In letzter Zeit habe ich eine Menge Fragen, Beiträge und allgemeine Diskussionen über den Einstieg in die “Informationssicherheit” gelesen, und zumindest meiner Meinung nach folgen darauf in der Regel eine ganze Reihe irreführender Informationen. Das ist vielleicht etwas hart, denn ich bin mir sicher, dass es gut gemeint ist, und es ist sogar möglich, dass der Ratschlag für denjenigen funktioniert hat (es gibt keine allgemeingültigen Ratschläge), aber ich dachte, ich würde meine Gedanken hier darlegen, in der Hoffnung, einem neuen angehenden Hacker zu helfen, voranzukommen.

Ich möchte Sport treiben, wo soll ich anfangen?
Diese vage, offene und sehr zweideutige Frage ähnelt sehr der von jemandem, der fragt, wie er in die Informationssicherheit einsteigen soll. Zunächst einmal muss man sich darüber im Klaren sein, dass es eine riesige Bandbreite an Bereichen der Informationssicherheit gibt, und in jedem dieser riesigen Bereiche gibt es Lerninhalte, die ein ganzes Leben wert sind. Genau wie bei der Wahl einer Sportart gibt es kein “Bestes”, sondern es gibt einfach Bereiche, die Ihnen mehr Spaß machen als andere. Aus dem Stegreif nenne ich hier einige Beispielbereiche, die keineswegs erschöpfend sind.

Webanwendungssicherheit

Reverse Engineering

Malware Reverse Engineering

Netzwerksicherheit

Reaktion auf Vorfälle

Einhaltung von Standards

Programmierung / Erstellung von Tools für andere

Entwicklung von Exploits

Forensik

Einige dieser Bereiche sind eher technischer Natur, während andere eher theoretisch ausgerichtet sind. Ich garantiere Ihnen, dass es, egal was Sie mögen, andere gibt, die es langweilig finden werden, genauso wie Sie sich manchmal für das interessieren werden, was andere interessiert. Wenn Sie das hier lesen, wissen Sie wahrscheinlich nur sehr wenig über einen dieser Bereiche, aber wichtig ist, dass Sie bereit sind zu lernen und welche Art von Motivation Sie haben.

Der Hacking-Typ
Ein Merkmal, das fast alle Menschen in diesen Bereichen auszeichnet, ist ihr Fokus auf unabhängiges, selbstgesteuertes Lernen. Leider wird Sicherheit in gewisser Weise immer noch als “dunkle Kunst” angesehen, denn warum sollte jemand wissen wollen, wie man in ein Computersystem einbricht, wenn er es nicht selbst tun will? Infolgedessen zeigen viele Leute Verachtung bis hin zu offener Feindseligkeit, wenn sie nach sicherheitsrelevanten Fragen fragen, in der falschen (vielleicht manchmal wahren) Annahme, dass es sich lediglich um ein “Skript-Kiddie” handelt, das lernen will, wie man Systeme hackt, anstatt zu lernen und dieses Wissen für einen guten Zweck zu nutzen. Es ist auch eine Tatsache, dass die “Lern”-Ressourcen im Bereich der Informationssicherheit ziemlich unzusammenhängend sind und es kein wirklich zentrales Repository für Lernmaterial gibt.

Wenn Sie erfolgreich in den Bereich der Informationssicherheit einsteigen wollen, sollten Sie bereit sein, sich auf den Weg zu machen, ohne darauf zu warten, dass Ihnen jemand die Hand hält und Sie auf den richtigen Weg führt. Googeln Sie einige der oben genannten Begriffe und schauen Sie, was Ihnen Spaß macht. Obwohl es manchmal wie ein ständiger Kampf erscheint, das “beste” Fachgebiet, die “beste” Ressource oder den “besten” Weg zum Lernen zu finden, wird oft mehr Zeit damit verbracht, diese Fragen zu verdrängen, als sich dem eigentlichen Lernen zu widmen. Schauen Sie sich auf Youtube Videos mit Hacking-Beispielen an – es ist in Ordnung, wenn Sie nicht wissen, was vieles davon bedeutet, aber schreiben Sie eine Liste auf und googeln Sie diese Begriffe. Verwenden Sie Punkte von Interesse, um mit einem immer größer werdenden Netz von Wissen rund um Themen, die Sie interessieren, auszuspucken.

