V poslední době jsem četl spoustu dotazů, příspěvků a obecných diskusí o tom, jak se dostat do hry “informační bezpečnost”, a alespoň podle mého názoru je to obvykle doprovázeno poměrně velkým množstvím zavádějících informací. To je možná trochu kruté, když uvážím, že je to určitě v dobrém úmyslu, je dokonce možné, že jim ty rady fungovaly (neexistuje žádná univerzální rada), ale napadlo mě, že zde vyložím své myšlenky v naději, že to pomůže začínajícím hackerům posunout se dál.

Chci sportovat, kde mám začít?”
Tato vágní, otevřená a velmi nejednoznačná otázka je velmi podobná tomu, když se někdo ptá, jak má postupovat, aby se dostal k informační bezpečnosti. V první řadě je třeba si uvědomit, že existuje obrovské množství oborů informační bezpečnosti a v každém z těchto obrovských oborů je celoživotní vzdělávací obsah. Stejně jako při výběru sportu neexistuje žádný “nejlepší”, je to prostě někdy oblast, která vás může bavit více než jiná. Z hlavy uvádím několik příkladů oblastí, které nejsou v žádném případě vyčerpávající.

Zabezpečení webových aplikací

Reverzní inženýrství

Reverzní inženýrství malwaru

Zabezpečení sítě

Reakce na incidenty

Soulad s normami

.

Programování / tvorba nástrojů pro ostatní

Vývoj exploitů

Forenzistika

Některé z nich jsou spíše technického charakteru, zatímco jiné jsou zaměřeny spíše teoreticky. Zaručuji vám, že ať se vám líbí cokoli, najdou se i jiní, které to bude nudit, stejně jako vás někdy to, co zajímá ostatní. Právě teď se očekává, že pokud toto čtete, můžete o některé z těchto oblastí vědět jen velmi málo, ale důležitá je vaše ochota učit se a to, jakou máte motivaci.

Hackerský typ
Jedním z charakteristických znaků, který je téměř univerzální pro lidi napříč těmito oblastmi, je jejich zaměření na nezávislé, samostatně řízené učení. Bohužel v některých ohledech je bezpečnost stále považována za “temné umění”, myslím tím, proč by někdo chtěl vědět, jak se nabourat do počítačového systému, pokud se k tomu nechystá? V důsledku toho spousta lidí projeví opovržení až naprosté nepřátelství, když se ptají na otázky týkající se bezpečnosti, a to na základě falešného (možná někdy pravdivého) předpokladu, že jde pouze o “script kiddie”, který se chce naučit nabourávat systémy, místo aby se chtěl učit a využít tyto znalosti k dobrému účelu. Faktem také je, že “vzdělávací” zdroje v oblasti informační bezpečnosti jsou značně nejednotné a neexistuje žádné skutečné centrální úložiště vzdělávacích materiálů.

Smyslem zdůraznění této skutečnosti je, že pokud chcete prosperovat a úspěšně vstoupit do oblasti informační bezpečnosti, měli byste být připraveni do ní skočit a najít si svou cestu, aniž byste čekali, až vás někdo bude držet za ruku a povede vás správnou cestou. Vygooglujte si některé z výše uvedených pojmů a zjistěte, co vás baví. Navzdory tomu, že to někdy vypadá jako neustálý boj o nalezení “nejlepšího” oboru k učení nebo “nejlepšího” zdroje či “nejlepšího” způsobu učení, často se více času stráví otálením s přemýšlením nad těmito otázkami, než aby se věnoval čas skutečnému učení. Podívejte se na videa na youtube, kde najdete příklady hackování – nevadí, když nebudete vědět, co spousta z toho znamená, ale napište si seznam a pak si tyto výrazy vygooglujte. Používejte body zájmu, abyste se vyklubali s neustále se rozšiřující sítí znalostí kolem témat, která vás zajímají.

Musím se nejprve naučit X?”
Jistěže musíte mít úplné znalosti o vrstvě OSI, než začnete. Ano, musíte si přečíst tu tisícistránkovou knihu o protokolu TCP. Ano, musíte ovládat 5 programovacích jazyků (minimálně!), než začnete uvažovat o hackování. Umíte zkompilovat vlastní linuxové jádro ze zdrojového kódu? Ne? Neobtěžujte se s učením hackingu. Vlastně…. to všechno jsou samé nesmysly, přesto je to jedna z nejčastějších odpovědí lidem, kteří se chtějí naučit informační bezpečnost. Existuje jeden předpoklad k tomu, abyste se stali slušným hackerem – zájem. Rozdíl mezi budoucím hackerem a script kiddie není ve znalostech, ale v ochotě učit se.

