Red team security-od kuda početi?

poslat ću ti na pp jedan pdf, pa ako ti pobudi zanimanje imam još nekoliko sličnih knjiga.

Kroz tvoje postove, nekako mi se cini da imas idealiziranu viziju nekog white hat hackera ili "penetration testera" koji sjedi doma, i za milione upozorava kompanije na propuste u mrezama. Je, tu i tamo postoji neki takav tip, ali to su vunderkindovi koji u malom prstu imaju znanje programiranja, mreznih protokola, servera i sl. Bez uvrede, da si do sada to namjeravao postati, postao bi. Tesko da ce te neki tecaj dovesti na tu razinu, a pogotovo ne ova "certificirani kali penetrator" sra*ja.

Postoje firme koje se time bave, dakle timski rad, i tamo se zna tko je za sto zaduzen/specijaliziran -> fokus na specijalizaciji.

Ako ne racunamo igranje na spektrumu, aktivno se bavim "kompovima" vec nekih 30 godina, sad imam svoju firmu, dosta frendova i poznanika imaju svoje IT obrte ili firme, pa cu ti pokusati dati savjet iz moje zaposlenik/zaposlitelj perspektive.

Sada studiras, koncentriraj se da obavezno zavrsis fax. Dok zavrsavas fax, fokusiraj se na nesto (jesam vec spomenuo specijalizaciju)? Igranje sa linux desktopima (citao sam tvoje ostale postove) je zgodno i korisno ali nebitno, desktop OS nije svrha sebi, nego alat. Dakle, odaberi neku granu i posveti se njoj, te priusti skolovanje/prave certifikate ako ikako mozes. Ako te vise zanima mrezna infrastruktura, kreni Cisco putem. Ako te zanima Microsoftova domenska tehnologija, kreni putem MCSA/MSCE. Znam da ne volis (bezveze, rekli smo da je desktop samo alat) MS desktop, ali to nema veze sa MS active directory domenama, to je skroz drugi svijet koji bi ti se mogo dopasti. Ako te srce vuce *nixoidima, posveti se implementaciji *nixoidnih rijesenja u razlicita mrezna okruzja.

Ima jos naravno sto puteva kojima mozes krenuti, od programiranja do baza, ali nabrojao sam neke iz kojih mozes krenuti prema "securityiju" kojeg zelis. U praksi; recimo da krenes MS server putem, neke osnove osnova naucis jos dok "izucavas zanat". Zaposlis se negdje, radis sa kolegama, motiviran si, firma ti doplati visoke certifikate, u praksi naucis tonu stvari, od skriptiranja svega i svacega i saptanja SQL serverima do upoznavanja sa ruterima  koji razgovaraju sa tvojom mrezom. Sa vremenom, znanje o "securityiju" raste. Na kraju si sposoban pronaci sve slabosti u nekoj MS mrezetini cim ju vidis, te se prezentirati kao MS security geek  ili zaposliti u nekom "red teamu" kao MS master. OK, ovo je idealizirani poslovni put, ali stvari u praksi cesto tako funkcioniraju, nema cudotvornog web tecaja ili pdf-a.

I ako ti netko kaze da fax ili neki (priznati) certifikat nisu bitni, nemoj ga slusati. Je, ima kod nas odlicnih samoukih strucnjaka, daleko od toga, ali sa novim generacijama ima i sve vise odlicnih strucnjaka koji imaju diplomu i certifikat. Da ne spominjemo otvoreno EU trziste. Uglavnom, iskoristi vrijeme pametno, a nemoj mastati o nekoj karijeri open source gpl white etick mamo jabmo univerzalnog hakera i na kraju zavrsis na burzi sa tonom ljudi novije generacije koji se "kuze" u kompove, imaju dosta univerzalnog znanja i nista konkretnog. Frend je nedavno dao oglas za zaposljavanje code monkeya vulgaris, entry level placu, i valjda mu je doslo preko sto prijava u par dana, sve ljudi iz "struke".

BTW, ako mozda ne zvuci tako, gornji post je pisan u najboljoj namjeri, inace mi se ne bi dalo ni tipkati, ali vidim da si zbilja zagrizao za IT i da se trudis, pa sam ti htio dati par ideja za pocetak karijere, iz moje perspektive.

edit - sad vidim da je bunkermax iznad to napisao malo sazetije, ali nema veze: )

Nekako si ti to u startu postavio na krive pozicije...   Ti bi se bavio sigurnošću a unaprijed imaš neke predoređene stavove i odbojnosti-privlačnosti prema nečemu.

