Chtěl bych být bezpečnostní expert. Jak začít?

omg

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #15 kdy: 03. 11. 2016, 15:40:47 »
Ahoj, nevím, kolik takových lidí má sen být hackerem, ale jsem si jistý, že nejsem jediný.

Zajímá mě od někoho, klidně od někoho v praxi, jak bych měl začít, pokud bych v budoucnu se tím chtěl živit.

s tim se musis narodit. ja zacinal programovat sam a uz pri uceni jsem de-facto uvazoval zpusobem, ktery se treprve nedavno v bezpecnostnich kruzich oznacil jako "prelomovy"... komponentovy model exploitu a viru a botnetu. kvalitni lidi se s znalosti best practices uz rodi, protoze k nim maji prirozene dispozice.
nicmene ti opravdu kvalitni a) nic nepusti mimo piskoviste umyslne, b) maji vrozene dispozice neudelat nepustit oproti neurotypickym jedincum nic ani omylem.


omg

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #16 kdy: 03. 11. 2016, 15:43:04 »
1. jako programator jse neuzivis - na to dnes vyzaduji ruzny zbytecnosti jako framework a spol takze to je jen bastleni kodu - IGNORUJ
2. nastuduj si typologii siti, dns a networking, routre a switche, cisco technologie, cinnost windows serveru a taky managment linux servru
3. zacni delat podporu/admina, kdyz zacnes programatora te to hned omrzi pri dnesnych frameworkech a spol
4. vyber ci co vlastne chces delat - admina? support? networking?, a pri praci si dostuduj tuhle oblast...

//vsechno rikam z vlastni skusenosti, umit muzes umet hodne, ale v dnesni dobe si bud programator na 10 pct, nebo na 100 pct kde ale delas se vsetkym co nesnasis.

+1

eion1oH8zLvmRa8POB26

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #17 kdy: 03. 11. 2016, 20:24:44 »
Tak jo, většina ti tady dává opět spoustu užitečných názorů.

Pár rad ode mě:

1) nauč se pořádně googlit. Zní to banálně, ale většinu věcí vyřešíš dobrým googlením.
2) na co potřebuješ virtual box? Udělej si dual boot, ať to máš na nevirtualizovaném HW. Vykašli se na backtrack nebo Kali, takové preset distro tě nic nenaučí. Nainstaluj si vlastní distro. Nástroje, co potřebuješ, jsou volně dostupné v balíčcích / gitech apod
2.1) nainstaluj si Arch. A žádný evolution, hezky Arch-way. Případně si zkompiluj Gentoo, pokud raději fedora distro. Nebo, pokud chceš být opravdu "hárdkór", tak LfS. Jen takhle poznáš, jak funguje linux. (pozn. pro rasistické linuxáky - nelpím na distru, jen gui instalace z liveCD fakt nic nenaučí).
3) nehledej si první práci jako bezpečák. Je to k ničemu. Jako programátor taky ne, protože na lowlevel si nešáhneš, dnešní programování je hodně high level, tuny abstrakce apod. Už ani neřešíš úložiště, vše máš abstraktní, a používáš jen jednotné API a měníš drivery podle potřeby. Doporučuju začít s IT podporou / sysadminem. Na sysadmina ale budeš potřebovat už nějaké znalosti.
4) Všechno co učí na školách je ti k hovnu. Je to zastaralé. Ve školách ti o dirty cow neřeknou.
5) a když už jsem načnul dirty cow, začal bych třeba tím, že bych si ve virtuálu rozjel linux se starším kernelem a zkusil, zda za usera dokážeš přepsat soubor, ke kterému nemáš práva. Materiálu k tomuhle exploitu existuje dost. Až si vyzkoušíš tenhleten exploit, můžeš zkoušet jiné. Jenom prosímtě exploituj jen své systémy, ono existují věci jako honeypots apod, a nechceš dělat protizákonnou věc :)

Tohle ti na dva tři měsíce vystačí.

PS: Pokud chceš dělat v tomhletom oboru, počítej s tím, že je to brutálně nevděčné, nikdo tě v tomhle oboru neocení.

javaman ((

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #18 kdy: 03. 11. 2016, 21:55:41 »
s tim se musis narodit

S tím souhlasím. Jen lopaty si pak hrají na nějaké junior a senior pozice, protože to nechápou.

