রবিবার, ২৮ সেপ্টেম্বর, ২০১৪

Ethical Hacking Course with Kali Linux-Part:1

Kali Linux কি ?
  • প্রথমেই বলে নেয় Kali Linux হলো Security Professional-দের কাছে সব থেকে পছন্দের একটা অপারেটিংসিস্টেম |
  • Kali Linux হলো Advanced Debian Linux based OS যেখানে Security Professional-দের জন্য রয়েছে অসংখ্য ওপেনসোর্স সফটওয়্যার যার দ্বারা একজন Security Professional Penetration Testing, কম্পিউটার  ফরেনসিক এবং সিকিউরিটি অডিট করতে পারে |
  • Kali Linux-এ ৩০০ উপরে Penetration Testing এবং Assessment টুলস রয়েছে |
  • Kali Linux সাপোর্ট করে বিভিন্ন ধরনের additional হার্ডওয়্যার যেমন ওয়্যারলেস হার্ডওয়্যার, PCI হার্ডওয়্যার ইত্যাদি |
  • এটা customizable  এবং ওপেনসোর্স |
  • Kali live এবং standalone OS হিসেবে ব্যবহার করা যায় |
  • এটা provide করে একটা development environment with C, Python এবং Ruby.

Kali Installation:
Kali Linux dual boot হিসেবে একটা existing OS-এর সাথে অথবা ভার্চুয়াল মেশিনে ইনস্টল করা যায়| Beginner হলে  আমি সাজেস্ট করবো ভার্চুয়াল মেশিনে ইনস্টল করতে | মজার ব্যপার হলো Kali কিন্তু  Linux Deploy নামে একটা Apps-এর মাধ্যমে Android ফোন সেট-ও ইনস্টল করা যায় |

Download & BOOT:
  • Kali Linux installation-এর আগে আপনাকে এই লিংক(http://www.kali.org/downloads/) থেকে ISO ডাউনলোড করে একটা pen drive-এ bootable অথবা DVD-তে burn করে নিতে হবে |
  • Kali Linux ISO 32 bit(x86) এবং 64 bit(x64) উভয় system architecture-এর জন্য available.
  • Bootable device যেমন অপটিক্যাল ড্রাইভ অথবা USB.
Hardware Requirements
  • Hard-disk = Minimum 12 GB 
  • RAM =  Minimum 1 GB RAM for optimum performance

Next part-এ ভার্চুয়াল মেশিনে(VMware) Kali লিনাক্স ইনস্টলেশন দেখাবো ইন-শাহ-আল্লাহ|

এর দ্বারা পোস্ট করা এই সময়ে 1 টি মন্তব্য:

শনিবার, ২৭ সেপ্টেম্বর, ২০১৪

Ethical Hacking Course Basic-Part:4

একটা নেটওয়ার্ক -এ কি কি ধরনের attack হতে পারে:

একটা Network-এ যদি proper সিকিউরিটি মেজারমেন্ট  বা কন্ট্রোল  implement না করা থাকে  তাহলে যে কোনো সময় Network টা unauthorized মনিটরিং বা বিভিন্ন ধরনের নেটওয়ার্ক attacker কবলে পড়তে পারে যেটা নেটওয়ার্কের বাইরে থেকেও হতে পারে আবার ভিতর থেকেও হতে পারে |

নিচে বিভিন্ন ধরনের নেটওয়ার্ক attack-এর টাইপ তুলে ধরা হলো-

• Denial of Service (DoS) attack

• Distributed Denial of Service (DDoS) attack

• SYN attack

• Sniffer Attack

• Man-In-The-Middle (MITM) attack

• IP Address Spoofing Attack

• ARP (Address Resolution Protocol) Spoofing Attacks

• DNS (Domain Name System) Spoofing Attacks

• Phishing and Pharming Spoofing attacks

• Backdoor Attacks

• Password Guessing Attacks

• SQL Injection Attacks

Next part-এ এগুলার বিস্তর আলোচনা নিয়ে আসবো ইন-শাহ-আল্লাহ |
এর দ্বারা পোস্ট করা এই সময়ে কোন মন্তব্য নেই:

