Fórum Root.cz
Práce => Studium a uplatnění => Téma založeno: I should give you a name 03. 11. 2016, 02:12:56
-
Ahoj, nevím, kolik takových lidí má sen být hackerem, ale jsem si jistý, že nejsem jediný.
Zajímá mě od někoho, klidně od někoho v praxi, jak bych měl začít, pokud bych v budoucnu se tím chtěl živit.
Je to strašně dávno, co jsem narazil na Backtrack 5 a strašně mě to uvnitř chytlo. Konkrétně úplně první seznámení bylo na youtube, kdy mě vždy zaujaly náhledy a já musel na to kliknout. Miloval jsem tu zelenomodrou barvu písma v terminálu, kde lidé píší příkazy.
Co se týče současné situace, tak je strašně moc kanálů s tutoriály na Kali Linux, popř. Backtrack. Učím se z toho + obcházím různá fóra, abych se mohl zdokonalovat. Bohužel, ačkoli nejsem vyloženě na začátku (ale jo, jsem, jen si nalhávám, že ne), tak bych tomu rád rozuměl více, abych nebyl vyloženě ten script-kiddie (nechovám se ale tak).
V září jsem neudělal jeden předmět (až v září jsem maturoval poprvé), takže musím čekat do května. Ve škole jsem zjistil, že mám potenciál na počítačové sítě, a tak si říkám, jestli bych neměl začít s tím... najít si první práci, co se týče sítí a Linuxů (Linux miluji také, většinu času trávím virtuálně ve VMware Workstation). V Linuxech mě hodně sebralo také scriptování (líbí se mi bash), tak bych to možná mohl skloubit a třeba psát menší scripty v budoucnu. Jen nevím, jak dál. Do května mám čas, musím si ještě zopakovat teorii sítí, protože jsem zapomněl snad přes 70% (jo, docela dost).
Jak by jste to udělali v mém případě? Začít někde jako Junior administrátor v Linuxu a potom se doma nějak doučovat? Nebo jít na to nějak přímo? Co se týče programování, jsem ten typ, co je schopný nerdit všechno, takže by mi to nedělalo problém (aspoň doufám) se to doučit. Jinak základy s PHP, HTML, CSS, Javou, BASHem mám.
Upřímně, neviděl jsem v mém věku někoho motivovaného jako mě. Moji spolužáci (teď už vlastně bývalí) to nechávají plynout (asi jim je jedno, že budou makat ve fabrice), ale já takový nejsem.
PS: Je mi 20, 10 let mám sociální úzkost (od doby, co jsem začal vyrůstat v děcáku) a 5 depresi, proto jsem možná tak anti-sociální. Co jiného mam dělat, než být před monitorem...
-
1. jako programator jse neuzivis - na to dnes vyzaduji ruzny zbytecnosti jako framework a spol takze to je jen bastleni kodu - IGNORUJ
2. nastuduj si typologii siti, dns a networking, routre a switche, cisco technologie, cinnost windows serveru a taky managment linux servru
3. zacni delat podporu/admina, kdyz zacnes programatora te to hned omrzi pri dnesnych frameworkech a spol
4. vyber ci co vlastne chces delat - admina? support? networking?, a pri praci si dostuduj tuhle oblast...
//vsechno rikam z vlastni skusenosti, umit muzes umet hodne, ale v dnesni dobe si bud programator na 10 pct, nebo na 100 pct kde ale delas se vsetkym co nesnasis.
-
ps doplnuju, na hackovani a spol rovno zapomen, pokud neumis vsechno ostatni co jsem ti napsal tak nebudes vedet hackovat spravne, kdezto ziskat takej job = nemas certifikat pro penetration testing = nedostanes job network security.
-
Odporucam spravit si OSCP kurz
-
Hlavně a jako první věc si musíš do profilu na Facebooku napsat, že jsi bezpečnostní expert.
-
Moznost byt hackerem, resp. penetracnim testerm tu existuje.
Jestli se tak chces zivit, musis pocitat s tim, ze to vyzaduje urcity socialni kontakt. Malo kdo je ochotny nechat sve IT prostredky otloukat nekym, s kym se nemuze v pripade problemu spojit. Casto je nutne zakaznika ujistit, ze je tu nekdo, kdo s nim bude komunikovat a komu muze sverit klic ke svemu IT. Stava se, ze neco spadne a pak je treba ve spolupraci se zadavatelem hledat proc. Cast teto komunikace za tebe muze pokryt nejaky kolega (obchodnik). Pocitej s tim, ze pokud chces hackovat oficialne, tak musis ziskane vysledky odkomunikovat zakaznikovi.
