Práce v IT security (pen testy, ethical hacking) vs. vývoj software

[michael]

Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování  .

Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
 Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.
 No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?

[Reklama]

[michael]

 Drtivou vetsinu firem hacknes po par minutach googleni. Parkrat sem to ruznym lidem i ukazoval ... ne ze by to nejak zvlast pomohlo, protoze stejne daji prednost nakupu dalsiho porsche pred 1/100 investici do aspon zakladniho zabezpeceni.

Takze vlastne vetsina firem se nejak neobava kybernetickych utoku? Jakoze se neboji o data, protoze se jim to jeste nevymstilo? Toho se prave obavam, co pises... Ze manazeri maj vlastne pocit, ze to neni potreba. Nekde sem cetl, ze prumerna cena za pen test je 300tis a prumerna ztrata pro firmu po uniku dat je cca 25 milionu. Tak se divim, ze je takovej problem investovat tech 300tis.

[Martin Kalenda]

Začni jako bounty-hunter, zkus si to nanečisto někde kde to nevědí pak oslov firmy jestli by byli (klidně pod záminkou psaní diplomky)  ochotny snést při podpisu NDA tvoje pokusy. Pokud bych to chtěl měnit začni s Burp/Nessusem což je sice vysoká investice ale na hraní to v trialu zvládneš - a šel po web appkách, těch je všude plno.

No a pak se rozhodni, každopádně tomu moc šancí nedávám. Každý koho znám a za něco stojí začal tak, že to dělal při práci většinou developera kdy chtěl vědět co dělá blbě. Především jako bokovku protože to chce kromě sw především nápady ne jen sypat analýzy z sw. Programování bývá nutná podmínka protože pak tušíš podle formánu a změn co třeba jak by vzdáleně mohli vznikat auth tokeny etc.

[Krysa11]

Rozhodne development. Na security sere pes, nejen v CR, ale tady podle me o rad vice. Nikdo ti za to nejenze adekvatne nezaplati, ale ani se tim vlastne neuzivis, pokud nebudes underground napul blackhat a v podstate vyderac. V cesku mas problem vysvetlit ve vyjove firme proc je zdrzujes unit testama, natoz tohle. Muzes zkusit statni spravu, ale tam se na to divaji, ze "bratranec taky internetu rozumi a klidne to bude delat za 30 mesicne". Vsichni maji analni diry otevrene do sveta a prusery bud zametaji pod koberec nebo ty, co uz pod koberec zamest nejdou, tak resi pomoci PR. Za 250k tu muzes mit reportaz v hlavnich zpravach ceske televize o tom jak zly hackeri napadli chudaka spolecnost a jak se to resi a dela se co muze, ackoliv za to si nezaplatis slusneho securitaka ani na mesic, takze pak tak.

[Krysa11]

btw. i Clintonovic familia měla doma neupdatovanej windows server otevřenej do světa na to, aby jim outlook šel rychlejc. A to jsou jiný borci než česke Cendra podnikatel.

[Reklama]

[#]

Myslim si ze tento obor bude jen na vzestupu. Uz nyni se zacinaji objevovat velmi vysoke pokuty za uniky dat.

Ale abys dostal slusne zaplaceno musis byt v podstate i vyvojar, neumim si predstavit ze by nekdo chtel platit raketu nekomu kdo umi akorat pouzivat volne dostupny software a pustit par testu

[Krysa11]

vyvojar byt musis, jako zaklad. Ale potom jeste umet perfektne IP4/6, TCP/IP stack a jeho impl na ruznych systemech, znat i ty systemy tzn neustale nainstalovany linux/windows/macOS, takze vlastne musis byt i admin, vsechny sniffery jak fungujou, protocoly od DNS az po HTTP. Pak musis znat ty nastroje, resp opravdu je znat, protoze vsehcny ty nastroje jsou vlastne jenom jakejsi toolkit, kterej te ma nakopnout a opravdu musis sledovat vsechny CVE a po 10-ti letech takovyhle rehole, kdy nemas rodinu, pratele, pritelkyni, vztah (mamu+tatu +chat+jpg+escort),  kdo ti to zaplati? A i kdyz jsi srdcar, ktery tohle podstupuje kvuli vnitrnimu nutkani, tak potom  si v 35 letech uvedomis, ze asi neni spatne se upichnout v nejake korporaci jako Buisines analytik o kterym si tech mozna par lednotlivcu, kteri te potkaji a maji mentalni kapacitu pochopit, co jsi zac, uvedomi, ze "ten typek je nejakej hustej" a mit prachy a spis si zalozis rodinu a spatny prachy taky brat nebudes.

