Diese Woche sprach Omar Ganiev, Gründer von DeteAct
und Mitglied des russischen Hackerteams LC↯BC, in unseren sozialen Netzwerken . Omar kann sicher als einer der besten Hacker des Landes bezeichnet werden.
LC↯BC gewann 2016 den ersten Platz im Finale des internationalen Computersicherheitsturniers 0CTF in Shanghai.
Seit mehr als der Hälfte seines Lebens hackt Omar in Computersysteme. Für ihn ist dies in erster Linie ein Hobby und eine grundlegende Lebenskompetenz, die allmählich zum Beruf und erst dann zur Grundlage des Unternehmertums wurde.
Neben der Arbeit selbst ist Omar sehr angetan von der Forschungsseite dieser Aktivität sowie vom Sport-Hacking-Wettbewerb (CTF), an dem er individuell und in verschiedenen Teams viel teilgenommen hat.
Jetzt besteht das More Smoked Leet Chicken-Team, dem Omar angehört, aus Enthusiasten, die in verschiedenen Unternehmen und Ländern arbeiten. Es ist das stärkste CTF-Team in Russland und eines der stärksten der Welt.
DeteAct (offiziell Continuous Technologies LLC) bietet Sicherheitsanalyse- und Penetrationstestservices. Einfach ausgedrückt, verschiedene Unternehmen fordern die Leute auf, ihre Systeme zu hacken, um ihre Stärke zu testen und zu lernen, wie böswillige Hackerangriffe und Geschäftsverluste verhindert werden können.
Wir teilen Ihnen die Aufzeichnung und Abschrift der Sendung mit.
Hallo allerseits, mein Name ist Omar Ganiev. Ich bin auch bekannt als in der Hacker-Community beched. Ich bin ein Hacker und beschäftige mich seit vielen Jahren mit der Überprüfung der Sicherheit von Computersystemen. Es wurde ein Hobby für mich in der Schule und in den letzten 9 Jahren war es mein Hauptberuf. In den letzten 7 Jahren habe ich in Startups im Bereich Informationssicherheit gearbeitet. Ich selbst bin der Gründer von DeteAct, auch bekannt als Continuous Technologies. Jetzt sind wir 10 Personen, wachsen gut und bieten Dienstleistungen im Bereich der praktischen Informationssicherheit an. Penetrationstests, Sicherheitsanalysen und andere Arten von Sicherheitsüberprüfungen - darüber werden wir heute sprechen.
Pentest, Penetrationstests. Es ist notwendig zu entscheiden, was es ist, denn selbst im Bereich der Informationssicherheit gibt es bei denjenigen, die an Penetrationstests und -prüfungen beteiligt sind, häufig Verwirrung und Missverständnisse in Bezug auf die Terminologie. Es stellt sich oft heraus, dass unterschiedliche Menschen durch Penetrationstests unterschiedliche Bedeutungen haben. Besonders unangenehm ist es, wenn diese Personen Kunde und Dienstleister sind. Die Hauptbegriffe hier sind Sicherheitsaudit, Penetrationstest, Sicherheitsbewertung und rotes Team.
Sicherheitsaudit ist das allgemeinste Konzept. Dies bedeutet jede Art von Sicherheitsrecherche eines Objekts, bei der die Einhaltung der Sicherheitsanforderungen überprüft wird - nicht unbedingt zu Informationszwecken. Zum Beispiel könnte es Brandschutz sein.
Pentest (Penetrationstest) ist eine viel spezifischere Sache, obwohl es auf verschiedene Arten verstanden werden kann. Eine unmittelbare logische Assoziation besteht darin, dass ein Penetrationstest eine Überprüfung ist, um festzustellen, ob es möglich ist, ein bestimmtes System zu durchdringen, und das Ergebnis eines Penetrationstests sollte eine binäre Antwort sein - ja / nein: ob es möglich war, einzudringen oder nicht. Dies ist eines der Erkenntnisse dieses Dienstes - das heißt, es wird geprüft, ob ein potenzieller Angreifer in das System eindringen und einige Ziele erreichen kann, beispielsweise in einer oder zwei Wochen. Während dieser Zeit versuchen Pentester, das System zu beschädigen, und somit kann die Sicherheitsstufe des Systems überprüft werden. Dies gilt insbesondere im Bereich der Compliance. Einige Organisationen - Regierungsorganisationen, internationale Zahlungssysteme - benötigen möglicherweise Unternehmen (Banken,Kartenerwerb) Bestehen des Penetrationstests in diesem Sinne. Ein solcher Penetrationstest sollte prüfen, ob es funktioniert hat - ja oder nein -, um Zugriff auf die Zahlungsdaten zu erhalten. Wenn nicht, dann ist alles in Ordnung; Wenn ja, dann ist alles schlecht.
Es gibt jedoch ein anderes Verständnis von Penetrationstests, das häufig als "Sicherheitsanalyse" bezeichnet wird. Dies ist eine umfassende Arbeit: Anstatt zu versuchen, tief in Ressourcen einzudringen, suchen Hacker-Pentester nach möglichst vielen Schwachstellen in der Breite. Schließlich möchten Kunden diesen speziellen Service meistens sehen. Sie sind nicht nur daran interessiert, eine Antwort zu erhalten (ob sie kaputt war oder nicht), sondern auch so viele Löcher wie möglich zu finden, um sie zu schließen - damit sie in Zukunft nicht kaputt gehen.
Redteaming hat eine ähnliche Bedeutung wie Pentesting in Bezug auf die Penetration, weist jedoch einige Besonderheiten auf. Im Allgemeinen werden die meisten Holivars zum Thema Red-Timing durchgeführt. Kurz gesagt, dies ist ein Ereignis, bei dem das angreifende Team versucht, bestimmten Schaden zuzufügen, bestimmte Bedrohungen oder Geschäftsrisiken zu erreichen - zum Beispiel Gelddiebstahl, Kundendatenbanken, Managerpost (jedes Unternehmen hat sein eigenes Geschäftsrisiko, für wen was ist kritisch). Es gibt praktisch keine Einschränkungen für das angreifende Team (die einzige Einschränkung ist der Geltungsbereich des Gesetzes). Im Gegensatz zu herkömmlichen Sicherheitsanalysen oder Penetrationstests können Redtimer Geschäftsrisiken auf alle Arten eingehen: Selbst wenn sie das Büro betreten und Papier mit Passwörtern stehlen oder WLAN abfangen. Die verteidigende Partei - das heißt die Firmawas getestet wird, ist ebenfalls unbegrenzt. Sicherheitsbeauftragte, Administratoren, Entwickler und Entwickler widersetzen sich diesen Tests, versuchen, Angriffe zu identifizieren und zu verhindern. So wird ein realistisches Training und eine Simulation einer realen Situation erhalten. Lehren, könnte man sagen.
F: Aus Gründen des Interesses: In welchen Ländern sind Penetrationstester stärker gefragt, und woher kommen die meisten Überprüfungsaufträge?
Die größte Nachfrage nach Pentests besteht in den USA. Wenn die zweite Frage russische Unternehmen betrifft, kommen die meisten Bestellungen aus Russland. Dieser Markt ist in jedem Land an und für sich ziemlich isoliert. Jeder neigt dazu, solche Dienste bei denen zu bestellen, die er kennt, da dies ein heikles Thema ist. Niemand möchte seine Sicherheit jemandem aus einem anderen Land oder einem Fremden anvertrauen. Darüber hinaus wird aus dem Westen fast niemand solche Dienstleistungen aus Russland bestellen - aufgrund von Sanktionen und eines schlechten Rufs.
