Fórum Root.cz
Práce => Studium a uplatnění => Téma založeno: NickMick92 12. 08. 2023, 12:14:10
-
Do třetice všeho dobrého. :) Objevil jsem pro mě úžasnou sféru etického hackování. Asi to není něco, co bych někdy dokázal dělat profesionálně v plné šíři, ale přesto bych se o tom chtěl více dozvědět. Myslíte si, že je možné naučit se základy etického hackování? Říkal jsem si, že testovat weby by nemuselo být tak složité. Je možné se naučit provádět penetrační testy i bez hluboké znalosti IT? A shání firmy etických hackerů nějaké „pomocníky“?
Uvědomuju si, že to může znít směšně, ale je to dost zajímavá oblast a předpokládám, že firmy taky ocení, pokud budou mít bezpečnou síť. :)
-
Působí to asi jako "Slyšel jsem, že daňoví poradci vydělávají dost peněz. Můžu se nějak stát daňovým poradcem bez toho, abych se učil nudný daňový zákony?"
Pokud se chceš profesně věnovat něčemu okolo počítačů, tak je víceméně nutná podmínka to, aby tě počítače bavily a aby ses v nich nějakým způsobem "vrtal" (na jakékoliv úrovni) sám od sebe, minimálně ze začátku ve svém volném čase. To u tebe zjevně neplatí, takže bych být tebou nečekal, že by ses tím kdy mohl živit.
-
hacking to je znalost protokolu, sifrovani, assembleru. takze je to narocnejsi nez normalni programovani.
-
Prijde mi to jen jako pyramida a hrnce.. dnes mate kurzy na vsechno a lidi radi zaplati za to, aby si mohli rikat ze nejsou jenom Eticti hackeri, ale VYSKOLENI eticti hackeri.
Ponekud postradame definici co by onen hacker mel byt:
- bude to obsluha, ktera pusti nejaky testovaci package - tj. script kiddie
- bude to nekdo, kdo aktivne vyhledava chyby v sw, studovanim zdrojaku (OSS) nebo disassemblovanych binarek?
Jako skala neni uplne binarni a je trocha sirsi a existuje vicero pozic.. ale samotny pojem EH je nic nerikajici.
-
Čauko!
Pokud hledáš práci, mnohem lépe se uchytíš ze začátku jako IT admin (navíc z této pozice se poté dále dobře pokračuje do kyberbezpečnosti imo). Aby jsi mohl něco opravdu "hackovat" musíš to chápat lépe než člověk, který to programoval / nastavoval, tudíž počítej s tím, že dostat se do ofenzivní kyberbezpečnosti bude trvat poměrně dlouho. Osobně nevím jaká je situace na trhu, ale z toho co jsem slyšel tak spíše počítej s tím že (obzvl) do ofenzivní části se očekává praxe a hluboká znalost IT. Pokud tě to ale neodradí, zde jsou nějaké resourci, které můžou pomoct:
https://www.youtube.com/watch?v=oI9aaBpJvoA
https://picoctf.org/ (pico gym, ale být tebou tak se vrhnu spíš prvně na general skills a potom až na další kategorie)
https://www.wechall.net/
https://attack.mitre.org/
https://owasp.org/www-project-web-security-testing-guide/latest/
Nadále najdeš různé CTFka a i přes to že jsou placené
https://www.hackthebox.com/
https://tryhackme.com/
tak ale existují i veřejné / zdarma jako
https://www.vulnhub.com/
Silně doporučuji umět programovat .... budeš to potřebovat!
TLDR; Programuj, scriptuj, hrabej se v linuxu, hrabej se ve windows, dělej ctfka, a až to budeš všechno chápat tak potom bych teprve začal přemýšlet jak to rozbít / prolomit :D
Nutno dodat že nejsem vůbec expert na toto téma a také poměrně začínám, ale věřím tomu že to co jsem doporučil in-general neuškodí
-
staci si pozriet definiciu, kto to hacker vlastne je:
Hacker je většinou programátor s velmi dobrými znalostmi stavby operačních systémů a odborník na úpravy a konstrukci počítačových systémů a sítí. Dokáže je výborně používat, ale především upravit podle daných potřeb...
-
cas od casu si procitam phrack.org
clanky od starych hackeru z 80, 90, 00 let.
-
A precti si https://www.databazeknih.cz/serie/milenium-millennium-103
:D
-
Ahoj, díky za komentář a odkazy! Procházím to všechno a jsem nadšený. Práce v security je zatím pouze úvaha, ale takhle strukturovaně a pohromadě to vypadá zvládnutelně. :D Zatím jsem nenarazil na žádný inzerát, který by sliboval plné zaučení, takže se mi zdá, že trh spíš lační po zkušených ajťácích.
bude to obsluha, ktera pusti nejaky testovaci package - tj. script kiddie
bude to nekdo, kdo aktivne vyhledava chyby v sw, studovanim zdrojaku (OSS) nebo disassemblovanych binarek?