I should give you a name

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #19 kdy: 03. 11. 2016, 23:04:07 »
s tim se musis narodit

S tím souhlasím. Jen lopaty si pak hrají na nějaké junior a senior pozice, protože to nechápou.
Mě by zajímalo, co ty jsi dělal ve 20. Jel si do Prahy a dostal pozici CTO v nejlépe dařící se firmě.
Člověk se s tím vůbec nemusí narodit. Když děláš něco, co tě baví, budeš v tom dobrý, tak to prostě je. Stačí mít sen a jít si zatím. Jsou lidé, kteří jsou v oboru talenti a potom ti, co si to vydřeli.

Tak jo, většina ti tady dává opět spoustu užitečných názorů.

Pár rad ode mě:

1) nauč se pořádně googlit. Zní to banálně, ale většinu věcí vyřešíš dobrým googlením.
2) na co potřebuješ virtual box? Udělej si dual boot, ať to máš na nevirtualizovaném HW. Vykašli se na backtrack nebo Kali, takové preset distro tě nic nenaučí. Nainstaluj si vlastní distro. Nástroje, co potřebuješ, jsou volně dostupné v balíčcích / gitech apod
2.1) nainstaluj si Arch. A žádný evolution, hezky Arch-way. Případně si zkompiluj Gentoo, pokud raději fedora distro. Nebo, pokud chceš být opravdu "hárdkór", tak LfS. Jen takhle poznáš, jak funguje linux. (pozn. pro rasistické linuxáky - nelpím na distru, jen gui instalace z liveCD fakt nic nenaučí).
3) nehledej si první práci jako bezpečák. Je to k ničemu. Jako programátor taky ne, protože na lowlevel si nešáhneš, dnešní programování je hodně high level, tuny abstrakce apod. Už ani neřešíš úložiště, vše máš abstraktní, a používáš jen jednotné API a měníš drivery podle potřeby. Doporučuju začít s IT podporou / sysadminem. Na sysadmina ale budeš potřebovat už nějaké znalosti.
4) Všechno co učí na školách je ti k hovnu. Je to zastaralé. Ve školách ti o dirty cow neřeknou.
5) a když už jsem načnul dirty cow, začal bych třeba tím, že bych si ve virtuálu rozjel linux se starším kernelem a zkusil, zda za usera dokážeš přepsat soubor, ke kterému nemáš práva. Materiálu k tomuhle exploitu existuje dost. Až si vyzkoušíš tenhleten exploit, můžeš zkoušet jiné. Jenom prosímtě exploituj jen své systémy, ono existují věci jako honeypots apod, a nechceš dělat protizákonnou věc :)

Tohle ti na dva tři měsíce vystačí.

PS: Pokud chceš dělat v tomhletom oboru, počítej s tím, že je to brutálně nevděčné, nikdo tě v tomhle oboru neocení.

Díky za vyčerpávající odpověď.
1) pravda, nejsem první, kdo si s nějakým problémem nevěděl rady
2) pro simulaci útoků; v dual bootu to fakt neuděláš; ovládat meterpreter je krásná věc;
3) na tuhle odpověď jsem od někoho čekal, konečně
Rád bych jako sysadmin začal a to, že potřebuji znalosti? Nic není zadarmo a já se učím v mém volném čase dobrovolně (dá se říci skoro celý den). Myslí se tím sysadminem třeba ta junior pozice? Zaujala mě jedna nenáročná nabídka v sekci "Nabízím práci", kde je nabízen Junior Linux administrátor.

Btw, IT podpora = operátor na lince? Protože jestli ano, tak tam snad toho bude potřeba znát mnohem více než u sysadmina, kterému někdo nevolá každých pár sekund.

4) tohle znám; snažím se pohybovat všude, takže se dozvím i o nové zranitelnosti a na youtube už jsou tutoriály
5) to jsem měl v plánu; honeypot znám také, nejsem zas tak hloupý, jak si myslíš :)

Co se týče toho oboru, tak asi máš pravdu. Nicméně hacker chci být tak i tak, takže se asi vydám cestou super zkušeného síťaře a Linuxáka, který má i slušný plat, pokud něco umí a zároveň pentester bych mohl být také, protože bych byl expertem v sítích a pokud i v Linuxech, tak se předpokládá, že umím bash a není problém psát skripty.