Also haben wir den Penetrationstest und seine Sorten grob herausgefunden. Sie können kurz sagen, wie die Projekte durchgeführt werden und wie die Methodik ist. Hier ist es notwendig, die Arbeitsweise sofort in sogenannte "Kästchen" unterschiedlicher Farben zu unterteilen. Sie können einen Pentest im Blackbox-Modus durchführen - Tester erhalten fast keine Informationen über das Untersuchungsobjekt, mit Ausnahme der Site-Adresse (oder sogar des Namens des Unternehmens). Das andere Extrem ist Whitebox, wenn alle Informationen ausgegeben werden. Wenn es sich um eine Infrastruktur handelt, werden alle IP-Adressen, das Netzwerkdiagramm, der Zugriff auf das interne Netzwerk (falls erforderlich) und alle Hostnamen (Domänennamen) angezeigt. Wenn es sich um Software, eine Art Webdienst, handelt, werden Quellcodes, Konfiguration, Konten mit unterschiedlichen Rollen usw. ausgegeben. Der gebräuchlichste Modus ist greybox,es kann alles von schwarz bis weiß sein. Einige Informationen werden gegeben, aber nicht alle. Beispielsweise können für einen Webdienst Konten mit unterschiedlichen Rollen ausgegeben werden, einige grundlegende Informationen zum technologischen Stapel: die verwendeten Programmiersprachen und Datenbanken, das Dienstinfrastrukturdiagramm. Gleichzeitig werden die Quellen aber nicht bekannt gegeben.
Nachdem sie sich für die Methodik und die Art der Ausführung der Arbeit entschieden haben, erhält die angreifende Seite Eingabedaten. Das heißt, bei Bedarf werden Zugriffe, Hostadressen usw. ausgegeben. Der Angreifer kann seine IP-Adressen angeben, von denen aus Angriffe ausgeführt werden, damit der Kunde sie von echten Angreifern unterscheiden kann. Als nächstes werden die klassischen Schritte des Penetrationstests durchgeführt; Die spezifische Implementierung und Aufschlüsselung kann unterschiedlich sein, aber im Allgemeinen sollte die Exploration zuerst durchgeführt werden. Penetrationstester suchen nach Eintrittspunkten in die Infrastruktur - Hosts, Netzwerkdienste, E-Mail-Adressen. Wenn dies ein Webdienst ist, suchen sie nach API-Endpunkten - verschiedenen Webschnittstellen, verschiedenen API-Hosts für Domänen usw. Nach Durchführung der Aufklärung beginnt die Phase des Scannens (Phasing), wenn die Suche nach Schwachstellen in den gefundenen Schnittstellen durchgeführt wird. Wenn Schwachstellen entdeckt werden,Die nächste Stufe ist die Ausbeutung: Schwachstellen werden verwendet, um Zugang zu erhalten. Je nachdem, um welche Art von Pentest es sich handelt, kann eine Nachnutzung durchgeführt werden: tiefer in das System eindringen und zusätzliche Zugriffe erhalten. Außerdem kann es zu einer Bereinigung kommen. Der Kunde möchte nicht immer eine weitere Ausnutzung durchführen: Manchmal reicht es aus, nur eine Sicherheitsanfälligkeit zu finden und diese zu melden.
Um klarer zu machen, was Nachnutzung bedeutet: Nehmen wir an, Pentester haben in der Infrastruktur einen anfälligen Server gefunden, auf den von außen zugegriffen werden kann. Zum Beispiel gab es kürzlich Patches für eine Sicherheitsanfälligkeit in MS Exchange - dem Mailserver von Microsoft, den fast alle Unternehmen haben und hervorstechen. Darin wurde eine kritische Sicherheitslücke entdeckt. Diese Sicherheitsanfälligkeit selbst hat enorme Auswirkungen: Angreifer können damit Zugriff auf E-Mails erhalten. Darüber hinaus können sie jedoch eine Nachnutzung durchführen und von diesem Mailserver aus weiter über die Infrastruktur verteilen. Nutzen Sie einige andere Server, die Infrastruktur der Windows Active Directory-Domäne, und gelangen Sie zu den Arbeitsstationen der Mitarbeiter, dh zur Entwicklungsinfrastruktur. Usw.
F: Was sind die Mindestanforderungen an eine Organisation für Pentesting und Auditing?
Die minimalen Eingabedaten sind der Name des Unternehmens, dh sie sind möglicherweise praktisch nicht verfügbar. Es ist klar, dass wir in der Aufklärungsphase, wenn wir nach Hosts mit dem Namen eines Unternehmens suchen oder nach Hosts suchen, die mit einer Site verknüpft sind, einen Fehler machen und einige IP-Adressen und Hosts finden können, die nicht dazu gehören diese Firma. Daher wird nach der Aufklärung in der Regel eine Vereinbarung getroffen - nur für den Fall, dass etwas Überflüssiges nicht kaputt geht. Es ist ziemlich einfach, Fehler zu machen.
F: Gibt es in Russland echte Redtimeter mit Dietrichen und Vorschlaghämmern? : D
Ich denke, dass viele Leute solche Fähigkeiten haben. Um ehrlich zu sein, weiß ich nicht, wie sehr solche Projekte gefragt sind und wie oft sie durchgeführt werden. Dass es erforderlich war, direkt mit Hauptschlüsseln zu gehen und über die Zäune zu klettern. Wahrscheinlich werden solche Projekte selten durchgeführt.
F: Wie umgehen Sie die Webanwendungs-Firewall oder zumindest Windows Defender? Was können Sie über die Empire- und Koadic-Frameworks sagen, verwenden Sie sie?
Wir umgehen WAF manuell und wählen die entsprechende Nutzlast aus. Die Methoden sind hier Standard. Die einzige Schwierigkeit bei WAF besteht darin, dass es sich um eine Weiterleitung handelt, wenn die verteidigende Seite Angriffe verhindert. Wenn wir unseren Angriff irgendwie verbrennen oder mithilfe eines Schutzmittels wie WAF entdeckt werden, können wir die Sicherheitsanfälligkeit vertuschen. Daher müssen Sie sorgfältig handeln und die Nutzdaten (d. H. Ihren Exploit) auf einigen anderen Hosts überprüfen, auf denen keine Sicherheitsanfälligkeit vorliegt. Somit kann WAF überprüft und umgangen werden, aber auf dem Weg wird die Sicherheitslücke von der verteidigenden Partei nicht erkannt.
F: Welche Software wird für Angreifer und zur Verteidigung benötigt?
Welche Software zum Schutz benötigt wird, ist ein großes Thema. Es ist viel breiter als ein Pentest. Welche Software für Angreifer benötigt wird, ist eine gute Frage, da dies davon abhängt, um welche Art von Arbeit es sich handelt. Wenn es sich um die Analyse von Software und Webdiensten handelt, ist praktisch keine Software erforderlich. Ein Schweizer Messer wie die Burp Suite reicht aus. Die kostenpflichtige Version kostet 400 US-Dollar und enthält fast alle notwendigen Tools. Und natürlich jede funktionierende Programmiersprache - normalerweise Python oder GoLang für Penetrationstester. Das ist genug.