Řekl bych, že obojí. Ale chyby v SW jsou asi poslední level.
cas od casu si procitam phrack.org
clanky od starych hackeru z 80, 90, 00 let.
Díky za odkaz. To už je asi vyšší dívčí.
A precti si https://www.databazeknih.cz/serie/milenium-millennium-103
:D
Tak to přesně udělám! A dneska si udělám filmový večer. :D
-
Security me zivi 25+ let a jsou za tim tisice hodin stravenych vzdelavanim. Ted se security venuji jiz jenom jako vlastnik firmy ktery obcas neco probira se zakaznikem a obcas kdyz je chut tak se chvili ucastnim pentestu, presto rocne si udelam 5+ skoleni a navstivim 5+ konferenci (tady v US je tech konferenci docela hodne ve srovnani s evropou). Pokud jsi ochoten venovat vzdelavani vsechen svuj volny cas, hodne cestovat na skoleni a konference tak security je dobra volba co se tyce zabavy i penez.
-
Zdravím,
předám pár mouder na základě osobních zkušeností. V IT jsem se pohyboval kolem programování. Profesionálně jsem dělal vývojáře asi tři roky. Bezpečnost jsem znal pouze z pohledu řešení CTF a sledováním konferencí. Po vývoji jsem přešel na pozici penetračního testera a ze začátku jsem testovat prakticky výhrandě webové aplikace.
V případě, že najdete nějakou stáž, nebo zaměstnání, na začátku budete velmi pravděpodobně dělat právě testy webů. Je to takový základ, který na začátku profese budete potřebovat.
K webovým aplikacím jsou užitečné zdroje od PortSwiggeru - https://portswigger.net/web-security/learning-path. Tady naleznete popis typikých zranitelností a laby, kde si je můžete prakticky zkusit. Také si vyzkoušíte BurpSuite - https://portswigger.net/burp/communitydownload, který se při testech webů často používá.
OWASP Guide - https://owasp.org/www-project-web-security-testing-guide/stable/, je standard, který popisuje oblasti, které se u webovek testují a jakým způobem je možné je testovat. Společnosti často chtejí provedení testů na jeho základě. Na začátek bude asi složitejší ho pobrat, ale dá vám to představu o tom, co všechno se při reálném testu dělá. V praxi se s ním určitě setkáte.
K dalším zdrojům můžu doplnit zmiňované tryhackme.com a hackthebox.eu pokud jste ochoten platit předplatné.
hackthebox.eu je zaměřená spíše na CTF. Bez větších zkušeností se vyplatí právě předplatné, které umožňuje "hackovat" retired boxy. K těm můžete nalézt walktrough v případech kdy se zaseknete. Populární je třeba IppSec - https://www.youtube.com/@ippsec.
tryhackme.com mi subjektivně přijde zaměřené více na vzdělávání. Oblastí, které můžete projít je hromada. Na začátek je asi trochu vhodnější než hackthebox.
Myslím, že máte šanci najít nějakou stáž nebo zaměstnání i nyní. U nás jsme kdysi přijali juniorní lidi, které jsme postupně školili. Trvalo ale velmi, velmi, dlouho než byli schopni provést test více-méně samostatně.
Nečekejte, že to bude práce 9-17. Čeká vás nekonečné vzdělávání. Musí vás to bavit a musíte mít zápal. Pokud ano, od webů se postupně vyprofilujete k dalším oblastem.
Pokud by jste chtěl, napište SZ. Nemám problém předat nějaká další moudra nebo nasměřovat.
-
A precti si https://www.databazeknih.cz/serie/milenium-millennium-103
:D
Tak to přesně udělám! A dneska si udělám filmový večer. :D
A pak budeš ready na job za 10k/MD, držim palečky.
Jak vubec dopadla IT Rekvalifikace, už máš hotovo?
https://forum.root.cz/index.php?topic=27856.0
-
A precti si https://www.databazeknih.cz/serie/milenium-millennium-103
:D
Tak to přesně udělám! A dneska si udělám filmový večer. :D
Jak vubec dopadla IT Rekvalifikace, už máš hotovo?
https://forum.root.cz/index.php?topic=27856.0
Zatím všechno jen zkoumám. :)
-
Objevil jsem pro mě úžasnou sféru etického hackování.
Na to bacha, Guru Jára na háčking dojel..
-
Objevil jsem pro mě úžasnou sféru etického hackování.
Na to bacha, Guru Jára na háčking dojel..
Toho se asi bát nemusím...
-
neexistuje nic co by se nedalo alespon zkusit. Eticky hacking ma asi 1000 ruznych pododvetvi a nikdo nezna vsechno a dneska to ani nikdo realne neocekava. Zajima te to? To je zakladni otazka. Vydrzi ti ten zajem? To je hned druha v rade. Lidi bezne menej zamestnani a obor klidne i ve 40 ci 50 letech. Tvdit nekomu ze je na to pozde nebo ze na to nema je nesmysl, pokud to toho cloveka bavi a je ochoten tomu obetovat cas.
