Fórum Root.cz
Práce => Studium a uplatnění => Téma založeno: michael 02. 10. 2018, 15:21:30
-
Ahoj,
mam dotaz ohledne prace v it security vs software development. Po ctyrech letech game developmentu (programovani v UE4) bych se rad poohledl po nove specializaci. Mam zkusennosti s pythonem a bavi me linux. Projel jsem si par tutorialu o ethical hacking a zacal si hrat s Parrot Linux.
Rad bych se dozvedel od lidi v CR, kteri realne pracuji v oboru, jake jsou pracovni podminky a nabidky prace. Je realny si myslet, ze se dostanu hloubeji do oboru a muzu lehce zacit pracovat na zivnostak pro firmy jako eticky hacker? Je vubec dostatecny zajem firem v CR po takovych vecech?
Vim, ze poptavka po Python programatorech je dost velka a kdyz je clovek sikovnej a ma praxi, tak si vydela slusny penize. Programovani me hodne bavi, ale zaroven si rikam, ze pracovat jako eticky hacker muze byt ruznorodejsi a zabavnejsi. Ale mozna si to akorat predstavuju jako z filmu a clovek v praxi spis vyplnuje porad nejaky reporty... :D
Rad bych proste zjistil par veci od lidi z praxe. Pripadne poradaji se nekde v Praze setkani lidi delajici eticky hacking? Vzdycky je fajn se s nekym pobavit osobne..
-
Jak znamo, tak kazdy cech je mimo jine i security expert, takze konkurenci budes mit asi velikou. :P
-
Ja tedy vetsinou hackuji proprietarni hardware, ale do sw se me uplne nechce, resp. nemuzu.
Dokazal bys dekompilovat x64/sse/avx kod (win/mac/linux) - jedna se o video kodek, k nasledne open-source reimplementaci, takze z kodu je potreba postavit hlavne specifikaci, at je to clean room design ~ https://en.wikipedia.org/wiki/Chinese_wall#Reverse_engineering
-
Co jsem se tak koukal na zahranicni fora a clanky, tak to vypada, ze poptavka je slusna a pocet prilezitosti roste. No ale vubec netusim, jak to je v CR... Jinak teda kazdej cech si snad nemysli, ze je pen tester.. :D
-
RDa,
chapu to spravne, ze bys dodal zkompilovanej kod, kterej by se dekompiloval a nasledne se podle nej napsal vlastni kod? Nikdy jsem to nedelal, ale pokud by k tomu sel pouzit Python a nebyl by to nejakej silene komplexni projekt, tak bych se na to mohl kouknout, ale jak rikam s timhle konretne zadny zkusennosti nemam.
-
Co jsem se tak koukal na zahranicni fora a clanky, tak to vypada, ze poptavka je slusna a pocet prilezitosti roste. No ale vubec netusim, jak to je v CR... Jinak teda kazdej cech si snad nemysli, ze je pen tester.. :D
V tom tvym dotazu vidim znacnou davku naivity. "Game-developer se chce stat hackerem." Kdo nechce? Kdyz si te nejaka firma objedna na pentesty, bude mit v prioritach tu bezpecnost az na druhem miste. Obvykle ji jde o certifikat ze muze... co ja vim... byt bankou v EU? Byt GDPR compliant? Jako Game-developer co chce byt pen-testerem ses nonsense. Uz fakt samotny, ze se na tohle ptas na rootu mi rika, ze by ses mel spis venovat tomu pythonu.
-
Prijde mi v pohode, ze nekdo chce zkusit novej obor. A game development planuju opustit. Vetsinou hledam odpovedi na zahranicnich forech, ale tam se o CR moc nepise, tak jsem se zeptal tady. Nebo mi doporucis nejaky lepsi stranky?
-
RDa,
chapu to spravne, ze bys dodal zkompilovanej kod, kterej by se dekompiloval a nasledne se podle nej napsal vlastni kod? Nikdy jsem to nedelal, ale pokud by k tomu sel pouzit Python a nebyl by to nejakej silene komplexni projekt, tak bych se na to mohl kouknout, ale jak rikam s timhle konretne zadny zkusennosti nemam.
Ano, ale postaci to prevest do formy specifikace (ze ktere se kod napise nekym jinym). Jen nechapu k cemu bys tam jako chtel pouzivat Python. Mel bys pouzivat spis hlavu. Komplexnost cca na urovni MJPEG-u (kazdy snimek zvlast, DCT, kvantizace, nejake to bitove kodovani.. resp. u dekodovani v opacnem poradi).
-
RDa,
chapu to spravne, ze bys dodal zkompilovanej kod, kterej by se dekompiloval a nasledne se podle nej napsal vlastni kod? Nikdy jsem to nedelal, ale pokud by k tomu sel pouzit Python a nebyl by to nejakej silene komplexni projekt, tak bych se na to mohl kouknout, ale jak rikam s timhle konretne zadny zkusennosti nemam.