Wenn wir über Infrastruktur sprechen, über Umleitung, ist das Toolkit dort viel breiter. Wir brauchen eine Vielzahl von Schwachstellenscannern, wir brauchen Werkzeuge, um sie auf Systemen zu beheben: Nachdem wir in ein System eingebrochen sind, müssen wir darin Fuß fassen und unsere Nutzdaten verschleiern, damit sie nicht von einem Antivirenprogramm erkannt werden. und so weiter.
F: Welche Bereiche in der Russischen Föderation werden am häufigsten gebeten, ein Audit zu testen oder durchzuführen?
Anscheinend sprechen wir darüber, in welchen Branchen die größte Nachfrage nach Penetrationstests besteht. Offensichtlich wird es von Unternehmen benötigt, die über IT verfügen. Je weiter die IT entwickelt ist, desto mehr IT-Unternehmen sind vorhanden, desto mehr Penetrationstests sind erforderlich. Die Nachfrage entspricht in etwa dieser. Für einige Unternehmen ist Pentesting obligatorisch, da sie Teil einer kritischen Informationsinfrastruktur sind: staatseigene Unternehmen und Banken. Für Banken wird auf Antrag der Zentralbank und im Rahmen der Erlangung eines PCI-DSS-Zertifikats für internationale Zahlungssysteme ein Pentest benötigt. Andere Zahlungsinstitute benötigen dieses Zertifikat ebenfalls. Das heißt, Zahlungsorganisationen, Subjekte kritischer Informationsinfrastrukturen und IT-Unternehmen benötigen Penetrationstests. Das heißt, jedes IT-Unternehmen, einschließlich Startups, dessen gesamte Infrastruktur ein Webdienst mit einer Benutzerbasis ist: Es ist für sie von entscheidender Bedeutung, wenn sie defekt sind.
F: Wie wichtig ist ein Verständnis von Social Engineering bei Penetrationstests?
Ich habe sie nicht separat erwähnt. Ich würde sagen, dass dies eines der Werkzeuge für die Umleitung ist. Darüber hinaus wird Social Engineering häufig separat als separater Dienst ausgeführt und sieht aus wie eine einfache Mailingliste. Wir erstellen eine Phishing-Site, suchen nach den E-Mails der Mitarbeiter des Unternehmens und senden ihnen einen Link zu dieser Site mit einer Legende (zum Beispiel ist dies ein neues Unternehmensportal, jeder muss sein Passwort eingeben).
Dann führen wir Statistiken - wie viele Personen haben den Brief angesehen, auf den Link geklickt und das Passwort eingegeben. Wir zeigen es dem Kunden und er versteht, mit wem wir ein Schulungsprogramm durchführen müssen. Um ehrlich zu sein, sind für solche Tests praktisch keine Kenntnisse erforderlich, und das Unternehmen selbst kann sie bei einem einmaligen Mailing problemlos mit Open-Source-Tools durchführen. Im Allgemeinen gibt es ein ganz eigenes Geschäft - die Sicherheitsbewusstseinsbranche, die das Bewusstsein der Menschen im Bereich der Informationssicherheit schärft.
Es gibt spezielle Produkte, die regelmäßig Phishing-E-Mails an die Benutzerbasis senden. Wenn eine Person verführt wird, erhält sie ein Schulungsvideo oder eine andere interaktive Lektion, die sie durchlaufen muss. Und dann wird es erneut überprüft und der Trend wird überwacht - zum Beispiel fielen vor einem Jahr 50% der Mitarbeiter auf Phishing und jetzt nur noch 5%. Natürlich ist es fast unmöglich, die Phishing-Gefahren vollständig loszuwerden.
Wie wichtig ist das Verstehen - es ist wichtig, wenn Sie solche Arbeiten ausführen, aber es ist einfach genug. Wenn Sie eine Redaktion durchführen, ist Social Engineering in seinem Rahmen sehr effektiv. Gleichzeitig müssen sie natürlich viel genauer und präziser sein. Es kann nicht ein Massenmailing an alle Mitarbeiter sein - sie werden es bemerken und verstehen, wo Sie versuchen können, einzudringen. Sie müssen es an einzelne Personen senden.
F: Was kostet der Service?
Tolle Frage, denn niemand wird sie wirklich für Sie beantworten.
Das ist ganz anders. Normalerweise kostet ein Pentest ungefähr so viel, wie der Kunde bezahlen kann. Dies ist einer der Koeffizienten. Das Problem ist, dass selbst der Arbeitsaufwand zunächst nicht deterministisch ist - insbesondere wenn es sich um eine Blackbox handelt. Anfangs wissen wir nicht einmal wirklich, wie viele Hosts und Schnittstellen es geben wird. Wir können nur grob verstehen, was die Natur dieses Unternehmens ist, welche Art von Infrastruktur es haben kann und wie viele Personen und Zeit wir benötigen, und daraus wird es möglich sein, die Arbeitskosten in Mannwochen abzuschätzen. Wenn wir einen Preisrahmen haben, können wir die Personenwochen mit unserem Faktor multiplizieren und als Preis angeben.
In der Tat variiert alles sehr; Besonders in großen Unternehmen findet der Verkäufer häufig einfach ein Unternehmen, schlägt ein Budget aus, und dann muss innerhalb dieses Budgets gearbeitet werden. Und hier werden die Arbeitskosten eher an den Preis angepasst und nicht umgekehrt.
Ich kann auch sagen, dass am Ende - da wir einen undurchsichtigen Markt mit unverständlichen Preisen haben - die Arbeitskosten bei gleicher Qualität und gleichen Arbeitskosten um ein Vielfaches unterschiedlich sein können. Sie können einen Pentest für 300 Tausend und für 4 Millionen Rubel bei gleichem Arbeitsaufwand finden. Dies wird oft sogar bei Ausschreibungen beobachtet: Es gibt eine technische Spezifikation, Sie sehen sich die Preisschilder und Angebote an - der Spread beträgt das 5-10-fache. Trotz der Tatsache, dass es unwahrscheinlich ist, dass sich die Qualität 5-10 Mal unterscheidet.
Da sprechen wir über die Qualität und den Preis des Penetrationstests. Sie müssen verstehen, ob Ihr Unternehmen einen Penetrationstest benötigt - und wenn Sie ein Pentester sind, müssen Sie verstehen, wie Sie einen Penetrationstest rechtfertigen und an das Unternehmen verkaufen können. Auch hier gibt es keine universelle Antwort. Penetrationstestfahrer sind meiner Meinung nach ein paar einfache Dinge. Eine davon ist die Compliance, die ich bereits erwähnt habe: Wenn eine Organisation einen Penetrationstest durchführen muss und ohne diesen Test keine Geschäftsfunktionen wie das Akzeptieren von Zahlungen mit Plastikkarten ausgeführt werden können. Das ist klar.
Ein weiterer Treiber sind Zwischenfälle: Als das Unternehmen bereits kaputt war, erlitt es Schäden und fing an. Um sich zu schützen, müssen Sie eine Untersuchung durchführen, einen Penetrationstest durchführen, damit dieser in Zukunft nicht beschädigt wird, und andere Maßnahmen ergreifen. Jeder beginnt zu rennen und überlegt, was er tun soll.