-
neexistuje nic co by se nedalo alespon zkusit. Eticky hacking ma asi 1000 ruznych pododvetvi a nikdo nezna vsechno a dneska to ani nikdo realne neocekava. Zajima te to? To je zakladni otazka. Vydrzi ti ten zajem? To je hned druha v rade. Lidi bezne menej zamestnani a obor klidne i ve 40 ci 50 letech. Tvdit nekomu ze je na to pozde nebo ze na to nema je nesmysl, pokud to toho cloveka bavi a je ochoten tomu obetovat cas.
No vzhledem k tématům jaké tady OP zakládá, na to nač se ptá, zatím jen zkoumá aniiž by na něco byť jen zdánlivě sáhnul atd, tak už ho mám dávno zaškatulkovaného mezi bambilionem dalších podobných které jsem za karieru potkal. Pán jen hledá snadné prachy a to ani v jednom směru IT není.
Za mně asi zopakuju to co už v jeho vláknech padlo. Školy nejsou v IT třeba když je zájem a chuť se neustále učit, zkoušet, vrtat se v tom co mě z oboru zajímá. Já se ke svému vysněnému oboru (linux sysadmin) dostal rokama dřiny a odříkání. A rozhodně jsem za svým cílem šel hlavně kvůli tomu, že mě daný obor zajímá a chtěl jsem jej dělat profesně celý život. Prachy nebyly motiv, sliušné peníze taky v daném odvětví nejsou úplná samozřejmost (každý hledá otroka co umí linux, windows, databáze, trošku síťařiny za plat uklízečky), ale dá se k tomu časem dojít.
Takže si myslím že OP už dávno místo "jen zkoumání" měl mít napsaných prvních pár scriptů, přečtenou nějakou knížku z oboru pro začátečníky atd.. ..ale to by pro něj bylo přirozené pokud by měl o obor reálný zájem.. ..ale tady jsou hlavní motiv peníze a takhle to IMHO v IT nefunguje.
Rád se budu mýlit, ale spíše se obávám že tohle není ten případ.
-
Ahoj, díky za komentář. Zajímá mě IT a teď už i EH. Začal jsem se zabývat různými kurzy a začnu od začátku. Nejprve základy Linuxu, Windows, networkingu, Pythonu a SQL. S EH bych navázal hned po tom. Obecně mám výdrž docela dobrou. I když mě něco zrovna nebaví, tak sedím a studuju.
neexistuje nic co by se nedalo alespon zkusit. Eticky hacking ma asi 1000 ruznych pododvetvi a nikdo nezna vsechno a dneska to ani nikdo realne neocekava. Zajima te to? To je zakladni otazka. Vydrzi ti ten zajem? To je hned druha v rade. Lidi bezne menej zamestnani a obor klidne i ve 40 ci 50 letech. Tvdit nekomu ze je na to pozde nebo ze na to nema je nesmysl, pokud to toho cloveka bavi a je ochoten tomu obetovat cas.
Pán jen hledá snadné prachy a to ani v jednom směru IT není.
Nehledám snadné prachy. :) Docela mě to nadchlo.
-
TDiblik a vXmUVBPz tu uvedli kvalitní zdroje. Dovolím si k nim přihodit https://kyberchod.cz/ (https://kyberchod.cz/). I když to není orientované ofenzivně, řada útočných technik je z úloh patrná. Pro úplné začátky je tam pak Hraničářský výcvik.
-
Rád se budu mýlit, ale spíše se obávám že tohle není ten případ.
Já jsem se tazatele na jeho motivaci k tomu všemu ptal. Logicky odpověď nepřišla. Samozřejmě nápomocné by bylo vědět, jaké pracovní zařazení tazatel má, případně jaké vzdělání.
Osobně mi přijde, že jeho představy patří do 90. let, když IT v ČR začínalo a brali kohokoliv, kdo uměl zapnout PC.
Jenom drobná a jízlivá poznámka do diskuze k formálnímů vzdělání. ČR je země levné práce, proto žádné vzdělání není potřeba a je spíše nevýhodou, naopak nízká nebo nesmyslná mzda je ta přednost.
-
Rád se budu mýlit, ale spíše se obávám že tohle není ten případ.
Já jsem se tazatele na jeho motivaci k tomu všemu ptal. Logicky odpověď nepřišla. Samozřejmě nápomocné by bylo vědět, jaké pracovní zařazení tazatel má, případně jaké vzdělání.
Osobně mi přijde, že jeho představy patří do 90. let, když IT v ČR začínalo a brali kohokoliv, kdo uměl zapnout PC.
Jenom drobná a jízlivá poznámka do diskuze k formálnímů vzdělání. ČR je země levné práce, proto žádné vzdělání není potřeba a je spíše nevýhodou, naopak nízká nebo nesmyslná mzda je ta přednost.
Nedostudoval jsem VŠ. Měl jsme tam matematiku, ale ne jako na IT VŠ. Hlavní motivace je, že je IT perspektivní obor. Teď si hledám, které zaměření mě nejvíc zaujme.
-
Ještě raději dodám, že chci do oboru, který tu bude i za čas, není to narážka na peníze.