Ano, ale postaci to prevest do formy specifikace (ze ktere se kod napise nekym jinym). Jen nechapu k cemu bys tam jako chtel pouzivat Python. Mel bys pouzivat spis hlavu. Komplexnost cca na urovni MJPEG-u (kazdy snimek zvlast, DCT, kvantizace, nejake to bitove kodovani.. resp. u dekodovani v opacnem poradi).
S tim nemam zkusennosti, takze nema cenu se do toho poustet.
-
Nemyslim si, ze jit na zivnostak s nulovou zkusenosti je dobry napad. Jednak ani nevis co vsechno nevis, a asi budes mit i problem ziskat zakazku (i kdyz statni sektor obcas poptava neco s cenou jako jedinym kriteriem). Nemluve o pripadnych investicich do nastroju (ne ze by to bez Nessusu a Burpu neslo - na druhou stranu nekteri na automatickem scanu postavi celou zpravu).
Jinak prace co vidim i u nas je, ruzneho druhu. Jsou firmy ktere maji pentesty (i kdyz to co chteji jsme driv nazyvali vulnerability scany, ale dnes to nikdo nerozlisuje) jako soucast vyvojoveho cyklu (a ty obvykle maji dvorni dodavatele). Jsou firmy, kde se vedeni neceho vylekalo a chce zjistit situaci (mas kontakty na CEO firem?) Jsou firmy, ktere pentesty v zasade musi (PCI DSS - chteji pozadavky na kvalifikaci). Je tu i ta statni sprava (a smlouvy muzes najit na webu).
Pokud to myslis vazne, zjisti si spis situaci prijimacim pohovorem ve specializovane firme na pentesty (jsou tu, najdi si je). Pripadne i treba firmy velke ctyrky porad nekoho shaneji, ale zjistis ze pentesty a technicka bezpecnost jsou jen mala cast toho co bys tam v bezpecnosti delal (pokud budes mit stesti a zrovna budou zakazky na bezpecnost).
-
Super, dik za odpoved. Asi to spatne vyznelo. Nemyslel sem jit rovnou bez zkusennosti na zivnostak shanet zakazky.
Pro me to je ted hodne o zjistovani informaci a projizdeni si tutorialu. Bezpecnost me hodne zajima, ale na druhou stranu mam pocit, ze tam clovek vetsinou nema moc programovani. Nebo se pletu? Jsou nejaky specializace v bezpecnosti, kde clovek hodne programuje?
Jinak jsem si uz nejaky firmy hledal a uvazuju, ze bych se jim zkusil ozvat.
-
Jsou nejaky specializace v bezpecnosti, kde clovek hodne programuje?
A jsme zpatky u assembleru a primitivni bezpecnosti CPU - doporucuji videa na YouTube kde prezentuje Chris Domas, jeho tooly pak najdes na githubu - https://github.com/xoreaxeaxeax ... posledni God Mode na VIA byl trocha fail, protoze to bylo alespon priznane v dokumentaci, ale ten predesly pocin s instrukci na shozeni PC z userspace byl skvely - https://www.youtube.com/watch?v=KrksBdWcZgQ
-
Jsou nejaky specializace v bezpecnosti, kde clovek hodne programuje?
A jsme zpatky u assembleru a primitivni bezpecnosti CPU - doporucuji videa na YouTube kde prezentuje Chris Domas, jeho tooly pak najdes na githubu - https://github.com/xoreaxeaxeax ... posledni God Mode na VIA byl trocha fail, protoze to bylo alespon priznane v dokumentaci, ale ten predesly pocin s instrukci na shozeni PC z userspace byl skvely - https://www.youtube.com/watch?v=KrksBdWcZgQ
Diky za ten odkaz. Podivam se na to.
-
Ono hlavně pentesting je dost komplexní záležitost a vyžaduje znalost skoro všeho :) . Sám na vlastní pěst bych do toho asi nešel, vždy je lepší mít na to tým s různorodými znalostmi. Na něco se specializuj a o ostaním znej alespoň základy. Programování bych řekl, že je všude dost. Někde trochu více, někde trochu méně ale programovat budeš.
Pentesting není pouze o technické stránce věci. Je to i o tom, jak to poté zákazníkovi prodáš. Tzn. vypracovat nějaký report - často dáváš zvlášť report pro IT oddělení(technická stránka věci, doporučení pro vyřešení problému apod.) a pro managery (tam to musíš odříkat řečí BFU, zároveň nejduležitější report). Vypracovat report mi vždy trvalo nejdéle ;D .
Zase pokud se chytneš někde ve větší firmě jako člen bezp. týmu, tak chvilkovou technickou část věci střídá hádání se s provinilými zaměstnanci proč je něco špatně apod.
Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování :) .