Der dritte Treiber ist die Angst: Nehmen wir an, es gab noch keine Zwischenfälle, aber vielleicht hatten andere Mitglieder der Branche sie, und das Unternehmen hat Angst. Ein weiterer Treiber, der in Verbindung mit dem Angst-Treiber in Betracht gezogen werden kann, sind neue Unternehmen, beispielsweise Startups, die gerade mit einer Entwicklung begonnen haben. Sie dachten darüber nach und entschieden, dass es notwendig war, sofort einen Penetrationstest durchzuführen, um die Schwachstellen zu beheben und sie in Zukunft zu verhindern. Bis der Dienst öffentlich und möglicherweise populär wird, gibt es keine Schwachstellen mehr. Dies ist der vernünftigste Ansatz.
Ein weiterer Treiber, der bei Startups sehr häufig vorkommt, sind die Anforderungen der Gegenparteien. Diese Art der Einhaltung, wenn Sie Ihre Geschäftsfunktionen ausführen können, Ihre Gegenparteien jedoch überprüfen möchten, ob Sie Ihre Sicherheit überwachen. Wenn Sie also ein kleines Unternehmen sind, das beispielsweise an große westliche Unternehmen verkaufen möchte, müssen Sie auf jeden Fall einen Pentest bestehen. Besonders wenn Sie SaaS (Software as a Service) anbieten, ist sicherlich ein Pentest-Bericht erforderlich. Dies wird in ihren Richtlinien sein, ihre Anwälte und Sicherheitspersonal werden einem solchen Auftragnehmer, der den Penetrationstest nicht bestanden hat, einfach nicht erlauben.
Dies sind die Gründe, warum sich Unternehmen an Penetrationstester wenden und wir Tests durchführen. Aber mit der Qualität ist es in der Tat sehr schwierig. Ich habe bereits gesagt, dass im Penetrationstest der Arbeitsaufwand zunächst nicht bestimmt wird, das Ergebnis aber auch nicht deterministisch ist. Sie können einen Pentest für 6 Millionen Rubel bestellen und erhalten einen Bericht mit den Worten "Keine Schwachstellen gefunden". Wie kann man überprüfen, ob die Arbeit erledigt wurde und mit guter Qualität? Du kannst es nicht verstehen. Um dies genau zu überprüfen, müssen Sie all diese Arbeiten praktisch neu ausführen. Sie können versuchen, die Protokolle zu überwachen, um festzustellen, ob die Netzwerkaktivität tatsächlich von den Pentestern stammt. Dies ist jedoch alles kompliziert. Und auf einfache Weise ist es unmöglich, die Qualität der Arbeit zu überprüfen.
Mögliche Maßnahmen sind neben der Verfolgung der Aktivität das Anfordern detaillierter Berichte über die durchgeführten Aktionen, das Anfordern von Artefakten, Berichten von Scannern und anderen Protokollen, z. B. vom Burp-Tool. Zunächst können Sie die Methodik besprechen - was die Pentester tun werden. Daraus kann klar werden, dass sie verstehen. All dies erfordert jedoch Fähigkeiten und Kenntnisse. Wenn das Unternehmen kein Sicherheitspersonal hat, das bereits mit Pentestern interagiert hat und diese Dienste versteht, kann die Qualität der Arbeit nicht überprüft werden.
F: Sag mir, wo ich anfangen soll? Was ist das ideale Alter für tiefes Eintauchen in das Pentestfeld?
Bei beiden Fragen geht es um Karriere, und hier können Sie beispielsweise "Pentest" in "Programmierung" ändern. Ich würde sagen, dass es kein ideales Alter gibt, aber dies ist die Art von Mantra, die jeder wiederholt - angeblich ist es nie zu spät. Wenn eine Person im Alter von 10 Jahren mit dem Studium beginnt, ist es natürlich wahrscheinlicher, dass sie Erfolg hat und schneller lernt als im Alter von 40 Jahren. Dies bedeutet jedoch nicht, dass es nutzlos ist, bei 40 zu beginnen. Es braucht nur mehr Mühe. Zweitens, wenn wir aus utilitaristischer Sicht sprechen - für die Arbeit im Bereich Pentesting, um Pentester zu werden und einen Job zu bekommen, ist die Eintrittsschwelle niedriger als für die Entwicklung. Denn um in der Entwicklung nützlich zu sein, müssen Sie zumindest in der Lage sein, einige Technologien zu programmieren und zu kennen. Und in OrdnungUm zumindest etwas im Penetrationstest zu tun - obwohl es eine "Illusion von Aktivität" sein kann -, reicht es aus, zu lernen, wie man ein paar Werkzeuge benutzt und die Ergebnisse dieser Arbeit interpretiert. Dies wird jedoch eine sehr grundlegende Eintrittsschwelle sein. Es wird mehr Mühe kosten, im Penetrationstest richtig cool zu werden, als ihn zu entwickeln. Um beim Hacken wirklich auf dem neuesten Stand zu sein, müssen Sie die Entwicklung kennen - und zwar nicht einmal in einer Programmiersprache und einem Technologie-Stack, sondern in mehreren. Sie benötigen außerdem mindestens einige (oder besser gute) Kenntnisse in den Bereichen Infrastruktur, Netzwerk, Windows- und Linux-Administration sowie Programmierung. Sie müssen in einigen Bereichen tief eintauchen und gleichzeitig brechen können. Das heißt, die untere Eintrittsschwelle für den Penetrationstest ist niedriger, aber es ist schwieriger, älter oder höher zu werden.Es wird mehr Mühe kosten, beim Penetrationstest wirklich cool zu werden, als es zu entwickeln. Um beim Hacken wirklich auf dem neuesten Stand zu sein, müssen Sie die Entwicklung kennen - und zwar nicht einmal in einer Programmiersprache und einem Technologie-Stack, sondern in mehreren. Sie benötigen außerdem mindestens einige (oder besser gute) Kenntnisse in den Bereichen Infrastruktur, Netzwerk, Windows- und Linux-Administration sowie Programmierung. Sie müssen in einigen Bereichen tief eintauchen und gleichzeitig brechen können. Das heißt, die untere Eintrittsschwelle für den Penetrationstest ist niedriger, aber es ist schwieriger, älter oder höher zu werden.Es wird mehr Mühe kosten, beim Penetrationstest wirklich cool zu werden, als es zu entwickeln. Um beim Hacken wirklich auf dem neuesten Stand zu sein, müssen Sie die Entwicklung kennen - und zwar nicht einmal in einer Programmiersprache und einem Technologie-Stack, sondern in mehreren. Sie benötigen außerdem mindestens einige (oder besser gute) Kenntnisse in den Bereichen Infrastruktur, Netzwerk, Windows- und Linux-Administration sowie Programmierung. Sie müssen in einigen Bereichen tief eintauchen und gleichzeitig brechen können. Das heißt, die untere Eintrittsschwelle für den Penetrationstest ist niedriger, aber es ist schwieriger, älter oder höher zu werden.Sie benötigen außerdem mindestens einige (oder besser gute) Kenntnisse in den Bereichen Infrastruktur, Netzwerk, Windows- und Linux-Administration sowie Programmierung. Sie müssen in einigen Bereichen tief eintauchen und gleichzeitig brechen können. Das heißt, die untere Eintrittsschwelle für den Penetrationstest ist niedriger, aber es ist schwieriger, älter oder höher zu werden.Sie benötigen außerdem mindestens einige (oder besser gute) Kenntnisse in den Bereichen Infrastruktur, Netzwerk, Windows- und Linux-Administration sowie Programmierung. Sie müssen in einigen Bereichen tief eintauchen und gleichzeitig brechen können. Das heißt, die untere Eintrittsschwelle für den Penetrationstest ist niedriger, aber es ist schwieriger, älter oder höher zu werden.
