Haluat siis olla hakkeri?

Olen viime aikoina lukenut paljon kysymyksiä, viestejä ja yleistä keskustelua “tietoturva-alalle” pääsemisestä, ja ainakin omasta mielestäni sitä seuraa tyypillisesti melkoinen määrä harhaanjohtavaa tietoa. Tämä saattaa olla hieman tylyä ottaen huomioon, että olen varma, että se on hyvää tarkoittava, on myös jopa mahdollista, että neuvot ovat toimineet heille (ei ole olemassa yhden koon neuvoja), mutta ajattelin kertoa ajatukseni tänne siinä toivossa, että autan uutta aloittelevaa hakkeria etenemään eteenpäin.

Haluan harrastaa urheilua, mistä aloittaisin?
Tämä epämääräinen, avoin ja hyvin moniselitteinen kysymys on hyvin samankaltainen kuin se, että joku kysyisi, miten hänen pitäisi lähteä tietoturvan pariin. Ensimmäinen asia, joka on ymmärrettävä, on se, että tietoturva-aloja on valtava määrä, ja jokaisella näistä valtavista aloista on elinikäinen määrä oppimissisältöä. Aivan kuten urheilulajin valinnassa, ei ole mitään “parasta”, vaan on yksinkertaisesti niin, että joistakin aloista voi nauttia enemmän kuin toisista. Tässä on joitakin esimerkkejä aloista, jotka eivät suinkaan ole tyhjentäviä.

  • Web Application Security
  • Reverse Engineering
  • Malware Reverse Engineering
  • Network Security
  • Incident Response
  • Standards Compliance
  • Ohjelmointi / Työkalujen luominen muille
  • Hyökkäysten kehittäminen
  • Forensics
  • Jotkut näistä ovat luonteeltaan enemmän teknisiä, kun taas toiset ovat enemmän teoreettisia. Takaan, että mistä ikinä pidätkin, on muitakin, jotka pitävät sitä tylsänä, aivan kuten sinäkin joskus siitä, mistä muut ovat kiinnostuneita. Juuri nyt on odotettavissa, että jos luet tätä, saatat tietää hyvin vähän mistään näistä alueista, mutta tärkeää on halukkuutesi oppia ja millainen motivaatio sinulla on.

    Hakkerityyppi
    Yksi tunnusmerkki, joka on lähes universaali koko näiden alojen ihmisille, on heidän keskittymisensä itsenäiseen, itseohjautuvaan oppimiseen. Valitettavasti tietoturvaa pidetään jollain tapaa edelleen “pimeänä taiteena”, tarkoitan, miksi kukaan haluaisi tietää, miten murtautua tietokonejärjestelmään, ellei aio tehdä sitä? Tämän seurauksena monet ihmiset osoittavat halveksuntaa tai suoranaista vihamielisyyttä, kun he kysyvät tietoturvaan liittyviä kysymyksiä väärän (ehkä joskus todellisen) olettamuksen perusteella, että kyseessä on pelkkä “skriptipoika”, joka haluaa oppia hakkeroimaan järjestelmiä sen sijaan, että hän haluaisi oppia ja käyttää tätä tietoa hyvään tarkoitukseen. On myös tosiasia, että tietoturvan “oppimisresurssit” ovat melko hajanaisia, eikä oppimateriaalia ole keskitetysti koottu.

    Tämän korostaminen tarkoittaa sitä, että jos haluat menestyä ja päästä menestyksekkäästi tietoturva-alalle, sinun on oltava valmis hyppäämään mukaan ja löytämään tiesi ilman, että odotat jonkun pitävän sinua kädestä kiinni ja opastavan sinua oikealle tielle. Googleta joitakin edellä mainittuja termejä ja katso, mikä kuulostaa hauskalta. Huolimatta siitä, että joskus tuntuu siltä, että käydään jatkuvaa taistelua “parhaan” opiskelualan, “parhaan” resurssin tai “parhaan” oppimistavan löytämiseksi, käytetään usein enemmän aikaa näiden kysymysten pohtimiseen kuin varsinaiseen oppimiseen. Katso youtube-videoita hakkerointiesimerkkejä varten – ei haittaa, jos et tiedä, mitä monet niistä tarkoittavat, mutta kirjoita ylös luettelo ja googlaa sitten nämä termit. Hyödynnä kiinnostuksen kohteita, jotta voit luoda yhä laajemman tietoverkon aiheiden ympärille, joista olet kiinnostunut.