-
Co jsem se tak koukal na zahranicni fora a clanky, tak to vypada, ze poptavka je slusna a pocet prilezitosti roste. No ale vubec netusim, jak to je v CR... Jinak teda kazdej cech si snad nemysli, ze je pen tester.. :D
Mno v CR je to uplne jednoduchy. Managori maj vseobecne pocit, ze je IT jen stoji prachy a nic jim nevydelava, takze proc by jeste meli resit nejakou bezpecnost nebo podobny blaboly. Drtivou vetsinu firem hacknes po par minutach googleni. Parkrat sem to ruznym lidem i ukazoval ... ne ze by to nejak zvlast pomohlo, protoze stejne daji prednost nakupu dalsiho porsche pred 1/100 investici do aspon zakladniho zabezpeceni.
Coze? heslo delsi nez 1 pismeno? A kdo si to ma pamatovat ... a nedelam si prdеl ani trochu. Najdi si na jejich webu seznam zamestnancu (vetsinou aspon z casti bez problemu) a vyzkousej na to (jejich prijmeni) slovnikovej utok s heslama do 5 znaku.... Uspesnost nad 50% je skoro jista. Pokud se budem bavit o top managementu tak 90+%. Cim vetsi zvire, tim vetsi debil.
-
Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování :) .
Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.
No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?
-
Drtivou vetsinu firem hacknes po par minutach googleni. Parkrat sem to ruznym lidem i ukazoval ... ne ze by to nejak zvlast pomohlo, protoze stejne daji prednost nakupu dalsiho porsche pred 1/100 investici do aspon zakladniho zabezpeceni.
Takze vlastne vetsina firem se nejak neobava kybernetickych utoku? Jakoze se neboji o data, protoze se jim to jeste nevymstilo? Toho se prave obavam, co pises... Ze manazeri maj vlastne pocit, ze to neni potreba. Nekde sem cetl, ze prumerna cena za pen test je 300tis a prumerna ztrata pro firmu po uniku dat je cca 25 milionu. Tak se divim, ze je takovej problem investovat tech 300tis.
-
Začni jako bounty-hunter, zkus si to nanečisto někde kde to nevědí pak oslov firmy jestli by byli (klidně pod záminkou psaní diplomky) ochotny snést při podpisu NDA tvoje pokusy. Pokud bych to chtěl měnit začni s Burp/Nessusem což je sice vysoká investice ale na hraní to v trialu zvládneš - a šel po web appkách, těch je všude plno.
No a pak se rozhodni, každopádně tomu moc šancí nedávám. Každý koho znám a za něco stojí začal tak, že to dělal při práci většinou developera kdy chtěl vědět co dělá blbě. Především jako bokovku protože to chce kromě sw především nápady ne jen sypat analýzy z sw. Programování bývá nutná podmínka protože pak tušíš podle formánu a změn co třeba jak by vzdáleně mohli vznikat auth tokeny etc.
-
Rozhodne development. Na security sere pes, nejen v CR, ale tady podle me o rad vice. Nikdo ti za to nejenze adekvatne nezaplati, ale ani se tim vlastne neuzivis, pokud nebudes underground napul blackhat a v podstate vyderac. V cesku mas problem vysvetlit ve vyjove firme proc je zdrzujes unit testama, natoz tohle. Muzes zkusit statni spravu, ale tam se na to divaji, ze "bratranec taky internetu rozumi a klidne to bude delat za 30 mesicne". Vsichni maji analni diry otevrene do sveta a prusery bud zametaji pod koberec nebo ty, co uz pod koberec zamest nejdou, tak resi pomoci PR. Za 250k tu muzes mit reportaz v hlavnich zpravach ceske televize o tom jak zly hackeri napadli chudaka spolecnost a jak se to resi a dela se co muze, ackoliv za to si nezaplatis slusneho securitaka ani na mesic, takze pak tak.
-
btw. i Clintonovic familia měla doma neupdatovanej windows server otevřenej do světa na to, aby jim outlook šel rychlejc. A to jsou jiný borci než česke Cendra podnikatel.
-
Myslim si ze tento obor bude jen na vzestupu. Uz nyni se zacinaji objevovat velmi vysoke pokuty za uniky dat.
