Любой айтишник читает много профильной литературы и старается расширять профессиональный кругозор: без этого попросту невозможно прогрессировать в своей сфере, особенно если ты начинающий специалист. Мы собрали 11 полезных книг для этичных хакеров (пентестеров), которые помогут войти в профессию, а также дадут полноценное понимание, как устроена информационная безопасность. В дальнейшем их можно использовать для старта карьеры.
Как стать этичным хакером — пособия для начинающих
Книги в данном подборке можно считать базовой литературой для любого начинающего этичного хакера (пентестера). Они составлены таким образом, чтобы дать основные представления о работе «белого хакера» и ввести в профессию. Разумеется, ознакомиться с ними может любой специалист по ИБ, чтобы понять, какие методы применяют киберпреступники для взлома и кражи данных.
1. Kali Linux: библия пентестера — Гас Хаваджа, 2020
Название книги говорит само за себя: это полноценное руководство, которое необходимо любому пентестеру. Kali — это основной инструмент, которым пользуются пентестеры для анализа уязвимостей и тестирования на проникновение.
Издание написано в увлекательной манере, содержит массу полезных заданий для самопроверки, поэтому полезные знания почерпнут для себя как начинающие этичные хакеры, так и опытные специалисты по кибербезопасности.
В частности, вы узнаете:
- Как формировать современные Docker-среды;
- Как пользоваться основной командной строкой оболочки bash в Linux;
- Как анализировать результаты поисков, выявлять ложные срабатывания и ненадлежащее поведение;
- Как автоматизировать тестирование при помощи Python и многое другое.
![Гас Хаваджа Гас Хаваджа](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/4d2/4d2954153502868abdef838cb0e35ef8/088f0836cffbf8003590d05a15d056cf.png)
Скриншот обложки книги Гас Хаваджа
2. Этичный хакинг: практическое руководство по взлому — Дэниел Г. Грэм, 2021
Практическое пособие для начинающих этичных хакеров, которое расскажет об основных нюансах вторжения в компьютерные сети, включая перехват траффика и создание вирусов-троянов. Книгу можно считать первым шагом в карьере пентестера, поскольку она охватывает азы работы специалиста по взлому и анализу защищенности компьютерных систем.
![Дэниел Г. Грэм Дэниел Г. Грэм](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/d23/d23c0b152a89f3d661d8ac99e98b61af/159678a651d34fec06814d7387cbd504.png)
Скриншот обложки книги Дэниел Г. Грэм
3. Дневник охотника за ошибками. Путешествие через джунгли проблем безопасности программного обеспечения — Тобиас Клейн, 2013
Труд эксперта по безопасности программного обеспечения и основателя консалтинговой компании NESO Security Labs, где он в подробностях рассказывает, как искал и находил уязвимости в наиболее популярных программных продуктах современности — от медиапроигрывателя VLC до ядра операционной системы MacOS X.
Книга написана в виде отчетов о работе, легка для восприятия, несмотря на множество технических терминов и, что самое ценное, содержит массу практических примеров и руководств. Этичному хакеру, даже начинающему, она будет полезна тем, что в ней описываются сценарии с возможным проникновением в ПО, а также даются принципы разработки кода, доказывающего наличие уязвимостей.
![Тобиас Клейн Тобиас Клейн](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/135/135f3290a1a1776d21114e7d5ecfa452/c8c0dd5da0b41bc4098e3525df0b5c9a.png)
Скриншот обложки книги Тобиас Клейн
4. Как я украл миллион. Исповедь раскаявшегося кардера — Сергей Павлович, 2014
Весьма занятное и поучительно чтиво от бывшего компьютерного афериста, гражданина Белоруссии Сергея Павловича, который в 2008 году совершил одну из крупнейших в мировой истории краж данных банковских карт в США. Павлович входил в преступную группу ещё одного знаменитого банковского вора Альберто Гонсалеса, за что получил тюремный срок и отсидел 10 лет в тюрьме
В своей книге Павлович в увлекательной форме рассказывает о том, как угодил в компьютерный криминал, раскрывает личности самих киберпреступников, молодых и честолюбивых людей, которым в руки попадают шальные деньги. Технические сведения по кардингу на текущий момент можно считать устаревшими, однако, они все равно полезны для понимания механизмов мошенничества с пластиковыми картами.
![Сергей Павлович Сергей Павлович](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/15f/15feceae2257a52666986da901e90601/70c70a96792cbf23665ab21bb3365bba.png)
Скриншот обложки книги Сергей Павлович
5. Азбука хакера (в трех томах) — Варфоломей Собейкис, 2004, 2005, 2006
Довольно старая книга по этичному хакингу, которая будет полезна для понимания устройства старых компьютерных систем: Unix, DOS, Windows 9.x и других. В книге также есть глоссарий терминов.
Ценность книги также в том, что не обделены вниманием методы социальной инженерии, которые нередко применяют кибермошенники, чтобы обойти те или иные системы защиты.
![Варфоломей Собейкис Варфоломей Собейкис](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/4f7/4f7a87f33fb79d68e4ad53a1608f3b1f/db2e809aefbe20194db611da19f5dbee.png)
Скриншот обложки книги Варфоломей Собейкис
6. Kali Linux в действии. Аудит безопасности информационных систем — Никита Скабцов, 2017
Пособие для начинающих, как стать этичным хакером, пользуясь инструментом Kali. Рассматриваются методы обхода систем безопасности сетевых сервисов и проникновения в открытые информационные системы, а также проведение аудита ИБ.
