်နေတာက ကိုယ့်တိုက်ခိုက်မှုကို အဟန့်အတားဖြစ်စေတယ်ဆိုရင် ဘယ်လို Decoy ပြုလုပ်မလဲဆိုတာတွေလည်း ပါဦးမှာပါ။ ဒါဆို White Hat တစ်ယောက်အနေနဲ့ ကာကွယ်မှုပြုလုပ်မယ်ဆိုရင် သိထားရမယ့် Knowledge တွေက ပိုများသွားပါပြီ။ ဒါကြောင့် ပြောချင်တာက သာမန် DDoS လောက်လေးတင်ပဲ အခြေခံသိထားသင့်တဲ့အချက်တွေဟာ Networking Knowledge, System Knowledge, Firewall Knowledge, DNS Knowledge, NTP Knowledge, SNMP Knowledge စတာတွေ လိုအပ်ပါလိမ့်မယ်။ ဒီကြားထဲမှာ အစက ပြောခဲ့သလို Hacking တွေအတွက် အသုံးဝင်တဲ့ကိစ္စမျိုးတွေဖြစ်တဲ့ DDoS တိုက်နေတုန်း SQL Injection ပြုလုပ်ခြင်း၊ XSS ပြုလုပ်ခြင်း စတာတွေ ရှိဦးမှာပါ။

လူအများစိတ်ဝင်စားကြတဲ့ Website ကို တိုက်ခိုက်ခြင်း

Website တစ်ခုကိုတိုက်ခိုက်ဖို့အတွက် အခြေခံအကျဆုံးက စရရင်တော့ Admin ရဲ့ ပေါ့ဆမှုကနေ စရမှာပါပဲ။ အဲဒါကတော့ Password လွယ်ကူစွာထားလေ့ရှိတာမျိုး သို့မဟုတ် Default Password ကို ပြောင်းလဲထားခြင်း မရှိတာမျိုးပါပဲ။ Website တစ်ခုရဲ့ Administration Panel ကို တွေ့တာနဲ့ username: admin, password: admin နဲ့ စကြည့်နိုင်ပါတယ်။ ရရင် ရမယ် ရချင်မှရပါလိမ့်မယ်။ မရဖို့တော့များပါတယ်။ ဒါအလွယ်ဆုံးနဲ့ အရိုးရှင်းဆုံးပါပဲ။ ဒီထက် တစ်ဆင့်မြင့်ရင်တော့ တိုက်ရိုက် File Upload လုပ်လို့ရတဲ့ Web Application တစ်ခု သို့မဟုတ် Page တစ်ခုကို လူတကာဝင်ကြည့်နိုင်အောင် Permission မခံထားပဲ ထားရှိတာမျိုးပါပဲ။ အဲ့ဒီကနေတစ်ဆင့် File များတင်လို့ရသွားတော့ အကျိုးဆက်က အများကြီး ဖြစ်သွားနိုင်ပါတယ်။ ကဲ ဘာပဲဖြစ်ဖြစ် Administration Panel ရသွားလို့ အထဲဝင်သွားနိုင်ရင် ဘာဆက်လုပ်မှာလဲ သို့မဟုတ် ကိုယ် ဘာဆက်လုပ်နိုင်မလဲ။

Website ကို တိုက်ခိုက်ခြင်းဖြစ်လို့ Web Programming တစ်ခုခုကိုတော့ အနည်းဆုံး နားလည်ထားမှဖြစ်ပါလိမ့်မယ် (ဥပမာ - PHP) နောက်ပြီး ဆက်ပြောဖို့ရှိတာက ခုချိန်ထိရှိနေသေးတဲ့ SQL Injection ပါပဲ။ SQL Injection ပြုလုပ်ကြတယ်ဆိုတာ Web Programming တစ်ခုရဲ့ Code အမှား တစ်ခုကို အသုံးချပြီး SQL Server ထဲမှာရှိတဲ့ Data တွေကို လှမ်းယူပြီး Admin Panel ကို ဝင်လို့ရအောင် ကြိုးစားခြင်း ဒါမှမဟုတ် SQL Server ရဲ့ လုံခြုံရေးယိုပေါက်ကိုအသုံးချပြီး Website ပေါ်က တစ်နေရာရာကို မိမိထိန်းချုပ်လို့ရတဲ့ Shell ကို Upload တင်ယူခြင်းတွေအတွက် အဓိကဖြစ်ပါတယ်။ ဒီတော့ သေချာတာက SQL Syntax တွေကို သေချာပေါက် နားလည်ထားမှကိုဖြစ်မှာပါ။

