Minggu ini, Omar Ganiev, pendiri DeteAct
dan anggota tim peretas Rusia LC↯BC, berbicara di jejaring sosial kami . Omar dapat dengan aman disebut sebagai salah satu peretas terbaik di negeri ini.
LC↯BC memenangkan tempat pertama di final turnamen keamanan komputer internasional 0CTF di Shanghai pada tahun 2016.
Selama lebih dari separuh hidupnya, Omar telah meretas sistem komputer. Baginya, ini terutama hobi dan keterampilan hidup dasar, yang lambat laun menjadi pekerjaan, dan baru kemudian menjadi dasar untuk berwirausaha.
Selain pekerjaan itu sendiri, Omar sangat tertarik dengan sisi penelitian dari kegiatan ini, serta kompetisi peretasan olahraga (CTF), di mana ia banyak berpartisipasi secara individu dan sebagai bagian dari berbagai tim.
Sekarang tim More Smoked Leet Chicken, di mana Omar adalah anggotanya, terdiri dari para penggemar yang bekerja di berbagai perusahaan dan negara, dan itu adalah tim KKP terkuat di Rusia dan salah satu yang terkuat di dunia.
Adapun DeteAct (secara resmi Continuous Technologies LLC), menyediakan analisis keamanan dan layanan pengujian penetrasi. Sederhananya, berbagai perusahaan meminta orang untuk meretas sistem mereka untuk menguji kekuatan mereka dan belajar bagaimana mencegah serangan peretas jahat dan kerugian bisnis.
Kami membagikan rekaman dan transkrip siaran tersebut kepada Anda.
Halo semuanya, nama saya Omar Ganiev. Saya juga dikenal sebagai komunitas hacker. Saya seorang peretas, saya telah terlibat dalam pemeriksaan keamanan sistem komputer selama bertahun-tahun. Ini menjadi hobi saya di sekolah, dan selama 9 tahun terakhir ini menjadi profesi utama saya. Selama 7 tahun terakhir saya bekerja di startup di bidang keamanan informasi, saya sendiri adalah pendiri DeteAct yang juga dikenal sebagai Continuous Technologies. Sekarang kami 10 orang, kami tumbuh dengan baik dan memberikan layanan di bidang keamanan informasi praktis. Pengujian penetrasi, analisis keamanan, dan jenis audit keamanan lainnya - kita akan membicarakan semuanya hari ini.
Pentest, pengujian penetrasi. Perlu diputuskan apa itu, karena bahkan di bidang keamanan informasi, di antara mereka yang terlibat dalam uji penetrasi dan audit, sering terjadi kebingungan dan kesalahpahaman tentang terminologi. Seringkali ternyata bahwa orang yang berbeda memiliki arti yang berbeda dengan pengujian penetrasi; khususnya tidak menyenangkan bila orang-orang ini adalah pelanggan dan penyedia layanan. Istilah utama di sini adalah audit keamanan, uji penetrasi, penilaian keamanan, dan tim merah.
Audit keamanan adalah konsep paling umum. Ini berarti segala jenis penelitian keamanan suatu objek, memeriksa kepatuhannya dengan persyaratan keamanan - tidak harus bersifat informatif. Misalnya, keamanan kebakaran.
Pentest (pengujian penetrasi) adalah hal yang jauh lebih spesifik, meskipun dapat dipahami dengan cara yang berbeda. Asosiasi logis langsungnya adalah bahwa uji penetrasi adalah pemeriksaan untuk melihat apakah mungkin untuk menembus sistem tertentu, dan hasil uji penetrasi harus berupa jawaban biner - ya / tidak: apakah mungkin untuk menembus atau tidak. Ini adalah salah satu pemahaman dari layanan ini - yaitu, memeriksa apakah penyerang potensial dapat menembus sistem, mencapai beberapa tujuan, katakanlah, dalam seminggu atau dua minggu. Selama waktu ini, pentester mencoba merusak sistem, dan dengan demikian tingkat keamanan sistem dapat diperiksa. Ini terutama berlaku di bidang kepatuhan. Beberapa organisasi - organisasi pemerintah, sistem pembayaran internasional - mungkin memerlukan perusahaan (bank,memperoleh kartu) lulus uji penetrasi dalam pengertian ini. Tes penetrasi semacam itu harus memeriksa apakah berhasil - ya atau tidak - untuk mendapatkan akses ke data pembayaran. Jika tidak, maka semuanya baik-baik saja; jika ya, maka semuanya buruk.