শুক্রবার, ২৬ সেপ্টেম্বর, ২০১৪

Ethical Hacking Course Basic-Part:3

কারা এই attacker এবং কতিপয় সিকিউরিটি টার্ম:

Part-2 তে উল্লেখ করেছিলাম একটা organisation-এর  নেটওয়ার্ক, ইমেইল, ওয়েবসাইট এবং employee-কে যদি সিকিউর করা যায় তাহলে ওই organisation-এর information-ও সিকিউর করা যাবে | এখন প্রশ্ন হলো কিভাবে ওগুলোকে সিকিউর করা যায় | আসুন এই বিষয় টা জানার আগে কিছু সিকিউরিটি টার্ম এবং কারা এই সিকিউরিটি break করে তাদের সম্পর্কে জেনে আসি-যারা এই সিকিউরিটি break করে তাদের কে আমরা বলি হ্যাকার |

হ্যাকার হলো এমন একজন যিনি কম্পিউটার নেটওয়ার্ক এবং প্রোগ্রামিং সম্পর্কে অগাধ জ্ঞান রাখেন এবং সে তার এই জ্ঞান দিয়ে কোনো একটা সিস্টেমের week-point গুলো খুঁজে বের করেন এবং সেই অনুযায়ী সিস্টেমকে exploit করেন |

এটা তিনি করেন অনেক সময় সখের বসে বা ভাব দেখানোর জন্য যে আমিও হ্যাক করতে পারি! আবার অনেক সময় খারাপ উদ্দেশ্য সাধনের জন্য যেমন কারো bank-এর ইমেইল id-পাসওয়ার্ড চুরি করে টাকা-পয়সা হাতিয়ে নেয়া ইত্যাদি, আবার কিছু আছে যারা কোনো একটা সিস্টেমের week-point  গুলো খুঁজে বের করে সিস্টেম owner কে জানিয়ে দেন কোন ক্ষতি করেন না, আবার কেউ কেউ আছেন যখন তারা পাগলা বাবার দরবারে নিয়মিত আসা যাওয়া করেন সেই সময় একদম সাদা টুপি-পাজামা পরে মসজিদে যান, যেই বাবার দরবারে যাওয়া কমিয়ে দেন অমনি কালো টুপি পরে রাতে চুরি করতে বের হোন, আবার কেউ কেউ আছে রাজনৈতিক উদ্দেশ্য সাধনে হ্যাক করে, আবার কিছু আছে যারা হ্যাক-এর "হ" বুঝে না কোনো মতে ইন্টারনেট ঘেটেঘুটে একটা হ্যাকিং টুলস ডাউনলোড করে হ্যাক করে |

এবার আসুন একটু specify করি-

(১) ওই যে যিনি খারাপ উদ্দেশ্য সাধনে হ্যাক করেন তিনি হলেন - Black Hat হ্যাকার |

(2) আর যিনি সিস্টেমের week-point গুলো খুঁজে বের করে owner কে জানান তিনি হলেন - White Hat হ্যাকার |

(৩) আর ওই যে যিনি পাগলা বাবার দরবারে আসা যাওয়া করেন  উনি হলেন - Gray Hat হ্যাকার |

(৪) আর যিনি রাজনৈতিক উদ্দেশ্য সাধন করেন তিনি হলেন - Hacktivist |

(৫) হ্যাক-এর "হ" বুঝেন না যিনি উনি হলেন - Script Kiddie |


একটা organisation-এর  Security Analysis-করার  জন্য একজন Security Administrator-কে যে সব সিকিউরিটি টার্ম গুলো জানা আবশ্যক-

(১) Asset: Asset একটা অর্গানাইজেশনের জন্য valuable যে কোনো কিছু হতে পারে যেমন Properties, Vehicles, Heavy Equipment's, Plants, Buildings, Employees, Computers, Data, Intellectual Properties, কোম্পানি image ইত্যাদি |

(2) Vulnerability : Vulnerability হলো একটা সিস্টেমের week-point যেটার সুযোগ নিয়ে একজন হ্যাকার attack করতে পারে |

(৩) Vulnerability Assessment : একটা সিস্টেমের week-point গুলা identify করায় হলো  Vulnerability Assessment.

