Saturday, September 9, 2017

Ethical Hacking ဆိုတာ ဘာလဲ?

Define Ethical Hacking



.
Ethical Hacking လို႔ ဆိုရာမွာ Bad Guy လို႔ေခၚတဲ့ လူဆိုးေလးေတြ (Black Hacker ႀကီးေတြ) က exploit ေတြကို အသံုးျပဳျပီး သင့္ကြန္ပ်ဴတာနဲ႔ နက္ဝပ္ေတြမွာ ျဖစ္ေပၚေနတဲ့ Vulnerabilities လို႔ေခၚတဲ့ အားနည္းခ်က္ေတြ (ယိုေပါက္ေတြ) ကေန တစ္ဆင့္ မတိုက္ခိုက္မီ သင့္ကြန္ပ်ဴတာနဲ႔ နက္ဝပ္စနစ္ကို သင့္ဘာသာ စမ္းသပ္ရွာေဖြရင္း ပိတ္ဆို႔ကာကြယ္ႏိုင္ေစမယ့္ နည္းပညာလို႔ ပဲ ကၽြန္ေတာ္ အဓိပၸါယ္ဖြင့္ဆိုပါရေစ။
Hacker လို႔ေျပာလိုက္တာနဲ႔ သူမ်ားဆီက Account ေတြ၊ information ေတြကို ခိုးယူတတ္သူအျဖစ္သာ ျမင္ေလ့ရွိတဲ့ အျမင္ေတြကို ေျပာင္းလဲေစခ်င္လို႔ပါ။ Hacking ကို ေလ့လာေနတယ္လို႔ေျပာလိုက္တာနဲ႔ ဒီေကာင္ မဟုတ္တာလုပ္ေတာ့မယ္လို႔ ထင္ေလ့ရွိၾကတဲ့ ကၽြန္ေတာ္တို႔ ပတ္ဝန္းက်င္က အေတြးအျမင္ေတြကိုလည္း ေျပာင္းလဲေစခ်င္ပါတယ္။
Ethical ဆိုတဲ့ အသံုးအႏႈန္းကို မၾကာခဏဆိုသလို သံုးတာ ေတြ႔ဘူး သံုးဘူးၾကေပမယ့္ အဲစကားလံုးနဲ႔ ပတ္သက္ျပီး နားလည္မႈ လြဲတာေလးေတြလည္း ေတြ႔ျမင္ေနရပါတယ္။ Webster ရဲ႕ New World ဆိုတဲ့ အဘိဓာန္စာအုပ္မွာေတာ့ Ethical ဆိုတဲ့ စကားလံုးကို ျပည့္စံုစြာ ဖြင့္ဆိုျပထားတာကို ေတြ႔ရပါလိမ့္မယ္။ “လူ႔က်င့္ဝတ္ေတြႏွင့္ ေလ်ာ္ညီေသာ။ အဖြဲ႔အစည္းတစ္ခုခု (သို႔မဟုတ္) အလုပ္အကိုင္တစ္ခုခု၏ စည္းမ်ဥ္းစည္းကမ္းႏွင့္ စံနမူနာမ်ားကို လိုက္နာေသာ” လို႔ ျမန္မာလို ဆိုလိုလို႔ ရမွာျဖစ္ပါတယ္။
IT (Security) နယ္ပယ္က ပညာရွင္္္ေတြကေတာ့ သူတို႔ရဲ႕ စမ္းသပ္ခ်က္ေတြကို လုပ္ေဆာင္ဖို႔အတြက္ System ေတြကို စမ္းသပ္လိုတဲ့အခါ ထိုစမ္းသပ္လိုတဲ့ စနစ္ပိုင္ရွင္ေတြဆီမွာ ခြင့္ေတာင္းျပီးမွသာ သူတို႔ရဲ႕ လုပ္ေဆာင္မႈေတြကို စမ္းသပ္ေလ့ရွိပါတယ္။ သူတို႔ကိုေတာ့ White Hacker ေတြလို႔ ဆိုရမွာပါ။ (သင့္ စြမ္းအားေတြကိုလည္း ေကာင္းတဲ့ဘက္မွာ အသံုးခ်ႏိုင္ပါေစ။)
Hacker & Malicious User
Hacker နဲ႔ Malicious User ဆိုတဲ့ စကားလံုးေတြကိုေတာ့ ခုေခတ္ နည္းပညာနဲ႔ လံုးဝမစိမ္းတဲ့သူေတြ အဖို႔ သိဘူး ၾကားဘူးျပီးသား ျဖစ္ေနမွာပါ။ မ်ားစြာေသာသူေတြကေတာ့ ဟက္ကာေတြရဲ႕ ရာဇဝတ္မႈေျမာက္တဲ့ လုပ္ေဆာင္ခ်က္ေတြရဲ႕ အက်ိဳးဆက္ေတြကိုေတာင္မွ ခံစားဘူးၾကပါလိမ့္မယ္။ သူတို႔ေတြက ဘယ္သူေတြလဲ?????? ဘာေၾကာင့္ သူတို႔အေၾကာင္းကို သင္ သိဖို႔ လိုသလဲ ?????
