Di recente ho letto una tonnellata di domande, post e discussioni generali su come entrare nel gioco della ‘sicurezza delle informazioni’, e secondo me almeno è tipicamente seguito da una buona quantità di informazioni fuorvianti. Questo potrebbe essere un po’ severo, considerando che sono sicuro che si tratta di buone intenzioni, ed è anche possibile che il consiglio abbia funzionato per loro (non c’è un consiglio uguale per tutti), ma ho pensato di esporre qui i miei pensieri nella speranza di aiutare un nuovo hacker in erba ad andare avanti.
Voglio fare sport, da dove dovrei iniziare?
Questa domanda vaga, aperta e molto ambigua è molto simile a qualcuno che chiede come dovrebbe fare per entrare nella sicurezza informatica. La prima cosa da capire è che c’è un’enorme gamma di campi di sicurezza delle informazioni, e all’interno di ognuno di questi enormi campi c’è una vita intera di contenuti di apprendimento. Proprio come la scelta di uno sport non c’è un “migliore”, è semplicemente a volte un’area che può piacere più di altre. Così su due piedi, ecco alcuni esempi di aree che non sono affatto esaustivi.
Alcuni di questi sono più di natura tecnica mentre altri sono più di natura teorica. Vi garantisco che qualsiasi cosa vi piaccia ci sono altri là fuori che la troveranno noiosa, proprio come voi a volte con ciò che interessa ad altri. In questo momento ci si aspetta che se stai leggendo questo potresti sapere molto poco di una qualsiasi di queste aree, ma ciò che è importante è la tua volontà di imparare e che tipo di motivazione hai.
Il Tipo Hacking
Un marchio che è quasi universale delle persone in tutti questi campi è la loro attenzione all’apprendimento indipendente e auto-diretto. Sfortunatamente in qualche modo la sicurezza è ancora considerata un'”arte oscura”, voglio dire, perché qualcuno dovrebbe voler sapere come entrare in un sistema informatico a meno che non abbia intenzione di farlo? Di conseguenza, molte persone mostreranno disprezzo o vera e propria ostilità quando chiedono domande relative alla sicurezza, sotto la falsa (forse a volte vera) assunzione che si tratti semplicemente di uno ‘script kiddie’ che cerca di imparare ad hackerare i sistemi, invece di voler imparare e usare quella conoscenza per un buon scopo. È anche un fatto che le risorse di ‘apprendimento’ della sicurezza informatica sono abbastanza disgiunte, senza un vero e proprio deposito centrale di materiale di apprendimento.
Il punto di evidenziare questo è che se volete prosperare ed entrare con successo nel campo della sicurezza delle informazioni dovreste essere pronti a buttarvi e trovare la vostra strada senza aspettare che qualcuno vi tenga per mano e vi guidi lungo la strada giusta. Cerca su Google alcuni dei termini di cui sopra e vedi cosa ti sembra divertente. Nonostante quello che a volte sembra una battaglia costante per trovare il “miglior” campo per imparare, o la “migliore” risorsa, o il “miglior” modo per imparare, spesso si spende più tempo a procrastinare queste domande piuttosto che dedicare il tempo per imparare davvero. Cerca dei video su youtube per esempi di hacking – va bene se non sai cosa significa molto, ma scrivi una lista e poi cerca su Google quei termini. Usa i punti di interesse per creare una rete di conoscenze sempre più ampia intorno agli argomenti che ti interessano.
Devo prima imparare X?
Certo che devi avere una conoscenza completa del livello OSI prima di iniziare. Sì, devi leggere quel libro di 1000 pagine sul protocollo TCP. Sì, devi essere abile in 5 linguaggi di programmazione (almeno!) prima di considerare l’hacking. Puoi compilare il tuo kernel Linux dal codice sorgente? No? Non preoccupatevi di imparare l’hacking. In realtà…. tutto ciò è pieno di spazzatura, eppure è una delle risposte più comuni date alle persone che cercano di imparare la sicurezza informatica. C’è un requisito per diventare un hacker decente: l’interesse. La differenza tra un futuro hacker e uno script kiddie non è la conoscenza, è la volontà di imparare.
Finché hai una vaga idea di come usare un computer sei al punto di partenza con cui puoi lavorare. Sì, se non hai una solida comprensione di come funziona il TCP, dovresti averla sulla tua lista di cose da fare per cercare quando qualcuno ne parla in un tutorial di hacking – ma è ridicolo pensare che tu abbia bisogno di una tonnellata di conoscenze preliminari prima che ti sia permesso di iniziare a conoscere gli argomenti che ti interessano. Quando cercate come funziona quel puzzle di login su un sito di hacking e usa JavaScript, state per imparare come funziona JavaScript. Quando leggete come funziona un buffer overflow e ha un modello Python imparerete alcune basi di Python. No, non otterrete un lavoro come sviluppatori in questi linguaggi alla fine, ma imparerete i modi comuni per rompere il linguaggio.
