3- STEPS में Hacker कैसे बनें?

HACKER

    3-STEPS में Hacker कैसे बनें? 

       3- STEPS में Hacker बनने के लिए मुझे             क्या सीखना चाहिए?

 जी हाँ! आप सही जगह पर आएं हैं यदि आप एक HACKER  बनना चाहते हैं या और सटीक शब्दों में कहें तो – एक “एथिकल हैकर” या एक WHITE HAT HACKER या एक “PEN TESTER” या एक “PENETRATION TESTER “। लेकिन इससे पहले कि आप आगे बढ़ें और इस लेख को पढ़ें मुझे निम्नलिखित प्रशनो के उत्तर दें।

 1. क्या आप हर दिन कड़ी मेहनत करने और हर दूसरे दिन उससे भी कड़ी मेहनत करने के लिए तैयार हैं?

 2. क्या आप नए उपकरण और टेक्नोलॉजी सीखते समय सुसंगत(consistent) हो पाएंगे?

 3. क्या आपको नए उपकरण और टेक्नोलॉजी सीखने में मज़ा आता है?

यदि उपर लिखे प्रशनो को पढ़ते ही आपके मन्न ने कहा “हां” तो ये लेख है आपके लिए! तो चलिए आगे बढ़ते हैं।

पहले से ही बहुत सारे लोग हैं जो हैकर होने का दावा करते हैं। कुछ बड़ी कमाई करते हैं और कुछ मार्किट(बाज़ार) में रहने के लिए संघर्ष! हैकर बनना एक लंबी प्रक्रिया है और जितना आप सोचते है उससे थोड़ा मुश्किल। अब आपको तय यह करना है कि आपको एक बहुराष्ट्रीय(multi-national) कंपनी में 9 से  6 की नौकरी पाने के लिए हैकर बनना है या स्वतंत्र रहकर खुद के लिए हैकिंग करना चाहते हैं?

   पहला पड़ाव: (1-6 महीने) : मूल चीज़े सीखे

    साइबर सेक्योरिटी(सुरक्षा) की मूल बातें जानें

इससे पहले कि आप हैक करना सीखें, आपको “सुरक्षा करना” सीखना चाहिए। “किस चीज़” का बचाव करना है और उसका “कैसे” बचाव करना है जानने के लिए आपको साइबर सेक्योरिटी की मूल बातों के बारे में सीखना होगा।

• मूल शब्दावली(terminology) को सीखें – CIA[Confidentiality(गोपनीयता),  Integrity(अखंडता), Availability(उपलब्धता)],Identification (पहचान), Authentication (प्रमाणीकरण), Authorization (प्राधिकरण), Accounting(लेखांकन), Audit(लेखा परीक्षा), Non-repudiation(गैर परित्याग) आदि।

• बुनियादी(Basic) साइबर सेक्योरिटी सिद्धांतों(principles) को जानें – principle of least privilege(कम से कम विशेषाधिकार का सिद्धांत), principle of Need to Know basis (आवश्यकता के आधार का सिद्धांत),Layered defense or defense in depth(बहुस्तरीय बचाव),Segregation of duties(ज़िम्मेदारी का बंटवारा ), Security by design( डिज़ाइन के माध्यम से सुरक्षा) इत्यादी।

• प्रोग्रामिंग, नेटवर्किंग, ऑपरेटिंग सिस्टम, एप्लिकेशन सुरक्षा आदि की मूल बातें सीखें ।

• विभिन्न साइबर सेक्योरिटी हमलों की मूल बातें जानें – सोशल इंजीनियरिंग हमले जैसे phishing( इंटरनेट पर धोखे से पैसे ठगना), Vishing(टेलीफोन के माध्यम से पैसे ठगना), SMiShing(झूठे एस एम एस के माध्यम से पैसे ठगना)आदि, DDos, ब्रूट फ़ोर्स(Brute Force) एवं डिक्शनरी हमले(Dictionary attack), रैंसमवेयर इतयादि।
• 
  

