kozi ya ethical hacking

kozi ya ethical hacking

Free Course
General Course

Course Modules

Viewing Preview

You can view this course without enrolling. Your progress won't be saved unless you login and enroll.

Login to Enroll
You're previewing this course. Login to enroll to save your progress.

Module 1: Utangulizi wa Ethical Hacking

  • Nini ni Ethical Hacking?

  • Historia ya Ethical Hacking

  • Aina za Wahacker

  • Maadili ya Ethical Hacking

  • Sheria na Kanuni za Usalama wa Mtandao

  • Mchakato wa Ethical Hacking

Module 2: Aina za Mashambulizi ya Mtandao (Network Attacks)

  • Mashambulizi ya kawaida kwenye mitandao

  • DDoS (Distributed Denial of Service)

  • Man-in-the-Middle Attacks

  • Phishing na Social Engineering

  • Malware na Virusi

Module 3: Utafiti wa Udhaifu (Vulnerability Assessment)

  • Ufahamu wa udhaifu wa mfumo

  • Zana za utafiti wa udhaifu (kama Nmap, Nessus)

  • Kutambua na kuchambua udhaifu

Module 4: Kupenya Mifumo (System Penetration Testing)

  • Mbinu za kupenya mifumo

  • Kupenya mifumo ya Windows na Linux

  • Kutumia zana za kupenya (Metasploit, Burp Suite)

Module 5: Usalama wa Mtandao (Network Security)

  • Usalama wa Firewall na IDS/IPS

  • Encryption na VPN

  • Usalama wa Wireless Networks

Module 6: Usalama wa Tovuti na Programu (Web & Application Security)

  • Udhaifu wa tovuti (OWASP Top 10)

  • SQL Injection, Cross-Site Scripting (XSS)

  • Mbinu za kulinda programu na tovuti

Module 7: Ufuatiliaji na Ripoti ya Matokeo

  • Jinsi ya kufuatilia matokeo ya Ethical Hacking

  • Kuandika ripoti za kitaalamu

  • Mapendekezo ya usalama

Module 8: Sheria, Maadili na Viongozi wa Sekta

  • Sheria za hacking duniani na Tanzania

  • Maadili ya mtaalamu wa usalama wa mtandao

  • Viongozi na taasisi za usalama wa mtandao

Module Content

Module 1: Utangulizi wa Ethical Hacking

1. Nini ni Ethical Hacking?

Ethical Hacking ni mchakato wa kujaribu kuingia kwenye mfumo wa kompyuta au mtandao kwa lengo la kutambua na kurekebisha udhaifu wa usalama. Inafanyika kwa idhini ya mmiliki wa mfumo na kwa madhumuni ya kuimarisha usalama wa taarifa na data.

2. Historia ya Ethical Hacking

  • Asili ya neno “hacker” lilianza katika miaka ya 1960 katika MIT.

  • Awali, hacking ilikuwa ni shughuli ya kujaribu na kuboresha mifumo.

  • Baadaye, ilianza kuhusishwa na udukuzi usio wa maadili (black hat).

  • Ethical hacking ilibuniwa kama njia ya kupambana na udukuzi wa kihalifu kwa kutoa huduma za usalama kwa maadili.

3. Aina za hackers

  • Black Hat Hackers: hackers wa uhalifu wanaovunja sheria kwa maslahi yao binafsi.

  • White Hat Hackers (Ethical Hackers): hackers wanaofanya kazi kwa maadili, wakitumia ujuzi wao kuimarisha usalama wa mifumo.

  • Grey Hat Hackers: Hackers waliokatia katikati kati ya white na black hat, wanaweza kuvunja sheria lakini kwa madhumuni yasiyo ya uhalifu moja kwa moja.

  • State-Sponsored Hackers: Hackers wanaotumia ujuzi wao kwa ajili ya maslahi ya nchi zao, mara nyingi kwa shughuli za kijasusi.

4. Maadili ya Ethical Hacking

  • Kutoa ruhusa kabla ya kuingia kwenye mfumo wowote.

  • Kutoa ripoti ya udhaifu wote unaogunduliwa.

  • Kutoharibu au kuathiri data na mifumo.

  • Kulinda usiri wa taarifa zinazopatikana.

  • Kufanya kazi kwa uwazi na uaminifu.

5. Sheria na Kanuni za Usalama wa Mtandao

  • Sheria zinazozuia udukuzi wa mifumo bila idhini.

  • Haki za watumiaji na ulinzi wa data binafsi.