Muss ich erst X lernen?
Natürlich müssen Sie die OSI-Schicht kennen, bevor Sie anfangen. Ja, Sie müssen das 1000-seitige Buch über das TCP-Protokoll lesen. Ja, du musst 5 Programmiersprachen beherrschen (mindestens!), bevor du dich ans Hacken machen kannst. Können Sie Ihren eigenen Linux-Kernel aus dem Quellcode kompilieren? Nein? Machen Sie sich nicht die Mühe, Hacken zu lernen. Eigentlich…. das alles voller Unsinn, und doch ist es eine der häufigsten Antworten, die Menschen gegeben werden, die Informationssicherheit lernen wollen. Es gibt eine Voraussetzung, um ein guter Hacker zu werden: Interesse. Der Unterschied zwischen einem zukünftigen Hacker und einem Script-Kiddie ist nicht das Wissen, sondern die Bereitschaft zu lernen.

Solange du eine vage Vorstellung davon hast, wie man einen Computer benutzt, bist du am Ausgangspunkt, mit dem du arbeiten kannst. Ja, wenn man nicht genau weiß, wie TCP funktioniert, sollte man das auf seiner To-Do-Liste haben, um es nachzuschlagen, wenn jemand in einem Hacking-Tutorial darüber spricht – aber es ist lächerlich zu denken, dass man eine Menge Vorwissen braucht, bevor man anfangen kann, etwas über Themen zu lernen, die einen interessieren. Wenn du auf einer Hacking-Seite nachschaust, wie das Login-Puzzle funktioniert und JavaScript verwendet wird, wirst du lernen, wie JavaScript funktioniert. Wenn Sie nachlesen, wie ein Pufferüberlauf funktioniert und eine Python-Vorlage verwendet wird, lernen Sie einige Grundlagen von Python. Nein, du wirst am Ende des Kurses keinen Job als Entwickler in diesen Sprachen bekommen, aber du wirst die üblichen Methoden kennenlernen, um die Sprache zu brechen.

Informelles Lernen
“Ok, ich verstehe den Hinweis – ich muss mir die Dinge selbst beibringen, aber können Sie mir wenigstens einen Anfangspunkt geben?”

Sicherlich, es gibt eine Menge großartiger kostenloser oder billiger Ressourcen für den Anfang, je nachdem, welches Thema Sie anspricht. Hier sind einige Beispiele.

Web Application Security

HackThisSite – Gut für einige grundlegende webbasierte Herausforderungen (Link)

Enigma Group – Ähnlich wie Hack this site (Link)

OWASP Top 10 – Vorstellung der häufigsten (Link)

OWASP Broken Wep Apps – Ein virtueller Computer, den Sie laden können, um Hacking-Fähigkeiten in Ihrem Netzwerk zu üben (Link)

Pentesting Lab – Eine weitere weborientierte virtuelle Maschine (Link)

Eigentlich ist alles von vulnhub gut, was Sie interessiert (Link)

The Web Application Hackers Handbook – Das Buch über Web-Hacking und Schwachstellen (Link)

Reverse Engineering / Malware Reversing

Lena’s Tutorials – Bekannt als eine der besten Einführungen in Reverse Engineering (Link)

The Legends of Random – Wieder eine solide Reihe von Tutorials für Reverse Engineering (Link)

Reversing: Secrets of Reverse Engineering – Ein gutes Buch über die Grundlagen des Reverse Engineering (Link)

Practical Malware Analysis – Ein großartiges Buch, das sich auf das Reversing von Malware konzentriert (Link)

Malware Analysts Cookbook – Ein weiteres Buch, das sich auf das Reversing von Malware konzentriert (Link)

Network Security

Virtuelle Maschinen dominieren diese Kategorie, da sie es Ihnen ermöglichen, gegen echte Maschinen zu üben. Gehen Sie zu vulnhub und laden Sie jede VM herunter, die interessant aussieht (link)