နောက်တစ်မျိုးအနေနဲ့ LFI/RFI လို့ခေါ်တဲ့ Local File Inclusion/Remote File Inclusion ဖြစ်ပါတယ်။ Directory traversal or path traversal ကနေတစ်ဆင့် Website တင်ထားတဲ့ Server ထဲမှာရှိတဲ့ File တွေရဲ့ Data တွေကို ခွင့်ပြုချက်မရှိသော်လည်း ကြည့်ရှုနိုင်ခြင်း သို့မဟုတ် File တစ်ခုကို ခွင့်ပြုချက်မရှိသော်လည်း Run လို့ရအောင်လုပ်ခြင်း စတာတွေပါပဲ။ ဥပမာ LFI ကနေတစ်ဆင့် ၎င်း Webserver ထဲမှာရှိတဲ့ /etc/passwd လိုမျိုး File ကိုကြည့်ရှုခြင်းပုံစံမျိုးပါပဲ။ ဒါရဲ့ ရလဒ်က ဘာဖြစ်မလဲဆိုတော့ အဲ့ဒီ Webserver မှာရှိတဲ့ username တွေနဲ့ သူတို့ရဲ့ home path & login shell တွေကို ကြည့်ရှုလို့ရလိုက်ခြင်းပဲဖြစ်ပါတယ်။ သို့မဟုတ် တခြား Config File တွေကို ကြည့်ရှုမယ်ဆိုရင်လည်း ရပါသေးတယ်။ RFI ကတော့ တခြားနေရာမှာရှိတဲ့ File ကို အလိုအလျောက်ရယူပြီး တိုက်ခိုက်ခံရတဲ့ Web Server မှာ Run တာမျိုးပါပဲ။ ဒီအတွက်တော့ သက်ဆိုင်ရာ Web Application တွေရဲ့ File Structure တွေ၊ System File Hierarchy System တွေကို သိရှိထားရမှာပါပဲ။

Website Attacking နဲ့ပတ်သက်တဲ့ ပုံစံကွဲတွေ အများကြီးရှိပါသေးတယ်။ အကုန်လုံးကိုရှင်းပြနေရင် စာအရမ်းရှည်သွားမှာဖြစ်လို့ ဆောင်းပါးရဲ့ ခေါင်းစဉ်နဲ့အောက်မှာ ပေးချင်တဲ့ Message ကိုရရှိဖို့ တခြားအကြောင်းအရာတွေကိုဆက်ပြောပါမယ်။

Server Vulnerability & amp; Exploitation

အဓိကအားဖြင့် ခုနကပြောသလို Website တွေကိုမဟုတ်ပဲ Server တွေရဲ့ လုံခြုံရေးယိုပေါက်တွေကို ရှာဖွေပြီးတိုက်ခိုက်တာဖြစ်လို့ Server-side attacking လို့ ခေါ်ရမှာပေါ့။ Server/Service တွေမှာလည်း လုံခြုံရေးယိုပေါက်တွေ ရှိနေတတ်ပါတယ်။ ဥပမာအားဖြင့် အမြင်သာဆုံးကိုပြောရရင်တော့ Heartbleed ပေါ့။ OpenSSL ရဲ့ Library ထဲမှာရှိတဲ့ အမှားတစ်ခုကြောင့် ၎င်းကိုအသုံးပြုတဲ့ Library ထဲက Data အချို့ကို ရယူနိုင်ပါတယ်။ ဟုတ်ပါတယ် OpenSSL သုံးတဲ့ Server/Service တွေဖြစ်တဲ့ Web/Email/Instant Messenging/VPN စတာတွေအကုန် အကျုံးဝင်ပါတယ်။

အကြောင်းအမျိုးမျိုးနဲ့ Server တစ်ခုရဲ့ User Shell တစ်ခုထဲရောက်သွားမယ်ဆိုရင် ဘာဆက်လုပ်မလဲ သို့မဟုတ် ဘာဆက်လုပ်နိုင်မလဲ။ ပုံမှန်အတိုင်းဆိုရင် Directory တွေထဲ လျှောက်ဝင်ကြည့်မယ်။ Website ထားတဲ့နေရာတွေ လိုက်ရှာမယ် Deface လုပ်ချင်လုပ်မယ်။ သို့မဟုတ် Root ဖောက်မယ်။ Mass Deface ပြုလုပ်မယ် စသည်ဖြင့် အမျိုးမျိုးပြုလုပ်နိုင်ပါတယ်။ ဒါပေမဲ့ Server-side attacking ပြုလုပ်ဖို့အတွက် Server နဲ့ပတ်သက်တဲ့ Knowledge တော့ ရှိထားရမှာပါ။ ဒါမှ ဘယ်နေရာမှာ Website data တွေထားသလဲ၊ ဘယ်နေရာမှာတော့ Backup File တွေ ထားတတ်လဲ၊ ကိုယ်ရောက်နေတဲ့ Server မှာ Network File Share ဘယ်လိုတွေ mount ထားမလဲ၊ Root ဖောက်ဖို့အတွက် Kernel Version က ဘယ်လောက်လဲ ၊ ဘယ် f Compiler/Library တွေ သုံးလို့ရမလဲ၊ နောက်ပြီး Server ရဲ့ Security က ဘာတွေရှိလဲ ရှိတယ်ဆိုရင် ဘယ်လိုကျော်လို့ရမလဲ စတာတွေကို သိရှိနိုင်မှာပါ။