Ad cerifikaty - pro hackovani nejsou treba.
Jestli planujes casem dojit k teto pozici, tak bych ti doporucil vyzkouset si praci programatora i IT admina a sahnout si i na nejake sitovani.
Je dobre znat i nejakou teorii, tu do tebe nejlepe nalejou na nejake VS, ale neni to nutne, potkal jsem uz i motivovaneho cloveka, ktery dela hacking a nejvyssi oficialni vzdelani ma zakladni.
-
ahoy, mne sa velmi pacia tieto slajdy o CTF https://twitter.com/73696e65/status/794124027866574849
nejakym CTF mozes zacat
-
PS: Je mi 20, 10 let mám sociální úzkost (od doby, co jsem začal vyrůstat v děcáku) a 5 depresi, proto jsem možná tak anti-sociální. Co jiného mam dělat, než být před monitorem...
To si sa chcel pochvalit?
Ale k teme. Podla mna je zaklad poznat svoj system a vediet ako sa sprava, takze na zaciatok odporucam nejake nizkourovnove a systemove programovanie. Toto je cesta tak na 6 rokov. Medzi tym sa obcas ucit zaklady sieti, a po tychto 6 rokoch sa pustit do sieti naplno. Samozrejme popri tom si musis najst pracu v tejto oblasti, lebo praxou ziskas najviac. No na to musis mat bud stastie a dobre znalosti alebo prax.
-
Fakt to neni zert?
-
PS: Je mi 20, 10 let mám sociální úzkost (od doby, co jsem začal vyrůstat v děcáku) a 5 depresi, proto jsem možná tak anti-sociální. Co jiného mam dělat, než být před monitorem...
To si sa chcel pochvalit?
Ale k teme. Podla mna je zaklad poznat svoj system a vediet ako sa sprava, takze na zaciatok odporucam nejake nizkourovnove a systemove programovanie. Toto je cesta tak na 6 rokov. Medzi tym sa obcas ucit zaklady sieti, a po tychto 6 rokoch sa pustit do sieti naplno. Samozrejme popri tom si musis najst pracu v tejto oblasti, lebo praxou ziskas najviac. No na to musis mat bud stastie a dobre znalosti alebo prax.
+1.
-
Fakt to neni zert?
Zřejmě je, ale to většina diskuzí na rootu. Sranda musí bejt, i kdyby fotra věšeli.
-
Jestli to myslis vazne a chces se ucit tak mi napis. Mel bych pro tebe nabidku na praci.
-
https://www.youtube.com/watch?v=POzKwyXIbbI
-
Dráhu hackera jsem začal zametáním dílny a nošením svačin, než mě poprvé dovolili zapnout počítač. A to do vojny bylo asi tak všechno.
-
Nejlepší bezpečnostní expert z tebe bude když začneš u bezpečnostní agentury jako ostraha. Jak taky jinak?
-
Ahoj, nevím, kolik takových lidí má sen být hackerem, ale jsem si jistý, že nejsem jediný.
Zajímá mě od někoho, klidně od někoho v praxi, jak bych měl začít, pokud bych v budoucnu se tím chtěl živit.
s tim se musis narodit. ja zacinal programovat sam a uz pri uceni jsem de-facto uvazoval zpusobem, ktery se treprve nedavno v bezpecnostnich kruzich oznacil jako "prelomovy"... komponentovy model exploitu a viru a botnetu. kvalitni lidi se s znalosti best practices uz rodi, protoze k nim maji prirozene dispozice.
nicmene ti opravdu kvalitni a) nic nepusti mimo piskoviste umyslne, b) maji vrozene dispozice neudelat nepustit oproti neurotypickym jedincum nic ani omylem.
-
1. jako programator jse neuzivis - na to dnes vyzaduji ruzny zbytecnosti jako framework a spol takze to je jen bastleni kodu - IGNORUJ
2. nastuduj si typologii siti, dns a networking, routre a switche, cisco technologie, cinnost windows serveru a taky managment linux servru
3. zacni delat podporu/admina, kdyz zacnes programatora te to hned omrzi pri dnesnych frameworkech a spol
4. vyber ci co vlastne chces delat - admina? support? networking?, a pri praci si dostuduj tuhle oblast...
//vsechno rikam z vlastni skusenosti, umit muzes umet hodne, ale v dnesni dobe si bud programator na 10 pct, nebo na 100 pct kde ale delas se vsetkym co nesnasis.
+1
-
Tak jo, většina ti tady dává opět spoustu užitečných názorů.
Pár rad ode mě:
1) nauč se pořádně googlit. Zní to banálně, ale většinu věcí vyřešíš dobrým googlením.
