Любой айтишник читает много профильной литературы и старается расширять профессиональный кругозор: без этого попросту невозможно прогрессировать в своей сфере, особенно если ты начинающий специалист. Мы собрали 11 полезных книг для этичных хакеров (пентестеров), которые помогут войти в профессию, а также дадут полноценное понимание, как устроена информационная безопасность. В дальнейшем их можно использовать для старта карьеры.
Как стать этичным хакером — пособия для начинающих
Книги в данном подборке можно считать базовой литературой для любого начинающего этичного хакера (пентестера). Они составлены таким образом, чтобы дать основные представления о работе «белого хакера» и ввести в профессию. Разумеется, ознакомиться с ними может любой специалист по ИБ, чтобы понять, какие методы применяют киберпреступники для взлома и кражи данных.
1. Kali Linux: библия пентестера — Гас Хаваджа, 2020
Название книги говорит само за себя: это полноценное руководство, которое необходимо любому пентестеру. Kali — это основной инструмент, которым пользуются пентестеры для анализа уязвимостей и тестирования на проникновение.
Издание написано в увлекательной манере, содержит массу полезных заданий для самопроверки, поэтому полезные знания почерпнут для себя как начинающие этичные хакеры, так и опытные специалисты по кибербезопасности.
В частности, вы узнаете:
- Как формировать современные Docker-среды;
- Как пользоваться основной командной строкой оболочки bash в Linux;
- Как анализировать результаты поисков, выявлять ложные срабатывания и ненадлежащее поведение;
- Как автоматизировать тестирование при помощи Python и многое другое.
Скриншот обложки книги Гас Хаваджа
2. Этичный хакинг: практическое руководство по взлому — Дэниел Г. Грэм, 2021
Практическое пособие для начинающих этичных хакеров, которое расскажет об основных нюансах вторжения в компьютерные сети, включая перехват траффика и создание вирусов-троянов. Книгу можно считать первым шагом в карьере пентестера, поскольку она охватывает азы работы специалиста по взлому и анализу защищенности компьютерных систем.
Скриншот обложки книги Дэниел Г. Грэм
3. Дневник охотника за ошибками. Путешествие через джунгли проблем безопасности программного обеспечения — Тобиас Клейн, 2013
Труд эксперта по безопасности программного обеспечения и основателя консалтинговой компании NESO Security Labs, где он в подробностях рассказывает, как искал и находил уязвимости в наиболее популярных программных продуктах современности — от медиапроигрывателя VLC до ядра операционной системы MacOS X.
Книга написана в виде отчетов о работе, легка для восприятия, несмотря на множество технических терминов и, что самое ценное, содержит массу практических примеров и руководств. Этичному хакеру, даже начинающему, она будет полезна тем, что в ней описываются сценарии с возможным проникновением в ПО, а также даются принципы разработки кода, доказывающего наличие уязвимостей.
Скриншот обложки книги Тобиас Клейн
4. Как я украл миллион. Исповедь раскаявшегося кардера — Сергей Павлович, 2014
Весьма занятное и поучительно чтиво от бывшего компьютерного афериста, гражданина Белоруссии Сергея Павловича, который в 2008 году совершил одну из крупнейших в мировой истории краж данных банковских карт в США. Павлович входил в преступную группу ещё одного знаменитого банковского вора Альберто Гонсалеса, за что получил тюремный срок и отсидел 10 лет в тюрьме
В своей книге Павлович в увлекательной форме рассказывает о том, как угодил в компьютерный криминал, раскрывает личности самих киберпреступников, молодых и честолюбивых людей, которым в руки попадают шальные деньги. Технические сведения по кардингу на текущий момент можно считать устаревшими, однако, они все равно полезны для понимания механизмов мошенничества с пластиковыми картами.
Скриншот обложки книги Сергей Павлович
5. Азбука хакера (в трех томах) — Варфоломей Собейкис, 2004, 2005, 2006
Довольно старая книга по этичному хакингу, которая будет полезна для понимания устройства старых компьютерных систем: Unix, DOS, Windows 9.x и других. В книге также есть глоссарий терминов.
Ценность книги также в том, что не обделены вниманием методы социальной инженерии, которые нередко применяют кибермошенники, чтобы обойти те или иные системы защиты.
Скриншот обложки книги Варфоломей Собейкис
6. Kali Linux в действии. Аудит безопасности информационных систем — Никита Скабцов, 2017
Пособие для начинающих, как стать этичным хакером, пользуясь инструментом Kali. Рассматриваются методы обхода систем безопасности сетевых сервисов и проникновения в открытые информационные системы, а также проведение аудита ИБ.