साइबर सेक्योरिटी का AI, ML, CLOUD, IOT, BIGDATA के साथ संबंध :

क्या मुझे केवल साइबर सेक्योरिटी या फिर साइबर सेक्योरिटी के साथ-साथ AI(Artificial Intelligence), ML(Machine Learning), Cloud, IoT(Internet of Things), Bigdata पर भी ध्यान देना चाहिए? आइए मैं आपको एक दृष्टिकोण(perspective) देता हूं जो  AI, ML, Cloud, Bigdata के साथ साइबर सेक्योरिटी को कसकर एक-दूसरे से साथ जोड़ता हैं।

आज कल कई कंपनियां (विशेष रूप से नए स्टार्ट-अप) विभिन्न सुरक्षा उत्पादों पर काम कर रही हैं, जो लगातार किसी संगठन के नेटवर्क, क्लाउड इंफ्रास्ट्रक्चर(cloud infrastructure), फायरवॉल(firewall), आईडीएस(IDS), आईपीएस(IPS) आदि से जुड़े सभी उपकरणों से उत्पन्न होने वाले डेटा को इकट्ठा करके और विभिन्न एआई(AI) का उपयोग करके उस एकत्रित डेटा का विश्लेषण(analysis) करते हैं, अगर किसी साइबर अटैक के होने की कोई संभावना या कोई साइबर अटैक होने की प्रक्रिया में होता है तो सिस्टम द्वारा कंपनी को तुरंत संचेत किया जाता है।

उपलब्ध संसाधन(available resources)

शिक्षा और प्रशिक्षण के लिए कौन से संसाधन उपलब्ध हैं?

मुझे कितना शुल्क देना होगा या यदि बिना शुल्क के भी कोई संसाधन उपलब्ध हैं?

• Cybrary में बहुत सारे मुफ्त पाठ्यक्रम उपलब्ध हैं, Udemy, Udacity, Coursera में भी कई अच्छे पाठ्यक्रम उपलब्ध हैं।
• साइबर सेक्योरिटी, एआई(AI), एमएल(ML), क्लाउड, इंटरनेट ऑफ थिंग्स(IoT), बिगडेटा सेमिनार / वेबिनार में भाग लें।
• मेरी सलाह में उपरोक्त संसाधनों में से किसी पर भी साइबर सेक्योरिटी, एआई(AI) , एमएल(ML), क्लाउड,आइ ओ टी( IoT), बिगडाटा में कम से कम किसी एक पर बुनियादी / मध्यम स्तर का कोर्स ज़रुर करें।
• आप खुद को साइबर स्पेस में आधुनिक(updated) रखने के लिए ISC2 (https://www.isc2.org/), ISACA (www.isaca.org), SANS (https://www.sans.org/) वेबसाइट या उनके ब्लॉग को अनुसरण(follow) कर सकते हैं।

प्रोग्रामिंग भाषाएं /ऑपरेटिंग सिस्टम्स(Programming Languages/Operating Systems) :

मुझे कौन सी प्रोग्रामिंग भाषा / ऑपरेटिंग सिस्टम सीखना चाहिए? अपने डिग्री पाठ्यक्रम(curriculum) में पहले से ही सीख रहे प्रोग्रामिंग भाषाओं के अलावा, मैं निम्नलिखित भाषाएं गहराई से सीखने का सुझाव दूंगा:

• Python / Ruby / PHP- इनमें से कम से कम एक
• JavaScript
• Java
• Linux

दूसरा पड़ाव 

(6-12 महीने): सीखें + दूसरों के साथ साझा.  (Share) करें

सुरक्षा उपकरण(Security tools):