    Pitäisikö minun ensin oppia X?
    Totta kai sinun täytyy tuntea OSI-kerros ennen kuin aloitat. Kyllä sinun täytyy lukea se 1000-sivuinen kirja TCP-protokollasta. Kyllä sinun pitää osata 5 ohjelmointikieltä (vähintään!) ennen kuin harkitset hakkerointia. Osaatko kääntää oman Linux-ytimen lähdekoodista? Ei? Älä vaivaudu opiskelemaan hakkerointia. Itse asiassa…. kaikki tämä on täyttä roskaa, mutta silti se on yksi yleisimmistä vastauksista, joita annetaan tietoturvaa opetteleville ihmisille. Kunnolliseksi hakkeriksi kehittymiselle on yksi edellytys – kiinnostus. Tulevaisuuden hakkerin ja skriptipennun erona ei ole tieto, vaan halu oppia.

    Kunhan sinulla on epämääräinen käsitys siitä, miten tietokonetta käytetään, olet lähtökohdassa, jolla voit työskennellä. Kyllä, jos sinulla ei ole vankkaa käsitystä siitä, miten TCP toimii, sinun pitäisi olla se tehtävälistallasi katsomassa, kun joku puhuu siitä hakkerointioppaassa – mutta on naurettavaa ajatella, että tarvitset tonneittain ennakkotietoja, ennen kuin voit alkaa opiskelemaan aiheita, joista olet kiinnostunut. Kun etsit hakkerisivustolta, miten kirjautumispalapeli toimii, ja siinä käytetään JavaScriptiä, opit, miten JavaScripti toimii. Kun luet läpi, miten puskurin ylivuoto toimii, ja siinä on Python-malli, opit Pythonin perusteita. Ei, et saa työtä kehittäjänä näillä kielillä lopussa, mutta opit yleisiä tapoja rikkoa kieltä.

    Epävirallinen oppiminen
    “Okei, ymmärrän vihjeen – minun täytyy opetella asioita itse, mutta voisitko edes antaa minulle lähtökohdan?”.”

    Totta kai, on olemassa tonneittain loistavia ilmaisia tai halpoja resursseja, joiden avulla pääsee alkuun riippuen siitä, mikä aihe vetoaa sinuun. Tässä muutamia esimerkkejä.

    Web Application Security

  • HackThisSite – Hyvä joihinkin web-pohjaisiin perushaasteisiin (linkki)
  • Enigma Group – Samanlainen kuin Hack this site (linkki)
  • OWASP Top 10 – Idea siitä, mitkä ovat eniten yleisimmät haavoittuvuudet (linkki)
  • OWASP Broken Wep Apps – Virtuaalitietokone, jonka voit ladata harjoitellaksesi hakkerointitaitoja verkossa (linkki)
  • Pentesting Lab – Toinen verkkoon keskittyvä virtuaalikone (linkki)
  • Oikeastaan kaikki vulnhubista mikä kiinnostaa on hyvä (linkki)
  • The Web Application Hackers Handbook – Kirja web-hakkeroinnista ja haavoittuvuuksista (linkki)
  • Reverse Engineering / Malware Reversing

  • Lena’s Tutorials – Tunnetaan melko lailla yhtenä parhaista johdannoista reverse engineeringiin (linkki)
  • The Legends of Random – Jälleen yksi vankka sarja tutoriaaleja reverse engineeringiin (linkki)
  • Reversing: Secrets of Reverse Engineering – Hyvä kirja reverse engineeringin perusteista (linkki)
  • Practical Malware Analysis – Hieno kirja, jossa keskitytään haittaohjelmien kääntämiseen (linkki)
  • Malware Analysts Cookbook – Toinen kirja, jossa keskitytään haittaohjelmien kääntämiseen (linkki)
  • Verkkoturva

