Chtěl bych být bezpečnostní expert. Jak začít?

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #30 kdy: 05. 11. 2016, 20:50:15 »
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho.
S tímto dost nesouhlasím. Gentoo používám už notnou řádku let a to co jsem se ze začátku díky Gentoo naučil o Linuxu, to by mi nikdy žádný *buntu, SuSE, RH, ani žádný jiný přeGUIovaný distribuce nedaly.


I should give you a name

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #31 kdy: 06. 11. 2016, 07:45:28 »
uz to padlo, ale pridavam hlas => nainstaluj si citokrevnej Arch (zadne z neho vychazejici, zadne gui instalatory), pak si precti neco o Gentoo a LFS, a vyber i to co te vic zaujme...

Nainstaluji si to a uvidím. Zatím jedu virtuálně Ubuntu 16.04 a Kali Linux. Ještě mě zaujal Elementary OS, ale to je spíš takový systém, který si člověk zapne, když chce vypnout. Lehne na postel, pustí TV a dělá si svoje.
Citace
virtualizace v pohode, ale vykasli se na VirtualBox, jdi do KVM/QEMU/libvirt...
Co se týče virtualizace, jedu jen na VMWare Workstation (bez konkurence). VirtualBox je pro úplný začátek s virtualizací.
Citace
nenech se odradit od nikoho a vsechny a vsechno bez s reservou...

Neboj :)
Myslim ze zdejsi komentare jsou docela mimo. Tazatel chce byt bezpecnostni expert, ale vy mu radite instalaci Archu, Gentoo, LFS a dalsi zbytecnosti - timto se stane expert na Arch, Gentoo nebo neco jineho. Pro IT security je nutnou podminkou hluboka znalost ruznych oboru typicky - Hardware (pripadne elektronika), networking, operacni systemy a systemove programovani a dalsi (tedy jestli se chce zamerovat na bezpecnost webovych aplikaci tak bude potrebovat jeste dalsi znalosti aby pochopil XSS, sql injection a dalsi...). Taky bude potrebovat nejakou matematiku, aby pochopil hashovaci funkce a kryptografii.

Takze tazateli preji hodne stesti, myslim ze ma do konce zivota co studovat. 

Díky za podporu.

Je vůbec být až takhle univerzální? Já mám teď v plánu být dobrý hlavně v sítích a v Linuxech (kvůli práci) a ve volném čase bych si dostudoval i ten zbytek. Nevím, jestli se někdo stane hackerem tím, že je prostě expert a vidí ty problémy automaticky a nebo tím, že chce být hackerem a stane se expertem. Být expertem v tolika věcech, to už ti pomalu začnou zavírat rakev, ve které ležíš, protože to je fakt na dlouho...

I should give you a name

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #32 kdy: 06. 11. 2016, 07:48:31 »

Je vůbec být až takhle univerzální?

Oprava, protože nevidím nikde edit:

*Je vůbec možné být až takhle univerzální?

hacker

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #33 kdy: 06. 11. 2016, 09:16:52 »
Jon Erickson, Hacking: The Art of Exploitation.
Na netu si to už jako správný hacker najdi sám ;).

David

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #34 kdy: 06. 11. 2016, 09:21:04 »

Je vůbec být až takhle univerzální?

Oprava, protože nevidím nikde edit:

*Je vůbec možné být až takhle univerzální?

Neni to o tom byt univerzalni ale o tom videt souvislosti. Kdyby ceske vysoke skolstvi stalo za neco (az na par pedagogu kteri se snazi neco naucit) tak tyto znalosti ma kazdy absolvent Bc. IT oboru.