Ale abys dostal slusne zaplaceno musis byt v podstate i vyvojar, neumim si predstavit ze by nekdo chtel platit raketu nekomu kdo umi akorat pouzivat volne dostupny software a pustit par testu
-
vyvojar byt musis, jako zaklad. Ale potom jeste umet perfektne IP4/6, TCP/IP stack a jeho impl na ruznych systemech, znat i ty systemy tzn neustale nainstalovany linux/windows/macOS, takze vlastne musis byt i admin, vsechny sniffery jak fungujou, protocoly od DNS az po HTTP. Pak musis znat ty nastroje, resp opravdu je znat, protoze vsehcny ty nastroje jsou vlastne jenom jakejsi toolkit, kterej te ma nakopnout a opravdu musis sledovat vsechny CVE a po 10-ti letech takovyhle rehole, kdy nemas rodinu, pratele, pritelkyni, vztah (mamu+tatu +chat+jpg+escort), kdo ti to zaplati? A i kdyz jsi srdcar, ktery tohle podstupuje kvuli vnitrnimu nutkani, tak potom si v 35 letech uvedomis, ze asi neni spatne se upichnout v nejake korporaci jako Buisines analytik o kterym si tech mozna par lednotlivcu, kteri te potkaji a maji mentalni kapacitu pochopit, co jsi zac, uvedomi, ze "ten typek je nejakej hustej" a mit prachy a spis si zalozis rodinu a spatny prachy taky brat nebudes.
-
Co máte na mysli prací na živnosťnák? Freelancing nebo švarc? Pokud se ptáte na freelancing ano je to možné, funguju takto už řadu let. Pokud se ptáte na švarc, ano jsou v česko-slovenských luzích a hájích firmy, které zaměstnávají na švarc v této branži. Rizika švarcu si musíte zvážit sám, jestli vám to za to stojí.
Ohledně trhu pro freelancera je to jednoduché, v ČR/SK jsou samozřejmě firmy, které investují nemalé prostředky do bezpečnosti včetně zpracování kvalitních pentestů atp. ale pokud za nimi přijdete s vašimi znalostmi, zkušenostmi a referencemi v oblasti hackingu tak se s vámi pochopitelně nebudou bavit. Upřímně, podle toho co uvádíte není v tuto chvíli absolutně proč. Trh v oblasti hackingu není samozřejmě limitován jen na ČR/SK.
Poznámka ke státní sféře a samosprávě - většina zakázek má jako jediné kritérium cenu ale aby se cena vůbec vyhodnocovala, musíte splnit kvalifikační a technické předpoklady, kde jsou vyžadovány reference obdobného plnění často v řádu stovek tisíc nebo miliónu - nemáte, ušetřete si čas přípravou nabídky.
Pokud se chcete nechat zaměstnat tak v dnešní době obecného nedostatku pracovních sil a v oblasti IT bezpečnosti dvojnásob je aktuálně doba neomezených možností. Samozřejmě v této branži budete absolutně začínat, takže by to pro vás musela být srdcovka, protože příjmově budete na absolutním IT minimu (vaše zkušenosti s game developmentem jsou v zásadě irelevatní).
Co se týká nástrojů - chcete dělat vulnerability scany (bohužel často v ČR/SK vydávány nebo vnímány jako penetrační testy) kupte si Nessus (cca 65tisíc investice). Burp Suite Pro (cca 350 EUR) hodně zaměřeno na web aplikace, služby a web api i když to využijete v menší míře i v jiných oblastech hackingu.
Chcete něco umět tak si Nessus nekupujte a zejména během učení nepoužívejte automaty, naučte se ty věci dělat manuálně, pochopit principy a pak přemýšlejte nad nástrojem pro automatizaci. Chcete dělat okolo webů, vemte si free Burp Community naučte se dělat věci manuálně, jen tak mimochodem v rámci bug huntingu se běžně používá free Burp, protože až na nějaké "drobné" funcionality placenou verzi v rámci bug huntingu nevyužijete (ten vulnerability scanner je vám tam na dvě věci).
NDA - je pouze smlouva, která upravuje zachování mlčenlivosti. Ať free nebo placené pentesty, pokud je dělate legálně, vyžadují ještě další typu smluv (souhlas, scope, časový rámec, zodpovědnost atp.) - myslete na to, že jste v této branži jednou nohou v kriminále a druhou nohou pod mostem.
Co bych vám do začátku a po celou vaši kariéru doporučil:
1) Vyberte si oblast na kterou se chcete specializovat, což vymezuje jaké znalosti a dovednosti musíte získat.
2) Hodně čtěte kvalitní knihy, články atp. Videa na youtube obsahují dost často kusé informace a nedají vám dostatečný přehled a jejich obsahová kvalita mnohdy nedosahuje ani na jejich cenu (free/klik omylem na reklamu). Kvalitní obsah na youtubu občas najdete ale je to hledání jehly v kupce sena.
3) Absolvujte si nějaké školení/certifikace (jen ty hands-on), najdou se i kvalitní kurzy/certifikace, které jsou dostupné online. S kvalitním on-site školením v této oblasti v ČR/SK moc nepočítejte (konají se jen výjmečně) a ty co tu standardně nabízí školící firmy IMHO nestojí za investovaný čas a peníze (pokud vám to nezaplatí tedy zaměstnavatel ale i tak se dají ty peníze využít mnohem lépe, pokud to můžete ovlivnit a nevybírá vám to blondýna z HR).
