Etický hacking

[NickMick92]

Do třetice všeho dobrého. Objevil jsem pro mě úžasnou sféru etického hackování. Asi to není něco, co bych někdy dokázal dělat profesionálně v plné šíři, ale přesto bych se o tom chtěl více dozvědět. Myslíte si, že je možné naučit se základy etického hackování? Říkal jsem si, že testovat weby by nemuselo být tak složité. Je možné se naučit provádět penetrační testy i bez hluboké znalosti IT? A shání firmy etických hackerů nějaké „pomocníky“?

Uvědomuju si, že to může znít směšně, ale je to dost zajímavá oblast a předpokládám, že firmy taky ocení, pokud budou mít bezpečnou síť.

[Reklama]

[snugar_i]

Působí to asi jako "Slyšel jsem, že daňoví poradci vydělávají dost peněz. Můžu se  nějak stát daňovým poradcem bez toho, abych se učil nudný daňový zákony?"

Pokud se chceš profesně věnovat něčemu okolo počítačů, tak je víceméně nutná podmínka to, aby tě počítače bavily a aby ses v nich nějakým způsobem "vrtal" (na jakékoliv úrovni) sám od sebe, minimálně ze začátku ve svém volném čase. To u tebe zjevně neplatí, takže bych být tebou nečekal, že by ses tím kdy mohl živit.

[alex6bbc]

hacking to je znalost protokolu, sifrovani, assembleru. takze je to narocnejsi nez normalni programovani.

[RDa]

Prijde mi to jen jako pyramida a hrnce.. dnes mate kurzy na vsechno a lidi radi zaplati za to, aby si mohli rikat ze nejsou jenom Eticti hackeri, ale VYSKOLENI eticti hackeri.

Ponekud postradame definici co by onen hacker mel byt:

• bude to obsluha, ktera pusti nejaky testovaci package - tj. script kiddie
• bude to nekdo, kdo aktivne vyhledava chyby v sw, studovanim zdrojaku (OSS) nebo disassemblovanych binarek?

Jako skala neni uplne binarni a je trocha sirsi a existuje vicero pozic.. ale samotny pojem EH je nic nerikajici.

[TDiblik]

Čauko!

Pokud hledáš práci, mnohem lépe se uchytíš ze začátku jako IT admin (navíc z této pozice se poté dále dobře pokračuje do kyberbezpečnosti imo). Aby jsi mohl něco opravdu "hackovat" musíš to chápat lépe než člověk, který to programoval / nastavoval, tudíž počítej s tím, že dostat se do ofenzivní kyberbezpečnosti bude trvat poměrně dlouho. Osobně nevím jaká je situace na trhu, ale z toho co jsem slyšel tak spíše počítej s tím že (obzvl) do ofenzivní části se očekává praxe a hluboká znalost IT. Pokud tě to ale neodradí, zde jsou nějaké resourci, které můžou pomoct:

https://www.youtube.com/watch?v=oI9aaBpJvoA

https://picoctf.org/ (pico gym, ale být tebou tak se vrhnu spíš prvně na general skills a potom až na další kategorie)

https://www.wechall.net/

https://attack.mitre.org/

https://owasp.org/www-project-web-security-testing-guide/latest/

Nadále najdeš různé CTFka a i přes to že jsou placené

https://www.hackthebox.com/

https://tryhackme.com/

tak ale existují i veřejné / zdarma jako

https://www.vulnhub.com/

Silně doporučuji umět programovat .... budeš to potřebovat!

TLDR; Programuj, scriptuj, hrabej se v linuxu, hrabej se ve windows, dělej ctfka, a až to budeš všechno chápat tak potom bych teprve začal přemýšlet jak to rozbít / prolomit

Nutno dodat že nejsem vůbec expert na toto téma a také poměrně začínám, ale věřím tomu že to co jsem doporučil in-general neuškodí

[Reklama]

[MalyTomi]

staci si pozriet definiciu, kto to hacker vlastne je:
Hacker je většinou programátor s velmi dobrými znalostmi stavby operačních systémů a odborník na úpravy a konstrukci počítačových systémů a sítí. Dokáže je výborně používat, ale především upravit podle daných potřeb...

[alex6bbc]

cas od casu si procitam phrack.org
clanky od starych hackeru z 80, 90, 00 let.

[xyz]

A precti si  https://www.databazeknih.cz/serie/milenium-millennium-103
 

[NickMick92]

Ahoj, díky za komentář a odkazy! Procházím to všechno a jsem nadšený. Práce v security je zatím pouze úvaha, ale takhle strukturovaně a pohromadě to vypadá zvládnutelně. Zatím jsem nenarazil na žádný inzerát, který by sliboval plné zaučení, takže se mi zdá, že trh spíš lační po zkušených ajťácích.

bude to obsluha, ktera pusti nejaky testovaci package - tj. script kiddie
bude to nekdo, kdo aktivne vyhledava chyby v sw, studovanim zdrojaku (OSS) nebo disassemblovanych binarek?