2) na co potřebuješ virtual box? Udělej si dual boot, ať to máš na nevirtualizovaném HW. Vykašli se na backtrack nebo Kali, takové preset distro tě nic nenaučí. Nainstaluj si vlastní distro. Nástroje, co potřebuješ, jsou volně dostupné v balíčcích / gitech apod
2.1) nainstaluj si Arch. A žádný evolution, hezky Arch-way. Případně si zkompiluj Gentoo, pokud raději fedora distro. Nebo, pokud chceš být opravdu "hárdkór", tak LfS. Jen takhle poznáš, jak funguje linux. (pozn. pro rasistické linuxáky - nelpím na distru, jen gui instalace z liveCD fakt nic nenaučí).
3) nehledej si první práci jako bezpečák. Je to k ničemu. Jako programátor taky ne, protože na lowlevel si nešáhneš, dnešní programování je hodně high level, tuny abstrakce apod. Už ani neřešíš úložiště, vše máš abstraktní, a používáš jen jednotné API a měníš drivery podle potřeby. Doporučuju začít s IT podporou / sysadminem. Na sysadmina ale budeš potřebovat už nějaké znalosti.
4) Všechno co učí na školách je ti k hovnu. Je to zastaralé. Ve školách ti o dirty cow neřeknou.
5) a když už jsem načnul dirty cow, začal bych třeba tím, že bych si ve virtuálu rozjel linux se starším kernelem a zkusil, zda za usera dokážeš přepsat soubor, ke kterému nemáš práva. Materiálu k tomuhle exploitu existuje dost. Až si vyzkoušíš tenhleten exploit, můžeš zkoušet jiné. Jenom prosímtě exploituj jen své systémy, ono existují věci jako honeypots apod, a nechceš dělat protizákonnou věc :)
Tohle ti na dva tři měsíce vystačí.
PS: Pokud chceš dělat v tomhletom oboru, počítej s tím, že je to brutálně nevděčné, nikdo tě v tomhle oboru neocení.
-
s tim se musis narodit
S tím souhlasím. Jen lopaty si pak hrají na nějaké junior a senior pozice, protože to nechápou.
-
s tim se musis narodit
S tím souhlasím. Jen lopaty si pak hrají na nějaké junior a senior pozice, protože to nechápou.
Mě by zajímalo, co ty jsi dělal ve 20. Jel si do Prahy a dostal pozici CTO v nejlépe dařící se firmě.
Člověk se s tím vůbec nemusí narodit. Když děláš něco, co tě baví, budeš v tom dobrý, tak to prostě je. Stačí mít sen a jít si zatím. Jsou lidé, kteří jsou v oboru talenti a potom ti, co si to vydřeli.
Tak jo, většina ti tady dává opět spoustu užitečných názorů.
Pár rad ode mě:
1) nauč se pořádně googlit. Zní to banálně, ale většinu věcí vyřešíš dobrým googlením.
2) na co potřebuješ virtual box? Udělej si dual boot, ať to máš na nevirtualizovaném HW. Vykašli se na backtrack nebo Kali, takové preset distro tě nic nenaučí. Nainstaluj si vlastní distro. Nástroje, co potřebuješ, jsou volně dostupné v balíčcích / gitech apod
2.1) nainstaluj si Arch. A žádný evolution, hezky Arch-way. Případně si zkompiluj Gentoo, pokud raději fedora distro. Nebo, pokud chceš být opravdu "hárdkór", tak LfS. Jen takhle poznáš, jak funguje linux. (pozn. pro rasistické linuxáky - nelpím na distru, jen gui instalace z liveCD fakt nic nenaučí).
3) nehledej si první práci jako bezpečák. Je to k ničemu. Jako programátor taky ne, protože na lowlevel si nešáhneš, dnešní programování je hodně high level, tuny abstrakce apod. Už ani neřešíš úložiště, vše máš abstraktní, a používáš jen jednotné API a měníš drivery podle potřeby. Doporučuju začít s IT podporou / sysadminem. Na sysadmina ale budeš potřebovat už nějaké znalosti.
4) Všechno co učí na školách je ti k hovnu. Je to zastaralé. Ve školách ti o dirty cow neřeknou.
5) a když už jsem načnul dirty cow, začal bych třeba tím, že bych si ve virtuálu rozjel linux se starším kernelem a zkusil, zda za usera dokážeš přepsat soubor, ke kterému nemáš práva. Materiálu k tomuhle exploitu existuje dost. Až si vyzkoušíš tenhleten exploit, můžeš zkoušet jiné. Jenom prosímtě exploituj jen své systémy, ono existují věci jako honeypots apod, a nechceš dělat protizákonnou věc :)
Tohle ti na dva tři měsíce vystačí.