Ad LFS a podobne veci, nemuzu se ubranit dojmu ze pokud se chce nekdo naucit varit musi si vypestovat vlastni brambory, vyrobit vlastni hrnce, noze etc... Informace a zkusenosti ziskane provozem a instalaci Gentoo, nebo LFS muzes ziskat i pohodlneji a rychleji i za predpokladu ze si nainstalujes Fedoru/Debian/jakekoliv userfriendly linux distro. Chce to jenom motivaci a schopnost hledat informace a ucit se. Jinak je IMHO LFS jen ztrata casu pokud nepotrebujes nutne z nejakeho duvodu zkompilovane distro podle nejakych specialni pozadavku.


Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #35 kdy: 06. 11. 2016, 09:25:00 »
obvykle ne, protože to vyžaduje fenomenální paměť, rozvinuté logické myšlení a schopnost pojímat složité celky do detailů + se docela hodí cit na jazyky a to není obvyklá kombinace vrozených vlohů (vlohy nejsou vše, bez neustálé touhy se něco naučit a v něčem se zlepšit a neobyčejné píle jsou pak tyto vrozené vlohy k ničemu)

jen ke konceptu "chci být hacker" - neznám nikoho jiného, kdo by to pojal takto a uspěl
znám pár lidí, kteří jsou dle mého v nějaké oblasti odborníky (nebo také hackery), ale ani jeden to o sobě netvrdí (většina z nich má stále pocit, že se mají pořád co učit :-D ) a nebylo to primárně cílem
obvykle jen chtějí dělat pořádně to co dělají a ono to pak tak nějak přichází samo...

remetremet

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #36 kdy: 07. 11. 2016, 10:11:56 »
Pavel Skokan: Naprosto souhlasim a opacne to plati uplne dokonale take. Prakticky vsichni kdo o sobe tvrdi, ze jsou experti, vedi povetsinou povrchni nic, ale maji uzasne komunikacni schopnici (minimalne na urovni snatkoveho podvodnika) a dostatecnou drzost na to, aby zakladali nadace, agentury, asociace, zadali granty a dotace ze vsech stran a zejmena se prezentuji v popularne vedeckych a bulvarnich periodikach prave jako experti vlastne uplne na cokoli.

remetremet

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #37 kdy: 07. 11. 2016, 10:49:10 »
David: Ja kompilovany OS provozuju stale (kernel, OS i balicky). Pred par lety jsem od toho chtel ustoupit, jelikoz precejenom kompilace chvilku trva a zjistil jsem, ze to tak ruzove neni. Problem tkvi v tom, ze jsem byl uz na moznosti dane kompilovanim zvykly a clovek odkojeny nejakym klikacim linuxem v tom proste neuvidi zadny problem.

Neresim vubec nejake konkretni optimalizace C/C++ pri kompilaci - dneska neni s vykonem zadny problem, abych musel laborovat s "-O3 -f..." a tak podobne, ale nejvetsi potiz je se zavislostmi u balicku. U binarnich jsou strasne omezene moznosti konfigurace a zmeny zavislosti (pro priklad i treba jen treba MySQL vs. MariaDB).

Takze ano, kompilace je otravna a pomala, ale oproti kliknuti mysi to neco nauci. Nemluve o tom, ze pri kompilaci si clovek muze i lokalne lecos opravit, nez aby cekal mesice nez to probubla balickovacimi repozitari od puvodniho autora.

PS: Na zacatku byla ta kompilace spis nutnost uz proto, ze bylo dost rozdil stahovat 100MB zdrojaku a 2GB binarek.

tazatel: Vim, ze tohle bude dost nekorektni, infantilni a lidske zle, ale na tenhle plan/sen/karieru je v CR absolutne nejlepsi profesor Bychtělák. A necuc furt na ten Youtube...

David

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #38 kdy: 07. 11. 2016, 15:40:42 »
A co ma tvuj komentar spolecneho s bezpecnosti? Je snad nekde napsano ze kompilovane distro (treba Gentoo) nemuze mit GUI?