Книга будет полезна как начинающим пентестерам, так и другим специалистам, знакомым с работой сетевых сервисов на Linux и Windows, а также системным администраторам.
Скриншот обложки книги Никита Скабцов
7. Уязвимость SQL-инъекция. Практическое руководство для хакеров — Михаил Тарасов, 2019
Книга по этичному хакингу, которая целиком посвящена такой коварной уязвимости как SQL-инъекция. Так называют метод проникновения в веб-приложение или сайт с использованием вредоносного кода, который встроен в пакет структурированных запросов.
Автор книги подробно рассказывает, как выявлять данную уязвимость с практикой на Metasploitable 2. Пособие подходит не совсем для новичков — необходимо предварительно изучить структуру языка программирования SQL.
Скриншот обложки книги Михаил Тарасов
8. Основы веб-хакинга — Питер Яворски, 2016
Подробное руководство по способам и методикам взлома веб-приложений и сайтов. Данная книга для начинающего этичного хакера содержит свыше 30 примеров уязвимостей, которые могут использовать злоумышленники при проникновениях:
- HTML-инъекции;
- Межсайтовый скриптинг (XSS);
- Подмена запроса (CSRF);
- Открытые перенаправления;
- Удаленное исполнение кода (RCE) и прочие.
В каждом примере рассматривается классификация атаки, описание и ключевые выводы, а также пример отчета об атаке.
Скриншот обложки книги Питер Яворски
9. Киберкрепость: всестороннее руководство по компьютерной безопасности — Петр Левашов, 2024
Свежее пособие по этичному хакингу для начинающих пентестеров, а также специалистов по кибербезопасности и сисадминов. Автором является бывший хакер, а ныне консультант по ИБ, который сначала знакомит читателя с азами, а затем постепенно переходит к новейшим приемам проникновения и кражи данных. В книге представлены как теория, так и практические рекомендации из богатого опыта автора.
Скриншот обложки книги Петр Левашов
10. Хакинг на примерах. Уязвимости, взлом, защита — Александр Ярошенко, 2021
Книга по этичному хакингу, которая рассказывает о типичных методах взлома сайтов, угона электронной почты различными способами, а также принципам анонимного общения с помощью мессенджеров, e-mail и других методов.
Также в издании представлены принципы работы с Kali Linux и инструментом для поиска уязвимостей и взлома информационных систем — Metasploit. Книга будет полезна не только начинающим этичным хакерам, но и в целом людям, интересующимся безопасность в сети.
Скриншот обложки книги Александр Ярошенко
11. +БОНУС. Прикладная криптография — Брюс Шнайер, 2022
Руководство для всех, кто так или иначе занимается проблемами информационной безопасности: пентестеров, сотрудников служб ИБ, сисадминов и разработчиков. В книге рассматриваются не столько приемы и методы работы хакеров, сколько криптографические алгоритмы, используемые при разработке, например, Data Encryption Standard и RSA.
В книге можно найти списки исходных кодов, десятки различных криптографических алгоритмов и советы по их реализации при создании софта, а также обеспечения безопасности компьютерных систем. Начинающим этичным хакерам книга будет полезна тем, что дает фундаментальные знания по устройству компьютерной криптографии.
Скриншот обложки книги Брюс Шнайер
Советы, как стать этичным хакером
Далеко не все ограничивается чтением специальной литературы, пускай она и увлекательна. Как нетрудно догадаться, любой айтишник в первую очередь должен быть практиком — неважно занимается он кодингом или пентестом на досуге, или планирует зарабатывать этим на жизнь. И здесь можно посоветовать несколько шагов, если вы твердо решили стать этичным хакером:
- Зарегистрируйтесь на GitHub и найдите репозитории со всей информацией по ИБ и пентесту;
- Запишитесь на бесплатные курсы по пентесту, пробные уроки и интенсивы от онлайн-школ. Их много в сети, включая курсы на Udemy и Stepik;
- Изучайте видеоуроки на Youtube;
- Ищите и вливайтесь в тематические сообщества. Их много на GitHub, Хабре. Есть также крупнейшее в Рунете сообщество — Pentestit с бесплатными лабами, руководствами и тестами;
- Виртуальные лаборатории (TryHackMe, HTB, DVWA, bWAPP) и соревнования пентестеров (CTF) — здесь можно отточить свои навыки, получить первый опыт и даже завести полезные связи.