PS: Pokud chceš dělat v tomhletom oboru, počítej s tím, že je to brutálně nevděčné, nikdo tě v tomhle oboru neocení.
Díky za vyčerpávající odpověď.
1) pravda, nejsem první, kdo si s nějakým problémem nevěděl rady
2) pro simulaci útoků; v dual bootu to fakt neuděláš; ovládat meterpreter je krásná věc;
3) na tuhle odpověď jsem od někoho čekal, konečně
Rád bych jako sysadmin začal a to, že potřebuji znalosti? Nic není zadarmo a já se učím v mém volném čase dobrovolně (dá se říci skoro celý den). Myslí se tím sysadminem třeba ta junior pozice? Zaujala mě jedna nenáročná nabídka v sekci "Nabízím práci", kde je nabízen Junior Linux administrátor.
Btw, IT podpora = operátor na lince? Protože jestli ano, tak tam snad toho bude potřeba znát mnohem více než u sysadmina, kterému někdo nevolá každých pár sekund.
4) tohle znám; snažím se pohybovat všude, takže se dozvím i o nové zranitelnosti a na youtube už jsou tutoriály
5) to jsem měl v plánu; honeypot znám také, nejsem zas tak hloupý, jak si myslíš :)
Co se týče toho oboru, tak asi máš pravdu. Nicméně hacker chci být tak i tak, takže se asi vydám cestou super zkušeného síťaře a Linuxáka, který má i slušný plat, pokud něco umí a zároveň pentester bych mohl být také, protože bych byl expertem v sítích a pokud i v Linuxech, tak se předpokládá, že umím bash a není problém psát skripty.
Ještě jednou díky za radu, tohle fakt bodlo.
Jestli to myslis vazne a chces se ucit tak mi napis. Mel bych pro tebe nabidku na praci.
To vypadá jak na návnada pro naivky.
Myslím to vážně :P
Fakt to neni zert?
Zřejmě je, ale to většina diskuzí na rootu. Sranda musí bejt, i kdyby fotra věšeli.
To, co jsem psal, myslím vážně. Je pravda, že se teď na to dívám jinak a měl bych se vydat trochu jinou cestu, nicméně co je špatného na tom mít touhu být lepším než skončit jako někdo v obchoďáku?
Nemám nikoho, kdo by mi poradil a tak jsem napsal sem. Fakt nechápu, proč si někdo myslí, že jsem troll jen proto, že chci něco dokázat. Asi hold na rootu je špatný mít sen a žádat o pomoc...
ahoy, mne sa velmi pacia tieto slajdy o CTF https://twitter.com/73696e65/status/794124027866574849
nejakym CTF mozes zacat
Díky, zrovna pár dnů předem jsem narazil na CTF na youtube a jeden youtube kanál to rozebírá postupně (jedna výzva = nové video).
Zbylým lidem taky děkuji za komentáře, nicméně někteří si ho mohli odpustit.
-
https://www.youtube.com/watch?v=POzKwyXIbbI
-
Asi hold na rootu je špatný mít sen a žádat o pomoc...
To mas bohuzel uplnou pravdu.
To co ti psal eion1oH8zLvmRa8POB26 velice dobre sedi az na bod 2 se kterym taky uplne nesouhlasim :). Kdysi sem to tak delaval a to vecny rebootovani je na nic. Virtualizovane se daji delat cele site na testovani a vykon dnesnich stroju na to perfektne postacuje tak proc to nevyuzit. Pokud mas k dispozici klidne i stary zelezo tak to narvat primo na nej a jinak jednoznacne virtualbox/KVM etc.
Vyborna znalost tveho OS je absolutni zaklad. Arch nebo Gentoo jsou urcite skvele zpusoby jak zacit a pokud pokoris je urcite bych se nebal ani LfS. Je to sice na delsi zimni vecery ale ta zkusenost je k nezaplaceni.
Dalsi nutnost je urcite znalost siti. Pokud clovek nevi co je stavovy firewall nebo tcp handashake tak ma co dohanet, na druhou stranu to neni nic co by se muselo ucit 10 let.
Urcite bych ale cas venoval skriptovani idealne asi v bashi a programovani v nejakem rozumnem jazyce. Python se jevi jako dobra volba pro administratory. V unix-like svete se ti urcite neztrati alespon zakladni znalost C at si kdo chce co chce rika, protoze to pomaha pochopit system v souvislostech.
