Co dalej? Ścieżka penatestera.

Question

Cześć, chciałbym zapytać Was o zdanie, najlepiej ludzi, którzy mają styczność z tematem. Mam prawie 19 lat. Potrafię programować obiektowo w c++ i c# (programuje około 4 lat) , znam mowę ciała, sposoby ataków socjotechnicznych, wiem na czym polega inżynieria wsteczna (mimo to nie potrafię jej, po prostu wiem na jakich zasadach to działa). Używam Ubuntu 17.xx (nie pamiętam dokładnej wersji) na codzień, graficznie jak i używając wyłącznie terminala. Mam podstawowa wiedzę nt.sieci (w szkole nauczyłem się podstaw, a sam rozwinąłem wiedzę chociażby o portach, protokolach działających w modelu osi /TCPIP, działaniu poszczególnych warstw), aktualnie przerabiam książkę black Hat Python. Jeśli chodzi o język angielski to sam oceniam go na średni /zaawansowany (pisemna komunikacja nie sprawia mi problemów, bardziej mam trudności z technicznymi pojęciami). Teraz pytanie, co dalej? Czego się uczyć? Chciałbym zostać penatesterem, jednakże jest tyle rzeczy, których mógłbym się nauczyć że sam nie wiem za co się zabrać. Ktoś mógłby podsunac jakiś pomysł? Czy jest ktoś, z kim mógłbym nawiązać jakąś współpracę i ew. Uczyć się wraz z nim/być nauczanym przez tą osobę. Z góry dziękuję za odpowiedź, mam nadzieję że rozwinie się jakaś dyskusja.

Pozdrawiam, Sheida

Comments

Literówka: penatester → pentester btw ;)

Answer 1

Rzuć okiem na metodyki pentesterów, np. "OWASP Testing Guide" oraz "Open Source Security Testing Methodology Manual" - tam zapewne znajdziesz sporo tematów do nauki.

Ad "wiem na czym polega inżynieria wsteczna" - możesz więc pomyśleć, o nauczeniu się praktycznym inżynierii wstecznej, chociaż przyznaje, że inżynieria wsteczna aż tak bardzo nie kojarzy mi się z pentestami.

Ad sieci - jak stoisz z programowaniem i socketami? To się zdecydowanie przydaje, szczególnie w połączeniu np. z Pythonem, w którym szybko można bardzo przydatne narzędzia sobie sklecić.

Hmm, no i tak w zasadzie na liście rzeczy, które znasz, nie widzę za bardzo nic związanego bezpośrednio z bezpieczeństwem IT. Więc pewnie kolejne kroki dotyczą tej działki bezpośrednio, tj. rzuć okiem na:

• bezpieczeństwo webowe (OWASP TOP10, a bardziej ogólnie: bezpieczeństwo client-side i server-side stron www)
• kryptografię i kryptoanalize, szczególnie stosowaną (hasze, hmaci, algorytmy i tryby szyfrowania, certyfikaty, pub/priv crypto, podpisy, SSL)
• bezpieczeństwo na poziomie konfiguracji systemu operacyjnego (m.in. jak szukać i jak wykorzystać potencjalne metody podniesienia uprawnień mając już dostęp do systemu)

Rzuć też okiem na te dwa posty od bardzo mądrych ludzi:

• https://medium.freecodecamp.org/so-you-want-to-work-in-security-bc6c10157d23
• https://lcamtuf.blogspot.ch/2016/08/so-you-want-to-work-in-security-but-are.html

I na te kilka ode mnie:

• http://gynvael.coldwind.pl/?id=366 (tak mniej więcej od połowy strony)
• http://gynvael.coldwind.pl/?id=659
• http://gynvael.coldwind.pl/?id=664

Rzuć też okiem na różne prelekcje z konferencji bezpieczeństwa, żeby mniej więcej wiedzieć czym się zajmują obecnie osoby na scenie. Np. wczoraj skończyła się bardzo fajna darmowa konferencja, z której są nagrania (BSides Warsaw) - https://www.youtube.com/channel/UCexBIw_UJOz-H1PD9I9zkGw

Możesz również poszukać teamu CTFowego (CTFy to takie tam turnieje z hackingu) - o ile to nie do końca to samo i podejście jest trochę inne niż w pentestach, to jednak część skillsetu jest bardzo podobna. No i w ten sposób możesz poznać trochę osób, które już siedzą w bezpieczeństwie. Chyba obecnie najlepiej po prostu publicznie na jakimś forum typu 4programmers zapytać o team (nie mam pojęcia czy na forum pasji siedzi ktoś więcej ze sceny CTF).

W każdym razie powodzenia!

Comments

Witaj, wydaje mi się, że właśnie wczoraj oglądałem Twoje tutoriale nt. Inżynierii wstecznej :). Dzięki za odpowiedź. Jeśli chodzi o programowanie to tak jak napisałem, potrafię pisać obiektowo w c++ 9 c#, a jeśli chodzi o sockety to właśnie z książki black hat Python uczę się programować skrypty sieciowe używając socketow. Jak wrócę do domu przejrzę artykuły, które mi wysłałeś i rozejrze się za kursami, o których wspomniałeś. Dzięki za odpowiedź :)

Answer 2

Polecam uczyć się administracji. Zamiast Ubuntu zainstaluj Debiana, Red Hata lub inne serwerowe distro. Spróbuj skonfigurować Sambę/Ldapa, ogarnij trochę wirtualizacji produkcyjnej. Zapoznaj się z GNS3. 

Moim zdaniem ten tok nauczania jest najlepszy, gdyż:

• Zdobywasz wartościową wiedzę.
• Łatwiej jest Ci znaleźć pracę.
• Znasz architekturę, sposób działania oraz słabe strony oprogramowanie, które będziesz atakować.

Comments

Czesc! Dzieki za odpowiedz. Czy mowiac o wirtualizacji produkcyjnej masz na mysli to? https://linuxpolska.pl/technologie-open-source/wirtualizacja/