Ja proste tvrdim ze kompilovat si vlastni OS neni nezbytne nutna podminka pokud se chci zabyvat bezpecnosti, dokonce existuje spoustu lidi kteri se bezpecnosti zabyvaji a nemaji Linux https://usesthis.com/interviews/bruce.schneier/

cf23423

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #39 kdy: 07. 11. 2016, 18:17:04 »
A mas ve svych 20 letech Facebook?  8)

čumil

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #40 kdy: 07. 11. 2016, 20:57:47 »
Nikdy mi to nepřišlo jako teď

ty diskuze tady

sou k pláči

a ty co chceš bejt hack3r ... najdi si na googlu "how to be a pentester" a pak čti a čti a uč se a uč

tim googlem fakt začni, plno ne IT lidí hledá na googlu akorát tak porno a pak se diví co na tom dokážu hledat já ...

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #41 kdy: 21. 11. 2016, 17:03:46 »
Pracuju jako bezpečák. Pár postřehů:

* Gentoo/Arch/… – dá to zkušenosti s Linuxem, pro dráhu bezpečáka bych to však nepovažoval za nezbytné. Pokud se ale chceš specializovat na Linux, pak proč ne…
* Google – v IT zásadní skill důležitý nejen pro bezpečáky. Řekl bych, že to není až tak těžké, ale spousta lidí s tím má problém. (Je fakt, že Gentoo/Arch naučí Googlit. Ale na druhou stranu, to se dá naučit i u mnoha jiných věcí.)
* Práce bezpečáka chce rozhled v oblasti, kde se pohybuje. Těžko přemýšlet třeba o cross-site request forgery, pokud nebudu znát web a autentizaci pomocí cookies. Těžko budu přemýšlet o buffer overflow, pokud nebudu znát lowlevel programování. A tak dále.
* A nejde jen o znalosti, jde i o praktickou zkušenost. Nejen jazyk, ale třeba i framework, typický styl (i kolegů) apod. Jak chceš hádat, jaké někdo může udělat chyby, když jsi jeho práci nikdy nedělal? Těžko. Myslím, že dobrý bezpečák se často snažil prvně naučit něco jiného, kde získal zkušenosti a pak se z něj stal teprve bezpečák.
* Různé kurzy k bezpečnosti: Ano, pokud chápeš principy útoků. To je rozdíl mezi hackerem a script kiddie.
* Lowlevel nemusí být kriticky nutný (například u webové bezpečnosti nevyužiješ moc často buffer overflow), ale pro rozhled se hodí. Třeba pro side channel attacks. Doporučuji se naučit třeba C, to mi pomohlo pochopit spoustu věcí. I když jsem v tom reálně zas tolik nenaprogramoval.

moralkomando

Re:Chtěl bych být bezpečnostní expert. Jak začít?
« Odpověď #42 kdy: 26. 11. 2016, 12:38:44 »
Kiddo bez do toho, je to tvrda prace a kopec prace a za tim kopcem jsou dalsi mnohem vetsi kopce, takze keep going. Ja ti povim tak, jelikoz komplexita IT je cim dal tim vetsi a slozitejsi, nemuzes byt expert na vsechno, ale o vsem muzes mit alespon zakladni prehled. Jak tady psali co se prace tyce.

"Chces-li zit v Rime, stan se Rimanem" trochu to parafrazuju "Chces-li byt hekerem premyslej jako heker"

IT support/helpdesk (je lepsi kdyz to delas on site), vidis jak lidi interagujou s pocitacema, co pouzivaj, jak se chovaj. Neni vetsi radosti, nez kdyz se jim zaviruje komp a ty mas prilezitost ho odvirovat (nauci te to dost a da se to rozvijet, treba zacit debugovat ten virus). Vystrc si ven na internet widle a posbirej si par viru, opatrne obcas ty svine kousou :)

SysAdmin - z meho pohledu je to predevsim o sprave uctu a autentizaci sluzeb (je to komplexnejsi a neni to jen o tom), deployment a castecne "sitove" sluzby (vim, ze me tady nekdo sepsuje, ze skoro vsechny sluzby jsou sitove). Mam tim namysli, ze treba maily a ty uz jsou k sitim o chlup blize k sitim (dhcp,dns ....), ale nejsou to site jako takove. Dobrej systemak ma hodne velkej presah do NetAdmina.