Co se te nabidky tyce tak porad plati. Hledam lidi do junior teamu linux adminu co se chtej ucit a cca do 2 let stat senior cleny teamu takze kdybys mel ty a nebo klidne i nekdo jiny zajem to zkusit, poslete mi soukromou zpravu a domluvime se. Je to teda v Praze, ale je mozne i domluvit nejake bydleni pokud vim.
-
Jeste co se tyce tveho dotazu ohledne IT podpory...
Zalezi na tom kde to budes delat. Neda se vseobecne skatulkovat. Ve vetsine pripadu to byva tak ze juniori delaji zaroven helpdesk a funguji jako prvni filtr pozadavku pred levelem 2 kde uz jsou seniorstejsi admini. Na prvni pohled to muze vypadat ze musis znat vic, protoze to resis primo na telefonu, ve skutecnosti je opak pravdou. Vetsinou prevezmes pozadavek, cislo nejakeho tiketu a reknes zakaznikovi ze mu das vedet jak neco budete vedet pokud nejsi schopen problem resit hned. Vetsinou se jedna o pozadavky typu, zmenu domeny, nedoruceny email,zapomeute heslo apod.
Vetsina firem na to ma nejakou know-how db kde si to najdes a udelas. Nejvetsi problem s mensima hostingovkama je, ze komunikujes vetsinou s lidma co o tom nemaj ani paru a nevedi jake jsou realne moznosti a ani neumej vysvetlit co vlastne chteji. My delame vetsi zakazniky a komplexnejsi reseni takze clovek prijde vetsinou do styku jen s nekym u koho se predpoklada hlubsi znalost a neresi uplne banality.
Takovychto pozic je celkem hodne. Firmy neustale hledaji a lidi nejsou. Nutno dodat ze nastupni penize nebyvaji nic velkeho, ale moznost ucit se a ziskavat zkusenosti je k nezaplaceni.
-
musis byt huzevnaty, vytrvaly a hlavne sa nenechaj odradit losrami na roote. castokrat sa z nich smejem, ake blbosti tu vypotia a ani sami nevedia, o co ide. ja mam skusenosti z oblastia bezpecnosti, som hacker a ludia mi platia za ich ochranu.
-
musis byt huzevnaty, vytrvaly a hlavne sa nenechaj odradit losrami na roote. castokrat sa z nich smejem, ake blbosti tu vypotia a ani sami nevedia, o co ide. ja mam skusenosti z oblastia bezpecnosti, som hacker a ludia mi platia za ich ochranu.
Tak určitě :-)
-
Neseš duši velkého bojovníka, bylo by škoda ji nerozvinout.
Máš větší potenciál než být jen obyčejný programátor.
Potřebuješ tohle https://www.youtube.com/watch?v=vIFs5eGuIwk
-
[...] a mam skusenosti z oblastia bezpecnosti, som hacker a ludia mi platia za ich ochranu.
bezva, po tech tvejch desitkach prispevku o nicem, konecne nejakej vtip, uz sem myslel ze ses jenom takovej troll-suchar :-D
-
uz to padlo, ale pridavam hlas => nainstaluj si citokrevnej Arch (zadne z neho vychazejici, zadne gui instalatory), pak si precti neco o Gentoo a LFS, a vyber i to co te vic zaujme...
virtualizace v pohode, ale vykasli se na VirtualBox, jdi do KVM/QEMU/libvirt...
taky se vykasli na tutorialy na youtube, ale hledej veci u kterejch budes premyslet, textove howto, cti man a doc ruznych nastroju, diskuze lidi, studuj zdrojaky...
za par mesicu budes dal, za par let uz budes vedet kam si se dostal, co te vic, co min zaujalo...
nenech se odradit od nikoho a vsechny a vsechno bez s reservou...
-
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho. Pro IT security je nutnou podminkou hluboka znalost ruznych oboru typicky - Hardware (pripadne elektronika), networking, operacni systemy a systemove programovani a dalsi (tedy jestli se chce zamerovat na bezpecnost webovych aplikaci tak bude potrebovat jeste dalsi znalosti aby pochopil XSS, sql injection a dalsi...). Taky bude potrebovat nejakou matematiku, aby pochopil hashovaci funkce a kryptografii.
Takze tazateli preji hodne stesti, myslim ze ma do konce zivota co studovat.
-
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho.[...]
Mimo nektere jsou, treba tvuj ;) nejde o zbytecnosti ale technickou pripravu ktera ho dost nauci a vse dalsi pak bude logicky pobirat mnohem snadneji...
-
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho.
S tímto dost nesouhlasím. Gentoo používám už notnou řádku let a to co jsem se ze začátku díky Gentoo naučil o Linuxu, to by mi nikdy žádný *buntu, SuSE, RH, ani žádný jiný přeGUIovaný distribuce nedaly.