[Rur]

Co máte na mysli prací na živnosťnák? Freelancing nebo švarc? Pokud se ptáte na freelancing ano je to možné, funguju takto už řadu let. Pokud se ptáte na švarc, ano jsou v česko-slovenských luzích a hájích firmy, které zaměstnávají na švarc v této branži. Rizika švarcu si musíte zvážit sám, jestli vám to za to stojí.

Ohledně trhu pro freelancera je to jednoduché, v ČR/SK jsou samozřejmě firmy, které investují nemalé prostředky do bezpečnosti včetně zpracování kvalitních pentestů atp. ale pokud za nimi přijdete s vašimi znalostmi, zkušenostmi a referencemi v oblasti hackingu tak se s vámi pochopitelně nebudou bavit. Upřímně, podle toho co uvádíte není v tuto chvíli absolutně proč. Trh v oblasti hackingu není samozřejmě limitován jen na ČR/SK.

Poznámka ke státní sféře a samosprávě - většina zakázek má jako jediné kritérium cenu ale aby se cena vůbec vyhodnocovala, musíte splnit kvalifikační a technické předpoklady, kde jsou vyžadovány reference obdobného plnění často v řádu stovek tisíc nebo miliónu - nemáte, ušetřete si čas přípravou nabídky.

Pokud se chcete nechat zaměstnat tak v dnešní době obecného nedostatku pracovních sil a v oblasti IT bezpečnosti dvojnásob je aktuálně doba neomezených možností. Samozřejmě v této branži budete absolutně začínat, takže by to pro vás musela být srdcovka, protože příjmově budete na absolutním IT minimu (vaše zkušenosti s game developmentem jsou v zásadě irelevatní).

Co se týká nástrojů - chcete dělat vulnerability scany (bohužel často v ČR/SK vydávány nebo vnímány jako penetrační testy) kupte si Nessus (cca 65tisíc investice). Burp Suite Pro (cca 350 EUR) hodně zaměřeno na web aplikace, služby a web api i když to využijete v menší míře i v jiných oblastech hackingu.

Chcete něco umět tak si Nessus nekupujte a zejména během učení nepoužívejte automaty, naučte se ty věci dělat manuálně, pochopit principy a pak přemýšlejte nad nástrojem pro automatizaci. Chcete dělat okolo webů, vemte si free Burp Community naučte se dělat věci manuálně, jen tak mimochodem v rámci bug huntingu se běžně používá free Burp, protože až na nějaké "drobné" funcionality placenou verzi v rámci bug huntingu nevyužijete (ten vulnerability scanner je vám tam na dvě věci).

NDA - je pouze smlouva, která upravuje zachování mlčenlivosti. Ať free nebo placené pentesty, pokud je dělate legálně, vyžadují ještě další typu smluv (souhlas, scope, časový rámec, zodpovědnost atp.) - myslete na to, že jste v této branži jednou nohou v kriminále a druhou nohou pod mostem.

Co bych vám do začátku a po celou vaši kariéru doporučil:
1) Vyberte si oblast na kterou se chcete specializovat, což vymezuje jaké znalosti a dovednosti musíte získat.
2) Hodně čtěte kvalitní knihy, články atp. Videa na youtube obsahují dost často kusé informace a nedají vám dostatečný přehled a jejich obsahová kvalita mnohdy nedosahuje ani na jejich cenu (free/klik omylem na reklamu). Kvalitní obsah na youtubu občas najdete ale je to hledání jehly v kupce sena.
3) Absolvujte si nějaké školení/certifikace (jen ty hands-on), najdou se i kvalitní kurzy/certifikace, které jsou dostupné online. S kvalitním on-site školením v této oblasti v ČR/SK moc nepočítejte (konají se jen výjmečně) a ty co tu standardně nabízí školící firmy IMHO nestojí za investovaný čas a peníze (pokud vám to nezaplatí tedy zaměstnavatel ale i tak se dají ty peníze využít mnohem lépe, pokud to můžete ovlivnit a nevybírá vám to blondýna z HR).
4) Navštěvujte kvalitní konference (zase v ČR toho je jako šafránu) - Evropa - Black hat, Confidence, PHD, RSA Conference atp. včetně menších ale fajn akcí. Často jsou dostupné archivní videa z přednášek online.
5) Hledejte a dělejte si různé challenge, CTF atp. (např. - vulnhub.com)
6) Hackujte v rámci bug hunty programů (výhoda - potřebujete skill ne 10tky tisíc Kč jako investice do nástrojů).
7) Try harder

Pokud se chcete "socializovat" v této oblasti moc formálních/neformálních akcí nebývá. Dříve bývala 2600, občas bývá OWASP chapter meeting a možná něco co si nevybavuji. Pokud chcete nechte tu kontakt, možná bych si na vás chvíli našel čas v Praze.