  • Adhabu za kuingia au kuharibu mifumo bila idhini.

  • Kanuni za kimataifa na za kitaifa zinazohusiana na usalama wa mtandao.

6. Mchakato wa Ethical Hacking

  • Reconnaissance: Kukusanya taarifa kuhusu lengo.

  • Scanning: Kuchunguza mfumo kutambua udhaifu.

  • Gaining Access: Kupenya kwenye mfumo kwa kutumia udhaifu.

  • Maintaining Access: Kuhakikisha mwendo wa kuendelea ndani ya mfumo (kwa madhumuni ya utafiti).

  • Covering Tracks: Kuondoa alama za kuingia (kama sehemu ya mchakato wa udukuzi halisi, lakini ethical hackers hawawezi kufanya hatua hii kwa maadili).

Module Content

Module 2: Aina za Mashambulizi ya Mtandao (Network Attacks)

Katika moduli hii, tutajifunza kuhusu aina mbalimbali za mashambulizi ya mtandao yanayoweza kuhatarisha usalama wa taarifa na mifumo ya kompyuta. Mashambulizi haya huathiri watu binafsi, mashirika, na hata serikali.

1. Mashambulizi ya Kawaida kwenye Mitandao

Mashambulizi ya kawaida ni yale yanayotokea mara kwa mara kwenye mitandao na huwalenga watumiaji wa kawaida au mashirika. Baadhi ya mashambulizi haya ni pamoja na:

  • Upatikanaji usioidhinishwa kwenye akaunti au mifumo

  • Udukuzi wa nywila (password cracking)

  • Upelelezi wa taarifa kupitia njia zisizo halali (eavesdropping)

Lengo: Kupata taarifa za siri, kuharibu mfumo au kufanya udukuzi wa kifedha.

2. DDoS (Distributed Denial of Service)

Hili ni shambulio linalolenga kufanya huduma ya mtandao isiweze kupatikana kwa watumiaji wake halali. Hufanywa kwa kutuma ombi nyingi kwa wakati mmoja kwenye seva hadi inashindwa kufanya kazi.

Mfano: Tovuti ya benki inaweza kushambuliwa kwa DDoS na kufanya wateja wake washindwe kupata huduma kwa muda.

3. Man-in-the-Middle (MitM) Attacks

Hapa mdukuzi hujipenyeza kati ya mawasiliano ya watu wawili au zaidi bila wao kujua. Anachukua au kubadilisha taarifa zinazotumwa bila kugundulika.

Mfano: Mtu anapojaribu kuingia kwenye akaunti yake ya benki kupitia Wi-Fi ya umma, mdukuzi anaweza kuiba taarifa za kuingia (login details).

4. Phishing na Social Engineering

Hii ni njia ya kuwadanganya watu ili kutoa taarifa zao binafsi kama vile nywila, nambari za kadi ya benki, au taarifa nyingine nyeti.

  • Phishing: Inatumia barua pepe au tovuti bandia zinazofanana na halisi.

  • Social Engineering: Hutegemea ujanja wa kijamii kama kujifanya mtu wa kuaminika ili kupata taarifa.

5. Malware na Virusi

Hizi ni programu hatarishi zinazotengenezwa kwa madhumuni ya kuharibu, kuiba, au kufuatilia taarifa bila idhini ya mtumiaji.

  • Virusi: Huambukiza mafaili na kueneza ndani ya mfumo.

  • Malware: Ni kundi la programu hatarishi kama spyware, ransomware, trojans, nk.

Mfano: Kompyuta inaweza kuambukizwa malware inapotembelea tovuti hatari au kufungua faili lenye virusi.

Hitimisho

Ni muhimu kufahamu aina hizi za mashambulizi ili kuchukua hatua za kujilinda dhidi yake. Uelewa wa mashambulizi haya huchangia katika kujenga mazingira salama ya kutumia mtandao.

Module Content

๐Ÿงช Module 3: Utafiti wa Udhaifu (Vulnerability Assessment)

Utafiti wa udhaifu ni mchakato wa kutambua, kuchambua, na kutathmini mapungufu ya kiusalama yaliyopo ndani ya mfumo, mtandao, au kifaa. Lengo ni kuzuia mashambulizi kabla hayajatokea kwa kutambua sehemu zilizo dhaifu na kuzifanyia marekebisho mapema.