NetAdmin - dle meho by mel byt schopny nadesignovat a nadimenzovat site velkeho rozmeru (i kdyz mas treba 10 pobocek a na kazde je 10 lidi, neznamena to ze nemuzes uplatnovat nebo se ridit best practice z velkych korporatu). Sitarina je jednoduse svuj vlastni obor a je super. NetAdmin vetsinou nemusi mit velke poneti o tom co dela SysAdmin, je to vyhoda nikoliv nutnost, protoze je zodpovedny za to aby paket prisel na sluzbu, kde admin resit co v tom paketu prislo a jak se zachova.

Programator - vetsinou nema anung o tom co dela sysadmin natoz nejakej sitar. A to kolikrat i kdyz programuje kusy kernelu nebo nejake low level vecy. Natoz nejakej programator webu, ten kolikrat ani nevi co je to UTC. To neznamena, ze nestoji za to si nezkusit chvili neco takoveho, kdyz jsi dobry (web)programator a mas presah alespon trochu do SysAdmina (umis si zakladne nakopnout alespon sluzby co potrebujes - DB,smtp idealne programujes nejaky auth moduly), dostanes zase trochu jiny pohled na to co se skutecne deje. Zakladni pohled na vec je, jak obejdu svoji vlastni funkci/metodu, jestli dokazes obejit svuj kod - hezkej priklad je treba generovani session doporucuju si to testnout bez frameworku, par radku kodu, samotne funkce, metody autentizace. Dalsi level je C/C++, kdy jsi defakto bliz systemu, to povazuju za programovani (koukni treba na nejakej zdrojak PAM modulu). To predtim je pro me webdeveloper coz je spis ten co pise skripty, nez ze by rozumel programovani (taky to tak vypada). Kazdopadne Python a Ruby jsou kamosi cokoliv dal je vyhoda, vzhledem k povaze webu je PHP nutnost, alespon zakladny.

Kdyz pokryjes tyhle znalosti a budes mit v kazde alespon 2 roky praxe mas solidni zaklad a muzes se zamerit na dalsi prohlubovani tech znalosti, taky ti to vyprofiluje co te zajima a co ti jde.

Nauc se premejset jako heker, konec koncu cesi jsou na to experti, jak obcurat cokoliv co je mozny, takze predpoklady mas "idealni" :D

Udelej si doma nejakej "lab", par virtualu a testuj si na nich site, sluzby, kravoviny, cokoliv te napadne. Nikdy nepouzivej nic standartne (nebud cvicena opice), to ze je neco na neco urceny, jeste neznamena, ze to nemuze delat i neco jinyho.

Jinak dnesni doba je plna mobilu a mobilnich siti, je to urcite vec, ktera bude a je vic a vic bolestiva pro bezpecnost obecne. Nejakej trotl z obchodniho si doma nainstaluje nejakou super apku od kamose, jenze na tom telefonu ma i pristupy na maily a jiny veci z prace, tam se kopne na wifinku no ..... vime jak to je. Rekl bych, ze mobily budou cim dal tim vic hardcore a kdo jim bude vladnout bude kral.

Je to jak matrioska, otevres jednu a jeeee tohle to jde taky a tak, no pak zjistis, ze to jde otevrit a jeeeeezis tady je jeste tohle a tohle .... no davej na sebe pozor nebo zmagoris a celej internet si do hlavy nenacpes. Hodne cti, je spousta zajimavych knih, a pochopeni principu je mnohem dulezitejsi nez memorovani. Ja byt tebou tak zacnu knihou RTFM (Red Team Field Manual) stoji to par korun a aspon uvidis do ceho jdes.

Keep going, never slow down.