 

[Rur]

vyvojar byt musis, jako zaklad. Ale potom jeste umet perfektne IP4/6, TCP/IP stack a jeho impl na ruznych systemech, znat i ty systemy tzn neustale nainstalovany linux/windows/macOS, takze vlastne musis byt i admin, vsechny sniffery jak fungujou, protocoly od DNS az po HTTP. Pak musis znat ty nastroje, resp opravdu je znat, protoze vsehcny ty nastroje jsou vlastne jenom jakejsi toolkit, ..

Když jste tak znalý oboru tak si od vás rád nechám vysvětlit k čemu potřebuje někdo kdo se specializuje například na hacking windows znalost MacOS. K čemu někomu, kdo se specializuje na hacking web aplikací bude vaše perfektní znalost IP4/6 atp. Možná tím, že to všechno umíte tak už jste zapoměl, že se takovéto věci velmi často realizují v týmu, kde jsou lidé s různou specializací nebo jste ten business analyst v korporátu a o téhle brandži jste jenom slyšel.

Naštěstí svět nefunguje podle vás, já nemusím dělat business analysta v korporátu. Mám spokojený osobní život, vydělám si víc než on, nemusím poslouchat ambiciózního 30letýho debila a nejsem první na seznamu, když se katujou náklady.

[sudoguy]

Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
 Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.

U phishingu se dá hodně vyhrát no  . Tam je ale třeba vědět trochu více o webu. Často totiž neskončíš jen zkopírováním stránky SEToolkitem, ale chce to i dost upravit - např. budeš chtít po ověření validity hesla uživatele přihlásit na korektní stránky apod. dá se tam toho vymyslet hodně. Je taky dobrý nápad sbírat data do DB - o dost lépe se pak dělá vyhodnocení. Patří k tomu ale i adminování - musíš si rozchodit mail server, web server, DB, umět to nějak zabezpečit (někteří válečníci, co útok poznají a neví že se jedná o test se snaží vést protiútok  ), monitoring služeb (je fajn se rychle dozvědět pokud ti během testu něco spadne).

Jinak pozor jak tady ostatní píšou o vulnerability scannerech. Nikdy to nekončí jen nějakým obkecáním reportu. Scannery nejsou neomylné a když se s vámi správce scanovaného stroje začne hádat, že tam ta díra není, tak to často končí ručním pentestem (ke kterému jak na potvoru zrovna není veřejně dostupný exploit). Navíc často nelze použít doporučení, které vyplivl scanner a musíte vědět jak jinak díru zalepit/minimalizovat důsledky nebo jestli je vůbec relevantní problém v daném prostředí řešit. Vzhledem k množství scannovaných věcí je třeba toho vědět opravdu hodně.
Jinak pro začátek bych jako v. scanner zvolil OpenVAS. Není nutné hned kupovat Nessus, když ani nevíš co od toho čekat.

No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?

Já se k tomu dostal tak, že to ve firmě nikdo pořádně neřešil. Bylo nás pár kolegů kteří to řešit chtěli a vedení bylo rádo, že na bezpečnost někdo bude dohlížet a nemusí platit drahé pentesty. Po nějaké době co jsme aktivně potírali "zlo" ve firmě a vypracovali se na nějakou úroveň jsme začali nabízet pentesty jiným firmám.

[zak]

Ahoj,

nejake nabidky prace jsou, kdyz budes hledat najdes.

Pod testovani bezpecnosti je opravdu mozne schovat spoustu veci, Idelani tester je ten, kdo je schopny programovat, rozumi sitim, operacnim systemum, trochu matematice a dokaze jednat s klientem, ktery nema o IT a bezpecnosti ani paru. Uz ma neco za sebou, vi, jak to chodi v malych i velkych firmach. A k tomu potrebuje tak trochu talentu hledat chyby a problemy, na ktere pred nim nikdo nepomyslel. To je idealni profil lidi, ktere kdyz firma ma, tak ma i dost zakazek, protoze muze testovat prakticky cokoli. Ta prace je opravdu ruznoroda, neni treba zustavat jen u technickych veci, je mozne si to obcas zpetrit drobnymi konzultacemi, ucasti na auditech, socialni inzenyrstvim nebo poradanim skoleni.