-
uz to padlo, ale pridavam hlas => nainstaluj si citokrevnej Arch (zadne z neho vychazejici, zadne gui instalatory), pak si precti neco o Gentoo a LFS, a vyber i to co te vic zaujme...
Nainstaluji si to a uvidím. Zatím jedu virtuálně Ubuntu 16.04 a Kali Linux. Ještě mě zaujal Elementary OS, ale to je spíš takový systém, který si člověk zapne, když chce vypnout. Lehne na postel, pustí TV a dělá si svoje.
virtualizace v pohode, ale vykasli se na VirtualBox, jdi do KVM/QEMU/libvirt...
Co se týče virtualizace, jedu jen na VMWare Workstation (bez konkurence). VirtualBox je pro úplný začátek s virtualizací.
nenech se odradit od nikoho a vsechny a vsechno bez s reservou...
Neboj :)
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho. Pro IT security je nutnou podminkou hluboka znalost ruznych oboru typicky - Hardware (pripadne elektronika), networking, operacni systemy a systemove programovani a dalsi (tedy jestli se chce zamerovat na bezpecnost webovych aplikaci tak bude potrebovat jeste dalsi znalosti aby pochopil XSS, sql injection a dalsi...). Taky bude potrebovat nejakou matematiku, aby pochopil hashovaci funkce a kryptografii.
Takze tazateli preji hodne stesti, myslim ze ma do konce zivota co studovat.
Díky za podporu.
Je vůbec být až takhle univerzální? Já mám teď v plánu být dobrý hlavně v sítích a v Linuxech (kvůli práci) a ve volném čase bych si dostudoval i ten zbytek. Nevím, jestli se někdo stane hackerem tím, že je prostě expert a vidí ty problémy automaticky a nebo tím, že chce být hackerem a stane se expertem. Být expertem v tolika věcech, to už ti pomalu začnou zavírat rakev, ve které ležíš, protože to je fakt na dlouho...
-
Je vůbec být až takhle univerzální?
Oprava, protože nevidím nikde edit:
*Je vůbec možné být až takhle univerzální?
-
Jon Erickson, Hacking: The Art of Exploitation.
Na netu si to už jako správný hacker najdi sám ;).
-
Je vůbec být až takhle univerzální?
Oprava, protože nevidím nikde edit:
*Je vůbec možné být až takhle univerzální?
Neni to o tom byt univerzalni ale o tom videt souvislosti. Kdyby ceske vysoke skolstvi stalo za neco (az na par pedagogu kteri se snazi neco naucit) tak tyto znalosti ma kazdy absolvent Bc. IT oboru.
Ad LFS a podobne veci, nemuzu se ubranit dojmu ze pokud se chce nekdo naucit varit musi si vypestovat vlastni brambory, vyrobit vlastni hrnce, noze etc... Informace a zkusenosti ziskane provozem a instalaci Gentoo, nebo LFS muzes ziskat i pohodlneji a rychleji i za predpokladu ze si nainstalujes Fedoru/Debian/jakekoliv userfriendly linux distro. Chce to jenom motivaci a schopnost hledat informace a ucit se. Jinak je IMHO LFS jen ztrata casu pokud nepotrebujes nutne z nejakeho duvodu zkompilovane distro podle nejakych specialni pozadavku.
-
obvykle ne, protože to vyžaduje fenomenální paměť, rozvinuté logické myšlení a schopnost pojímat složité celky do detailů + se docela hodí cit na jazyky a to není obvyklá kombinace vrozených vlohů (vlohy nejsou vše, bez neustálé touhy se něco naučit a v něčem se zlepšit a neobyčejné píle jsou pak tyto vrozené vlohy k ničemu)
jen ke konceptu "chci být hacker" - neznám nikoho jiného, kdo by to pojal takto a uspěl
znám pár lidí, kteří jsou dle mého v nějaké oblasti odborníky (nebo také hackery), ale ani jeden to o sobě netvrdí (většina z nich má stále pocit, že se mají pořád co učit :-D ) a nebylo to primárně cílem
obvykle jen chtějí dělat pořádně to co dělají a ono to pak tak nějak přichází samo...
-
Pavel Skokan: Naprosto souhlasim a opacne to plati uplne dokonale take. Prakticky vsichni kdo o sobe tvrdi, ze jsou experti, vedi povetsinou povrchni nic, ale maji uzasne komunikacni schopnici (minimalne na urovni snatkoveho podvodnika) a dostatecnou drzost na to, aby zakladali nadace, agentury, asociace, zadali granty a dotace ze vsech stran a zejmena se prezentuji v popularne vedeckych a bulvarnich periodikach prave jako experti vlastne uplne na cokoli.