  • Virtuaaliset koneet dominoivat tätä kategoriaa, koska niiden avulla voit harjoitella oikeita koneita vastaan. Suuntaa vulnhubiin ja lataa mikä tahansa VM, joka näyttää kiinnostavalta (linkki)
  • Metasploit Unleashed – vankka metasploit-testauskehyksen läpikäynti, jota voidaan käyttää yhdessä VM:iä vastaan. (linkki)
  • Hakkeroinnin ja tunkeutumistestauksen perusteet – Hyvin perusluonteinen katsaus tunkeutumistestaukseen, joka on hyödyllinen niille, jotka ovat alalle täysin uusia. (linkki)
  • Metasploit – The Penetration Testers Guide – Toinen kirja, joka keskittyy metasploitin käyttöön penetraatiotestauksessa (linkki)
  • Koska tämä on niin valtava ala, usein sen pilkkominen yhteen osa-alueeseen ja sen jälkeen kyseisen osa-alueen tutkiminen erityisesti. Blogit ovat tässä paras ystäväsi. (linkki)
  • Exploit Development

  • Corelan – Tämä on ylivoimaisesti paras resurssi exploit-kehityksestä oppimiseen. (linkki)
  • FuzzySecurity – Toinen hyvä oppimisresurssi, jossa on joitakin opetusohjelmia saatavilla (linkki)
  • Exploit-DB – Yksi parhaista asioista, mitä voit tehdä, on löytää esimerkkejä exploiteista (usein sovellusten mukana) ja yrittää replikoida exploit itsenäisesti (linkki)
  • Hacking – The Art of Exploitation – Fantastinen kirja, joka kattaa tonneittain erilaisia exploit-tekniikoita (linkki)
  • The Shellcoders Handbook – Toinen fantastinen kirja exploitien kehittämisestä ja shellcoodauksesta (linkki)
  • Muuta, Google, Google ja vielä lisää Googlea. Olen jättänyt pois joitakin alueita, kuten rikostekniikka ja vaatimustenmukaisuus, koska henkilökohtaisesti en ole kiinnostunut niistä, joten en ole mennyt etsimään resursseja, olen varma, että siellä on joitakin fantastisia.

    Vapaamuotoinen oppiminen
    Vapaiden resurssien lisäksi voit myös alkaa hankkia sertifikaatteja, jotta voit tehdä itsestäsi houkuttelevamman työnantajille, jos haluat siirtyä alalle enemmän urapolkuna. Joitakin sertifikaatteja, joita suosittelen lämpimästi, olisi “Penetration Testing with Kali Linux” -kurssi Offensive Securityltä (linkki), jos olet kiinnostunut verkkoturvallisuudesta. Se on helposti yksi parhaista oppimiskokemuksista, joita minulla on koskaan ollut alalla, ja se opetti minulle 60 päivässä enemmän kuin olin oppinut vuoden aikana yksin. Heidän “Cracking the Perimeter” -kurssinsa on myös loistava kurssi, jossa keskitytään hieman enemmän exploitien kehittämiseen (linkki).

    Jos haluat kehittää ohjelmointitaitojasi, esimerkiksi SecurityTuben “Python for Pentesters and Hackers” (linkki) on loistava perusta, joka opettaa sinulle paljon näppäriä asioita, kuten rakentamaan omia porttiskannereita, salasanojen murtajia jne. En pidä heidän tarjoamiaan sertifikaatteja työllistymisen kannalta kovinkaan arvokkaina, mutta näkisin ne enemmänkin myytävänä konsolidoituna tietämyksen ja esimerkkien kokonaisuutena, joka voi silti olla arvokas.

    “Certified Ethical Hacker” kurssi on toinen yleisesti mainittu. Rehellisesti sanottuna sitä tyypillisesti halveksitaan, joten en usko, että se on välttämättä rahan arvoinen – mutta jos tarvitset virallisen kurssin oppiaksesi asioita, se voi olla sinulle rahan arvoinen. Monista näistä sertifikaateista ja niiden arvosta keskustellaan TheEthicalHacker.netin foorumeilla, jotka sijaitsevat täällä.