4) Navštěvujte kvalitní konference (zase v ČR toho je jako šafránu) - Evropa - Black hat, Confidence, PHD, RSA Conference atp. včetně menších ale fajn akcí. Často jsou dostupné archivní videa z přednášek online.
5) Hledejte a dělejte si různé challenge, CTF atp. (např. - vulnhub.com)
6) Hackujte v rámci bug hunty programů (výhoda - potřebujete skill ne 10tky tisíc Kč jako investice do nástrojů).
7) Try harder ;)
Pokud se chcete "socializovat" v této oblasti moc formálních/neformálních akcí nebývá. Dříve bývala 2600, občas bývá OWASP chapter meeting a možná něco co si nevybavuji. Pokud chcete nechte tu kontakt, možná bych si na vás chvíli našel čas v Praze.
-
vyvojar byt musis, jako zaklad. Ale potom jeste umet perfektne IP4/6, TCP/IP stack a jeho impl na ruznych systemech, znat i ty systemy tzn neustale nainstalovany linux/windows/macOS, takze vlastne musis byt i admin, vsechny sniffery jak fungujou, protocoly od DNS az po HTTP. Pak musis znat ty nastroje, resp opravdu je znat, protoze vsehcny ty nastroje jsou vlastne jenom jakejsi toolkit, ..
Když jste tak znalý oboru tak si od vás rád nechám vysvětlit k čemu potřebuje někdo kdo se specializuje například na hacking windows znalost MacOS. K čemu někomu, kdo se specializuje na hacking web aplikací bude vaše perfektní znalost IP4/6 atp. Možná tím, že to všechno umíte tak už jste zapoměl, že se takovéto věci velmi často realizují v týmu, kde jsou lidé s různou specializací nebo jste ten business analyst v korporátu a o téhle brandži jste jenom slyšel.
Naštěstí svět nefunguje podle vás, já nemusím dělat business analysta v korporátu. Mám spokojený osobní život, vydělám si víc než on, nemusím poslouchat ambiciózního 30letýho debila a nejsem první na seznamu, když se katujou náklady.
-
Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.
U phishingu se dá hodně vyhrát no :) . Tam je ale třeba vědět trochu více o webu. Často totiž neskončíš jen zkopírováním stránky SEToolkitem, ale chce to i dost upravit - např. budeš chtít po ověření validity hesla uživatele přihlásit na korektní stránky apod. dá se tam toho vymyslet hodně. Je taky dobrý nápad sbírat data do DB - o dost lépe se pak dělá vyhodnocení. Patří k tomu ale i adminování - musíš si rozchodit mail server, web server, DB, umět to nějak zabezpečit (někteří válečníci, co útok poznají a neví že se jedná o test se snaží vést protiútok :D ), monitoring služeb (je fajn se rychle dozvědět pokud ti během testu něco spadne).
Jinak pozor jak tady ostatní píšou o vulnerability scannerech. Nikdy to nekončí jen nějakým obkecáním reportu. Scannery nejsou neomylné a když se s vámi správce scanovaného stroje začne hádat, že tam ta díra není, tak to často končí ručním pentestem (ke kterému jak na potvoru zrovna není veřejně dostupný exploit). Navíc často nelze použít doporučení, které vyplivl scanner a musíte vědět jak jinak díru zalepit/minimalizovat důsledky nebo jestli je vůbec relevantní problém v daném prostředí řešit. Vzhledem k množství scannovaných věcí je třeba toho vědět opravdu hodně.
Jinak pro začátek bych jako v. scanner zvolil OpenVAS. Není nutné hned kupovat Nessus, když ani nevíš co od toho čekat.
No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?
Já se k tomu dostal tak, že to ve firmě nikdo pořádně neřešil. Bylo nás pár kolegů kteří to řešit chtěli a vedení bylo rádo, že na bezpečnost někdo bude dohlížet a nemusí platit drahé pentesty. Po nějaké době co jsme aktivně potírali "zlo" ve firmě a vypracovali se na nějakou úroveň jsme začali nabízet pentesty jiným firmám.
-
Ahoj,
nejake nabidky prace jsou, kdyz budes hledat najdes.
Pod testovani bezpecnosti je opravdu mozne schovat spoustu veci, Idelani tester je ten, kdo je schopny programovat, rozumi sitim, operacnim systemum, trochu matematice a dokaze jednat s klientem, ktery nema o IT a bezpecnosti ani paru. Uz ma neco za sebou, vi, jak to chodi v malych i velkych firmach. A k tomu potrebuje tak trochu talentu hledat chyby a problemy, na ktere pred nim nikdo nepomyslel. To je idealni profil lidi, ktere kdyz firma ma, tak ma i dost zakazek, protoze muze testovat prakticky cokoli. Ta prace je opravdu ruznoroda, neni treba zustavat jen u technickych veci, je mozne si to obcas zpetrit drobnymi konzultacemi, ucasti na auditech, socialni inzenyrstvim nebo poradanim skoleni.