(৪) Threat : Threat একটা অর্গানাইজেশনের Asset-এর জন্য danger এমন যে কোনো কিছু হতে পারে|

(৫) Threat Agent : Threat Agent হলো একজন ব্যক্তি বা element যার দ্বারা Threat সম্পন্ন করা হয় |

(৬) Exploit : এটা হলো code বা কম্পিউটার program যার মাধ্যমে একজন attacker vulnerability-এর  সুযোগ নিয়ে সিস্টেমে প্রবেশ করে|

(৭) Risk : Risk = Vulnerability + Threat
অর্থাৎ Risk হলো কোনো Threat/Threat Agent দ্বারা কোনো সিস্টেমের vulnerability Exploit করার সম্ভাব্যতা |


এর দ্বারা পোস্ট করা এই সময়ে কোন মন্তব্য নেই:

মঙ্গলবার, ২৩ সেপ্টেম্বর, ২০১৪

Ethical Hacking Course Basic-Part:2

Information বা তথ্য সিকিউর করা জরুরী কেন :

মোজেজা বা অলৌকিক, কবিতা ও সাহিত্য এবং বিজ্ঞানের যুগ পার করে আজ আমরা পদার্পণ করেছি তথ্য প্রযুক্তির যুগে | এই যুগে শুধু তথ্য সমৃদ্ধ থাকলেই হবে না এটাও নিশ্চিত করতে হবে  আপনার তথ্য কতটা সিকিউর | কারণ আমরা সবাই জানি  "উইকিলিকসে তথ্য ফাস আর আমেরিকার সর্বনাশ " অথবা "যুদ্ধাপরাধীর বিচার সম্পর্কিত-বিচারপতির skype কেলেংকারী"
অথবা একবার ভাবুনতো আপনি আপনার কষ্টার্জিত টাকা i-banking-এর  মাধ্যমে বাড়িতে আপনার বাবাকে পাঠাচ্ছেন কুরবানির গরু কিনতে আর নেটওয়ার্ক-এ ওতপেতে বসে থাকা  একজন হ্যাকার আপনার টাকা চুরি করে girlfriend-কে নিয়ে KFC-তে বসে আস্ত মুরগি চিবাচ্ছে!!
এবার আরেকবার ভাবুন এই তীব্র প্রতিযোগিতামুলুক মার্কেটে একটা অর্গানাইজেশন বা কোম্পানির business information যদি wrong hand-এ চলে যায় তাহলে ওই কোম্পানি বা  অর্গানাইজেশনের  কি হতে পারে ?
এতক্ষণে নিশ্চয় বোঝার বাকি নেই যে তথ্য শুধু থাকলেই হবে না সেটা সিকিউর থাকা কতটা জরুরী |

এবার দেখি  business information কয় ধরনের হতে পারে:

 sensitivity লেভেল অনুযায়ী business information-কে আমরা কয়েক ভাবে ভাগ করতে পারি-
(১) Public information: একটা কোম্পানি বা organisation-এর  Public information হলো সেই information যেটা সবার জন্য উন্মুক্ত এবং যেটা লস্ট হলে কোম্পানির কোনো ক্ষতি হবে না |

(২) Internal information : একটা কোম্পানি বা organisation-এর Internal information হলো সেই information যেটা কোম্পানির অভ্যন্তরে ব্যবহার করবে but লস্ট হলে খুব একটা ক্ষতি হবে না |