Jak uz tu bylo zmineno, jsou testy a "testy". Nektere se delaji proto, aby byl zakaznik v bezpeci, nektere proto, aby mel od nekoho papir, ze byl otestovan. Na zivnost, bez dlouhodobe budovaneho dobreho jmena, se daji delat veci, ktere maji byt hotove levne a netrvaji dlouho. U spousty testu chteji zakaznici podepsat NDA s vysokymi pokutami a chteji jednat s firmou, na ktere si mohou neco vzit. Zvaz, jestli mas obchodniho ducha a dostatek kontaktu na lidi z managementu, protoze testy byvaji typicky dost kratke a velkou cast sveho casu budes shanet nove zakazky.

Vyrobe reportu se nevyhnes, protoze to je vysledek tve prace, ktery predavas zakaznikovi, podle toho te pak hodnoti.

Vyvoje si moc neuzijes. Kdyz je treba neco napsat, tak je to nutne napsat co nejrychleji, nejak naskriptovat a slepit z kousku kodu od jinud. Veci, se kterymi se potkas opakovane a ma smysl pro ne vytvaret tooly je minimum. Spis pises pluginy do stavajicich toolu.

O pravidelnych setkavanich nic nevim, zkousel jsem 2600, ale to byl spis takovy pokec party znamych lidi. Ve svete byvaji pravidelna setkani OWASP skupin, muzes se pokusit sehnat par lidi a zacit neco takoveho organizovat. U nas byva jednou za rok OWASP konference, po prednaskach se jde do hospody, tam to muzes otevrit.

[dalsi_lopata]

Pokud chceš zůstat čistě u technických záležitostí, tak zůstaň u programování  .

Co se mi prave hodne libi je social engineering a myslim, ze z predeslych praci a zkusennosti k tomu mam predpoklady. Zaroven by me bavilo si sam upravovat nebo delat mensi programky na miru. V cem se temer nevyznam jsou site, webovy aplikace, databaze... S tim ze zaklady si myslim bych se doucil rychle (jsem zvyklej se hodne ucit).
 Prosel jsem si hodne webu, projizdim ted jeden z doporucovanych tutorialu pro zacatecniky ( https://www.udemy.com/learn-ethical-hacking-from-scratch/ ), naistaloval jsem si Parrot Linux, kterej pouzivam i k beznymu uzivani.
 No co vidim je, ze na jobs portalech je milion nabidek na javascript, ale na praci v it bezpecnosti clovek moc nenarazi. Tak me vlastne zajima, jestli se k tomu dostane jen hrstka nejlepsich a zbytek pak musi jit delat treba spravce site nebo webovy aplikace..?

Zdá se, že máme trochu podobné smýšlení. Já v současnosti pracuji jako Java vývojář, nicméně oblast bezpečnosti mi připadá velmi přitažlivá. Uvedený tutorial, jsem si také pořídil i s jeho pokračováním. Zatím mi však tempo kurzu připadá  pomalé, informace až příliž obecné a málo technické. Jako odrazový mústek ale fajn. Častou radou, jak nabít nějaké ty vědomosti, bývá účast na CTF, "prolamování" záměrně zranitelných aplikací, virtuálních strojú a podobně... Kdyby jsi měl zájem, múžeme dát u nějaké CTF hlavy dohromady.

[michael]

Častou radou, jak nabít nějaké ty vědomosti, bývá účast na CTF, "prolamování" záměrně zranitelných aplikací, virtuálních strojú a podobně... Kdyby jsi měl zájem, múžeme dát u nějaké CTF hlavy dohromady.

O CFT jsem nevedel. Nasel jsem si yt video a zni to zabavne a jako skvelej trening. Sou to jen kratkodoby souteze? Mas neco vyhlidnutyho? Kdyz tak muj mail - xtrzx [at] post.cz . Ale jak jsem psal jsem, sem uplnej noob v tyhle oblasti.

[michael]

Moc dekuju za obsahlou odpoved!

Co máte na mysli prací na živnosťnák? Freelancing nebo švarc?

Mam na myslis zivnostak, ale samozrejme s vedomim toho, ze bez zkusennosti a referenci za nikym jit samozrejme nemuzu. To bych ze sebe udelal tak mozna ve vysledku blbce..