Um nicht auf der ersten Stufe hängen zu bleiben, müssen Sie zunächst die grundlegenden Dinge lernen. Programmierung, Netzwerke, Technologien im Allgemeinen - wie das Betriebssystem, die Netzwerke angeordnet sind, wie moderne Dienste bereitgestellt werden, wie verschiedene bekannte Angriffe in verschiedenen Programmiersprachen funktionieren, wie man sich gegen sie verteidigt. Es gibt viel, aber all dies sind grundlegende Dinge, die Sie wissen müssen, um voranzukommen.
F: Sind Angriffe auf WLAN Evil Twin jetzt real oder haben Unternehmen eine Autorisierung über einen RADIUS-Server?
Um ehrlich zu sein, kann ich keine Expertenantwort geben, ohne Statistiken zu haben. Ich denke, es ist für jeden anders; Es gibt wahrscheinlich viele Orte, an denen Evil Twin großartig funktioniert.
F: Verwenden Sie in Ihrer Arbeit die Methoden und Ansätze von NIST, OSSTMM, OSINT, OWASP usw. und welche können Sie hervorheben?
OSINT ist eigentlich keine Technik, sondern nur Open Source Intelligence. OWASP ist im Allgemeinen eine Organisation, aber diese Organisation verfügt über Methoden zum Testen von Webanwendungen und mobilen Anwendungen, und wir folgen diesen. Zumindest im Geiste, nicht jede Checkliste mit Zecken zu machen - sie können ziemlich kontrovers sein. Wir folgen den OSSTMM-Methoden. Meiner Meinung nach werden im OSSTMM die Schritte zum Erkunden, Scannen, Ausnutzen, Nachnutzen und Entfernen beschrieben - das heißt, der Hauptpunkt dieser Methodik ist, dass solche Schritte angewendet werden sollten, aber dann geht es weiter viel mehr Details.
Kurz gesagt, ja, aber nicht wörtlich. Wir folgen dem Geist dieser Methodik.
F: Was werden in Interviews gefragt?
Unterschiedlich. Hängt davon ab, zu welcher Position Sie gehen. Es gibt oft ein solches Fragenmuster. Sie beschreiben Ihnen eine Situation - zum Beispiel sagen sie: Sie haben die Codeausführung auf dem Linux-Server von außen erhalten, Sie sind durch den Perimeter gegangen, haben den Webserver kaputt gemacht, Sie sind drinnen, welche Maßnahmen sollten Sie als Nächstes ergreifen? Oder - Sie sind am Arbeitsplatz des Mitarbeiters angekommen. Was sind die nächsten Schritte? Oder - Sie haben auf einer Seite eine Sicherheitsanfälligkeit in Cross-Site-Scripting festgestellt. Eine Richtlinie zur Inhaltssicherheit wird mit solchen und solchen Parametern implementiert. Wie können Sie diese umgehen? Es gibt normalerweise Fragen dieser Art.
F: Was ist die Schwelle für die Eingabe von Bug Bounty und ist es wirklich möglich, nur davon zu leben?
Bug Bounty ist eine Belohnung für Fehler. Programme, in denen ein Unternehmen Personen Geld gibt, die Schwachstellen in den Systemen dieses Unternehmens melden. Ein solches Crowdsourcing eines Pentests erfolgt nicht im Rahmen einer Vereinbarung zwischen zwei Unternehmen, sondern durch ein öffentliches Angebot. Dies ist für diejenigen, die es nicht wissen.
In der Tat ist Bug Bounty eine wachsende Sache. Es gibt große Veranstaltungsorte mit vielen Programmen. Die Eintrittsschwelle für die Teilnahme an der Bug Bounty für Pentester ist sowohl niedrig als auch hoch. Niedrig in dem Sinne, dass es so viele dieser Bug-Bounty-Programme und -Ressourcen gibt, die kaputt gehen können, dass Sie einige einfache Schwachstellen finden können. Nicht unbedingt kompliziert. Auf der anderen Seite können Sie jedoch auf ein Programm stoßen, in dem Sie bereits alle einfachen Fehler gefunden haben, und zwei Monate damit verbringen, darin zu graben, ohne etwas zu finden. Das ist sehr demotivierend. Daher kommt es häufig vor, dass sich Menschen in diesem Bereich versuchen und Pech haben - sie versuchen etwas Schwieriges und finden keine Schwachstellen.
Im Allgemeinen gibt es viele Leute in Bug Bounty, die viel Geld verdienen, ohne über einzigartiges und herausragendes Wissen zu verfügen. Entweder hatten sie ein paar Mal Glück, oder sie verstanden den Bug-Bounty-Trick und lernten, Programme und Ressourcen zu finden, die einfache Schwachstellen enthalten. Es kommt auch häufig vor, dass eine Person eine Art Sicherheitslücke in einer Ressource findet und dann erkennt, dass diese tatsächlich sehr weit verbreitet ist, und auf die gleiche Weise können viel mehr Unternehmen durch Monetarisierung zerstört werden. Ist es realistisch, nur von Bug Bounty zu leben? Ja, es gibt sogar Millionäre, die Hunderttausende von Dollar pro Jahr nur mit Bug Bounty verdienen. Sie sind wenige; Die meisten verdienen natürlich ziemlich wenig. Aber es gibt eine ausreichend große Anzahl von Menschen, die mindestens Zehntausende pro Jahr verdienen. Das heißt, nicht nur ein paar und Dutzende von Menschen, sondern Hunderte.
F: Erzählen Sie uns von den Metasploit-Versionen. Ich habe gehört, dass es mehrere von ihnen gibt, und unter ihnen gibt es bezahlte. Was ist der Unterschied?
Ich denke, Sie können auf die Website der kostenpflichtigen Version gehen und lesen, was der Unterschied ist. Ich habe Metasploit Pro schon lange nicht mehr verwendet, aber es gibt zumindest eine Weboberfläche. Dies ist einer der Unterschiede; Ich werde nicht gleich sagen, welche anderen grundlegenden Unterschiede es gibt. Vielleicht gibt es noch einige andere Module.