Namun ada pengertian lain tentang pengujian penetrasi, yang sering disebut dengan "analisis keamanan". Ini adalah pekerjaan yang sangat luas: alih-alih mencoba menembus jauh ke dalam sumber daya, peretas-pentester mencari sebanyak mungkin kerentanan secara luas. Paling sering, bagaimanapun, pelanggan ingin melihat layanan khusus ini. Mereka tertarik tidak hanya untuk mendapatkan jawaban (apakah itu rusak atau tidak), tetapi untuk menemukan sebanyak mungkin lubang untuk menutupnya - sehingga tidak akan rusak di masa mendatang.
Redteaming mirip artinya dengan cara kerja pentesting dalam hal penetrasi, tetapi dengan beberapa kekhasan. Secara umum, sebagian besar holivar dilakukan pada topik apa itu waktu merah. Singkatnya, ini adalah peristiwa di mana tim penyerang bertujuan untuk menimbulkan kerusakan tertentu, mencapai ancaman atau risiko bisnis tertentu - misalnya, pencurian dana, basis data pelanggan, surat manajer (setiap perusahaan memiliki risiko bisnisnya sendiri, kepada siapa apa kritis). Praktis tidak ada batasan yang ditempatkan di hadapan tim penyerang (satu-satunya batasan adalah ruang lingkup hukum). Tidak seperti analisis keamanan konvensional atau pengujian penetrasi, redtimers dapat mencapai risiko bisnis dengan cara apa pun: bahkan memasuki kantor dan mencuri kertas secara fisik dengan kata sandi atau mencegat wifi. Pihak yang membela - yaitu, perusahaanyang sedang diuji juga tidak terbatas. Petugas keamanan, administrator, pengembang, pengembang menolak pengujian ini, mencoba mengidentifikasi serangan dan mencegahnya. Dengan demikian, diperoleh pelatihan dan simulasi realistis dari situasi nyata. Ajaran, bisa dikatakan.
T: demi kepentingan: di negara mana penguji penetrasi lebih diminati, dan dari mana sebagian besar pesanan untuk verifikasi berasal?
Permintaan terluas untuk pentest ada di Amerika Serikat. Jika pertanyaan kedua adalah tentang perusahaan Rusia, maka sebagian besar pesanan datang dari Rusia. Pasar ini cukup terisolasi di setiap negara, dengan sendirinya. Setiap orang cenderung memesan layanan seperti itu dari orang yang mereka kenal, karena ini adalah masalah sensitif; tidak ada yang mau mempercayakan keselamatan mereka kepada seseorang dari negara lain atau orang asing. Apalagi, dari Barat, hampir tidak ada yang akan memesan layanan seperti itu dari Rusia - karena sanksi dan reputasi yang buruk.