Ještě jednou díky za radu, tohle fakt bodlo.

Jestli to myslis vazne a chces se ucit tak mi napis. Mel bych pro tebe nabidku na praci.
To vypadá jak na návnada pro naivky.
Myslím to vážně :P

Fakt to neni zert?

Zřejmě je, ale to většina diskuzí na rootu. Sranda musí bejt, i kdyby fotra věšeli.
To, co jsem psal, myslím vážně. Je pravda, že se teď na to dívám jinak a měl bych se vydat trochu jinou cestu, nicméně co je špatného na tom mít touhu být lepším než skončit jako někdo v obchoďáku?
Nemám nikoho, kdo by mi poradil a tak jsem napsal sem. Fakt nechápu, proč si někdo myslí, že jsem troll jen proto, že chci něco dokázat. Asi hold na rootu je špatný mít sen a žádat o pomoc...

ahoy, mne sa velmi pacia tieto slajdy o CTF https://twitter.com/73696e65/status/794124027866574849

nejakym CTF mozes zacat
Díky, zrovna pár dnů předem jsem narazil na CTF na youtube a jeden youtube kanál to rozebírá postupně (jedna výzva = nové video).

Zbylým lidem taky děkuji za komentáře, nicméně někteří si ho mohli odpustit.


Lol Phirae


smoofy

  • *****
  • 1 059
    • Zobrazit profil
    • E-mail
Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #21 kdy: 04. 11. 2016, 08:00:45 »
Citace
Asi hold na rootu je špatný mít sen a žádat o pomoc...
To mas bohuzel uplnou pravdu.

To co ti psal eion1oH8zLvmRa8POB26 velice dobre sedi az na bod 2 se kterym taky uplne nesouhlasim :). Kdysi sem to tak delaval a to vecny rebootovani je na nic. Virtualizovane se daji delat cele site na testovani a vykon dnesnich stroju na to perfektne postacuje tak proc to nevyuzit. Pokud mas k dispozici klidne i stary zelezo tak to narvat primo na nej a jinak jednoznacne virtualbox/KVM etc.

Vyborna znalost tveho OS je absolutni zaklad. Arch nebo Gentoo jsou urcite skvele zpusoby jak zacit a pokud pokoris je urcite bych se nebal ani LfS. Je to sice na delsi zimni vecery ale ta zkusenost je k nezaplaceni.
Dalsi nutnost je urcite znalost siti. Pokud clovek nevi co je stavovy firewall nebo tcp handashake tak ma co dohanet, na druhou stranu to neni nic co by se muselo ucit 10 let.
Urcite bych ale cas venoval skriptovani idealne asi v bashi a programovani v nejakem rozumnem jazyce. Python se jevi jako dobra volba pro administratory. V unix-like svete se ti urcite neztrati alespon zakladni znalost C at si kdo chce co chce rika, protoze to pomaha pochopit system v souvislostech.

Co se te nabidky tyce tak porad plati. Hledam lidi do junior teamu linux adminu co se chtej ucit a cca do 2 let stat senior cleny teamu takze kdybys mel ty a nebo klidne i nekdo jiny zajem to zkusit, poslete mi soukromou zpravu a domluvime se. Je to teda v Praze, ale je mozne i domluvit nejake bydleni pokud vim.