-
David: Ja kompilovany OS provozuju stale (kernel, OS i balicky). Pred par lety jsem od toho chtel ustoupit, jelikoz precejenom kompilace chvilku trva a zjistil jsem, ze to tak ruzove neni. Problem tkvi v tom, ze jsem byl uz na moznosti dane kompilovanim zvykly a clovek odkojeny nejakym klikacim linuxem v tom proste neuvidi zadny problem.
Neresim vubec nejake konkretni optimalizace C/C++ pri kompilaci - dneska neni s vykonem zadny problem, abych musel laborovat s "-O3 -f..." a tak podobne, ale nejvetsi potiz je se zavislostmi u balicku. U binarnich jsou strasne omezene moznosti konfigurace a zmeny zavislosti (pro priklad i treba jen treba MySQL vs. MariaDB).
Takze ano, kompilace je otravna a pomala, ale oproti kliknuti mysi to neco nauci. Nemluve o tom, ze pri kompilaci si clovek muze i lokalne lecos opravit, nez aby cekal mesice nez to probubla balickovacimi repozitari od puvodniho autora.
PS: Na zacatku byla ta kompilace spis nutnost uz proto, ze bylo dost rozdil stahovat 100MB zdrojaku a 2GB binarek.
tazatel: Vim, ze tohle bude dost nekorektni, infantilni a lidske zle, ale na tenhle plan/sen/karieru je v CR absolutne nejlepsi profesor Bychtělák. A necuc furt na ten Youtube...
-
A co ma tvuj komentar spolecneho s bezpecnosti? Je snad nekde napsano ze kompilovane distro (treba Gentoo) nemuze mit GUI?
Ja proste tvrdim ze kompilovat si vlastni OS neni nezbytne nutna podminka pokud se chci zabyvat bezpecnosti, dokonce existuje spoustu lidi kteri se bezpecnosti zabyvaji a nemaji Linux https://usesthis.com/interviews/bruce.schneier/
-
A mas ve svych 20 letech Facebook? 8)
-
Nikdy mi to nepřišlo jako teď
ty diskuze tady
sou k pláči
a ty co chceš bejt hack3r ... najdi si na googlu "how to be a pentester" a pak čti a čti a uč se a uč
tim googlem fakt začni, plno ne IT lidí hledá na googlu akorát tak porno a pak se diví co na tom dokážu hledat já ...
-
Pracuju jako bezpečák. Pár postřehů:
* Gentoo/Arch/… – dá to zkušenosti s Linuxem, pro dráhu bezpečáka bych to však nepovažoval za nezbytné. Pokud se ale chceš specializovat na Linux, pak proč ne…
* Google – v IT zásadní skill důležitý nejen pro bezpečáky. Řekl bych, že to není až tak těžké, ale spousta lidí s tím má problém. (Je fakt, že Gentoo/Arch naučí Googlit. Ale na druhou stranu, to se dá naučit i u mnoha jiných věcí.)
* Práce bezpečáka chce rozhled v oblasti, kde se pohybuje. Těžko přemýšlet třeba o cross-site request forgery, pokud nebudu znát web a autentizaci pomocí cookies. Těžko budu přemýšlet o buffer overflow, pokud nebudu znát lowlevel programování. A tak dále.
* A nejde jen o znalosti, jde i o praktickou zkušenost. Nejen jazyk, ale třeba i framework, typický styl (i kolegů) apod. Jak chceš hádat, jaké někdo může udělat chyby, když jsi jeho práci nikdy nedělal? Těžko. Myslím, že dobrý bezpečák se často snažil prvně naučit něco jiného, kde získal zkušenosti a pak se z něj stal teprve bezpečák.
* Různé kurzy k bezpečnosti: Ano, pokud chápeš principy útoků. To je rozdíl mezi hackerem a script kiddie.
* Lowlevel nemusí být kriticky nutný (například u webové bezpečnosti nevyužiješ moc často buffer overflow), ale pro rozhled se hodí. Třeba pro side channel attacks. Doporučuji se naučit třeba C, to mi pomohlo pochopit spoustu věcí. I když jsem v tom reálně zas tolik nenaprogramoval.
-
Kiddo bez do toho, je to tvrda prace a kopec prace a za tim kopcem jsou dalsi mnohem vetsi kopce, takze keep going. Ja ti povim tak, jelikoz komplexita IT je cim dal tim vetsi a slozitejsi, nemuzes byt expert na vsechno, ale o vsem muzes mit alespon zakladni prehled. Jak tady psali co se prace tyce.