(৩) Confidential information : একটা কোম্পানি বা organisation-এর Confidential information হলো সেই information যেটা lost হলে কোম্পানির ফিনান্সিয়াল এবং operational ক্ষতি হতে পারে |

(৪) Secret information : Secret information একটা কোম্পানি বা organisation-এর জন্য খুবই sensitive যেটা কখনই publicly প্রকাশ হওয়া যাবে না, হলে কোম্পানির serious ক্ষতি হতে পারে |

(৫) Top secret information : Top secret information হলো একটা কোম্পানির সর্বোচ্চ sensitive information যেখানে শুধুমাত্র top management-এর এক্সেস থাকবে যেটা কখনই লস্ট করা যাবে না, আর lost হলে একটা কোম্পানির অস্তিত্ব বিলীন হয়ে যেতে পারে |

সর্বশেষ আরেকবার ভেবে দেখুন এই information গুলো বয়ে  নিয়ে বেড়ায় আপনার organization-এর নেটওয়ার্ক, ইমেইল,ওয়েবসাইট এবং employee. So আপনি যদি এই গুলোকে সিকিউর করতে পারেন তাহলে আপনার তথ্য হবে সিকিউর আর আপনার business হবে সমৃদ্ধ, তাই নয় কি ?
এর দ্বারা পোস্ট করা এই সময়ে ২টি মন্তব্য:

শনিবার, ২০ সেপ্টেম্বর, ২০১৪

Ethical Hacking Course Basic-Part:1

What is Information Security:
গুহাবাসী মানুষ থেকে শুরু করে অদ্যাবধি বড় বড় অট্টালিকায় বসবাসরত মানুষ সহ পৃথিবীর প্রতিটি প্রাণী যে বিষয়টি সব সময়ই নিশ্চিত করতে চেয়েছে সেটা হলো তার Security বা নিরাপত্তা-তার জীবন যাপনের সাথে প্রাসঙ্গিক সব জায়গায়|
এখন আসি Security বা নিরাপত্তা কি-Security বা নিরাপত্তা হইলো freedom বা সাধীনতার এমন একটা স্তর যেখানে আপনি যেকোনো বিপদ,risk অথবা attack হতে সম্পূর্ণ মুক্ত|
আর Information Security হইলো information অথবা information systems কে unauthorized access, use, disclosure, disruption, modification এবং destruction হতে প্রটেক্ট করা|
The goal of information Security:
information Security-এর উদ্দেশ্য হলো ৫ টি-
(i) Confidentiality-Confidentiality হলো information বা ডাটা যার উদ্দেশে send করা হবে সে ছাড়া অন্য কেউ view করতে পারবে না | এটাই হলো একটা information-এর Confidentiality|
(ii) Integrity-Integrity হলো receiver-এর উদ্দেশে send করা ডাটা বা information কেউ পরিবর্তন করতে পারবে না|
(iii) Availability-Availability হলো 'চাহিবা মাত্র ইহার বাহককে দিতে বাধ্য থাকিবে' এর মত অবস্থা এর মানে হলো authorized user-কে সবসময় তার ডাটা নিশ্চিত করা |
(iv) Authenticity-Authenticity হলো ডাটা বা information-কে send বা দেয়ার আগে অবশ্যয় receiver-কে verify করতে হবে যে সে এই ডাটার জন্য authorized কিনা |
(v) Non-Repudiation-Non-Repudiation হলো sender কখনই অসীকার বা deny করতে পারবে না যে এই ডাটা সে send করেনি|
আর যখন আমরা উপরের ৫ টা বিষয়(Confidentiality,Integrity,Availability,Authenticity,Non-Repudiation) নিশ্চিত করতে পারবো কোনো system-এ তখন আমরা ওই system-টাকে বলতে পারবো secured বা নিরাপদ যদিও human-made কোনো system-ই ১০০% secured বা নিরাপদ নয় |
এর দ্বারা পোস্ট করা এই সময়ে ৬টি মন্তব্য:
এতে সদস্যতা: মন্তব্যসমূহ (Atom)