👨💻 Cybersecurity Legends & InfoSec Overview
👨💻 Kevin Mitnick
🧠 কে ছিলেন:
একজন দুনিয়া কাঁপানো হ্যাকার, যিনি TCP Session Hijacking আর IP Spoofing ব্যবহার করে বহু বড় বড় কোম্পানির নেটওয়ার্কে ঢুকে পড়তেন। পরবর্তীতে জেল থেকে বের হয়ে gray hat hacker হয়ে যান।
🔧 Techniques যেগুলো ব্যবহার করেছেন:
- TCP Session Hijacking
- IP Spoofing
- Social Engineering (মানুষকে ধোঁকা দিয়ে access নেওয়া)
🎯 CEH মডিউল অনুযায়ী:
| Technique | CEH Module | বাস্তব ব্যবহার |
|---|---|---|
| TCP Session Hijack | Module 12 | Login session চুরি করা (cookie/session ID) |
| IP Spoofing | Module 10 | Network trust ভাঙা |
| Social Engineering | Module 8 | মানুষকে manipulate করে access নেওয়া |
📌 বাস্তব ঘটনা:
Motorola, Nokia, Sun Microsystems এর মতো কোম্পানির system এ ঢুকেছিলেন।
💡 CEH শেখার জন্য:
- TCP/IP protocol-এর দুর্বলতা exploitation-এর জন্য এখনো ব্যবহৃত হয়।
- Security design-এ authentication verification থাকা জরুরি।
📞 Kevin Poulsen (a.k.a. Dark Dante)
🧠 কে ছিলেন:
একজন প্রাক্তন black hat hacker, যিনি ১৯৮০ সালের দিকে LA radio station এর phone lines hack করে Porsche জিতেছিলেন।
🔧 Techniques যেগুলো ব্যবহার করেছেন:
- Telephony system hack
- War dialing techniques
- PBX manipulation
🎯 CEH মডিউল অনুযায়ী:
| Technique | CEH Module | বাস্তব ব্যবহার |
|---|---|---|
| Telephony Hacking | Module 10 | VoIP system এ intrusion করা |
| War Dialing | Module 13 | বিভিন্ন ফোন নাম্বার scan করে vulnerability খোঁজা |
📌 বাস্তব ঘটনা:
➡️ ফোন লাইনের control নিয়ে নিয়ে অন্যদের call ঢুকতে দেয়নি।
🔐 Information Security Overview
🎯 CIA Triad (Fundamental Elements)
| 🎫 Concept | 📖 Meaning (Bangla-English) |
|---|---|
| 🔒 Confidentiality | শুধু authorized user দের জন্য তথ্য accessible রাখা। |
| ✅ Integrity | Data accurate এবং পরিবর্তনহীন (tamper-proof) রাখা। |
| 🌐 Availability | প্রয়োজনে authorized user যেন access করতে পারে। |
🔎 Additional Key Elements (ISO/IEC 27000:2009 অনুযায়ী)
- 🧾 Authenticity: সত্যিকারের বা genuine হওয়ার নিশ্চয়তা
- 📜 Auditing & Accountability: কে কী করেছে তা log রাখার ব্যবস্থা
- 🚫 Non-Repudiation: কেউ যেন deny করতে না পারে, “আমি করিনি”
⚖️ Security vs Functionality vs Usability
বেশি Security → usability কমে যেতে পারে
বেশি Usability → security ঝুঁকি বাড়ে
🎯 CEH exam-এ এটা theoretical concept হিসেবে আসে
বেশি Usability → security ঝুঁকি বাড়ে
🎯 CEH exam-এ এটা theoretical concept হিসেবে আসে
🧑💻 Types of Hackers (সাধারণ শ্রেণিবিভাগ)
| Hacker Type | Summary (Bangla-English) |
|---|---|
| 🕶 Black Hat | Malicious hacker, illegal কাজ করে |
| ⚪ White Hat | Ethical hacker, system test করে অনুমতিসহ |
| ⚫⚪ Gray Hat | ভালো-মন্দ দুটোই করে, কিন্তু অনুমতি ছাড়া |
| 🧒 Script Kiddie | অন্যের বানানো script দিয়ে hack করে, নিজে কিছু জানে না |
| 🏛 State-Sponsored | Government-sponsored hacker |
| ✊ Hacktivist | Social/political cause এর জন্য hack করে |
| 💣 Suicide Hacker | ধরা পড়ার ভয় নেই, extreme damage করতে পারে |
| ☠️ Cyberterrorist | Religion/Politics ভিত্তিতে fear/violence ছড়ায় |
🧠 Hacking Vocabulary
| 🗣️ Term | 📖 Meaning (Bangla-English) |
|---|---|
| 💸 Hack Value | Attacker-এর চোখে target কতটা valuable |
| 🛠 Vulnerability | System-এর দুর্বলতা (code flaw, config issue) |
| ⚠️ Threat | Vulnerability exploit করার potential |
| 💣 Exploit | Vulnerability-এর উপর হামলার actual technique |
| 📦 Payload | Malicious code যা exploit-এর সাথে carry হয় |
| 🕳 Zero-Day Attack | Vendor fix দেয়ার আগেই unknown flaw exploit করা |
| 🔗 Daisy Chaining | এক system থেকে pivot করে অন্য system hack করা |
| 📁 Doxing | ব্যক্তিগত তথ্য (PII) leak করা (often malicious intent) |
| 🏗 EISA | Organization-এর IT system-এর structure planning model |
🧾 Threat: এমন কোনো সম্ভাব্য হুমকি, যা system-এর দুর্বলতাকে (vulnerability) কাজে লাগিয়ে আক্রমণ করতে পারে।
🧠 Hacking Concepts & CEH Overview
🔐 Threat Categories (মুখ্য হুমকির ধরন)
- Network Threats: Information Gathering, Sniffing & Eavesdropping, DNS/ARP Poisoning, MITM Attack, DoS/DDoS, Password-based Attacks, Firewall/IDS Bypass, Session Hijacking
- Host Threats: Password Cracking, Malware Attacks, Footprinting & Profiling, Arbitrary Code Execution, Backdoor Access, Privilege Escalation, Local Code Execution
- Application Threats: Injection Attacks, Improper Input Validation, Error Handling Issues, Hidden-Field Manipulation, Broken Session Management, Weak Cryptography, Buffer Overflow, Phishing, Security Misconfigurations, Information Disclosure
🧾 🔍 Footprinting : একটি টার্গেট সিস্টেম সম্পর্কে তথ্য সংগ্রহ করা — IP address, domain, emails, technologies, etc.