Metasploit Unleashed – Ein solider Durchlauf des Metasploit-Test-Frameworks, das in Verbindung mit VMs verwendet werden kann. (Link)

The Basics of Hacking and Penetration Testing – Ein sehr grundlegender Einblick in Penetrationstests, der für diejenigen nützlich ist, die völlig neu auf diesem Gebiet sind. (Link)

Metasploit – The Penetration Testers Guide – Ein weiteres Buch, das sich auf die Verwendung von Metasploit bei Penetrationstests konzentriert (Link)

Da es sich um ein so umfangreiches Gebiet handelt, ist es oft notwendig, es in einen einzelnen Aspekt zu unterteilen und dann diesen Aspekt speziell zu untersuchen. Blogs sind hier Ihr bester Freund. (Link)

Exploit-Entwicklung

Corelan – Das ist bei weitem die beste Quelle, um etwas über die Entwicklung von Exploits zu lernen. (link)

FuzzySecurity – Eine weitere gute Lernressource mit einigen verfügbaren Tutorials (link)

Exploit-DB – Eines der besten Dinge, die man tun kann, ist, Beispiele für Exploits zu finden (oft mit angehängten Anwendungen) und zu versuchen, den Exploit selbständig zu replizieren (Link)

Hacking – The Art of Exploitation – Ein fantastisches Buch, das tonnenweise verschiedene Exploit-Techniken abdeckt (Link)

The Shellcoders Handbook – Ein weiteres fantastisches Buch über Exploit-Entwicklung und Shellcoding (Link)

Außerdem, Google, Google, und noch mehr Google. Ich habe einige Bereiche wie Forensik und Compliance ausgelassen, weil ich mich persönlich nicht dafür interessiere, also habe ich nicht nach Ressourcen gesucht, aber ich bin sicher, dass es da draußen einige fantastische gibt.

Formales Lernen
Außerhalb der kostenlosen Ressourcen können Sie auch damit beginnen, Zertifikate zu erwerben, um sich für Arbeitgeber attraktiver zu machen, wenn Sie in diesen Bereich als Karrierepfad wechseln wollen. Einige Zertifizierungen, die ich sehr empfehlen würde, wären der Kurs “Penetration Testing with Kali Linux” von Offensive Security (Link), wenn Sie an Netzwerksicherheit interessiert sind. Es ist mit Abstand eine der besten Lernerfahrungen, die ich je in diesem Bereich gemacht habe, und ich habe in 60 Tagen mehr gelernt, als ich in einem Jahr alleine gelernt hätte. Ihr “Cracking the Perimeter” ist ebenfalls ein großartiger Kurs, der sich ein wenig mehr auf die Entwicklung von Exploits konzentriert (Link).

Wenn Sie Ihre Programmierkenntnisse ausbauen wollen, ist “Python for Pentesters and Hackers” von SecurityTube (Link) eine großartige Grundlage, die Ihnen viele raffinierte Dinge beibringt, wie z. B. das Erstellen eigener Port-Scanner, Passwort-Cracker usw. Ich lege keinen großen Wert auf ihre Zertifizierungen, die sie aus einer Beschäftigungsperspektive anbieten, aber ich würde sie eher als einen konsolidierten Klumpen von Wissen und Beispielen zum Verkauf betrachten, der immer noch wertvoll sein kann.

Der Kurs “Certified Ethical Hacker” ist ein weiterer, der häufig erwähnt wird. Ehrlich gesagt wird er in der Regel vernachlässigt, so dass ich nicht glaube, dass er unbedingt das Geld wert ist – aber wenn Sie einen formalen Kurs brauchen, um Dinge zu lernen, dann könnte er Ihnen das Geld wert sein. Viele dieser Zertifizierungen und ihr Wert werden in den Foren von TheEthicalHacker.net hier diskutiert.