ဒီသင္ခန္းစာမွာေတာ့ ကၽြန္ေတာ္က ေအာက္ပါ အဓိပၸါယ္ဖြင့္ဆိုခ်က္ကေလး အနည္းငယ္ကို ယူသံုးပါ့မယ္။ (ယူသံုးတယ္ဆိုတာက ကၽြန္ေတာ့္ကိုယ္ပိုင္ ဖြင့္ဆိုခ်က္ မဟုတ္လို႔ပါ)
✓ Hackers (or external attackers) ေတြဟာ မိမိတို႔ရဲ႕ အက်ိဳးစီးပြားအတြက္ (အက်ိဳးေက်းဇူး ရဖို႔အတြက္) ကြန္ပ်ဴတာစနစ္ေတြထဲကေန sensitive information ေတြကို unauthorized users ေတြ အေနနဲ႔ ျပင္ပကေန ရယူၾကပါတယ္။ ဟက္ကာေတြဟာ သူတို႔အတြက္ အက်ိဳးတစ္စံုတစ္ရာ (တစ္ခါတစ္ရံ ပညာ) ျဖစ္ထြန္းမယ္လို႔ ယူဆတဲ့ system ေတြတိုင္းနီးပါးကို ေဖာက္ထြင္းၾကည့္ဖို႔ ႀကိဳးစားတတ္ၾကျပီး အခ်ိဳ႕ေသာ ဟက္ကာေတြကေတာ့ နည္းပညာျမင့္ေသာ (or) လံုျခံဳေရးစနစ္ အားေကာင္းျပီး ေဖာက္ထြင္းရခက္မယ္လို႔ ယူဆရတဲ့ စနစ္ေတြကို ပိုျပီး သေဘာက်တတ္ၾကပါတယ္။ ထိုသို႔ စနစ္ေတြထဲ ထိုးေဖာက္ဝင္ေရာက္ျခင္းအားျဖင့္ ဟက္ကာေတြရဲ႕ အဆင္႔အတန္းေတြ ျမင့္တက္လာပါေတာ့တယ္။
✓ Malicious users (or internal attackers) ေတြကေတာ့ sensitive information ေတြကို authorized and “trusted” users ေတြအျဖစ္ အတြင္းက်က် ဝင္ေရာက္ရယူႏိုင္ဖို႔ ႀကိဳးစားၾကပါတယ္။ Malicious users ေတြကေတာ့ သူတို႔ အက်ိဳးအျမတ္ျဖစ္ေစမယ့္ အခါမွာျဖစ္ေစ ယွဥ္ျပိဳင္လိုတဲ့အခါမွာျဖစ္ေစ ထြင္းေဖာက္ဝင္ေရာက္္ဖို႔ ႀကိဳးစားၾကေလ့ရွိပါတယ္။
Malicious attacker ကို ေယဘုယ် ေျပာရရင္ေတာ့ hacker ေတြေရာ malicious user ေတြေရာ ႏွစ္မ်ိဳးလံုး ကို ေျပာလို႔ ရပါတယ္။ အရွင္းဆံုးေျပာရရင္ေတာ့ ထို ႏွစ္မ်ိဳးစလံုးကို ဟက္ကာေတြလို႔ ေျပာရမွာျဖစ္ျပီး သူတို႔ရဲ႕ tools ေတြ၊ နည္းပညာေတြ နဲ႔ သူတို႔ရဲ႕ စဥ္းစားေတြးေခၚပံုေတြကို ထပ္မံ ခြဲျခားလိုတဲ့အခါမွသာ သူတို႔ကို Malicious User လား Hacker လား ခြဲျခားသတ္မွတ္ပါတယ္။