မတူညီတဲ့ Server/Service တွေရဲ့ မတူညီတွေ Version တွေရဲ့အောက်က မတူညီတဲ့ Patch တွေမှာ မတူညီတဲ့ လုံခြုံရေးယိုပေါက်တွေရှိနိုင်ပါတယ်။ “ဗျာ!၊ ဒါဆို Google မှာ Version နဲ့ ကွက်တိရှာလို့ရလာတဲ့ Exploit တွေ အလုပ်မလုပ်တာ ဒါကြောင့်လား” လို့မေးရင်တော့ သိပ်ဟုတ်တာပေါ့လို့ပဲ ဖြေရမှာပါပဲ။ Service တစ်ခုရဲ့ Version တစ်ခုမှာ ယိုပေါက်တစ်ခုရှိတယ်ဆိုတာ ဖော်ပြထားကြလေ့ရှိပေမယ့် အဲဒီ Version ရဲ့ လုံခြုံရေးယိုပေါက်ကို ပြန်လည်ပြင်ဆင်တဲ့ Patch  တွေလည်း ရှိနေတာဖြစ်လို့ Version တူနေရင်တောင် Patch ကွဲတဲ့အတွက် Vulnerable မဖြစ်တာမျိုးလည်း ရှိပါတယ်။

Attack Tool ကို ကိုယ်တိုင်ရေးသားခြင်း

အရေးကြီးတဲ့အချက်ဖြစ်ပါတယ်။ ဘာဖြစ်လို့လဲဆိုတော့  Internet ပေါ်မှာ Attacking tool တွေကို အများကြီးရှာတွေ့နိုင်ပြီး အဲဒါတွေကို အသုံးချပြီး ကိုယ့်တိုက်ခိုက်မှုမှာ အသုံးပြုနိုင်ပါတယ်။

ဒါပေမဲ့ ပထမတစ်ချက်အနေနဲ့ပြောချင်တာက Attack Tool ကို ဘယ်လိုလူမျိုးတွေ ရေးသားထားသလဲ ဆန်းစစ်ကြည့်ပါ။ Hacker တွေကပဲ ရေးသားထားတာဖြစ်လို့ အသုံးပြုရလောက်အောင် ယုံကြည်ဖို့ ကောင်းပါရဲ့လား။ ဒီဟာလေးကတော့ DDoS ကို အကောင်းဆုံးနဲ့ အလွယ်ဆုံးတိုက်နိုင်တယ်၊ ဒီဟာလေးကတော့ SQL Injection သုံးရင် အမြင်လည်းရှင်းပြီး အလွယ်ဆုံးပါပဲ၊ Bot/RAT/FUD တွေ လုပ်ချင်တယ်ဆိုရင် ဒါလေးသုံးရင် Antivirus အကုန်မမိနိုင်ဘူး စသည်ဖြင့် ကြေညာပြီး Download ပေး စွဲထားတတ်ကြပေမယ့် အထဲမှာ ဘယ်လို Code တွေ ရေးသားထားသလဲ၊ ကိုယ့်အတွက် အန္တရာယ်ကင်းရဲ့လားဆိုတာ ဆင်ခြင်ကြည့်ဖို့ လိုပါတယ်။

ဒုတိယအချက်အနေနဲ့ ကိုယ့်တိုက်ခိုက်မှု အခြေအနေပေါ်မူတည်ပြီး Exploit တွေကို ပြန်ပြင်ရေးနိုင်ခြင်းမျိုး လိုအပ်ပါတယ်။ ဒါမှ ကိုယ့်တိုက်ခိုက်မှုက အထိရောက်ဆုံးဖြစ်ပြီး ကိုယ်ဖြစ်စေချင်သလို ဖြစ်လာမှာပါ။ ကိုယ်တိုင် Attack Tool တွေရေးနိုင်တယ်ဆိုရင်တော့ ဘာကိုမှ စိုးရိမ်စရာမရှိတဲ့အပြင် ကိုယ်ကပြန်ပြီး ဂျင်းထည့်ဖို့အခွင့်အရေး ရရှိလာပါလိမ့်မယ်။