Книга будет полезна как начинающим пентестерам, так и другим специалистам, знакомым с работой сетевых сервисов на Linux и Windows, а также системным администраторам.
![Никита Скабцов Никита Скабцов](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/b99/b994531cba0fe883d33d5eb6e7e62036/e5fe7c610b11eb64d5a4bbc0890bf3c3.png)
Скриншот обложки книги Никита Скабцов
7. Уязвимость SQL-инъекция. Практическое руководство для хакеров — Михаил Тарасов, 2019
Книга по этичному хакингу, которая целиком посвящена такой коварной уязвимости как SQL-инъекция. Так называют метод проникновения в веб-приложение или сайт с использованием вредоносного кода, который встроен в пакет структурированных запросов.
Автор книги подробно рассказывает, как выявлять данную уязвимость с практикой на Metasploitable 2. Пособие подходит не совсем для новичков — необходимо предварительно изучить структуру языка программирования SQL.
![Михаил Тарасов Михаил Тарасов](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/69b/69b2968f43ec5f6bfb59fd9d6215434a/6dff3e40727ab3324acb1ad0520a1e0f.png)
Скриншот обложки книги Михаил Тарасов
8. Основы веб-хакинга — Питер Яворски, 2016
Подробное руководство по способам и методикам взлома веб-приложений и сайтов. Данная книга для начинающего этичного хакера содержит свыше 30 примеров уязвимостей, которые могут использовать злоумышленники при проникновениях:
- HTML-инъекции;
- Межсайтовый скриптинг (XSS);
- Подмена запроса (CSRF);
- Открытые перенаправления;
- Удаленное исполнение кода (RCE) и прочие.
В каждом примере рассматривается классификация атаки, описание и ключевые выводы, а также пример отчета об атаке.
![Питер Яворски Питер Яворски](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/9c7/9c7c3f735944e53df928f2afba7bb2c8/26d37e16b778e11773a3e4f0e3a67af8.png)
Скриншот обложки книги Питер Яворски
9. Киберкрепость: всестороннее руководство по компьютерной безопасности — Петр Левашов, 2024
Свежее пособие по этичному хакингу для начинающих пентестеров, а также специалистов по кибербезопасности и сисадминов. Автором является бывший хакер, а ныне консультант по ИБ, который сначала знакомит читателя с азами, а затем постепенно переходит к новейшим приемам проникновения и кражи данных. В книге представлены как теория, так и практические рекомендации из богатого опыта автора.
![Петр Левашов Петр Левашов](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/010/0106e2c54cb346eefd6c03345caf1a22/0bd550a3b0dcd9018bec92498f08ae36.png)
Скриншот обложки книги Петр Левашов
10. Хакинг на примерах. Уязвимости, взлом, защита — Александр Ярошенко, 2021
Книга по этичному хакингу, которая рассказывает о типичных методах взлома сайтов, угона электронной почты различными способами, а также принципам анонимного общения с помощью мессенджеров, e-mail и других методов.
Также в издании представлены принципы работы с Kali Linux и инструментом для поиска уязвимостей и взлома информационных систем — Metasploit. Книга будет полезна не только начинающим этичным хакерам, но и в целом людям, интересующимся безопасность в сети.
![Александр Ярошенко Александр Ярошенко](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/078/078be2fc9b1505bfc1208f406c12615a/8dd56361272578b7a298b258c056a632.png)
Скриншот обложки книги Александр Ярошенко
11. +БОНУС. Прикладная криптография — Брюс Шнайер, 2022
Руководство для всех, кто так или иначе занимается проблемами информационной безопасности: пентестеров, сотрудников служб ИБ, сисадминов и разработчиков. В книге рассматриваются не столько приемы и методы работы хакеров, сколько криптографические алгоритмы, используемые при разработке, например, Data Encryption Standard и RSA.
В книге можно найти списки исходных кодов, десятки различных криптографических алгоритмов и советы по их реализации при создании софта, а также обеспечения безопасности компьютерных систем. Начинающим этичным хакерам книга будет полезна тем, что дает фундаментальные знания по устройству компьютерной криптографии.
![Брюс Шнайер Брюс Шнайер](https://upload-ca0451ed212bdd32f8d9e1cd64bf8c77.hb.bizmrg.com/medialibrary/fb9/fb9cade6403f3970df7644fc76ce6c75/4f7c8116572446b19d30f9abd82840af.png)
Скриншот обложки книги Брюс Шнайер
Советы, как стать этичным хакером
Далеко не все ограничивается чтением специальной литературы, пускай она и увлекательна. Как нетрудно догадаться, любой айтишник в первую очередь должен быть практиком — неважно занимается он кодингом или пентестом на досуге, или планирует зарабатывать этим на жизнь. И здесь можно посоветовать несколько шагов, если вы твердо решили стать этичным хакером:
- Зарегистрируйтесь на GitHub и найдите репозитории со всей информацией по ИБ и пентесту;
- Запишитесь на бесплатные курсы по пентесту, пробные уроки и интенсивы от онлайн-школ. Их много в сети, включая курсы на Udemy и Stepik;
- Изучайте видеоуроки на Youtube;
- Ищите и вливайтесь в тематические сообщества. Их много на GitHub, Хабре. Есть также крупнейшее в Рунете сообщество — Pentestit с бесплатными лабами, руководствами и тестами;
- Виртуальные лаборатории (TryHackMe, HTB, DVWA, bWAPP) и соревнования пентестеров (CTF) — здесь можно отточить свои навыки, получить первый опыт и даже завести полезные связи.