Jak uz tu bylo zmineno, jsou testy a "testy". Nektere se delaji proto, aby byl zakaznik v bezpeci, nektere proto, aby mel od nekoho papir, ze byl otestovan. Na zivnost, bez dlouhodobe budovaneho dobreho jmena, se daji delat veci, ktere maji byt hotove levne a netrvaji dlouho. U spousty testu chteji zakaznici podepsat NDA s vysokymi pokutami a chteji jednat s firmou, na ktere si mohou neco vzit. Zvaz, jestli mas obchodniho ducha a dostatek kontaktu na lidi z managementu, protoze testy byvaji typicky dost kratke a velkou cast sveho casu budes shanet nove zakazky.
Vyrobe reportu se nevyhnes, protoze to je vysledek tve prace, ktery predavas zakaznikovi, podle toho te pak hodnoti.
Vyvoje si moc neuzijes. Kdyz je treba neco napsat, tak je to nutne napsat co nejrychleji, nejak naskriptovat a slepit z kousku kodu od jinud. Veci, se kterymi se potkas opakovane a ma smysl pro ne vytvaret tooly je minimum. Spis pises pluginy do stavajicich toolu.
O pravidelnych setkavanich nic nevim, zkousel jsem 2600, ale to byl spis takovy pokec party znamych lidi. Ve svete byvaji pravidelna setkani OWASP skupin, muzes se pokusit sehnat par lidi a zacit neco takoveho organizovat. U nas byva jednou za rok OWASP konference, po prednaskach se jde do hospody, tam to muzes otevrit.
-
Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování :) .
Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.
No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?
Zdá se, že máme trochu podobné smýšlení. Já v současnosti pracuji jako Java vývojář, nicméně oblast bezpečnosti mi připadá velmi přitažlivá. Uvedený tutorial, jsem si také pořídil i s jeho pokračováním. Zatím mi však tempo kurzu připadá pomalé, informace až příliž obecné a málo technické. Jako odrazový mústek ale fajn. Častou radou, jak nabít nějaké ty vědomosti, bývá účast na CTF, "prolamování" záměrně zranitelných aplikací, virtuálních strojú a podobně... Kdyby jsi měl zájem, múžeme dát u nějaké CTF hlavy dohromady.
-
Častou radou, jak nabít nějaké ty vědomosti, bývá účast na CTF, "prolamování" záměrně zranitelných aplikací, virtuálních strojú a podobně... Kdyby jsi měl zájem, múžeme dát u nějaké CTF hlavy dohromady.
O CFT jsem nevedel. Nasel jsem si yt video a zni to zabavne a jako skvelej trening. Sou to jen kratkodoby souteze? Mas neco vyhlidnutyho? Kdyz tak muj mail - xtrzx [at] post.cz . Ale jak jsem psal jsem, sem uplnej noob v tyhle oblasti.
-
Moc dekuju za obsahlou odpoved!
Co máte na mysli prací na živnosťnák? Freelancing nebo švarc?
Mam na myslis zivnostak, ale samozrejme s vedomim toho, ze bez zkusennosti a referenci za nikym jit samozrejme nemuzu. To bych ze sebe udelal tak mozna ve vysledku blbce..
Samozřejmě v této branži budete absolutně začínat, takže by to pro vás musela být srdcovka, protože příjmově budete na absolutním IT minimu (vaše zkušenosti s game developmentem jsou v zásadě irelevatní).
Toho se prave asi nejvic obavam. V porovnanim s programovanim, kde se clovek muze pomerne rychle vypracovat k solidnimu vydelku tuhle oblast vidim vice nejiste. V ramci gamedevelopmentu jsem resil i multiplayer (server-client model, co a kam posilat, aby se minimalizovala sance, ze to nekdo hackne, ale bohuzel ne prilis do hloubky...)
Co se týká nástrojů - chcete dělat vulnerability scany (bohužel často v ČR/SK vydávány nebo vnímány jako penetrační testy) kupte si Nessus (cca 65tisíc investice). Burp Suite Pro (cca 350 EUR) hodně zaměřeno na web aplikace, služby a web api i když to využijete v menší míře i v jiných oblastech hackingu.
Co se tyka vulnerability scanu, tak jsem si hral se zenmap, ktera je soucasti Parrot Linux distribuce. Ty placeny reseni si mam predstavit jako neco podobnyho, ale lepsiho?
1) Vyberte si oblast na kterou se chcete specializovat, což vymezuje jaké znalosti a dovednosti musíte získat.