Jadi, kami secara kasar menemukan uji penetrasi dan variasinya. Anda dapat mengetahui secara singkat bagaimana proyek tersebut dilakukan dan apa metodologinya. Di sini perlu untuk segera membagi metode kerja ke dalam apa yang disebut "kotak" dengan warna berbeda. Anda dapat melakukan pentest dalam mode kotak hitam - penguji hampir tidak diberi informasi apa pun tentang objek penelitian, kecuali untuk alamat situs (atau bahkan nama perusahaan). Ekstrem lainnya adalah kotak putih, ketika semua informasi diberikan. Jika itu adalah infrastruktur, maka semua alamat IP, diagram jaringan, akses ke jaringan internal (jika perlu), semua nama host (nama domain) ditampilkan. Jika ini adalah perangkat lunak, beberapa jenis layanan web, maka kode sumber, konfigurasi, akun dengan peran berbeda dikeluarkan, dan seterusnya. Mode yang paling umum adalah kotak abu-abu,itu bisa apa saja dari hitam menjadi putih. Beberapa informasi diberikan, tetapi tidak semua. Misalnya, untuk layanan web, akun dengan peran berbeda dapat dikeluarkan, beberapa informasi dasar tentang tumpukan teknologi: bahasa pemrograman dan database yang digunakan, diagram infrastruktur layanan. Tetapi pada saat yang sama sumber tidak diberikan.
Setelah mereka memutuskan metodologi, pada mode pelaksanaan pekerjaan, pihak yang menyerang diberikan data masukan. Artinya, jika perlu, akses, alamat host, dll. Dikeluarkan. Penyerang dapat memberikan alamat IP mereka, dari mana serangan akan dilakukan, sehingga pelanggan dapat membedakannya dari penyerang sebenarnya. Selanjutnya, langkah klasik pengujian penetrasi dilakukan; Implementasi spesifik dan breakdown mungkin berbeda, tetapi secara umum eksplorasi harus dilakukan terlebih dahulu. Penguji penetrasi mencari titik masuk ke infrastruktur - host, layanan jaringan, alamat email. Jika ini adalah layanan web, maka mereka mencari API Endpoints - berbagai antarmuka web, berbagai host API untuk domain, dan seterusnya. Setelah pengintaian dilakukan, tahap pemindaian (pentahapan) dimulai, saat pencarian kerentanan pada antarmuka yang ditemukan dilakukan. Saat kerentanan ditemukan,tahap selanjutnya adalah eksploitasi: kerentanan digunakan untuk mendapatkan beberapa jenis akses. Selanjutnya, tergantung pada jenis pentest itu, pasca-eksploitasi dapat dilakukan: bergerak lebih dalam ke sistem dan mendapatkan akses tambahan. Selanjutnya, mungkin ada pembersihan. Pelanggan tidak selalu ingin eksploitasi lebih lanjut dilakukan: terkadang cukup hanya dengan menemukan kerentanan dan melaporkannya.
Untuk memperjelas apa arti pasca-eksploitasi: katakanlah pentester telah menemukan server yang rentan dalam infrastruktur yang dapat diakses dari luar. Misalnya, baru-baru ini ada tambalan untuk kerentanan di MS Exchange - server email Microsoft, yang dimiliki dan digunakan oleh hampir semua perusahaan. Kerentanan kritis ditemukan di dalamnya. Kerentanan ini sendiri memiliki efek yang sangat besar: penyerang dapat menggunakannya untuk mendapatkan akses ke email. Tetapi, selain itu, mereka dapat melakukan pasca-eksploitasi dan dari server email ini menyebar lebih jauh ke infrastruktur. Rebut beberapa server lain, infrastruktur domain Windows Active Directory, masuk ke workstation karyawan - yaitu, ke infrastruktur pengembangan. Dll
T: Apa input minimum yang diperlukan dari organisasi untuk pentesting dan audit?
Data masukan minimum adalah nama perusahaan, yang secara praktis mungkin tidak tersedia. Jelas bahwa pada tahap pengintaian, saat kita mencari host dengan nama perusahaan, atau kita mencari host yang terkait dengan sebuah situs, kita dapat membuat kesalahan dan menemukan beberapa alamat IP dan host yang bukan miliknya. perusahaan ini. Oleh karena itu, setelah pengintaian, kesepakatan biasanya disahkan - untuk berjaga-jaga, agar tidak merusak sesuatu yang tidak berguna. Sangat mudah untuk membuat kesalahan.