✓ Ethical hackers ေတြကိုေတာ့ good guys လို႔ပဲ ေခၚရပါလိမ့္မယ္။ သူတို႔ကက်ေတာ့ နည္းပညာကို အလြဲအသံုးျပဳမႈေတြ၊ နည္းပညာသံုးျပီး အၾကမ္းဖက္မႈေတြ၊ unauthorized access ရယူအသံုးျပဳေနျခင္းေတြကို ဆန္႔က်င္ကာကြယ္ဖို႔အတြက္ vulnerabilities လို႔ေခၚတဲ့ အားနည္းခ်က္ေတြ၊ ယိုေပါက္ေတြကို ရွာေဖြေတြ႔ရွိဖို႔အတြက္သာ system ေတြကို hack ၾကေလ့ရွိပါတယ္။ Security Researcher ေတြကို ဒီအုပ္စုထဲ ထည့္သြင္းထားႏိုင္ပါတယ္။
Defining hacker
ဟက္ကာဆို ……. ဆိုျပီး အဓိပၸါယ္ဖြင့္ဆိုခ်က္္ေတြကို ဖတ္ျပီးေလာက္ျပီလို႔ ထင္ပါတယ္။ ဒါေၾကာင့္ အမ်ားႀကီး ေျပာျပစရာ မလိုေလာက္ေတာ့ဘူးလို႔ ယူဆပါတယ္။ အက်ဥ္းခ်ဳပ္ကေလးေလာက္ပဲ ေဆြးေႏြးရေအာင္။
✓ ေယဘုယ်သေဘာ ေျပာရရင္ေတာ့ ဟက္ကာဆိုသူေတြဟာ Software ေတြနဲ႔ ကြန္ပ်ဴတာစနစ္ေတြကို ကလိရတာ အလြန္ ဝါသနာသူေတြပါ။ ကြန္ပ်ဴတာစနစ္ေတြ ဘယ္လို လုပ္ေဆာင္တယ္ဆိုတာကို ေလ့လာရင္း explore လုပ္ရင္း ေပ်ာ္ရႊင္ေနၾကသူေတြေပါ့။ သူတို႔ေတြဟာ လုပ္ေဆာင္ခ်က္ နည္းလမ္းသစ္ေတြကို ရွာေဖြရျခင္းကို ႏွစ္သက္ၾကပါတယ္။ စက္ပစၥည္းသစ္ေတြနဲ႔ အီလက္ထေရာနစ္ နည္းပညာသစ္ေတြ တိုးတက္လာတာ သူတို႔ေၾကာင့္လိ႔ ဆိုရင္လည္း မမွားပါဘူး။ ဘာလို႔လဲဆိုေတာ့ နည္းပညာသစ္ေတြ စနစ္သစ္ေတြကို ရွာေဖြ႔ေလ့လာတဲ့အခါ သူတို႔ဟာ mechanically ေရာ electronically ေရာပါ ႏွစ္ပိုင္းလံုးကို စူးစမ္းေလ့လာေလ့ ရွိတာေၾကာင့္ပါပဲ။