Jak jsem psal vyse, hodne me zajima obalst socialniho inzenyrstvi. Umet pouzivat Parrot/Kali Linux, vedet jaky ma nastroje a vyuzivat jich pro nabouravani se do systemu skrze zamestnance/managment. Specializuje se ciste na tohle nekdo v CR? Taky me hodne bavi programovani a zvlast Python (zvlast jeho moznosti v praci s daty a machine learning). Jen vubec nemam paru, jak to propojit do neceho smysluplnyho.
5) Hledejte a dělejte si různé challenge, CTF atp. (např. - vulnhub.com)
6) Hackujte v rámci bug hunty programů (výhoda - potřebujete skill ne 10tky tisíc Kč jako investice do nástrojů).
Vcera jsem se dival na moznosti ohledne bug hunty programu. Zni to dobre, ale zaroven mam pocit, ze mezi oucasnymi moznostmi, ktery mam a tim, co takova prace vyzaduje je poradna mezera. Na jednom foru nekdo z legrace psal (a mozna to ani nebyl vtip...), ze jestli chce nekdo zacit, tak at zacne do hloubky zkoumat uz odhaleny bugy, testuje si svoje reseni a tak za sest let sam treba najde taky nejakej bug sam.. :D
Pokud se chcete "socializovat" v této oblasti moc formálních/neformálních akcí nebývá. Dříve bývala 2600, občas bývá OWASP chapter meeting a možná něco co si nevybavuji. Pokud chcete nechte tu kontakt, možná bych si na vás chvíli našel čas v Praze.
Kdybyste mel nekdy naladu tak tady je muj mail xtrzx [at] post.cz
-
Idelani tester je ten, kdo je schopny programovat, rozumi sitim, operacnim systemum, trochu matematice a dokaze jednat s klientem, ktery nema o IT a bezpecnosti ani paru.
Ta prace je opravdu ruznoroda, neni treba zustavat jen u technickych veci, je mozne si to obcas zpetrit drobnymi konzultacemi, ucasti na auditech, socialni inzenyrstvim nebo poradanim skoleni.
testy byvaji typicky dost kratke a velkou cast sveho casu budes shanet nove zakazky.
Ahoj,
dekuju za odpoved. Programovani me bavi, o operacnich systemech mam povrchni znalosti, to stejny o sitich. Podnikal jsem uz v minulosti, i v jinych oblastech nez IT, takze myslim, ze podnikavyho ducha rozhodne mam.
Co se mi hodne libi je, jak pises, ruznorodost te prace. To mi prijde opravdu super. Protoze ted, v ramci game developmentu, hodne programuju, ale zaroven hodne resim s lidma(at uz jejich vedeni nebo design produktu). Z toho vlastne vznika ted moje dilema a rozcesti - it security vs software development. Protoze si nejsem jistej, jestli po dvou, trech letech nonstop programovani by mi z toho nehrablo.. :D
Ale zase jsem si ted v poslednich deseti letech hodne uzil nejistoty a shaneni zakazek. Tak proto se ptam na situaci v CR. Abych rozvoji svych schopnosti nevenoval dva roky driny a pak zjisitl, ze se stejne poradne neuzivim.
-
.... 300tis a prumerna ztrata pro firmu po uniku dat je cca 25 milionu. ...
Jenze beznej managor to vidi tak, ze obetuje 300k ze SVYHO rozpoctu === svych 30+k premii vs jakasi hypoteticka ztrata ktera navic nebude ani vlastne jeho. Navic by ani nemusel obetovat nic, protoze casto by stacilo, kdyby svuj nafrnenej cumak nechal trochu klesnout, a sel se zeptat uklizecky (doslova a dopismene), ktera by mu poradila zadarmo (a dobre).
Kolik % firem myslis ze zalohuje svy data? Nejaka bezpecnost? To se ji?
Vis jak vypada takovej bezpecnostni audit v podobny firme? Kdyz uz teda prijde na vec a managor ma pocit ze potrebuje nejakej papir aby moh pripadne prohlasit ze on nic on muzikant, on se prece snazil? Prijdes tam, hodis rec s mistnima adminama, a zjistis, ze vlastne presne vedi co vsechno by bylo potreba, a kde vsude sou diry (casto doslova jak doprdеle). Jenze to nikdo nechce slyset, tak si objednali ten audit. Ty samo muzes overit a zjistis ze admini maj pravdu. Sepises z toho nejaky zavery, doporuceni ... bla bla bla ... a nikdo z tech managoru si to ani neprecte. Zaplatej ti fakturu, odejdes, a karavana jede dal. Kdyz si za rok jen tak pro zajimavost overis stav, tak zjistis, ze k diram a, b,c .... pribyly jeste x,y,z.
Pak mas chut jim to realne hacknout, data pustit do sveta a u nich ne smazat, protoze to by nebyla ta spravna rit, ale nahodne zmenit - idealne promichat, prohazet jmena a adresy, ceny produktu ... .