T: Apakah ada redtimeter nyata dengan lockpicks dan palu godam di Rusia? : D
Saya pikir banyak orang memiliki keterampilan seperti itu. Sejujurnya, saya tidak tahu seberapa banyak proyek semacam itu diminati dan seberapa sering mereka dilaksanakan. Bahwa itu diperlukan untuk berjalan langsung dengan kunci utama dan memanjat pagar. Mungkin, proyek semacam itu jarang dilakukan.
T: Bagaimana Anda melewati Firewall Aplikasi Web atau setidaknya Windows Defender? Apa yang dapat Anda katakan tentang kerangka Empire dan Koadic, apakah Anda menggunakannya?
Kami melewati WAF secara manual, memilih muatan yang sesuai. Metodenya standar di sini. Satu-satunya kesulitan dengan WAF adalah jika itu adalah pengalihan, ketika pihak yang bertahan mencegah serangan - jika kami membakar serangan kami, atau kami terdeteksi dengan bantuan beberapa cara perlindungan seperti WAF, maka kami dapat menutupi kerentanannya. Oleh karena itu, Anda perlu bertindak hati-hati dan memeriksa payload (yaitu exploit Anda) pada beberapa host lain yang tidak memiliki kerentanan. Dengan demikian, WAF dapat diperiksa dan dilewati, tetapi di sepanjang jalan, kerentanan tidak akan terdeteksi oleh pihak yang bertahan.
T: Perangkat lunak apa yang dibutuhkan untuk penyerang dan pertahanan?
Perangkat lunak apa yang diperlukan untuk perlindungan adalah topik yang sangat besar. Ini jauh lebih luas dari pentest. Perangkat lunak apa yang dibutuhkan untuk penyerang adalah pertanyaan yang bagus, karena tergantung pada jenis pekerjaan yang kita bicarakan. Jika kita berbicara tentang analisis perangkat lunak, layanan web, maka praktis tidak diperlukan perangkat lunak. Pisau Swiss seperti Burp Suite sudah cukup. Versi berbayar berharga $ 400 dan berisi hampir semua alat yang diperlukan. Plus, tentu saja, bahasa pemrograman apa pun yang berfungsi - biasanya Python atau GoLang untuk penguji penetrasi. Itu cukup.
Jika kita berbicara tentang infrastruktur, tentang pengalihan, toolkit di sana jauh lebih luas. Kami membutuhkan berbagai pemindai kerentanan, kami membutuhkan alat untuk memperbaikinya pada sistem: setelah kami membobol sistem, kami perlu mendapatkan pijakan di dalamnya, kami perlu mengaburkan muatan kami agar tidak terdeteksi oleh antivirus, dan seterusnya.
T: Area mana di Federasi Rusia yang paling banyak diminta untuk diuji atau melakukan audit?
Rupanya, kita berbicara tentang di industri mana permintaan terbesar untuk pengujian penetrasi. Tentunya, ini dibutuhkan oleh perusahaan-perusahaan yang memiliki IT; Semakin berkembang TI, semakin banyak perusahaan TI, semakin banyak pengujian penetrasi yang dibutuhkan. Permintaan kira-kira sesuai dengan ini. Untuk beberapa perusahaan, pentesting adalah wajib karena mereka adalah bagian dari infrastruktur informasi penting: badan usaha milik negara dan bank. Untuk bank, pentest diperlukan atas permintaan Bank Sentral, dan juga sebagai bagian dari memperoleh sertifikat PCI DSS untuk sistem pembayaran internasional. Lembaga pembayaran lain juga membutuhkan sertifikat ini. Artinya, organisasi pembayaran, subjek infrastruktur informasi kritis, dan perusahaan TI memerlukan uji penetrasi. Artinya, setiap perusahaan IT, termasuk startup, yang seluruh infrastrukturnya adalah layanan web dengan basis pengguna: sangat penting bagi mereka jika rusak.