✓ မၾကာေသးမီ ႏွစ္အနည္းငယ္ အတြင္းမွာ ဟက္ကာနဲ႔ ပတ္သက္တဲ့ အဓိပၸါယ္ဖြင့္ဆိုခ်က္ အသစ္တစ္ခု ထြက္ေပၚခဲ့ပါတယ္။ Cracker လို႔ ေခၚတဲ့ Criminal Hacker ေတြအတြက္ပါ ထည့္သြင္း အဓိပၸါယ္ဖြင့္ဆိုလိုက္ပံုရပါတယ္။ ပုဂၢလိက ရယူလိုမႈအတြက္ စနစ္ေတြထဲကို ဝင္ေရာက္ ထြင္းေဖာက္ၾကသူမ်ား လို႔ အၾကမ္းဖ်င္း ေျပာလို႔ရပါမယ္။ Cracker ေတြဟာ စနစ္ေတြ software ေတြထဲကိုလည္း ခ်ိဳးေဖာက္ဝင္ေရာက္ျပီး Crack ၾကေလ့ရွိပါတယ္။ ဒါဟာ Personal အက်ိဳးအျမတ္အတြက္လည္းျဖစ္ႏိုင္သလို အမ်ားအတြက္လည္း ျဖစ္ႏိုင္ပါတယ္။
* ဘာပဲဆိုဆို Cracker ေတြကို ကၽြန္ေတာ္တို႔ ေက်းဇူးတင္ရပါမယ္။ ဖြံ႔ျဖိဳးမႈ အားနည္းတဲ့ကၽြန္ေတာ္တို႔လို ႏိုင္ငံေတြမွာ ၉၉% ေသာ ကြန္ပ်ဴတာေတြမွာ Windows က အစ Crack Version ေတြကို သံုးေနၾကရပါတယ္။ Adobe Photoshop တို႔လို အသံုးဝင္တဲ့ Application အမ်ားစုကလည္း အခမဲ့ေတြ မဟုတ္ၾကပါဘူး။ တစ္ႀကိမ္ Activate ျဖစ္ဖို႔အတြက္ တစ္ခါ ဝယ္သံုးၾကရပါတယ္။
* ဒီအခါမ်ိဳးမွာေတာ့ Windows တစ္ခုအတြက္ တစ္သိန္းေက်ာ္ (ပိုက္ဆံေပးဝယ္ ႏိုင္ရင္ေတာင္) ေပးရမယ့္ စနစ္ (Master, Visa, PayPal) စတဲ့ စနစ္ေတြ မဖြံ႔ျဖိဳးေသးတဲ့အတြက္ Cracker ေတြရဲ႕ crack version ေလးေတြေပၚ အားကိုးအားထား ျပဳေနၾကရပါတယ္။ ဒါကလည္း Microsoft လို ကုမၸဏီႀကီးေတြက ျမန္မာႏိုင္ငံလို ႏိုင္ငံမ်ိဳးေလးေတြအတြက္ လမ္းဖြင့္ေပးထား တာေၾကာင့္လည္း ျဖစ္ပါတယ္။ တစ္ခ်ိန္ခ်ိန္မွာေတာ့ Copyright ကို မလြဲမေသြ ရင္ဆိုင္လာရမွာပါ။
ဒီတစ္ခါေတာ့ ဟက္ကာ အမ်ိဳးအစားခြဲရေအာင္ပါ။
အားလံုး သိျပီးသားမို႔ အတိုဆံုးပဲ ေျပာရေအာင္ပါ။ Hacker ေတြကို လုပ္ေဆာင္ပံု နဲ႔ ရပ္တည္ခ်က္ေပၚ မူတည္ျပီး
1. Black Hat
2. White Hat
3. Grey Hat ဆိုျပီး ေခၚေဝၚၾကပါတယ္။
ဒါေတြသိၿပီးသားမို႔ အက်ယ္မခ်ဲ့ေတာ့ပါဘူး။ သိပ္မသိၾကေသးတာေလးေတြ ဆက္သြားရေအာင္ပါ။ သိၿပီးသူေတြလည္း စိတ္ကေလးဆြဲဆန္႔ၿပီး ျပန္ဖတ္ေပးေနာ္။
.