Nejlepsi zakaznik pro tebe bude takovej, kterej uz o data prisel. Ten uz toho managora vykop, a vi. Jenze takovych nebude zas tak moc, protoze pripadnej pruser je velice casto schopnej firmu celkem spolehlive polozit.
-
Tywe, ty se mi snad zdáš! :-)
Původně jsem nechtěl psát, ale nedá mi to. Píšeš, že máš jen povrchní znalosti o OS, nerozumíš sítím, databázím a webu. Tak CO CHCEŚ V TÉ BEZPEČNOSTI DĚLAT, KDYŽ O TOM NIC NEVÍŠ??!! Tipuji, že tvůj svět bezpečnosti (nemyslím znalosti, ale jen povědomí, že to existuje) sahá jen asi tak do 10% skutečného rozsahu bezpečnostních záležitostí. Chceš-li se zařadit mezi zástup nul, které o sobě tvrdí, že se zabývají bezpečností, tak pokračuj. Chceš-li být užitečný aspoň jako průměrný správce sítě (kterými opovrhuješ, jak jsem si všimnul, ale hlavně oni mají bezpečnost na starosti), tak se oboru pilně několik let věnuj, pak se dostaneš na jakž takž použitelnou úroveň. Chceš-li být bezpečnostní hacker, tak na to už rovnou zapomeň, na to nemáš (a to nepíšu ve zlém).
-
Tywe, ty se mi snad zdáš! :-)
Původně jsem nechtěl psát, ale nedá mi to. Píšeš, že máš jen povrchní znalosti o OS, nerozumíš sítím, databázím a webu. Tak CO CHCEŚ V TÉ BEZPEČNOSTI DĚLAT, KDYŽ O TOM NIC NEVÍŠ??!! Tipuji, že tvůj svět bezpečnosti (nemyslím znalosti, ale jen povědomí, že to existuje) sahá jen asi tak do 10% skutečného rozsahu bezpečnostních záležitostí. Chceš-li se zařadit mezi zástup nul, které o sobě tvrdí, že se zabývají bezpečností, tak pokračuj. Chceš-li být užitečný aspoň jako průměrný správce sítě (kterými opovrhuješ, jak jsem si všimnul, ale hlavně oni mají bezpečnost na starosti), tak se oboru pilně několik let věnuj, pak se dostaneš na jakž takž použitelnou úroveň. Chceš-li být bezpečnostní hacker, tak na to už rovnou zapomeň, na to nemáš (a to nepíšu ve zlém).
Zajima me to a zjistuju informace. Netrvrdim o sobe, ze se cejtim jako hacker, nebo ze to ted chci z fleku delat. Zjistuju informace, abych zjistil, jakej ma potencial to hloubeji studovat.
Spravci site rozhodne neopovrhuju. Znam cloveka, co to spoustu let dela a po par rozhovorech jsem si akorat rekl, ze bych to delat nechtel. Proto jsem psal, ze mi prijde smysluplnejsi programovat, nez studovat bezpecnost a pak delat spravce site.
Jinak teda o mych schopnostech ucit se a resit problemy nic nevis, ale tak na internetu dela kazdej hosik lokty a ponizuje ostatni, tak ok...
-
Vis jak vypada takovej bezpecnostni audit v podobny firme? Kdyz uz teda prijde na vec a managor ma pocit ze potrebuje nejakej papir aby moh pripadne prohlasit ze on nic on muzikant, on se prece snazil? Prijdes tam, hodis rec s mistnima adminama, a zjistis, ze vlastne presne vedi co vsechno by bylo potreba, a kde vsude sou diry (casto doslova jak doprdеle). Jenze to nikdo nechce slyset, tak si objednali ten audit. Ty samo muzes overit a zjistis ze admini maj pravdu. Sepises z toho nejaky zavery, doporuceni ... bla bla bla ... a nikdo z tech managoru si to ani neprecte. Zaplatej ti fakturu, odejdes, a karavana jede dal. Kdyz si za rok jen tak pro zajimavost overis stav, tak zjistis, ze k diram a, b,c .... pribyly jeste x,y,z.
Btw ty pracujes, nebo si pracoval v bezpecnostni firme? Pusobis dost nasrane na cely to prostredi..
-
ked nemas zo security ziadnu skusenost tak by som najprv zacal najprv cerpat info z dostupnych certifikaci. nemusis robit skusky ani chodit na skoleni, len si zozen podklady/knihy. predsa len ani nevies co sa zacat ucit.
vseobecny prehled: gsec, security+,cissp
potom nejaku uz pre pen test: ceh, ecsa
to ti da aspon predstavu co vsetko sa budes musiet naucit. dalej nauc sa pracovat s kali linux, je k tomu kopec knih.
nakoniec investuj 1k dolarov a sprav si lab a zkousku na oscp ta ti pomoze si najst pracu ako pen test/ red team v nejakej spolocnosti.