T: Seberapa penting pemahaman tentang manipulasi psikologis dalam pengujian penetrasi?
Saya tidak menyebutkannya secara terpisah. Saya akan mengatakan bahwa ini adalah salah satu alat untuk pengalihan; selain itu, manipulasi psikologis sering kali dilakukan secara terpisah, sebagai layanan terpisah, dan terlihat seperti milis sederhana. Kami membuat situs phishing, mencari email karyawan perusahaan dan mengirimi mereka tautan ke situs ini dengan beberapa legenda (misalnya, ini adalah portal perusahaan baru, setiap orang harus masuk dan memasukkan kata sandi mereka).
Kemudian kami menyimpan statistik - berapa banyak orang yang melihat surat itu, mengklik tautan dan memasukkan kata sandi. Kami menunjukkannya kepada pelanggan, dan dia mengerti dengan siapa kami perlu melakukan program pendidikan. Sejujurnya, secara praktis tidak ada keterampilan yang diperlukan untuk pengujian semacam itu, dan perusahaan itu sendiri dapat dengan mudah melakukannya dengan menggunakan alat open source dalam hal pengiriman satu kali. Secara umum, ada bisnis yang terpisah - industri kesadaran keamanan, meningkatkan kesadaran masyarakat di bidang keamanan informasi.
Ada produk khusus yang secara teratur mengirimkan email phishing ke basis pengguna. Jika seseorang tergoda, maka dia akan menerima video pelatihan atau pelajaran interaktif lainnya yang harus dia jalani. Dan kemudian akan diperiksa lagi, dan tren akan dipantau - misalnya, tahun lalu 50% karyawan jatuh karena phishing, dan sekarang hanya 5%. Tentu saja, menghilangkan bahaya phishing sepenuhnya hampir tidak mungkin.
Betapa pentingnya pemahaman - penting jika Anda melakukan pekerjaan seperti itu, tetapi itu cukup mudah. Atau, jika Anda melakukan redaksi, manipulasi psikologis sangat efektif dalam kerangka kerjanya. Tetapi pada saat yang sama, mereka harus jauh lebih akurat dan tepat, tentunya; ini tidak bisa berupa pengiriman massal ke semua karyawan - mereka akan menyadarinya dan memahami di mana Anda dapat mencoba menembusnya. Anda perlu mengirimkannya ke orang-orang tertentu.
T: Berapa biaya layanannya?
Pertanyaan bagus, karena tidak ada yang benar-benar akan menjawabnya untuk Anda.
Ini sangat berbeda. Biasanya pentest membebankan berapa banyak pelanggan dapat membayar, secara kasar. Ini adalah salah satu koefisien. Masalahnya adalah bahwa jumlah pekerjaan pada awalnya tidak akan menjadi deterministik - terutama jika itu adalah kotak hitam. Awalnya, kami bahkan tidak benar-benar tahu berapa banyak host dan antarmuka yang akan ada. Kami hanya dapat secara kasar memahami apa sifat dari perusahaan ini, jenis infrastruktur yang dimilikinya dan berapa banyak orang dan waktu yang kami butuhkan, dan dari sini akan mungkin untuk memperkirakan biaya tenaga kerja dalam minggu kerja. Jika kita memiliki semacam kerangka penetapan harga, kita dapat mengalikan minggu-orang dengan faktor kita dan memberikannya sebagai harga.
Faktanya, semuanya sangat bervariasi; Seringkali, terutama di perusahaan besar, penjual hanya menemukan sebuah perusahaan, menghabiskan beberapa jenis anggaran, dan kemudian pekerjaan harus diselesaikan dengan anggaran ini. Dan di sini, lebih tepatnya, biaya tenaga kerja disesuaikan dengan harga, dan bukan sebaliknya.