Samozřejmě v této branži budete absolutně začínat, takže by to pro vás musela být srdcovka, protože příjmově budete na absolutním IT minimu (vaše zkušenosti s game developmentem jsou v zásadě irelevatní).

Toho se prave asi nejvic obavam. V porovnanim s programovanim, kde se clovek muze pomerne rychle vypracovat k solidnimu vydelku tuhle oblast vidim vice nejiste. V ramci gamedevelopmentu jsem resil i multiplayer (server-client model, co a kam posilat, aby se minimalizovala sance, ze to nekdo hackne, ale bohuzel ne prilis do hloubky...)

Co se týká nástrojů - chcete dělat vulnerability scany (bohužel často v ČR/SK vydávány nebo vnímány jako penetrační testy) kupte si Nessus (cca 65tisíc investice). Burp Suite Pro (cca 350 EUR) hodně zaměřeno na web aplikace, služby a web api i když to využijete v menší míře i v jiných oblastech hackingu.

Co se tyka vulnerability scanu, tak jsem si hral se zenmap, ktera je soucasti Parrot Linux distribuce. Ty placeny reseni si mam predstavit jako neco podobnyho, ale lepsiho?

1) Vyberte si oblast na kterou se chcete specializovat, což vymezuje jaké znalosti a dovednosti musíte získat.

Jak jsem psal vyse, hodne me zajima obalst socialniho inzenyrstvi. Umet pouzivat Parrot/Kali Linux, vedet jaky ma nastroje a vyuzivat jich pro nabouravani se do systemu skrze zamestnance/managment. Specializuje se ciste na tohle nekdo v CR? Taky me hodne bavi programovani a zvlast Python (zvlast jeho moznosti v praci s daty a machine learning). Jen vubec nemam paru, jak to propojit do neceho smysluplnyho.

5) Hledejte a dělejte si různé challenge, CTF atp. (např. - vulnhub.com)
6) Hackujte v rámci bug hunty programů (výhoda - potřebujete skill ne 10tky tisíc Kč jako investice do nástrojů).

Vcera jsem se dival na moznosti ohledne bug hunty programu. Zni to dobre, ale zaroven mam pocit, ze mezi oucasnymi moznostmi, ktery mam a tim, co takova prace vyzaduje je poradna mezera. Na jednom foru nekdo z legrace psal (a mozna to ani nebyl vtip...), ze jestli chce nekdo zacit, tak at zacne do hloubky zkoumat uz odhaleny bugy, testuje si svoje reseni a tak za sest let sam treba najde taky nejakej bug sam..

Pokud se chcete "socializovat" v této oblasti moc formálních/neformálních akcí nebývá. Dříve bývala 2600, občas bývá OWASP chapter meeting a možná něco co si nevybavuji. Pokud chcete nechte tu kontakt, možná bych si na vás chvíli našel čas v Praze.

Kdybyste mel nekdy naladu tak tady je muj mail xtrzx [at] post.cz

[michael]

Idelani tester je ten, kdo je schopny programovat, rozumi sitim, operacnim systemum, trochu matematice a dokaze jednat s klientem, ktery nema o IT a bezpecnosti ani paru.

Ta prace je opravdu ruznoroda, neni treba zustavat jen u technickych veci, je mozne si to obcas zpetrit drobnymi konzultacemi, ucasti na auditech, socialni inzenyrstvim nebo poradanim skoleni.

testy byvaji typicky dost kratke a velkou cast sveho casu budes shanet nove zakazky.

Ahoj,
dekuju za odpoved. Programovani me bavi, o operacnich systemech mam povrchni znalosti, to stejny o sitich. Podnikal jsem uz v minulosti, i v jinych oblastech nez IT, takze myslim, ze podnikavyho ducha rozhodne mam.

Co se mi hodne libi je, jak pises, ruznorodost te prace. To mi prijde opravdu super. Protoze ted, v ramci game developmentu, hodne programuju, ale zaroven hodne resim s lidma(at uz jejich vedeni nebo design produktu). Z toho vlastne vznika ted moje dilema a rozcesti - it security vs software development. Protoze si nejsem jistej, jestli po dvou, trech letech nonstop programovani by mi z toho nehrablo..

Ale zase jsem si ted v poslednich deseti letech hodne uzil nejistoty a shaneni zakazek. Tak proto se ptam na situaci v CR. Abych rozvoji svych schopnosti nevenoval dva roky driny a pak zjisitl, ze se stejne poradne neuzivim.