Práce v IT security (pen testy, ethical hacking) vs. vývoj software

[michael]

Ahoj,
mam dotaz ohledne prace v it security vs software development. Po ctyrech letech game developmentu (programovani v UE4) bych se rad poohledl po nove specializaci. Mam zkusennosti s pythonem a bavi me linux. Projel jsem si par tutorialu o ethical hacking a zacal si hrat s Parrot Linux.
 Rad bych se dozvedel od lidi v CR, kteri realne pracuji v oboru, jake jsou pracovni podminky a nabidky prace. Je realny si myslet, ze se dostanu hloubeji do oboru a muzu lehce zacit pracovat na zivnostak pro firmy jako eticky hacker? Je vubec dostatecny zajem firem v CR po takovych vecech?
 Vim, ze poptavka po Python programatorech je dost velka a kdyz je clovek sikovnej a ma praxi, tak si vydela slusny penize. Programovani me hodne bavi, ale zaroven si rikam, ze pracovat jako eticky hacker muze byt ruznorodejsi a zabavnejsi. Ale mozna si to akorat predstavuju jako z filmu a clovek v praxi spis vyplnuje porad nejaky reporty...
 Rad bych proste zjistil par veci od lidi z praxe. Pripadne poradaji se nekde v Praze setkani lidi delajici eticky hacking? Vzdycky je fajn se s nekym pobavit osobne..

[Reklama]

[s]

Jak znamo, tak kazdy cech je mimo jine i security expert, takze konkurenci budes mit asi velikou.

[RDa]

Ja tedy vetsinou hackuji proprietarni hardware, ale do sw se me uplne nechce, resp. nemuzu.

Dokazal bys dekompilovat x64/sse/avx kod (win/mac/linux) - jedna se o video kodek, k nasledne open-source reimplementaci, takze z kodu je potreba postavit hlavne specifikaci, at je to clean room design ~ https://en.wikipedia.org/wiki/Chinese_wall#Reverse_engineering

[michael]

Co jsem se tak koukal na zahranicni fora a clanky, tak to vypada, ze poptavka je slusna a pocet prilezitosti roste. No ale vubec netusim, jak to je v CR... Jinak teda kazdej cech si snad nemysli, ze je pen tester..

[michael]

RDa,
chapu to spravne, ze bys dodal zkompilovanej kod, kterej by se dekompiloval a nasledne se podle nej napsal vlastni kod? Nikdy jsem to nedelal, ale pokud by k tomu sel pouzit Python a nebyl by to nejakej silene komplexni projekt, tak bych se na to mohl kouknout, ale jak rikam s timhle konretne zadny zkusennosti nemam.

[Reklama]

[s]

Co jsem se tak koukal na zahranicni fora a clanky, tak to vypada, ze poptavka je slusna a pocet prilezitosti roste. No ale vubec netusim, jak to je v CR... Jinak teda kazdej cech si snad nemysli, ze je pen tester..

V tom tvym dotazu vidim znacnou davku naivity. "Game-developer se chce stat hackerem." Kdo nechce? Kdyz si te nejaka firma objedna na pentesty, bude mit v prioritach tu bezpecnost az na druhem miste. Obvykle ji jde o certifikat ze muze... co ja vim... byt bankou v EU? Byt GDPR compliant? Jako Game-developer co chce byt pen-testerem ses nonsense. Uz fakt samotny, ze se na tohle ptas na rootu mi rika, ze by ses mel spis venovat tomu pythonu.

[michael]

Prijde mi v pohode, ze nekdo chce zkusit novej obor. A game development planuju opustit. Vetsinou hledam odpovedi na zahranicnich forech, ale tam se o CR moc nepise, tak jsem se zeptal tady. Nebo mi doporucis nejaky lepsi stranky?

[RDa]

RDa,
chapu to spravne, ze bys dodal zkompilovanej kod, kterej by se dekompiloval a nasledne se podle nej napsal vlastni kod? Nikdy jsem to nedelal, ale pokud by k tomu sel pouzit Python a nebyl by to nejakej silene komplexni projekt, tak bych se na to mohl kouknout, ale jak rikam s timhle konretne zadny zkusennosti nemam.

Ano, ale postaci to prevest do formy specifikace (ze ktere se kod napise nekym jinym). Jen nechapu k cemu bys tam jako chtel pouzivat Python. Mel bys pouzivat spis hlavu. Komplexnost cca na urovni MJPEG-u (kazdy snimek zvlast, DCT, kvantizace, nejake to bitove kodovani.. resp. u dekodovani v opacnem poradi).

[michael]

RDa,
chapu to spravne, ze bys dodal zkompilovanej kod, kterej by se dekompiloval a nasledne se podle nej napsal vlastni kod? Nikdy jsem to nedelal, ale pokud by k tomu sel pouzit Python a nebyl by to nejakej silene komplexni projekt, tak bych se na to mohl kouknout, ale jak rikam s timhle konretne zadny zkusennosti nemam.

Ano, ale postaci to prevest do formy specifikace (ze ktere se kod napise nekym jinym). Jen nechapu k cemu bys tam jako chtel pouzivat Python. Mel bys pouzivat spis hlavu. Komplexnost cca na urovni MJPEG-u (kazdy snimek zvlast, DCT, kvantizace, nejake to bitove kodovani.. resp. u dekodovani v opacnem poradi).

S tim nemam zkusennosti, takze nema cenu se do toho poustet.

[Tomas Z.]