कौन से सुरक्षा उपकरण मुफ्त में उपलब्ध हैं और जो मुझे सीखने भी चाहिए? आप चाहे जिस भी साइबर सेक्योरिटी के क्षेत्र में जाना चाहते हैं, आपको पैठ परीक्षण(Penetration testing) / एथिकल हैकिंग में उपयोग किए जाने वाले कुछ बुनियादी साधनों का उपयोग करना सीखना चाहिए जिनमें से कुछ नीचे लिखें गये हैं, जो ऑनलाइन, ओपन सोर्स आदि पर उपलब्ध हैं और मुफ्त में डाउनलोड किए जा सकते हैं (या कम से कम एक डेमो संस्करण उपलब्ध है), निम्नलिखित में हाथ ज़रुर आज़माए:

• Kali Linux
• Nessus, NMAP, Metasploit आदि।
• Burp Suite, Wireshark आदि।

निम्नलिखित विषयों में से किसी पर भी अपनी भाषा में विभिन्न उपलब्ध ब्लॉगों पर कुछ सरल लेख लिखना और साझा करना शुरू करें:

• Kali Linux कैसे इंस्टाल करें?
• Kali Linux का उपयोग कैसे करें?
• Nessus का उपयोग कैसे करें?
• Metasploit का उपयोग कैसे करें?
• BurpSuite का उपयोग कैसे करें?

इससे आप क्या हासिल करेंगे?

– लेखन(writing) आपको गहराई से सीखने का अनुभव देगा और आप बेहतर सीखना शुरू करेंगे क्योंकि आप जानते हैं कि आपको उपकरण / विषय पर एक लेख लिखना ही है जिसकी वजह से आप उस विषय पर और खोज करेंगे जिसके परिणामस्वरूप आप और ज्ञान इकठ्ठा ही करेंगे।

– जब आप अपने लेखों को साझा कर रहे हैं, तो आप और लोगों की भी मदद कर रहे हैं – आप अपने ब्रांड मूल्य(Brand value) का निर्माण(build) और वृद्धि(increase) करेंगे, जो लंबे समय में आपके करियर में आपकी मदद करेगा।

वार्ता कौशल(communication skills) :

यह इस लेख का पहला अनुच्छेद होना चाहिए था। और मैं इसे पर्याप्त रूप से जोर नहीं दे सकता कि यह सबसे महत्वपूर्ण कौशल में से एक है जिसमे आपको खुद को तैयार करना चाहिए। चाहे आप तकनीकी(technical) रूप से कितने भी मज़बूत हों, यदि आप आवश्यक संदेश को ठीक से व्यक्त(express) नहीं कर पा रहे हैं, तो आप वह हासिल नहीं कर पाएंगे जो आप चाहते है या जिसके आप हकदार हैं।

• तो, ​​वार्ता मोर्चे(communication front)- मौखिक या लिखित पर अच्छा होने के लिए जितना कर सकते है, करे!
• कुछ कोर्सिस करें, लेख लिखें, अपना ज्ञान साझा करें।
• कुछ वेबिनार देने की कोशिश करें, स्थानीय संगठनों(meet-ups) में हिस्सा लें। विश्वास करें इनके परिणाम अद्भुत हैं!

इससे आप क्या हासिल करेंगे?

• आपके वार्ता कौशल में सुधार होगा जो आपको अपने विचारों को साक्षात्कार(interview) में प्रस्तुत करने में मदद करेगा।
• आपने जो भी सीखा है, उस पर आपका आत्मविश्वास बढ़ेगा और जो आप जानते हैं उसे उसी आत्मविश्वास के साथ सामने वाले और हितधारकों(stakeholders) को व्यक्त करने में सक्षम होंगे।
• आप जो कुछ भी जानते हैं उसका समाज में योगदान करेंगे, और अन्य लोग भी आपसे सीख पाएंगे।

सर्टिफिकेशन्स (certifications) :

जब आपके पास विषय का पर्याप्त ज्ञान होता है, तो आपकी प्रोफ़ाइल को बढ़ावा देने और आपको भीड़ से अलग करने के लिए सर्टिफिकेशन सोने पे सुहागा हो सकता है। कम से कम एक या दो उद्योग मान्यता प्राप्त सर्टिफिकेशन्स को अपने नाम करें।

1. OSCP
2. CRES
3. GPEN

आप क्या हासिल करेंगे?