“Einfach mal sehen, ob man es kann”
Beim Hacking geht es darum, sich Zugang zu Dingen zu verschaffen, für die wir nicht vorgesehen sind. Das Erstellen eines Exploits, das Finden einer SQL-Injektion, das Knacken von Passwörtern – all das dient dem Ziel, die Kontrolle über den angegriffenen Rechner zu übernehmen. Ich garantiere, dass fast jeder neue Hacker schon einmal davon geträumt hat, “einfach mal zu sehen, ob er” Zugang zur Schulwebsite bekommt. “Einfach mal sehen, ob er sich Zugang zum WiFi-Netzwerk des Nachbarn verschaffen kann. Einem Freund einen Trojaner zu schicken, “nur um zu sehen, ob er die Kontrolle übernehmen kann”. Noch schlimmer ist, dass du am Ende vielleicht Orte wie HackForums.net besuchst und eine Menge Leute siehst, die versuchen, andere mit RATs zu infizieren, Botnets aufzubauen usw., in der Annahme, dass dies Hacken ist, oder leider, dass dies der einzige Weg ist, wie du lernen kannst.

Ich muss betonen, dass dies nicht der Fall ist. Jede Art von “einfach mal sehen, ob man es kann”-Übung kann durch die Verwendung von virtuellen Maschinen, eigenen Routern oder sogar Capture the Flag- / Wargame-Wettbewerben nachgestellt werden. Bleiben Sie realistisch: Selbst wenn Sie auf den Computer einer anderen Person zugreifen können, was werden Sie dann damit tun? Werden Sie wirklich versuchen, Kreditkartendaten zu stehlen und betrügerische Transaktionen durchzuführen? Werden Sie wirklich Passwörter stehlen und paranoid sein, dass Ihre Aktivitäten zu Ihnen zurückverfolgt werden, nur um die E-Mails von jemandem zu lesen? Es gibt zahlreiche Beispiele dafür, dass Neulinge angeklagt werden, weil sie sich der Schwere der von ihnen begangenen Straftaten nicht bewusst sind. Wenn Sie sich für einen Job beim FBI bewerben würden und man Ihre Beiträge durchsehen würde, würden Sie dann wollen, dass sie den Beitrag lesen, in dem Sie fragen, wie man ein Botnet hostet? Das ist ein klassisches Beispiel dafür, dass das, was im Internet steht, für immer ist, und wenn Sie wirklich eine Karriere im Bereich der Informationssicherheit anstreben, brauchen Sie diese saubere Akte, um alle Sicherheitsfreigaben zu erhalten, die Sie für Ihre Arbeit benötigen werden. Für dummes Zeug erwischt zu werden, ist es einfach nicht wert.

Zusammenfassung
Nach diesem langen Vortrag, was sind die wichtigsten Punkte?

Ein Hacker sucht aktiv nach Informationen und wartet nicht darauf, dass andere sie ihm geben

Der Unterschied zwischen einem Skript-Kiddie und einem neuen Hacker ist der Wunsch zu lernen

Sie müssen mit einer breiten Palette von Informationssicherheitsbereichen experimentieren, um herauszufinden, was Sie interessiert

Lassen Sie sich von niemandem erzählen, dass es Voraussetzungen für das Erlernen von Informationssicherheit gibt, die gibt es nicht.

Es lohnt sich nicht, “einfach mal zu sehen, ob man etwas tun kann”, das nicht legal ist. Das Risiko im Vergleich zur Belohnung macht keinen Sinn

Mit Kursen, Wargames, Capture the Flags und vor allem virtuellen Maschinen gibt es kein Hacking-Szenario, das nicht legal nachgebaut werden kann

Viel Spaß, sorry, wenn es zum Ende hin etwas belehrend wurde, und viel Spaß beim Pwning Boxes! Informationssicherheit ist ein großartiges Gebiet, und du wirst jeden Tag etwas Neues lernen, wenn du dich damit beschäftigst. Es gibt keine richtige Antwort auf die Frage, wie man in dieses Feld einsteigt, außer mit beiden Füßen hineinzuspringen. Werden Sie nass, lernen Sie, auf dem Wasser zu treten und sich über Wasser zu halten. Eines Tages werden Sie vielleicht sogar ein wenig schwimmen können!