    “Just seeing if you can”
    Hakkeroinnissa on kyse pääsystä käsiksi asioihin, joihin meidän ei ole tarkoitus päästä. Hyödyn luominen, SQL-injektion löytäminen, salasanojen murtaminen, se kaikki on suunniteltu laittamaan meidät kohti tavoitetta ottaa haltuun laatikko, johon hyökkäämme. Takaan, että melkein jokainen uusi hakkeri on alkanut haaveilla siitä, että hän voisi päästä koulun verkkosivuille. “Katsovat, voivatko he päästä käsiksi naapurin WiFi-verkkoon”. Lähettämällä ystävälleen troijalaisviruksen “vain nähdäkseen, voivatko he ottaa hallinnan haltuunsa”. Vielä pahempaa on, että saatat päätyä vierailemaan paikoissa kuten HackForums.net ja näkemään paljon ihmisiä, jotka yrittävät tartuttaa muita RAT-ohjelmilla, rakentaa bottiverkkoja jne. siinä uskossa, että tämä on hakkerointia, tai valitettavasti, että tämä on ainoa tapa, jolla voit oppia.

    Korostan, että näin ei ole. Kaikenlaiset “just seeing if you can” -tyyppiset harjoitukset voidaan toistaa käyttämällä virtuaalikoneita, omia reitittimiä tai jopa capture the flag / wargame-kilpailuja tuolla ulkona. Jos olet realistinen, vaikka pääsisitkin käsiksi toisen henkilön koneeseen, mitä aiot tehdä sillä? Aiotko todella yrittää varastaa luottokorttitietoja ja tehdä vilpillisiä maksutapahtumia? Aiotko todella varastaa salasanoja ja olla vainoharhainen siitä, että toimintasi jäljitetään sinuun, jotta voisit kurkistaa jonkun sähköposteja? On ollut paljon esimerkkejä siitä, että aloittelijoita on syytetty, koska he eivät ole ymmärtäneet tekemiensä rikosten vakavuutta. Jos hakisit töitä FBI:lta ja he vilkaisisivat postaushistoriaasi, haluaisitko, että he lukisivat sen postauksen, jossa kysyit, miten isännöidä bottiverkkoa? Se on klassinen esimerkki siitä, että kaikki, mitä internetissä on, on ikuista, ja jos todella haluat uran tietoturva-alalla, tarvitset puhtaat tiedot saadaksesi turvallisuusselvitykset, joita tarvitset työsi tekemiseen. Se, että jää kiinni typeristä jutuista, ei ole sen arvoista.

    Yhteenveto
    Pitkän pähkäilyn jälkeen, mitkä ovat pääkohdat?

  • Hakkeri etsii aktiivisesti tietoa, ei odota, että muut antavat sitä hänelle
  • Skriptipennun ja uuden hakkerin erona on halu oppia
  • Tulee kokeilla monenlaisia tietoturva-alueita löytääkseen sen, mikä kiinnostaa
  • Älkää antako kenenkään väittää, että tietoturvan oppimiselle on edellytyksiä, niitä ei ole.
  • Ei kannata “vain katsoa voiko” tehdä mitään mikä ei ole laillista, riski vs. palkinto ei ole järkevää tehdä niin
  • Kursseilla, sotapeleillä, capture the flagsilla ja ennen kaikkea virtuaalikoneilla ei ole sellaista hakkerointiskenaariota, jota ei voisi replikoida laillisesti
  • Pitäkää hauskaa, pahoittelut jos se muuttui saarnaavaksi loppua kohden ja nauttikaa laatikoiden pwnaamisesta! Tietoturva on mahtava ala ja opit jotain uutta joka päivä, kun olet mukana siinä. Ei ole mitään oikeaa vastausta alalle pääsemiseksi, paitsi että hyppää siihen molemmin jaloin. Kastu, opettele astumaan veteen ja pysy pinnalla, jonain päivänä saatat jopa osata uida hieman!

    Vastaa

    Sähköpostiosoitettasi ei julkaista.