• आपका प्रोफाइल भीड़ से बिल्कुल हटकर होगा।
• यह साक्षात्कर्ता को आपकी प्रोफ़ाइल छांटने में मदद करता है (जो कि नौकरी पाने का पहला कदम है, जो इंटरव्यू का न्योता आने से भी पहले आता है)
• आपके नियोक्ताओं(recruiters) को यह विश्वास होगा कि आप एक निश्चित बात को गहराई से जानते हैं और वे अपने ग्राहकों को और अधिक व्यापार पाने के लिए इसे प्रर्दशित कर सकते हैं। (उदाहरण के लिए, यदि मैं एक कंपनी के लिए व्यवसाय विकास प्रबंधक हूं और मुझे एक ग्राहक को यह विश्वास दिलाना है कि मेरी कंपनी के पास उनकी कंपनी के लिए पैठ परीक्षण(ethical hacking) सेवाओं के लिए सर्वोत्तम उद्योग संसाधन हैं और टीम के पास ऐसे विशेषज्ञ हैं जो OSCP / CREST या GPEN प्रमाणपत्र रखते हैं, वहाँ उच्च संभावना है कि ग्राहक आश्वस्त(convinced) होगा।

परीक्षण वेबसाइट्स पर जाएँ और hacking आज़माए:

विशेषसे हैकर्स या जो लोग हैक करना सीख रहे हैं, उनके लिए काफी अच्छी संख्या में वेबसाइट्स हैं, जहाँ आप विभिन्न साइबर अटैक से संबंधित हमलों का अभ्यास कर सकते हैं और सीख सकते हैं।

निम्न सूची आपको परीक्षण के लिए, अपनी हैकिंग क्षमता और साइबर सुरक्षा ज्ञान परखने के लिए 14 वेबसाइट देती है:

तीसरा पड़ाव (12 18 महीने) :  सीखे + साझा करें + कमाएँ

Bug Bounty(बग खोजने पर ईनाम) में हिस्सा लें

यह वह जगह है जहाँ वास्तविक काम (मज़ा) शुरू होता है। कुछ बग बाउंटी प्रोग्राम में भाग लेना शुरू करें। प्रारंभ में, यह कठिन हो सकता है, लेकिन धीरे-धीरे आप बेहतर होते चले जाएंगे, अभिस्वीकृत(acknowledge) किये जाएंगे और आपकी कड़ी मेहनत और निष्ठा(dedication) के लिए “Thank you!”(धन्यवाद!) और “congratulations”(बधाई हो!) जैसे ई-मेल आने शुरू हो जाएंगे। नौकरियों के लिए आवेदन शुरू करने से पहले सुनिश्चित करें कि आपके झोले में 4-5 “Bug Hunt”( खोजे गए बग) हैं।

नौकरी के लिए आवेदन शुरू करें :

अब आपके ज्ञान का परीक्षण करने और मान्यता प्राप्त करने का समय आ गया है।

• अब तक आप अपने विशेषज्ञता(expertise) के क्षेत्र में कुछ ब्लॉग / लेख लिख चुके हैं। आपके पास दिखाने को कुछ बग बाउंटी भी हैं (जो साबित करता है कि आप चीजों को विस्तार से जानते हैं और उन पर आपने व्यक्तिगत प्रशिक्षण(hands-on experience) किया है।
• आपके पास सर्वश्रेष्ठ उद्योग-मान्यता प्राप्त प्रमाणपत्र हैं जो आपको भीड़ से अलग करते हैं और आप उनको अपने नाम के पीछे लगाने के हकदार भी हैं।
• तो चलिए! आपका दिन शुरू होता है अब!