smoofy

  • *****
  • 1 059
    • Zobrazit profil
    • E-mail
Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #22 kdy: 04. 11. 2016, 08:09:30 »
Jeste co se tyce tveho dotazu ohledne IT podpory...
Zalezi na tom kde to budes delat. Neda se vseobecne skatulkovat. Ve vetsine pripadu to byva tak ze juniori delaji zaroven helpdesk a funguji jako prvni filtr pozadavku pred levelem 2 kde uz jsou seniorstejsi admini. Na prvni pohled to muze vypadat ze musis znat vic, protoze to resis primo na telefonu, ve skutecnosti je opak pravdou. Vetsinou prevezmes pozadavek, cislo nejakeho tiketu a reknes zakaznikovi ze mu das vedet jak neco budete vedet pokud nejsi schopen problem resit hned. Vetsinou se jedna o pozadavky typu, zmenu domeny, nedoruceny email,zapomeute heslo apod.
Vetsina firem na to ma nejakou know-how db kde si to najdes a udelas. Nejvetsi problem s mensima hostingovkama je, ze komunikujes vetsinou s lidma co o tom nemaj ani paru a nevedi jake jsou realne moznosti a ani neumej vysvetlit co vlastne chteji.  My delame vetsi zakazniky a komplexnejsi reseni takze clovek prijde vetsinou do styku jen s nekym u koho se predpoklada hlubsi znalost a neresi uplne banality.
Takovychto pozic je celkem hodne. Firmy neustale hledaji a lidi nejsou. Nutno dodat ze nastupni penize nebyvaji nic velkeho, ale moznost ucit se a ziskavat zkusenosti je k nezaplaceni.

jurdo

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #23 kdy: 04. 11. 2016, 08:23:49 »
musis byt huzevnaty, vytrvaly a hlavne sa nenechaj odradit losrami na roote. castokrat sa z nich smejem, ake blbosti tu vypotia a ani sami nevedia, o co ide. ja mam skusenosti z oblastia bezpecnosti, som hacker a ludia mi platia za ich ochranu.

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #24 kdy: 04. 11. 2016, 10:10:23 »
musis byt huzevnaty, vytrvaly a hlavne sa nenechaj odradit losrami na roote. castokrat sa z nich smejem, ake blbosti tu vypotia a ani sami nevedia, o co ide. ja mam skusenosti z oblastia bezpecnosti, som hacker a ludia mi platia za ich ochranu.

Tak určitě :-)
Když chceš, dokážeš vše!

dword

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #25 kdy: 04. 11. 2016, 13:11:08 »
Neseš duši velkého bojovníka, bylo by škoda ji nerozvinout.
Máš větší potenciál než být jen obyčejný programátor.
Potřebuješ tohle https://www.youtube.com/watch?v=vIFs5eGuIwk

nobody(ten pravej)

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #26 kdy: 05. 11. 2016, 00:11:28 »
[...] a mam skusenosti z oblastia bezpecnosti, som hacker a ludia mi platia za ich ochranu.

bezva, po tech tvejch desitkach prispevku o nicem, konecne nejakej vtip, uz sem myslel ze ses jenom takovej troll-suchar :-D

nobody(ten pravej)

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #27 kdy: 05. 11. 2016, 00:19:06 »

uz to padlo, ale pridavam hlas => nainstaluj si citokrevnej Arch (zadne z neho vychazejici, zadne gui instalatory), pak si precti neco o Gentoo a LFS, a vyber i to co te vic zaujme...

virtualizace v pohode, ale vykasli se na VirtualBox, jdi do KVM/QEMU/libvirt...

taky se vykasli na tutorialy na youtube, ale hledej veci u kterejch budes premyslet, textove howto, cti man a doc ruznych nastroju, diskuze lidi, studuj zdrojaky...

za par mesicu budes dal, za par let uz budes vedet kam si se dostal, co te vic, co min zaujalo...

nenech se odradit od nikoho a vsechny a vsechno bez s reservou...

David

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #28 kdy: 05. 11. 2016, 12:45:33 »
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho. Pro IT security je nutnou podminkou hluboka znalost ruznych oboru typicky - Hardware (pripadne elektronika), networking, operacni systemy a systemove programovani a dalsi (tedy jestli se chce zamerovat na bezpecnost webovych aplikaci tak bude potrebovat jeste dalsi znalosti aby pochopil XSS, sql injection a dalsi...). Taky bude potrebovat nejakou matematiku, aby pochopil hashovaci funkce a kryptografii.

Takze tazateli preji hodne stesti, myslim ze ma do konce zivota co studovat. 

nobody(ten pravej)

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #29 kdy: 05. 11. 2016, 19:35:34 »
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho.[...]
Mimo nektere jsou, treba tvuj ;) nejde o zbytecnosti ale technickou pripravu ktera ho dost nauci a vse dalsi pak bude logicky pobirat mnohem snadneji...