Pokud máte mlhavou představu o tom, jak používat počítač, jste ve výchozím bodě, se kterým můžete pracovat. Ano, pokud nemáš solidní představu o tom, jak funguje TCP, měl bys to mít na seznamu úkolů, které si můžeš vyhledat, až o tom bude někdo mluvit v nějakém hackerském tutoriálu – ale je směšné si myslet, že potřebuješ tunu předběžných znalostí, než se smíš začít učit o tématech, která tě zajímají. Když se na hackerském webu podíváte, jak funguje ta přihlašovací hádanka, a použijete k tomu JavaScript, budete se učit, jak JavaScript funguje. Když si pročítáte, jak funguje přetečení bufferu, a má to šablonu Pythonu, naučíte se základy Pythonu. Ne, na konci nezískáte práci vývojáře v těchto jazycích, ale pochytíte běžné způsoby, jak jazyk porušit.

Neformální učení
“Dobře, chápu narážku – musím se věci naučit sám, ale můžeš mi dát alespoň nějaký výchozí bod?”

Neformální učení
.

Jistě, existuje spousta skvělých bezplatných nebo levných zdrojů pro začátek, podle toho, jaké téma vás osloví. Zde je několik příkladů.

Zabezpečení webových aplikací

HackThisSite – dobré pro některé základní webové výzvy (odkaz)

Enigma Group – podobně jako Hack this site (odkaz)

OWASP Top 10 – představa o tom, jaké jsou nejčastěji nejčastější zranitelnosti (odkaz)

OWASP Broken Wep Apps – Virtuální počítač, který si můžete nahrát a procvičit si tak hackerské dovednosti v síti (odkaz)

Pentesting Lab – Další virtuální počítač zaměřený na web (odkaz)

Vlastně cokoli z vulnhubu, co vás zaujalo, je dobré (odkaz)

The Web Application Hackers Handbook – Kniha o hackování webu a zranitelnostech (odkaz)

Reverse Engineering / Malware Reversing

Lena’s Tutorials – Známý jako v podstatě jeden z nejlepších úvodů do reverzního inženýrství (odkaz)

The Legends of Random – Opět další solidní sada návodů pro reverzní inženýrství (odkaz)

Reversing: Tajemství reverzního inženýrství – Dobrá kniha o základech reverzního inženýrství (odkaz)

Praktická analýza malwaru – Skvělá kniha zaměřená na reverzní analýzu malwaru (odkaz)

Kuchařka analytika malwaru – Další kniha zaměřená na reverzní analýzu malwaru (odkaz)

Síťová bezpečnost

Virtuální stroje dominují této kategorii, protože umožňují cvičit proti skutečným strojům. Vydejte se na vulnhub a stáhněte si jakýkoli virtuální počítač, který vypadá zajímavě (odkaz)

Metasploit Unleashed – Solidní průchod testovacím rámcem metasploit, který lze použít ve spojení proti virtuálním počítačům. (link)

The Basics of Hacking and Penetration Testing – Velmi základní pohled na penetrační testování užitečný pro úplné nováčky v oboru. (link)

Metasploit – The Penetration Testers Guide – Další kniha zaměřená na použití metasploitu při penetračním testování (link)

Protože se jedná o tak rozsáhlou oblast, často je to rozdělení na jeden aspekt a následný výzkum konkrétně tohoto aspektu. Blogy jsou zde vaším nejlepším přítelem. (odkaz)

Vývoj exploitů

Corelan – To je zdaleka nejlepší zdroj informací o vývoji exploitů. (link)

FuzzySecurity – Další dobrý zdroj pro učení, kde jsou k dispozici některé výukové programy (link)

Exploit-DB – Jedna z nejlepších věcí, kterou můžete udělat, je najít příklady exploitů (často s připojenými aplikacemi) a pokusit se exploit nezávisle replikovat (odkaz)

Hacking – The Art of Exploitation – Fantastická kniha, která pokrývá tuny různých exploitačních technik (odkaz)

The Shellcoders Handbook – Další fantastická kniha o vývoji exploitů a shellcodingu (odkaz)

Kromě toho, Google, Google a ještě jednou Google. Vynechal jsem některé oblasti, jako je forenzní a compliance, protože mě osobně nezajímají, takže jsem nehledal zdroje, jsem si jistý, že tam jsou nějaké fantastické.

Formální vzdělávání
Mimo bezplatné zdroje můžete také začít získávat certifikáty, abyste byli pro zaměstnavatele atraktivnější, pokud byste chtěli přejít do tohoto oboru spíše jako na kariérní dráhu. Mezi certifikáty, které bych vám vřele doporučil, patří kurz “Penetration Testing with Kali Linux” od společnosti Offensive Security (odkaz), pokud se zajímáte o síťovou bezpečnost. Je to snadno jeden z nejlepších vzdělávacích zážitků, které jsem kdy v oboru měl, a za 60 dní mě naučil víc, než bych se sám naučil za rok. Skvělý je také jejich kurz “Cracking the Perimeter”, který se trochu více zaměřuje na vývoj exploitů (odkaz).