Možda da proučiš najveće dosadašnje uspjehe cyber kriminalaca ( npr kako su u par minuta od jedne kartičarske kuće maznuli prek 20 mil dolara, a server na linuxu ).. i kada vidiš kojim metodama su to napravili, možda tada počneš drugačije gledati na pitanje sigurnosti...  

Sigurnost je vrlo kompleksno pitanje i spada u onaj segment gdje moraš očekivati neočekivano ako hoćeš biti korak ispred i dobijati plaću koju ti poslodavac isplaćuje očekujući pritom da ti štitiš njegovu kompaniju ( ili bar dio )...   Kali je samo obični linux sa natrpanim mrežnim alatima od kojih se većini preklapaju funkcije i komotno bi ih mogel dve trećine pobacati van..

Evo ti jedna anegdota iz mog osobnog iskustva :  " Nema tog skupocjenog merdže u kojeg ja nemogu provaliti sa običnim čekićem od 10 kuna ! " , reče meni jednom jedan krimos....  Poanta : traži se ranjivost koju je najlakše i najjeftinije probiti , staklo  u ovom slučaju...

A tek korporativna sigurnost....uhuhuuhu,,, da vidiš tek kak je to složeno....  Uzalud vrhunski sigurnosni softveri i protokoli i jake lozinke ako ti je neki zaposlenik narkoman a trenutno mu fali para..... Poanta ?  Sigurnost je višeslojna i uključuje mnogo toga....   Sjeti se onih kernel prstenova i kako se dodjeljuju ovlasti,,,

 "Želim se specijalizirati za Linux i računalnu sigurnost."  - ne razumijem. Zelis se specijalizirati sa sigurnost linuxa? Ili specijalizirati za sigurnost koristeci linux(!?)? Ili se zelis specijalirirati za linux (sto to uopce znaci, ako ti nije problem da definiras) I racunalnu sigurnost?

Vidi gornji post, moj i maxov. Ako se zelis specijalizirati za neko polje "racunalne sigurnost", kreni se baviti tim poljem, od edukacije do praske uz pracenje i testiranje novih tehnologija u pravom okruzenju i specijalizaciju (opet praksa). Ako se opcenito mislis baviti svim poljima "racunalne sigurnosti", kreni jos jucer u masteriranje programiranja, rutera, domena, servera, unixoida... imho, besmislen proces u koji i tak i tak kreces prekasno. No, koje god podrucje specijalizacije odabaeres, zaboravi na linux only. Moras se znati sluziti i koristiti svim tehnologijama. U svakom slucaju, pokretanje shell skripte iz Kali distribucije nije nikakav posao racunalne sigurnosti, nego samo jedan od stotinu alata koje koristis u tom poslu.

Ako se zelis specijalizirati za linux, kao sto rekoh, ne znam na sto mislis pri tome. Administrator za neku grupu linux servera? Instalacija, implementacija i odrzavanje? Specijalizirati u razvojnim alatima za linuxoide? Ne brkati unixioide sa gornjim. Kao da kazes "zelim specijalizirati microsoft" :)

- 300+ alata i Kali u znji firmi; Kao sto rekoh, to je samo jedan od alata. Svatko moze pokrenuti skriptu i procitati rezultate. I sta onda? Odes doma i uzmes pare za klik misa? :) Ne, mozes zavrtit kalija, pa krenuti dalje u testiranje mreze, od rutera do antivirusa, od klijent-server komunikacije do local policya i ljudskog fatkora, napraviti report svega, popraviti, optimizirati, opet napraviti report, usput u hodu napisati skripte za automatizaciju ako mreza ima xy klijenata, itd.

Naravno, mozes kod Perice u lokalnom ducanu zavrtiti kali, pa mu ugasiti wps na modemu i reci "ta-dah" i uzeti pare u fusu. Ali ti ipak pricas o pravom poslu, zivotnoj specijalizaciji, a ne script kiddie fuseraju.

I misliš da je to dosta ? Pa ispod odojka i gajbe nemreš proći za sve ove besplatne instrukcije koje si dobio....

I to je još jeftino jer bi te u jednoj koreji ili americi opako odrali za profesionalnu orjentaciju i savjetovanje...hehhehehhe

 Ako se ikad nađemo neće biti samo odojka... #smorgasboardmasterrace