Ich wollte Ihnen über die häufigsten Sicherheitslücken berichten. Tatsächlich führen viele Unternehmen das ganze Jahr über Pentests durch und zählen die Anzahl der verschiedenen Arten von Sicherheitslücken, um die Statistiken für das Jahr zusammenzufassen. Ich habe solche Statistiken nicht enttäuscht, aber wenn wir über die Gefühle und die einfachsten Dinge sprechen, die gefunden werden, sind schwache Kennwortrichtlinien die einfachsten und effektivsten Schwachstellen in der Infrastruktur, die Angreifern viel Nutzen bringen. Banale Brute-Force-Angriffe sind die Geißel der Infrastruktur. Wenn das Unternehmen mindestens 500 Mitarbeiter beschäftigt, wird ein beträchtlicher Teil von ihnen nicht besonders technisch versiert sein. Mindestens einer von ihnen kann das Passwort normalerweise brutal erzwingen. Dies funktioniert besonders cool, wenn im Unternehmen eine Kennwortrichtlinie implementiert ist, die beispielsweise ein Kennwort erzwingt.Enthält einen Großbuchstaben, einen Kleinbuchstaben und eine Zahl mit mindestens 8 Zeichen und ändert diese alle drei Monate oder einen Monat. Dies führt zu schlechten Ergebnissen. Wenn eine Person dazu gezwungen ist, kann sie sich nicht an das Passwort erinnern. Wenn er keinen Passwort-Manager mit zufälligen Passwörtern verwendet, schreibt er manchmal nur den aktuellen Monat mit einem Großbuchstaben (wie "Dezember2020"). Tatsächlich ist es in allen typischen Unternehmensinfrastrukturen sehr verbreitet - stellen Sie sich Active Directory vor, Hunderte von Mitarbeitern mit Windows auf ihren Computern. Sie können einfach den aktuellen oder letzten Monat und das letzte Jahr nehmen, alle Konten durchgehen - jemand wird kaputt gehen. Ein sehr mächtiger Angriff.dann kann er sich nicht an das Passwort erinnern. Wenn er keinen Passwort-Manager mit zufälligen Passwörtern verwendet, schreibt er manchmal nur den aktuellen Monat mit einem Großbuchstaben (wie "Dezember2020"). Tatsächlich ist es in allen typischen Unternehmensinfrastrukturen sehr verbreitet - stellen Sie sich Active Directory vor, Hunderte von Mitarbeitern mit Windows auf ihren Computern. Sie können einfach den aktuellen oder letzten Monat und das letzte Jahr nehmen, alle Konten durchgehen - jemand wird kaputt gehen. Ein sehr mächtiger Angriff.dann kann er sich nicht an das Passwort erinnern. Wenn er keinen Passwort-Manager mit zufälligen Passwörtern verwendet, schreibt er manchmal nur den aktuellen Monat mit einem Großbuchstaben (wie "Dezember2020"). Tatsächlich ist es in allen typischen Unternehmensinfrastrukturen sehr verbreitet - stellen Sie sich Active Directory vor, Hunderte von Mitarbeitern mit Windows auf ihren Computern. Sie können einfach den aktuellen oder letzten Monat und das letzte Jahr nehmen, alle Konten durchgehen - jemand wird kaputt gehen. Ein sehr mächtiger Angriff.Alle Konten durchgehen - jemand wird kaputt gehen. Ein sehr mächtiger Angriff.Alle Konten durchgehen - jemand wird kaputt gehen. Ein sehr mächtiger Angriff.
Wenn wir über Webdienste sprechen, besteht der einfachste Angriff darin, die Autorisierung zu umgehen und auf Daten von anderen Clients zuzugreifen. Der Angriff besteht darin, dass Sie eine Anfrage an eine Webanwendung senden, die beispielsweise Ihren Kontoauszug nach Kontonummer angibt. In dem Link oder in der Anfrage an die Site wird die numerische Kontonummer übertragen, als Antwort wird eine PDF-Datei mit dem Kontoauszug ausgegeben. Sie ändern Ihre Kontonummer in die Kontonummer eines anderen und erhalten den Kontoauszug eines anderen.
Diese Sicherheitsanfälligkeit wird als "unsichere direkte Objektreferenz" bezeichnet - unsichere direkte Objektreferenz. In modernen Diensten ist dies nach meinen Beobachtungen die häufigste Sicherheitsanfälligkeit. Klassischere Schwachstellen, die in der Vergangenheit weit verbreitet waren, wie SQL-Injection und Cross-Site-Scripting, sind bei Diensten, die mit modernen Frameworks geschrieben wurden, weniger verbreitet. Besonders SQL-Injection. Es treten jedoch logische Fehler auf, da Frameworks nicht vor ihnen speichern. Der Entwickler muss selbst darüber nachdenken, wie er sich schützen, das Vorbild implementieren und den Zugriff auf Objekte einschränken kann.
F: Sie sprechen von einer bestimmten Abstufung von Löchern im System. Können Sie Beispiele für einfache, mittlere und komplexe Schwachstellen nennen?
Ich erinnere mich nicht, in welchem Kontext ich darüber gesprochen habe, um ehrlich zu sein. Nun, ich habe gerade gesagt, dass einfache Schwachstellen leicht zu finden und auszunutzen sind. Wahrscheinlich können diese Parameter verwendet werden, um die Komplexität der Sicherheitsanfälligkeit zu charakterisieren - die Komplexität der Suche und die Komplexität der Ausnutzung. Es kann schwierig sein, es zu finden - zum Beispiel ist dies eine knifflige logische Sicherheitslücke, für deren Ausnutzung Sie die Logik des Dienstes und die Interaktion verschiedener Komponenten verstehen müssen, aber gleichzeitig ist die Operation Einfach: Sie müssen nur mehrere Anfragen senden. Zum Beispiel kann es schwierig sein, sie zu finden, weil Sie 100-MB-Quellen mit einer Million Codezeilen erhalten haben - sitzen, lesen.
Es kann schwierig sein, eine Sicherheitslücke in diesen 100 MB zu finden - aber es kann leicht ausgenutzt werden. Oder umgekehrt - es ist aufgrund einiger Einschränkungen, aufgrund von Firewalls, schwierig auszunutzen. In Pentest-Berichten gibt es jedoch keine „einfach-komplexe“ Abstufung: Es gibt eine Abstufung nach Kritikalität. Die Kritikalität setzt sich aus dem Grad des Risikos - dh dem Ausmaß des Schadens - und der Wahrscheinlichkeit der Ausbeutung zusammen. Die Wahrscheinlichkeit entspricht jedoch fast der Komplexität. Wenn wir viel Zeit und die Fähigkeiten eines erfahrenen Penetrationstesters benötigt haben, um die Sicherheitsanfälligkeit zu finden, können wir die Wahrscheinlichkeit einer Ausbeutung als gering einschätzen. Wir haben es in drei Wochen des Grabens gefunden, während andere es möglicherweise überhaupt nicht finden. Der Schaden durch diese Sicherheitsanfälligkeit kann jedoch hoch sein. Durch die Kombination solcher Indikatoren erhalten wir ein "durchschnittliches" Risiko.
Pentest-Berichte haben eine ziemlich standardmäßige Vorlage. Es gibt einen einleitenden Teil, in dem einfach beschrieben wird, was wir getestet haben und warum, welches Modell des Eindringlings - externer oder interner Zugriff, ob er ein Konto hat oder nicht. Dann gibt es eine Zusammenfassung, die das Ergebnis kurz beschreibt: Welche Sicherheitslücken wurden entdeckt, welche Sicherheitsstufe - alles ist schlecht oder alles ist gut. Jede Sicherheitsanfälligkeit wird beschrieben, anhand von Screenshots demonstriert und den Entwicklern des Unternehmens wird ein Code gegeben, mit dem sie alles verstehen können. Und Empfehlungen werden gegeben. Es bietet auch eine Einschätzung der Wahrscheinlichkeit und des Ausmaßes des Schadens.
F: Auf wie viele ungepatchte Windows 7 mit ms17-010 im Unternehmenssektor sind Sie beim Penetrationstest gestoßen?
Es gibt. Normalerweise nicht in einer Domain, wirklich. Nicht zu viel.