"Chces-li zit v Rime, stan se Rimanem" trochu to parafrazuju "Chces-li byt hekerem premyslej jako heker"
IT support/helpdesk (je lepsi kdyz to delas on site), vidis jak lidi interagujou s pocitacema, co pouzivaj, jak se chovaj. Neni vetsi radosti, nez kdyz se jim zaviruje komp a ty mas prilezitost ho odvirovat (nauci te to dost a da se to rozvijet, treba zacit debugovat ten virus). Vystrc si ven na internet widle a posbirej si par viru, opatrne obcas ty svine kousou :)
SysAdmin - z meho pohledu je to predevsim o sprave uctu a autentizaci sluzeb (je to komplexnejsi a neni to jen o tom), deployment a castecne "sitove" sluzby (vim, ze me tady nekdo sepsuje, ze skoro vsechny sluzby jsou sitove). Mam tim namysli, ze treba maily a ty uz jsou k sitim o chlup blize k sitim (dhcp,dns ....), ale nejsou to site jako takove. Dobrej systemak ma hodne velkej presah do NetAdmina.
NetAdmin - dle meho by mel byt schopny nadesignovat a nadimenzovat site velkeho rozmeru (i kdyz mas treba 10 pobocek a na kazde je 10 lidi, neznamena to ze nemuzes uplatnovat nebo se ridit best practice z velkych korporatu). Sitarina je jednoduse svuj vlastni obor a je super. NetAdmin vetsinou nemusi mit velke poneti o tom co dela SysAdmin, je to vyhoda nikoliv nutnost, protoze je zodpovedny za to aby paket prisel na sluzbu, kde admin resit co v tom paketu prislo a jak se zachova.
Programator - vetsinou nema anung o tom co dela sysadmin natoz nejakej sitar. A to kolikrat i kdyz programuje kusy kernelu nebo nejake low level vecy. Natoz nejakej programator webu, ten kolikrat ani nevi co je to UTC. To neznamena, ze nestoji za to si nezkusit chvili neco takoveho, kdyz jsi dobry (web)programator a mas presah alespon trochu do SysAdmina (umis si zakladne nakopnout alespon sluzby co potrebujes - DB,smtp idealne programujes nejaky auth moduly), dostanes zase trochu jiny pohled na to co se skutecne deje. Zakladni pohled na vec je, jak obejdu svoji vlastni funkci/metodu, jestli dokazes obejit svuj kod - hezkej priklad je treba generovani session doporucuju si to testnout bez frameworku, par radku kodu, samotne funkce, metody autentizace. Dalsi level je C/C++, kdy jsi defakto bliz systemu, to povazuju za programovani (koukni treba na nejakej zdrojak PAM modulu). To predtim je pro me webdeveloper coz je spis ten co pise skripty, nez ze by rozumel programovani (taky to tak vypada). Kazdopadne Python a Ruby jsou kamosi cokoliv dal je vyhoda, vzhledem k povaze webu je PHP nutnost, alespon zakladny.
Kdyz pokryjes tyhle znalosti a budes mit v kazde alespon 2 roky praxe mas solidni zaklad a muzes se zamerit na dalsi prohlubovani tech znalosti, taky ti to vyprofiluje co te zajima a co ti jde.
Nauc se premejset jako heker, konec koncu cesi jsou na to experti, jak obcurat cokoliv co je mozny, takze predpoklady mas "idealni" :D
Udelej si doma nejakej "lab", par virtualu a testuj si na nich site, sluzby, kravoviny, cokoliv te napadne. Nikdy nepouzivej nic standartne (nebud cvicena opice), to ze je neco na neco urceny, jeste neznamena, ze to nemuze delat i neco jinyho.
Jinak dnesni doba je plna mobilu a mobilnich siti, je to urcite vec, ktera bude a je vic a vic bolestiva pro bezpecnost obecne. Nejakej trotl z obchodniho si doma nainstaluje nejakou super apku od kamose, jenze na tom telefonu ma i pristupy na maily a jiny veci z prace, tam se kopne na wifinku no ..... vime jak to je. Rekl bych, ze mobily budou cim dal tim vic hardcore a kdo jim bude vladnout bude kral.
Je to jak matrioska, otevres jednu a jeeee tohle to jde taky a tak, no pak zjistis, ze to jde otevrit a jeeeeezis tady je jeste tohle a tohle .... no davej na sebe pozor nebo zmagoris a celej internet si do hlavy nenacpes. Hodne cti, je spousta zajimavych knih, a pochopeni principu je mnohem dulezitejsi nez memorovani. Ja byt tebou tak zacnu knihou RTFM (Red Team Field Manual) stoji to par korun a aspon uvidis do ceho jdes.
Keep going, never slow down.