Defining malicious user
A malicious user ဆိုသည္မွာ အျခား user ေတြရဲ႕ လံုျခံဳေရးဆိုင္ရာမ်ားနွင့္ အေရးႀကီးေသာ သတင္းအခ်က္အလက္မ်ားကို ခ်ိဳးေဖာက္ျခင္း၊ အထူးအခြင့္အေရးမ်ားကို အလြဲသံုးစားလုပ္တတ္ေသာ လွည့္ဖ်ားေကာက္က်စ္သူမ်ား ျဖစ္ပါတယ္။ အတြင္းလူ ၈၀% ေလာက္က လံုျခံဳေရးဆိုင္ရာမ်ား ခ်ိဳးေဖာက္ျခင္းကို ျပဳလုပ္ေလ့ရွိၾကတယ္လို႔ဆိုပါတယ္။ ထိုရာခိုင္ႏႈန္းပမာဏ တကယ္မွန္သလားဆိုတာကုိေတာ့ ေမးခြန္းထုတ္ဖြယ္ရာပါပဲ။ ဒါေပမယ့္ ထိုပမာဏသည္ ႏွစ္စဥ္မ်ားစြာေသာျခံဳငံုသံုးသပ္မႈမ်ားကေန အေျခခံထားျခင္းျဖစ္ပါတယ္။ ဒါ့ေၾကာင့္ အတြင္းလူကေန လံုျခံဳေရးဆိုင္ရာမ်ား က်ိဳးေပါက္ျခင္း၊ ခ်ိဳးေဖာက္ျခင္းတို႔သည္ ယံုမွားသံသယျဖစ္စရာမရွိေတာ့ပါ။
ေတြ႕ရွိရတာကေတာ့ အေရးၾကီးေသာ အခ်က္အလက္မ်ားသိမ္းဆည္းရာေနရာကေန sensitive information ေတြကို ေကာက္ယူျခင္း၊ လ်ွိဳ႕ဝွက္ email အခ်က္အလက္မ်ားႏွင့္ sensitive files မ်ားကို ဖ်က္ပစ္ျခင္းတို႔ျွဖစ္ပါတယ္။ ရံဖန္ရံခါမွာေတာ့ လံုျခံဳေရးဆိုင္ရာျပသနာမ်ားရွိေသာ္လည္း malicious user သေဘာမသက္ေရာက္တဲ့ အတြင္းလူေတြကုိ လ်စ္လ်ဴရႈထားရတာလည္း ရွိပါတယ္။.
မၾကာခဏဆိုသလို Malicious users ေတြဟာ IT နယ္ပယ္နဲ႔ လံုျခံဳေရးသတင္းအခ်က္အလက္ေတြအတြက္ အဆိုးဆံုးရန္သူေတြ ျဖစ္ေနၾကတာ ေတြ႔ရပါမယ္။ ဘာလို႔လဲဆိုရင္ ဘယ္ေနရာမွာ သူတို႔လိုခ်င္တဲ့ ကုန္ၾကမ္းေတြ၊ sensitive informations ရွိတယ္ဆိုတာ အတိအက်သိေနလို႔ပါပဲ။ ယံုၾကည္စြာေပးအပ္ထားေသာ စီမံခန္႔ခြဲမႈေတြကုိအသံုးခ်ၿပီးလည္း သူတို႔လိုအပ္တဲ့အရာေတြဆီ အေမးအျမန္းမရွိ ဝင္ေရာက္နိုင္တာကလည္း သူတို႔အတြက္ အခြင့္ေရးျဖစ္ေနပါေသးတယ္
.
.
Beget Ethical Hackers
သင္သည္ Ethical Hacker တစ္ေယာက္ျဖစ္ဖို႔လိုအပ္ပါတယ္။ Ethical Hacker တစ္ေယာက္သည္ ကၽြမ္းက်င္မႈမ်ား၊ ပံုစံက်ေသာေတြးေခၚမႈမ်ားႏွင့္၊ Hacker အျဖစ္ ယံုၾကည္ထိုက္ေသာ အရာမ်ားကို ပိုင္ဆိုင္ထားလို႔ပါပဲ။ Ethical Hacker မ်ားသည္ Hacker ေတြဘယ္လိုျပဳမူရမယ္ဆိုတာကုိ အေျခခံၿပီး လံုျခံဳေရးစမ္းသပ္မႈအေနနဲ႔သာ hackingကို လုပ္ေဆာင္ၾကပါတယ္။