1. Ufahamu wa Udhaifu wa Mfumo (Understanding System Vulnerabilities)

Udhaifu ni mapungufu au dosari katika mfumo ambayo mdukuzi anaweza kuitumia kufanikisha shambulizi. Mapungufu haya yanaweza kutokea kutokana na:

  • Mifumo ya uendeshaji (OS) isiyosasishwa

  • Programu zenye kasoro za kiusalama (security bugs)

  • Nywila dhaifu au zisizobadilishwa mara kwa mara

  • Upangaji mbaya wa usalama wa mitandao (misconfigured firewalls, permissions, etc.)

  • Taarifa nyeti zilizohifadhiwa bila encryption

Mfano:

Kompyuta ya ofisi inayotumia Windows ya zamani ambayo haijapokea updates kwa miezi kadhaa ina udhaifu mkubwa unaoweza kuruhusu malware kuingia kirahisi.

2. Zana za Utafiti wa Udhaifu (Tools for Vulnerability Assessment)

Ili kutambua na kuchambua udhaifu, wataalamu hutumia zana maalum (tools) zinazoweza kuchunguza mifumo na mitandao kwa kina.

Zana maarufu ni pamoja na:

  • ๐Ÿ” Nmap (Network Mapper):

    • Inatumika kuchunguza mitandao, kugundua vifaa vilivyopo, huduma zinazoendeshwa (open ports), na uwepo wa udhaifu.

    • Mfano: Inakuambia kuwa kompyuta fulani ina “port 21” wazi – ambayo inaweza kuwa njia ya kuingia kwa mdukuzi.

  • ๐Ÿ› ๏ธ Nessus:

    • Ni mojawapo ya zana zenye nguvu zaidi kwa ajili ya kufanya vulnerability scanning.

    • Huorodhesha udhaifu wote unaojulikana katika mifumo, hutoa tathmini ya hatari (risk level), na mapendekezo ya kurekebisha.

  • โš™๏ธ Zana nyingine:

    • OpenVAS – scanner ya bure na wazi kwa ajili ya udhaifu

    • Nikto – scanner ya udhaifu kwenye tovuti/web servers

    • Burp Suite – hutumika zaidi kwa utafiti wa udhaifu kwenye tovuti

3. Kutambua na Kuchambua Udhaifu (Identifying and Analyzing Vulnerabilities)

Baada ya kutumia zana, hatua inayofuata ni:

i. Kutambua (Identify):

  • Tambua sehemu zote zilizo wazi au zisizo salama.

  • Hakikisha taarifa zote zinarekodiwa – mfano: IP address, aina ya udhaifu, port iliyoathirika.

ii. Kuchambua (Analyze):

  • Panga udhaifu kwa kiwango cha hatari (Low, Medium, High, Critical).

  • Angalia ni zipi zinaweza kutumiwa haraka na mdukuzi.

  • Tambua athari iwapo udhaifu hautarekebishwa.

iii. Kuweka Kipaumbele (Prioritize):

  • Fanya marekebisho kwa haraka kwenye udhaifu ulio hatari zaidi, hasa unaohusisha:

    • Taarifa za kifedha

    • Watumiaji wa ndani (internal users)

    • Mitandao ya ofisi au taasisi

Hitimisho

Utafiti wa udhaifu ni hatua muhimu sana katika kulinda mifumo dhidi ya mashambulizi. Kwa kutumia zana sahihi na kuelewa mapungufu ya mfumo, taasisi inaweza kuzuia udukuzi kabla haujatokea.

“Usalama hauanzi kwa kushambuliwa – unaanza kwa kujua udhaifu wako mwenyewe.”

No content available for this module yet.

๐Ÿ› ๏ธ Module 4: Kupenya Mifumo (System Penetration Testing)

Kupenya mfumo (au penetration testing) ni mchakato wa kujaribu usalama wa mfumo wa kompyuta kwa kuufanyia mashambulizi ya kimajaribio, kwa lengo la kutambua udhaifu wake kabla mdukuzi halisi hajaufanyia shambulizi.

Penetration testing ni sehemu muhimu ya usalama wa mtandao kwa sababu hukusaidia kutambua udhaifu kwa vitendo, badala ya kuutegemea nadharia tu.