Řekl bych, že obojí. Ale chyby v SW jsou asi poslední level.

cas od casu si procitam phrack.org
clanky od starych hackeru z 80, 90, 00 let.

Díky za odkaz. To už je asi vyšší dívčí.

A precti si  https://www.databazeknih.cz/serie/milenium-millennium-103
 

Tak to přesně udělám! A dneska si udělám filmový večer.

[Petr Branik]

Security me zivi 25+ let a jsou za tim tisice hodin stravenych vzdelavanim. Ted se security venuji jiz jenom jako vlastnik firmy ktery obcas neco probira se zakaznikem a obcas kdyz je chut tak se chvili ucastnim pentestu, presto rocne si udelam 5+ skoleni a navstivim 5+ konferenci (tady v US je tech konferenci docela hodne ve srovnani s evropou). Pokud jsi ochoten venovat vzdelavani vsechen svuj volny cas, hodne cestovat na skoleni a konference tak security je dobra volba co se tyce zabavy i penez.

[vXmUVBPz]

Zdravím,

předám pár mouder na základě osobních zkušeností. V IT jsem se pohyboval kolem programování. Profesionálně jsem dělal vývojáře asi tři roky. Bezpečnost jsem znal pouze z pohledu řešení CTF a sledováním konferencí. Po vývoji jsem přešel na pozici penetračního testera a ze začátku jsem testovat prakticky výhrandě webové aplikace.
V případě, že najdete nějakou stáž, nebo zaměstnání, na začátku budete velmi pravděpodobně dělat právě testy webů. Je to takový základ, který na začátku profese budete potřebovat.

K webovým aplikacím jsou užitečné zdroje od PortSwiggeru - https://portswigger.net/web-security/learning-path. Tady naleznete popis typikých zranitelností a laby, kde si je můžete prakticky zkusit. Také si vyzkoušíte BurpSuite - https://portswigger.net/burp/communitydownload, který se při testech webů často používá.
OWASP Guide - https://owasp.org/www-project-web-security-testing-guide/stable/, je standard, který popisuje oblasti, které se u webovek testují a jakým způobem je možné je testovat. Společnosti často chtejí provedení testů na jeho základě. Na začátek bude asi složitejší ho pobrat, ale dá vám to představu o tom, co všechno se při reálném testu dělá. V praxi se s ním určitě setkáte.

K dalším zdrojům můžu doplnit zmiňované tryhackme.com a hackthebox.eu pokud jste ochoten platit předplatné.
hackthebox.eu je zaměřená spíše na CTF. Bez větších zkušeností se vyplatí právě předplatné, které umožňuje "hackovat" retired boxy. K těm můžete nalézt walktrough v případech kdy se zaseknete. Populární je třeba IppSec - https://www.youtube.com/@ippsec.
tryhackme.com mi subjektivně přijde zaměřené více na vzdělávání. Oblastí, které můžete projít je hromada. Na začátek je asi trochu vhodnější než hackthebox.

Myslím, že máte šanci najít nějakou stáž nebo zaměstnání i nyní. U nás jsme kdysi přijali juniorní lidi, které jsme postupně školili. Trvalo ale velmi, velmi, dlouho než byli schopni provést test více-méně samostatně.

Nečekejte, že to bude práce 9-17. Čeká vás nekonečné vzdělávání. Musí vás to bavit a musíte mít zápal. Pokud ano, od webů se postupně vyprofilujete k dalším oblastem.

Pokud by jste chtěl, napište SZ. Nemám problém předat nějaká další moudra nebo nasměřovat.

[Tomáš Procházka]

A precti si  https://www.databazeknih.cz/serie/milenium-millennium-103
 

Tak to přesně udělám! A dneska si udělám filmový večer.

A pak budeš ready na job za 10k/MD, držim palečky.

Jak vubec dopadla IT Rekvalifikace, už máš hotovo?
https://forum.root.cz/index.php?topic=27856.0

[NickMick92]

A precti si  https://www.databazeknih.cz/serie/milenium-millennium-103
 

Tak to přesně udělám! A dneska si udělám filmový večer.

Jak vubec dopadla IT Rekvalifikace, už máš hotovo?
https://forum.root.cz/index.php?topic=27856.0

Zatím všechno jen zkoumám.

[neregistrovany]

Objevil jsem pro mě úžasnou sféru etického hackování.

Na to bacha, Guru Jára na háčking dojel..

[NickMick92]

Objevil jsem pro mě úžasnou sféru etického hackování.

Na to bacha, Guru Jára na háčking dojel..

Toho se asi bát nemusím...