Ethical Hacking --- မွာေတာ့ နည္းလမ္းက်မႈႏွင့္ အလုပ္လုပ္ရာတြင္ေသသပ္မႈရွိေသာ ထိုးေဖာက္မႈ၊ White hat hacking ႏွင့္ ေပ်ာ့ကြက္အားနည္းခ်က္ကို စမ္းသပ္ျခင္းမ်ားကို ျပဳလုပ္ၾကပါတယ္။ ထိုစမ္းသပ္မႈမ်ားကုိ ျပဳလုပ္ရာတြင္ Criminal Hacker မ်ားသံုးတဲ့ နည္းလမ္းမ်ား၊ tools မ်ားကုိ အသံုးျပဳတတ္ၾကပါတယ္။ ဒါေပမယ့္ Criminal Hackers မ်ားနဲ႔အဓိကျခားနားခ်က္ကေတာ့ ပစ္မွတ္ရဲ႕ခြင့္ျပဳခ်က္နဲ႔သာ ထိုအရာမ်ားကို လုပ္ေဆာင္ျခင္းျဖစ္ပါတယ္။ Ethical Hacking ရဲ႕ ရည္ရြယ္ခ်က္က Malicious attackers ေတြရဲ႕ လံုျခံဳေရးစနစ္မ်ား တိုက္ခိုက္ခံရျခင္းမွ ရွာေဖြေဖာ္ထုတ္ေပးဖို႔ပါပဲ။
Ethical Hacking စမ္းသပ္မႈကို လုပ္ေဆာင္မယ္ ၿပီးေတာ့ အျခားယံုၾကည္မႈကိုျဖစ္ေစတဲ့ ေထာက္ခံခ်က္ကိုပါ ထပ္ေပါင္းခ်င္တယ္ဆိုရင္ EC-Council ကအသိအမွတ္ျပဳေထာက္ခံေသာ Certified Ethical Hacker (CEH) တစ္ေယာက္ျဖစ္လာဖို႔ လိုပါတယ္။ Certified Information Systems Security Professtional (CISSP) ကဲ့သို႔ Certified Ethical Hacker (CEH) ဆိုတဲ့ အသိအမွတ္ျပဳလက္မွတ္တို႔သည္ ေက်ာ္ၾကားလူသိမ်ားျပီး ေလးစားရေသာ လုပ္ငန္းဆိုင္ရာ လက္မွတ္မ်ားလည္္းျဖစ္ပါတယ္။ ထို certificate ကို American National Standard Institute (ANSI 17024) က တရားဝင္အသိအမွတ္ျပဳထားတာျဖစ္ပါတယ္။ 
.
Ethical hacking versus auditing
လူအမ်ားစုက Ethical Hacking ကို security auditing လံုျခံဳေရးစီစစ္ျခင္းလို႔ အထင္မွားတတ္ၾကပါတယ္။ ဒါေပမယ့္ ကြဲျပားမႈအမ်ားၾကီးလည္းရွိေနပါေသးတယ္။ Security auditing ရဲ႕ရည္ရြယ္ခ်က္က သံသယျဖစ္စရာ ခ်ဥ္းကပ္မႈအား လံုျခံဳေရးထိန္းခ်ဳပ္မႈရွိေနတယ္ဆိုတာကို သက္ေသျပျခင္းပါ။
.
အျပန္အလွန္အားျဖင့္ Ethical Hacking သည္ ယိုဖိတ္ေနေသာ အားနည္းခ်က္ေပၚမွာ အာရံုစူးစိုက္ျခင္းပါ။ လံုျခံဳေရးထိန္းခ်ဳပ္မႈမရွိေၾကာင္း ဒါမွမဟုတ္ အေကာင္းဆံုးထိေရာက္မႈ မရွိေၾကာင္းကို သက္ေသျပေပးပါတယ္။ Ethical hacking သည္ နည္းပညာပိုင္းနွင့္ဆိုင္ျခင္း မဆိုင္ျခင္း နွစ္ခုလံုးျဖစ္နိုင္ပါတယ္။ တကယ္လို႔စိစစ္မယ္ဆုိရင္ IT audit program စာအုပ္မ်ားကိုလည္း ဖတ္ျပီးေလ့လာနိုင္ပါတယ္။
.
သင္တန္း သင္ခန္းစာေတြ စတဲ့အခါ ဒီအပိုင္းေတြကို ထည့္သြင္းေဆြးေႏြးေပးသြားပါ့မယ္။
ခုေတာ့ သေဘာတရားေလာက္သာပါပဲ
.
ဆက္ပါမည္


⇶⇶⇶⇶⇶ ဒီ websiteမွာ တင္ထားတဲ့ အျခားက႑မ်ားကို ေရြးခ်ယ္ၾကည့္ရႈရန္ ဒီေနရာကို ႏွိပ္ပါ ⬱⬱⬱⬱⬱⬱⬱


Khit Minnyo

0 comments:

Post a Comment