1. Mbinu za Kupenya Mifumo (Penetration Techniques)

Kupenya mifumo kunahusisha hatua mbalimbali, ambazo hufuata mchakato unaoeleweka. Hapa ni baadhi ya mbinu zinazotumika:

i. Upelelezi (Reconnaissance)

  • Kukusanya taarifa za awali kuhusu shabaha (target) kama:

    • IP addresses

    • Vituo vya huduma (services)

    • Mfumo wa uendeshaji

  • Zana: Nmap, Whois, Shodan

ii. Uchambuzi wa Udhaifu (Vulnerability Scanning)

  • Tambua sehemu dhaifu zinazoweza kupenywa

  • Zana: Nessus, OpenVAS, Nikto

iii. Kupenya Mfumo (Exploitation)

  • Kutumia taarifa za udhaifu kuingia kwenye mfumo

  • Kutekeleza mashambulizi ya mfano ili kuonyesha kiwango cha athari

iv. Upataji wa Haki za Juu (Privilege Escalation)

  • Baada ya kuingia, hujaribu kupata haki za "admin/root"

  • Hii huruhusu mdukuzi kufanya mabadiliko kwenye mfumo wote

v. Kuficha Uwepo (Maintaining Access & Covering Tracks)

  • Mdukuzi anaweza kuacha milango wazi (backdoors) ili kurudi tena

  • Anafuta ushahidi wa kuwepo kwake

2. Kupenya Mifumo ya Windows na Linux

Mifumo miwili mikubwa ya kompyuta ambayo hujaribiwa mara nyingi ni Windows na Linux. Kila moja ina mazingira yake maalum ya kupenya.

๐ŸชŸ Kupenya Windows

  • Windows inalengwa sana kwa sababu inatumika sana.

  • Udhaifu wa kawaida: SMB vulnerabilities, misconfigured RDP, weak user passwords

  • Zana maarufu: Metasploit, PowerShell Empire, Mimikatz

๐Ÿง Kupenya Linux

  • Ingawa Linux ni salama zaidi, bado ina mapungufu hasa katika:

    • Ruhusa mbovu za faili

    • Scripts zilizoandikwa vibaya

    • SSH misconfiguration

  • Zana: Hydra, John the Ripper, Netcat

Lengo la kupenya mifumo hii: Ni kuonyesha ni kwa namna gani mhalifu anaweza kuvamia, ili hatua zichukuliwe kurekebisha mapungufu hayo.

3. Kutumia Zana za Kupenya (Penetration Tools)

๐Ÿงฐ Metasploit Framework

  • Zana maarufu kwa ajili ya kufanikisha mashambulizi ya majaribio (exploitation)

  • Ina database ya udhaifu na modules za kutumia kwa mashambulizi tofauti

  • Inaruhusu kupenyeza mfumo, kuondoa taarifa, na hata kutengeneza backdoor

๐Ÿงช Burp Suite

  • Zana ya kuchunguza na kupenya tovuti (Web Application Security Testing)

  • Hutumika kugundua:

    • SQL injection

    • Cross-site scripting (XSS)

    • Broken authentication

  • Inaweza kuingilia mawasiliano kati ya mtumiaji na tovuti (proxy-based testing)

๐Ÿ› ๏ธ Zana nyingine muhimu:

  • Hydra: Kuvunja nywila kwa kutumia mbinu ya brute force

  • Netcat: “Kisu cha Jeshi” cha mitandao — hutumika kwa kuwasiliana na port, kuanzisha backdoors

  • Wireshark: Kuchunguza data zinazosafirishwa kwenye mtandao (packet analysis)

โš ๏ธ Tahadhari ya Kimaadili

Kupenya mifumo ni shughuli ya kitaalamu na kimaadili, inayopaswa kufanywa tu kwa:

  • Ruhusa ya mmiliki wa mfumo

  • Madhumuni ya majaribio ya usalama (ethical hacking)

  • Ulinzi wa taarifa na mazingira ya taasisi

Usifanye penetration testing kwenye mifumo ya mtu au taasisi bila ruhusa — hiyo ni uhalifu.

โœ… Hitimisho

Kupenya mifumo ni njia bora ya kupima usalama kwa vitendo. Hufichua mapungufu ambayo yangetumiwa na wahalifu wa kimtandao, na kusaidia kuyarekebisha mapema. Kwa kutumia mbinu na zana sahihi, mashirika yanaweza kuimarisha ulinzi wao wa kidijitali.

“Hakuna mfumo usio na udhaifu — lakini udhaifu ukitambuliwa mapema, unakuwa silaha ya ulinzi.”

No content available for this module yet.

Quizzes & Assessments

No assessments have been created for this course yet.

Instructors

  • Captain
    +255659256606

Course Information

  • Course Type General Course
Chat with us!
Home Shop Blog Jobs Cart Search
ChuoSmart ChuoSmart Notifications

Stay updated with the latest products, courses, and messages by enabling notifications.