Pokud chcete rozvíjet své programátorské dovednosti, věci jako “Python for Pentesters and Hackers” od SecurityTube (odkaz) jsou skvělým základem, který vás naučí dělat spoustu šikovných věcí, jako je vytváření vlastních skenerů portů, prolamování hesel atd. Jejich certifikacím, které nabízejí, nepřikládám z hlediska zaměstnání velkou hodnotu, ale díval bych se na ně spíše jako na konsolidovanou hromadu znalostí a příkladů na prodej, což může být stále cenné.

Dalším často zmiňovaným kurzem je “Certified Ethical Hacker”. Upřímně řečeno, obvykle se na něj pohlíží s despektem, takže si nemyslím, že by nutně stál za ty peníze – ale pokud potřebuješ formální kurz, aby ses něco naučil, tak by ti to za ty peníze mohlo stát. O spoustě těchto certifikací a jejich hodnotě se diskutuje na fóru TheEthicalHacker.net, které se nachází zde.

“Jen zkoušíš, jestli to dokážeš”
Hacking je především o získávání přístupu k věcem, které nám nejsou určeny. Vytvoření exploitu, nalezení SQL injection, prolomení hesla, to vše je určeno k tomu, abychom směřovali k cíli převzít kontrolu nad krabicí, na kterou útočíme. Garantuji vám, že téměř každý nový hacker začal snít o tom, že “prostě zjistí, jestli může” získat přístup k onomu školnímu webu. “Jen se podívat, jestli mohou” získat přístup k sousedově WiFi síti. Poslat svému kamarádovi trojský virus, “jen aby zjistili, jestli mohou” převzít kontrolu. Ještě horší je, že nakonec můžete navštívit místa jako HackForums.net a vidět spoustu lidí, kteří se snaží infikovat ostatní pomocí RAT, vytvářet botnety atd. v domnění, že se jedná o hackování, nebo bohužel, že je to jediný způsob, jak se to můžete naučit.

Musím zdůraznit, že tomu tak není. Jakýkoli typ cvičení typu “jen zkoušíš, jestli to dokážeš” lze replikovat pomocí virtuálních strojů, vlastních routerů nebo dokonce soutěží typu capture the flag / wargame tamtéž. Být realistou, i když máte přístup k cizímu stroji, co s ním budete dělat? Opravdu se pokusíte ukrást údaje o kreditní kartě a provést podvodné transakce? Opravdu se chystáte krást hesla a být paranoidní, že vaše činnost bude vystopována až k vám, jen abyste mohli nahlédnout do něčích e-mailů? Existuje spousta příkladů, kdy byli obviněni nováčci, kteří si neuvědomovali závažnost trestných činů, jichž se dopouštějí. Kdybyste šli pracovat do FBI a oni si prohlédli historii vašich příspěvků, chtěli byste, aby si přečetli ten příspěvek o tom, že jste se ptali, jak hostovat botnet? Je to klasický příklad toho, že co je na internetu, je navždy, a pokud opravdu chcete dělat kariéru v oblasti informační bezpečnosti, potřebujete tento čistý záznam k získání všech bezpečnostních prověrek, které budete k výkonu své práce potřebovat. Nechat se chytit za hlouposti za to prostě nestojí.

Shrnutí
Takže po dlouhém blouznění, jaké jsou klíčové body?

Hacker bude aktivně vyhledávat informace, nebude čekat, až mu je dají ostatní

Rozdíl mezi script kiddie a novým hackerem je touha učit se

Potřebujete experimentovat s širokou škálou oblastí informační bezpečnosti, abyste našli to, co vás zajímá

Nechte si od nikoho namluvit, že pro studium informační bezpečnosti existují nějaké předpoklady, nejsou.

Nemá cenu “jen tak zkoušet, jestli umíš” dělat něco, co není legální, riziko versus odměna pro to nemá smysl

S kurzy, válečnými hrami, capture the flags a hlavně virtuálními stroji neexistuje žádný hackerský scénář, který by se nedal legálně zopakovat

Přeji příjemnou zábavu, omlouvám se, pokud to ke konci bylo kázání, a užijte si pwning krabiček! Informační bezpečnost je úžasný obor a každý den, kdy se mu budete věnovat, se naučíte něco nového. Neexistuje žádná správná odpověď, jak se do tohoto oboru dostat, kromě toho, že do něj skočíš oběma nohama. Namočte se, naučte se šlapat vodu a udržet se na hladině, jednoho dne možná budete umět i trochu plavat!”

.