အချုပ်အားဖြင့် ပြောရရင်တော့ Hacker တစ်ယောက်ဖြစ်လာဖို့အတွက် ကြိုတင်သိရှိထားရမှာတွေ အများကြီးမှ အများကြီးရှိပါတယ်။ Google မှာရှာ Youtube မှာ Tutorial ကြည့်ပြီး လုပ်နေသရွေ့ ကိုယ်ပိုင် Attack Tools တွေကို ကိုယ်တိုင်မရေးနိုင်သရွေ့တော့ ကိုယ်အများဆုံးရောက်ရင် ဒုတိယနေရာပါပဲ။ ဒါကြောင့် “ကျွန်တော် Hacker ဖြစ်ချင်တယ်” လို့ ပြောတဲ့လူတိုင်းကို ဒီလိုမျိုး ပြန်လည်အကြံပေးလေ့ရှိပါတယ်။

ပထမဆုံးအနေနဲ့ မိမိစိတ်ဝင်စားတဲ့ Scope ကို အရင်ချပါ။ ကိုယ်က Web Security စိတ်ဝင်စားတာလား၊ Network Security စိတ်ဝင်စားတာလား၊ System/Server Security စိတ်ဝင်စားတာလား စသည်ဖြင့်ပေါ့။ အဲလို Major သတ်မှတ်ရွေးချယ်ပြီးရင်တော့ Web ဆိုလည်း သူ့အောက်က ဘယ် Language  ကို စိတ်ဝင်စားတာလဲ PHP, Java, Python စသည်ဖြင့် Language ကို ထပ်ပြီး Scope ချပါ။ Network  ကတော့ Minor သိပ်ရွေးစရာမရှိပေမယ့် Server အတွက်တော့ Windows လား၊ Linux လား၊ Unix လား အပြင် Distro ပိုင်းတွေနဲ့ သူတို့ရဲ့ အများဆုံးပေးနိုင်တဲ့ လုံခြုံရေးတွေကိုလည်း ထပ်လေ့လာရပါမယ်။

ဒီလို ပထမအဆင့် Scope ချပြီးရင်တော့ Networking ကတော့ မဖြစ်မနေ လေ့လာရမယ့် အကြောင်းအရာတစ်ခုပါပဲ။ Network Security ထိမသွားပဲ ကိုယ်က Web Security  လုပ်ချင်ရင်တောင် ချိတ်ဆက်မှုပိုင်းတွေကို သိရှိဖို့အတွက် Networking ဟာ အရေးပါတဲက ကဏ္ဍမှာ ပါဝင်ပါတယ်။ Networking ပြီးရင်တော့ ကိုယ်အပိုင်နိုင်ဆုံးလို့ရွေးချယ်မယ့် Programming Language တစ်ခုပါပဲ။ Website တွေကို အဓိကတိုက်ခိုက်ချင်ရင်တော့ Web Language တစ်ခုကို ရွေးချယ်ရမှာဖြစ်ပါတယ်။ အဲဒီ Language ကို လုံးဝ Master ဖြစ်သွားပြီဆိုရင်တော့ သင်ဟာ Hacker ဖြစ်မှန်းမသိ ဖြစ်လာပါလိမ့်မယ်။ ဒီလို အခြေခံတွေအားလုံးသိရှိပြီးမှသာ တခြား Pentesting သင်တန်းတွေကို ဆက်လက်သင်ယူသင့်ပါတယ်။ ဒါဟာ Procedure ကျကျသွားမယ်ဆိုရင် အကောင်းဆုံးနည်းလမ်းပဲဖြစ်မှာပါ။

နိဂုံး

ကိုယ်ခံပညာတစ်ခု သင်ကြားမယ်ဆိုရင်တောင် အခြေခံအကြောလျှော့ခြင်းတွေ၊ ကိုယ့်ကြံ့ခိုင်ရေးအတွက် လေ့ကျင့်ခန်းတွေကို ပြုလုပ်ပြီးမှသာ သက်ဆိုင်ရာ ကိုယ်ခံပညာရဲ့ အတိုက်ပညာ အခံပညာတွေကို ဆက်လက်သင်ကြားလို့ရတာဖြစ်လို့ ကိုယ်က Cyber Security ပိုင်းကိုလိုက်ပြီး တကယ့် Professional တစ်ယောက်လို ဖြစ်ချင်တယ်ဆိုရင် သူနဲ့ပတ်သက်တဲ့ အခြေခံတွေကို ပထမဦးစွာ လေ့လာသင်ယူဖို့က အရေးအကြီးဆုံးဖြစ်ပါတယ်။

ရန်နိုင်မြင့်