Apprendimento informale
“Ok, ho capito l’antifona – devo imparare le cose da solo, ma puoi almeno darmi un punto di partenza?
Certo, ci sono un sacco di grandi risorse gratuite o economiche là fuori per iniziare a seconda dell’argomento che ti interessa. Ecco alcuni esempi.
Web Application Security
Reverse Engineering / Malware Reversing
Network Security
Exploit Development
Oltre a questo, Google, Google e ancora Google. Ho tralasciato alcune aree come la forense e la conformità perché personalmente non mi interessano, quindi non sono andato alla ricerca di risorse, sono sicuro che ce ne sono alcune fantastiche là fuori.
Apprendimento formale
Al di fuori delle risorse gratuite puoi anche iniziare a ottenere certificati per renderti più attraente per i datori di lavoro se vuoi passare al campo come un percorso di carriera. Alcune certificazioni che consiglio vivamente sono il corso “Penetration Testing with Kali Linux” di Offensive Security (link) se siete interessati alla sicurezza della rete. È facilmente una delle migliori esperienze di apprendimento che abbia mai avuto nel campo e mi ha insegnato più in 60 giorni di quanto abbia imparato in un anno da solo. Il loro “Cracking the Perimeter” è anche un ottimo corso, che si concentra un po’ di più sullo sviluppo di exploit (link).
Se stai cercando di sviluppare le tue capacità di programmazione, cose come “Python for Pentesters and Hackers” di SecurityTube (link) è una grande base che ti insegnerà a fare un sacco di cose interessanti come costruire i tuoi scanner di porte, cracker di password, ecc. Non attribuisco un valore enorme alle loro certificazioni che offrono da un punto di vista occupazionale, ma le guarderei più come un blocco consolidato di conoscenze ed esempi in vendita che può ancora essere prezioso.
Il corso “Certified Ethical Hacker” è un altro comunemente menzionato. Onestamente è tipicamente guardato dall’alto in basso quindi non penso che valga necessariamente i soldi – ma se hai bisogno di un corso formale per imparare le cose, allora potrebbe valere i soldi per te. Molte di queste certificazioni e il loro valore sono discusse sul forum di TheEthicalHacker.net che si trova qui.
“Just seeing if you can”
Hacking significa ottenere l’accesso a cose che non sono destinate a noi. Creare un exploit, trovare un’iniezione SQL, craccare una password è tutto progettato per metterci verso l’obiettivo di prendere il controllo della scatola che stiamo attaccando. Garantisco che quasi tutti i nuovi hacker hanno iniziato a sognare “Solo per vedere se possono” ottenere l’accesso al sito web della scuola. “Solo per vedere se possono” ottenere l’accesso alla rete WiFi dei vicini. Mandare al loro amico un virus trojan “solo per vedere se possono” prendere il controllo. Peggio ancora si potrebbe finire per visitare luoghi come HackForums.net e vedere un sacco di gente che cerca di infettare gli altri con RAT, costruire botnet ecc sotto l’impressione che questo sia hacking, o purtroppo che questo è l’unico modo per imparare.
Ho bisogno di sottolineare che questo non è il caso. Qualsiasi tipo di esercizio del tipo “basta vedere se si può” può essere replicato attraverso l’uso di macchine virtuali, i propri router o anche catturare la bandiera / gare di wargame là fuori. Essendo realistici, anche se riuscite ad accedere alla macchina di un’altra persona, cosa avete intenzione di farci? Avete davvero intenzione di provare a rubare i dettagli della carta di credito e fare transazioni fraudolente? Avete davvero intenzione di rubare le password e di essere paranoici sul fatto che la vostra attività possa essere ricondotta a voi per il gusto di sbirciare le e-mail di qualcuno? Ci sono stati molti esempi di neofiti che sono stati accusati, non rendendosi conto della gravità dei crimini che stanno commettendo. Se andaste per un lavoro con l’FBI e dessero un’occhiata alla vostra cronologia dei post, vi piacerebbe che leggessero quel post in cui chiedete come ospitare una botnet? È un classico esempio di ciò che è su internet è per sempre, e se vuoi davvero una carriera nella sicurezza delle informazioni hai bisogno di una fedina penale pulita per ottenere qualsiasi autorizzazione di sicurezza di cui avrai bisogno per fare il tuo lavoro. Farsi beccare per cose stupide non ne vale la pena.
Sommario
Quindi, dopo una lunga divagazione, quali sono i punti chiave?
Divertiti, scusa se è diventato predicatorio verso la fine e goditi le scatole! La sicurezza delle informazioni è un campo fantastico e imparerete qualcosa di nuovo ogni giorno in cui sarete coinvolti. Non c’è una risposta giusta per entrare in questo campo, a parte saltarci dentro con entrambi i piedi. Bagnati, impara a camminare sull’acqua e resta a galla, un giorno potresti anche essere in grado di nuotare un po’!