🧾 📊 Profiling : সংগৃহীত তথ্য বিশ্লেষণ করে system structure, vulnerabilities ও weak points নির্ধারণ করা।
🧾 Arbitrary Code Execution কী?
এটি এমন একটি নিরাপত্তা দুর্বলতা (vulnerability) যার মাধ্যমে হ্যাকার ইচ্ছামতো কোড run করাতে পারে টার্গেটের মেশিনে বা অ্যাপ্লিকেশনে।
🧾 Buffer Overflow ঘটে যখন একটি প্রোগ্রাম একটি নির্দিষ্ট সীমার বাইরে অতিরিক্ত ডেটা মেমোরিতে লেখে, ফলে গুরুত্বপূর্ণ ডেটা ও execution flow corrupt হয়ে যায়।ঘটে যখন একটি প্রোগ্রাম একটি নির্দিষ্ট সীমার বাইরে অতিরিক্ত ডেটা মেমোরিতে লেখে, ফলে গুরুত্বপূর্ণ ডেটা ও execution flow corrupt হয়ে যায়।
🎯 Common Attack Vectors
🧠 সংক্ষিপ্ত সংজ্ঞা (বাংলা)
- APT (Advanced Persistent Threat): দীর্ঘমেয়াদি, টার্গেটেড এবং গোপন হামলা, সাধারণত রাষ্ট্র-সমর্থিত।
- Cloud Threats: ক্লাউড সিস্টেমের ভুল কনফিগারেশন বা দুর্বলতার কারণে ডেটা ফাঁস বা অবৈধ প্রবেশ।
- Malware: ক্ষতিকর সফটওয়্যার যা সিস্টেমে ক্ষতি করে।
- Ransomware: ফাইল এনক্রিপ্ট করে মুক্তির জন্য মুক্তিপণ দাবি করা ম্যালওয়্যার।
- Mobile Threats: মোবাইল ডিভাইসে স্পাইওয়্যার, দুর্বল এনক্রিপশন বা স্নিফিং আক্রমণ।
- Botnets: অনেক ইনফেক্টেড ডিভাইসের সমন্বিত ম্যালিশিয়াস নেটওয়ার্ক।
- Insider Threats: প্রতিষ্ঠানের ভিতরের কেউ ক্ষতি করে।
- Phishing: ভুয়া ইমেইল বা ওয়েবসাইট দিয়ে তথ্য চুরি করা।
- Web App Attacks: ওয়েব অ্যাপে SQLi, XSS ইত্যাদি আক্রমণ।
- IoT Threats: ইন্টারনেট অফ থিংস ডিভাইসের দুর্বলতা কাজে লাগানো।
💥 Types of System Attacks
- Operating System Level: Guest account, Default password, Buffer overflow, Patch flaws
- Application Level: SQLi, XSS, DoS, Bugs
- Misconfiguration: Access-list flaws, SQL permissions
- Shrink-Wrap Code: Default/vulnerable code, CGI script flaws
📋 Vulnerability Lists & Ratings
- CVSS: Severity scoring (0–10)
- CVE: Known vulnerabilities (by MITRE)
- NVD: NIST-maintained CVE database
Vulnerability Categories: Misconfiguration, Buffer Overflow, Missing Patch, Design Flaw, OS Flaws, Default Installation, Default Passwords
🧪 CEH: Ethical Hacking Phases
- Pre-Attack Phase: Reconnaissance (Passive: Google, Social Media; Active: Nmap, Nessus, Nikto)
- Scanning & Enumeration: Info collect using Nmap, Netcat, Enum4linux
- Gaining Access: Brute Force, Exploit, Misconfig
- Maintaining Access: Rootkit/backdoor with Netcat, Reverse Shell, RATs
- Covering Tracks: Clear logs, obfuscate tools, hide backdoors
0 Comments