F: Woher weißt du, wann es Zeit für ein Interview ist? Wie werden Sie sich von anderen Kandidaten abheben? (möglicherweise Kenntnisse in Programmiersprachen oder ein Konto auf Websites wie HackTheBox)
Ich würde mehr auf ein Konto auf Websites setzen. Wenn Sie dort natürlich ehrlich Probleme lösen. Wenn es nicht fair ist, gibt es kein Wissen und Sie werden das Interview trotzdem nicht bestehen.
Generell gibt es natürlich auch Zertifizierungen. Sie zeigen nicht wirklich etwas, aber sie helfen, HR-Filter zu bestehen und durchzubrechen.
F: Können Sie Hinweise zu Literatur und Ressourcen geben, um die Grundlagen zu schaffen?
Ja, jedoch in einem nicht sehr praktischen Format.
Von Omar bereitgestellte Links
:
docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=0
:
blog.deteact.com/ru
blog.orange.tw
swarm.ptsecurity.com
malicious.link/post
adsecurity.org
posts.specterops.io/archive
:
portswigger.net/web-security
www.hackthebox.eu
overthewire.org/wargames
ctftime.org
:
.
Web Application Hacker's Handbook
The Tangled Web
docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=0
:
blog.deteact.com/ru
blog.orange.tw
swarm.ptsecurity.com
malicious.link/post
adsecurity.org
posts.specterops.io/archive
:
portswigger.net/web-security
www.hackthebox.eu
overthewire.org/wargames
ctftime.org
:
.
Web Application Hacker's Handbook
The Tangled Web
Aber jetzt gibt es keinen Mangel an Literatur - die Schwierigkeit besteht vielmehr darin, aus der Masse der Materialien zu wählen, die zu Ihnen passt. Google "Pentest-Kurse" - es wird von allem viel auf einmal geben. HackTheBox ist großartig; Ich habe nichts darüber entschieden, aber ich habe eine Idee. Ich denke, dass dort viele Fähigkeiten erlernt werden können.
F: Welche andere Programmiersprache ist es wert, neben Python und Bash gelernt zu werden?
Bash muss wahrscheinlich wirklich gemacht werden. Übrigens gibt es eine großartige Seite OverTheWireBandit, auf der Sie Bash gut üben können. Und so - nur eine Sprache, die Sie genug kennen, um die Aufgaben zu erledigen. Natürlich gibt es Aufgaben, für die Python nicht geeignet ist - zum Beispiel, wenn Sie schnell Daten von vielen Hosts im gesamten Internet sammeln müssen. Aber für die meisten Aufgaben reicht es aus. Je mehr Sprachen Sie jedoch kennen - zumindest auf der Ebene des Verständnisses des Paradigmas und der Lesesyntax - desto besser. Bei Penetrationstests und Audits werden Sie auf verschiedene Stapel und Anwendungen stoßen, die in verschiedenen Sprachen geschrieben sind. Sie müssen verstehen können, wie sie funktionieren. Auch wenn Sie die Softwarequelle überhaupt nicht prüfen - Sie beschäftigen sich nur mit der Infrastruktur - müssen Sie dennoch verschiedene Sprachen beherrschen.Viele Tools sind nicht in Python geschrieben. Wenn das Tool nicht gut funktioniert, müssen Sie es möglicherweise verstehen, den Code lesen und patchen. Angenommen, in einer Windows-Infrastruktur ist es meistens C #.
F: Welche Zertifikate sind für redtim am gefragtesten, aber neben OSCP?
Genau für Redtim? Es gibt Zertifikate, die so genannt werden - Certified Redream Professional, Certified Redteam Expert, Pentester Academy. Aber sie sind nicht sehr gefragt, sie existieren einfach. Ich finde es schwierig zu beantworten, welche wirklich gefragt sind. Die Nachfrage wird danach berechnet, wie viele Arbeitgeber sie in die Anforderungen für offene Stellen eingeben und wie viele Kunden - in die Ausschreibungsanforderungen. Es kommt häufig vor, dass die Mitarbeiter des Auftragnehmers ein Zertifikat benötigen - und dort meistens OSCP oder CEH - ein altes Zertifikat, das eher theoretisch als praktisch ist.
F: Benötigen Sie Dekompilierungsfähigkeiten in einem Pentest?
Bis zu einem gewissen Grad ja. Insbesondere, wenn Sie mit Anwendungssicherheit arbeiten, bei der Analyse der Anwendungssicherheit. Dort könnte es nützlich sein. Aber meistens - bei mobilen Anwendungen: Für sie erhalten Sie möglicherweise nicht den Quellcode, aber Sie haben die Anwendung selbst, und Sie dekompilieren sie, entwickeln sie zurück.
Wenn Sie nach „Benötigen Sie Fähigkeiten?“ Fragen, können Sie im Allgemeinen sagen, dass diese Fähigkeiten nützlich sind. Aber es ist unmöglich, absolut alles zu wissen. Viel zu wissen ist gut, aber Sie müssen immer noch Ihre Spezialisierung verstehen und verstehen, was Sie besser machen können. Selbst innerhalb von Webanwendungen gibt es Spezialisierungen. Es gibt Spezialisierungen nach Branchen - zum Beispiel kann eine Person die Schwachstellen von Zahlungsdiensten gut kennen. Auf Web- oder Finanzlogikebene spielt das keine Rolle. Es gibt Leute, die nur mit dem Testen von Zahlungsterminals, Internetbanking, Kartenerwerb usw. beschäftigt sind. Es scheint, dass dies alles ist - ein Bereich, aber tatsächlich gibt es sehr unterschiedliche Dinge. Die Hardware kann unterschiedlich sein (Smartcards, Terminals) sowie Web-, API- und mobile Anwendungen. Kurz gesagt, jede Fähigkeit kann nützlich sein, ist aber nicht erforderlich.Es ist unbedingt erforderlich, über eine kritische Masse an Fähigkeiten und Kenntnissen zu verfügen.
Ich kann über die Kosten und die Nachfrage hinzufügen. Nach meinen Schätzungen beläuft sich der russische Markt für Penetrationstests auf etwa 1 bis 1,5 Milliarden Rubel. Dies habe ich Ende 19 gezählt. Dies bedeutet, dass genau so viel russische Unternehmen für Pentests ausgeben. Natürlich können Pentester-Unternehmen Dienstleistungen zumindest ein wenig im Ausland verkaufen, so dass die Gesamtmarktgröße etwas größer sein wird. Natürlich ist der Pentest-Markt sehr fragmentiert; Es gibt viele kleine Unternehmen, die wenig Geld verdienen. Kunden neigen dazu, den Anbieter von Penetrationstests zu wechseln, da die Rotation ein frisches Aussehen und maximale Abdeckung bietet. Ein Team übersieht beispielsweise eine Sicherheitsanfälligkeit, während das andere dies bemerkt, eine andere jedoch möglicherweise übersieht. Aus diesem Grund gibt es kein vollständiges Monopol - für ein Team, das sich hinsetzt, und Pentests kaufen nur davon.Sie ändern sich jedes Jahr.
F: Wie viele Stunden haben Sie mit den OSCP-Prüfungen abgeschlossen?
Ich erinnere mich nicht, ein paar Stunden. Um ehrlich zu sein, habe ich zweimal bestanden; Das erste Mal, als ich tagsüber alles löste, schrieb ich einen 80-seitigen Bericht, las aber nicht die Anforderungen dafür. Es stellte sich heraus, dass ein bestimmtes Format von Screenshots benötigt wurde und mein Bericht nicht akzeptiert wurde, sodass ich ihn erneut einreichen musste. Es dauerte 5 Stunden, um den Test erneut durchzuführen .