Nemyslim si, ze jit na zivnostak s nulovou zkusenosti je dobry napad. Jednak ani nevis co vsechno nevis, a asi budes mit i problem ziskat zakazku (i kdyz statni sektor obcas poptava neco s cenou jako jedinym kriteriem). Nemluve o pripadnych investicich do nastroju (ne ze by to bez Nessusu a Burpu neslo - na druhou stranu nekteri na automatickem scanu postavi celou zpravu).

Jinak prace co vidim i u nas je, ruzneho druhu. Jsou firmy ktere maji pentesty (i kdyz to co chteji jsme driv nazyvali vulnerability scany, ale dnes to nikdo nerozlisuje) jako soucast vyvojoveho cyklu (a ty obvykle maji dvorni dodavatele). Jsou firmy, kde se vedeni neceho vylekalo a chce zjistit situaci (mas kontakty na CEO firem?) Jsou firmy, ktere pentesty v zasade musi (PCI DSS - chteji pozadavky na kvalifikaci). Je tu i ta statni sprava (a smlouvy muzes najit na webu).

Pokud to myslis vazne, zjisti si spis situaci prijimacim pohovorem ve specializovane firme na pentesty (jsou tu, najdi si je). Pripadne i treba firmy velke ctyrky porad nekoho shaneji, ale zjistis ze pentesty a technicka bezpecnost jsou jen mala cast toho co bys tam v bezpecnosti delal (pokud budes mit stesti a zrovna budou zakazky na bezpecnost).

[michael]

Super, dik za odpoved. Asi to spatne vyznelo. Nemyslel sem jit rovnou bez zkusennosti na zivnostak shanet zakazky.

Pro me to je ted hodne o zjistovani informaci a projizdeni si tutorialu. Bezpecnost me hodne zajima, ale na druhou stranu mam pocit, ze tam clovek vetsinou nema moc programovani.  Nebo se pletu? Jsou nejaky specializace v bezpecnosti, kde clovek hodne programuje?

Jinak jsem si uz nejaky firmy hledal a uvazuju, ze bych se jim zkusil ozvat.

[RDa]

Jsou nejaky specializace v bezpecnosti, kde clovek hodne programuje?

A jsme zpatky u assembleru a primitivni bezpecnosti CPU - doporucuji videa na YouTube kde prezentuje Chris Domas, jeho tooly pak najdes na githubu - https://github.com/xoreaxeaxeax ... posledni God Mode na VIA byl trocha fail, protoze to bylo alespon priznane v dokumentaci, ale ten predesly pocin s instrukci na shozeni PC z userspace byl skvely - https://www.youtube.com/watch?v=KrksBdWcZgQ

[michael]

Jsou nejaky specializace v bezpecnosti, kde clovek hodne programuje?

A jsme zpatky u assembleru a primitivni bezpecnosti CPU - doporucuji videa na YouTube kde prezentuje Chris Domas, jeho tooly pak najdes na githubu - https://github.com/xoreaxeaxeax ... posledni God Mode na VIA byl trocha fail, protoze to bylo alespon priznane v dokumentaci, ale ten predesly pocin s instrukci na shozeni PC z userspace byl skvely - https://www.youtube.com/watch?v=KrksBdWcZgQ

Diky za ten odkaz. Podivam se na to.

[sudoguy]

Ono hlavně pentesting je dost komplexní záležitost a vyžaduje znalost skoro všeho  . Sám na vlastní pěst bych do toho asi nešel, vždy je lepší mít na to tým s různorodými znalostmi. Na něco se specializuj a o ostaním znej alespoň základy. Programování bych řekl, že je všude dost. Někde trochu více, někde trochu méně ale programovat budeš.

Pentesting není pouze o technické stránce věci. Je to i o tom, jak to poté zákazníkovi prodáš. Tzn. vypracovat nějaký report - často dáváš zvlášť report pro IT oddělení(technická stránka věci, doporučení pro vyřešení problému apod.) a pro managery (tam to musíš odříkat řečí BFU, zároveň nejduležitější report). Vypracovat report mi vždy trvalo nejdéle  .

Zase pokud se chytneš někde ve větší firmě jako člen bezp. týmu, tak chvilkovou technickou část věci střídá hádání se s provinilými zaměstnanci proč je něco špatně apod.

Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování  .

[j]

Co jsem se tak koukal na zahranicni fora a clanky, tak to vypada, ze poptavka je slusna a pocet prilezitosti roste. No ale vubec netusim, jak to je v CR... Jinak teda kazdej cech si snad nemysli, ze je pen tester..

Mno v CR je to uplne jednoduchy. Managori maj vseobecne pocit, ze je IT jen stoji prachy a nic jim nevydelava, takze proc by jeste meli resit nejakou bezpecnost nebo podobny blaboly. Drtivou vetsinu firem hacknes po par minutach googleni. Parkrat sem to ruznym lidem i ukazoval ... ne ze by to nejak zvlast pomohlo, protoze stejne daji prednost nakupu dalsiho porsche pred 1/100 investici do aspon zakladniho zabezpeceni.

Coze? heslo delsi nez 1 pismeno? A kdo si to ma pamatovat ... a nedelam si prdеl ani trochu. Najdi si na jejich webu seznam zamestnancu (vetsinou aspon z casti bez problemu) a vyzkousej na to (jejich prijmeni) slovnikovej utok s heslama do 5 znaku.... Uspesnost nad 50% je skoro jista. Pokud se budem bavit o top managementu tak 90+%. Cim vetsi zvire, tim vetsi debil.