F: Beratung russischsprachiger Blogger im Bereich Pentesting
Unsere Firma hat einen Blog. Es stimmt, wir schreiben selten. Grundsätzlich müssen Sie den Leuten auf Twitter folgen. Die meisten Pentester schreiben auf Englisch, einschließlich russischsprachiger Pentester. Wir versuchen zu duplizieren - wir schreiben sowohl auf Russisch als auch auf Englisch. Ich erhalte Informationen von Twitter - Ich abonniere interessante Leute, die früher oder später alles Interessante erneut veröffentlichen, sodass Sie den Blogs nicht speziell folgen können, sondern alles über Twitter erhalten. Oder über Telegrammkanäle. Es gibt keine russischsprachigen Blogger, scheint mir.
F: Wie hoch sind die Chancen, dass ein Linux- / Netzwerkadministrator zum Pentest kommt?
Direkter Weg zum Infrastruktur-Penetrationstest. Es sollte einfach genug sein, sich anzumelden, wenn der Administrator ein gutes Verständnis für Netzwerk und Linux hat. Das einzige ist, dass die Straße noch kürzer ist, wenn es sich um einen Windows-Administrator handelt. Unternehmensnetzwerke sind normalerweise Windows. Aber es ist trotzdem okay, es ist ein guter Hintergrund.
Tatsächlich habe ich eine Google-Platte, auf der ich eine Reihe von Kenntnissen für verschiedene Spezialisierungen und Penetrationstester geschrieben habe. Praktikant, Junior, Intermediate, Senior, Web und Infrastruktur. Wahrscheinlich kann der Link eingefügt werden; Es wird auf Habré sein, wenn es einen letzten Beitrag gibt. Dies sind meine subjektiven Anforderungen, aber ich habe sie ein wenig geändert, basierend auf dem Feedback von Leuten, die ihre Kommentare und Vorschläge abgegeben und etwas hinzugefügt haben. Daher können wir sie als plus oder minus angemessen betrachten und uns auf sie konzentrieren. Es gibt aufgelistete Zertifizierungen und sogar Gehaltssätze auf dem Markt sowie Anweisungen für die Entwicklung.
F: Wie schön ist es, der Frage des Kunden zu entkommen, die er während des Penetrationstests stellen kann: "Nun, haben Sie etwas gefunden?"
Warum von der Frage weggehen? Antworten. Wenn Sie noch nichts gefunden haben, haben Sie es nicht gefunden. Früher oder später müssen Sie diese Frage im Bericht beantworten. Daher ist es normal, dass Sie eine Woche nach Arbeitsbeginn gefragt wurden und sagen, dass Sie es nicht gefunden haben.
F: Wo kann man nach Stellenangeboten für einen Pentester suchen? Es ist sehr wenig in hh.
Ja, Headhunter hat nicht viel. Normalerweise sucht sich jeder durch Bekanntschaft, daher müssen Sie wahrscheinlich nur mit Menschen kommunizieren. Sie können Ihren Lebenslauf veröffentlichen - vielleicht wird in diesem Modus mehr Aufmerksamkeit geschenkt. Sie können auch auf LinkedIn nach Jobs suchen. Und es gibt auch Telegrammkanäle, auf denen offene Stellen ausgeschrieben werden.
F: Was halten Sie von Tryhackme?
Ich kenne keinen. Jetzt gibt es viele Websites, im Internet würde ich die Portswigger Academy empfehlen, um zu entscheiden. Portswigger ist das Unternehmen hinter Burp.
F: Pentest und Fernbedienung. Ist es echt? Oder versuchen sie aufgrund der Besonderheiten der Arbeit, Mitarbeiter für das Büro zu gewinnen?
Ja wirklich. Nun, jetzt arbeiten alle remote, auch große Unternehmen. Es ist klar, dass es Schwierigkeiten geben kann, wenn Sie eine rein entfernte Option in Betracht ziehen. Es gibt auch ein solches Format, dass Sie zuerst für einen Monat ins Büro kommen, um zu arbeiten, und dann aus der Ferne.
F: Gibt es eine öffentliche Datenbank oder eine Liste typischer Sicherheitslücken, aus denen man lernen kann? Oder irgendein Buch?
Ja, zum Beispiel OWASP Top 10. Dies ist eine kontroverse Sache, aber dies sind die Top 10 Schwachstellen in Webanwendungen. Es gibt auch CWE (Common Weakness Enumeration) - einen Versuch, alle Schwachstellen zu klassifizieren und in ein hierarchisches System zu unterteilen. Sie können sehen, dass es Beispiele für bestimmte Sicherheitslücken gibt. Ein anderes Verzeichnis ist CVE, es ist nur ein Verzeichnis von Schwachstellen in verschiedenen Software. Dort gibt es auch echte Beispiele, mit denen Sie sehen und verstehen können, wie Exploits funktionieren.
F: Können Sie ein wenig von Ihrem Typenschild lesen?
Das Sprachformat ist natürlich seltsam. Ich kann den Bildschirm teilen. [Der Bildschirm wird nicht freigegeben] Ich denke, der Link zum Dokument wird auf Habré sein. Es heißt, wie viel Erfahrung (in Jahren) für jedes Level benötigt wird; Dies ist natürlich subjektiv - eher als Bezugspunkt. Fähigkeiten werden in keiner bestimmten Reihenfolge beschrieben. Gehalt und Zertifizierung zum Ziel. Und der Weg des Wachstums - was tun, um das nächste Level zu erreichen? Für einen Junior-Pentester benötigen Sie beispielsweise etwa ein Jahr Erfahrung - entweder Arbeit oder Studium; Wenn eine Person mindestens ein Jahr lang nicht studiert hat - nicht in IT oder Programmierung involviert war - und sofort versucht hat, in den Penetrationstest einzusteigen, verfügt sie kaum über die Kenntnisse und Fähigkeiten. Die Hauptanforderungen auf dieser Ebene sind die allgemeine Vertrautheit mit der Pentest-Methodik, Kenntnisse der Grundlagen der Technologie, die Fähigkeit, Linux zu verwenden und einfache Skripte zu schreiben, die mit dem Netzwerk funktionieren (z. B. Parser).Kenntnis der regulären Ausdrücke, Kenntnis des HTP-Protokolls, Arbeit mit Tools - Schwachstellenscanner und Burp. Im Allgemeinen, lesen Sie es, ich werde nicht alles auflisten.
F: Was tun unter Bedingungen, bei denen fast alle offenen Stellen mindestens 2 Jahre Erfahrung erfordern? Bleiben Sie bei Bug Bounty und HackTheBox oder versuchen Sie, ein Level zu erreichen, das Sie nicht erreichen?
Es ist Blödsinn. Sie fordern und fordern - tatsächlich werden sie sich mit Wissen befassen. Sie können in "Erfahrung" nur Bug Bounty und HackTheBox schreiben. Wenn Sie wirklich nicht dem erforderlichen Wissens- und Verständnisniveau entsprechen, bedeutet dies, dass Sie nicht korrespondieren. Aber das formale Kriterium für die Anzahl der Jahre Erfahrung ist meiner Meinung nach nicht so wichtig.