Saya juga dapat mengatakan bahwa pada akhirnya - karena kita memiliki pasar yang buram dengan harga yang tidak dapat dipahami - biaya kerja dapat berbeda berkali-kali dengan kualitas dan biaya tenaga kerja yang sama. Anda dapat menemukan pentest seharga 300 ribu dan untuk 4 juta rubel dengan jumlah pekerjaan yang sama. Ini sering terlihat bahkan di tender: ada spesifikasi teknis, Anda melihat label harga dan penawaran - spreadnya 5-10 kali. Terlepas dari kenyataan bahwa kualitasnya tidak mungkin berbeda 5-10 kali.
Karena kita berbicara tentang kualitas dan harga tes penetrasi. Anda perlu memahami apakah perusahaan Anda memerlukan uji penetrasi - dan jika Anda seorang pentester, Anda perlu memahami cara membenarkan uji penetrasi dan menjualnya ke perusahaan. Tidak ada jawaban universal di sini juga. Menurut saya, driver uji penetrasi adalah beberapa hal sederhana. Salah satunya adalah kepatuhan, yang sudah saya sebutkan: ketika suatu organisasi diharuskan melakukan uji penetrasi, dan tanpa ini tidak mungkin menjalankan fungsi bisnis, seperti menerima pembayaran dengan kartu plastik. Ini jelas.
Pengemudi lain adalah insiden: ketika perusahaan sudah rusak, mengalami kerusakan dan tertangkap. Untuk melindungi diri sendiri, Anda perlu melakukan investigasi, melakukan tes penetrasi agar tidak pecah di kemudian hari, dan melakukan tindakan lain. Semua orang mulai berlari dan memikirkan apa yang harus dilakukan.
Pendorong ketiga adalah ketakutan: katakanlah belum ada insiden, tetapi mungkin anggota industri lain telah mengalaminya, dan perusahaan takut. Penggerak lain yang dapat dipertimbangkan terkait dengan penggerak ketakutan adalah perusahaan baru, misalnya, perusahaan rintisan yang baru saja memulai beberapa jenis pengembangan. Mereka memikirkannya dan memutuskan bahwa perlu segera melakukan uji penetrasi untuk memperbaiki kerentanan dan mencegahnya di masa mendatang. Sehingga pada saat layanan tersebut menjadi publik dan, mungkin, populer, tidak ada kerentanan. Ini adalah pendekatan yang paling baik.
Penggerak lain yang sangat umum di kalangan startup adalah persyaratan rekanan. Jenis kepatuhan ini, ketika Anda dapat menjalankan fungsi bisnis Anda, tetapi rekanan Anda ingin memverifikasi bahwa Anda memantau keamanan Anda. Oleh karena itu, jika Anda adalah perusahaan kecil yang ingin menjual, misalnya, ke perusahaan Barat yang besar, maka Anda pasti harus melewati pentest. Terutama jika Anda menawarkan SaaS (perangkat lunak sebagai layanan) - maka laporan pentest pasti akan diperlukan. Ini akan menjadi pedoman mereka, pengacara dan personel keamanan mereka tidak akan mengizinkan kontraktor seperti itu yang belum lulus uji penetrasi.
Inilah alasan mengapa perusahaan beralih ke penguji penetrasi dan kami melakukan pengujian. Tapi dengan kualitas, nyatanya sangat sulit. Saya sudah katakan bahwa dalam uji penetrasi jumlah pekerjaan awalnya tidak ditentukan, tetapi hasilnya juga tidak deterministik. Anda dapat memesan pentest seharga 6 juta rubel dan mendapatkan laporan yang berisi kata-kata "tidak ditemukan kerentanan." Bagaimana cara memeriksa bahwa pekerjaan telah selesai, dan dengan kualitas yang baik? Anda tidak bisa memahaminya. Untuk memverifikasi ini secara akurat, Anda perlu melakukan semua pekerjaan ini lagi. Anda dapat mencoba memantau log untuk melihat apakah aktivitas jaringan sebenarnya berasal dari pentester, tetapi ini semua rumit. Dan dengan cara yang sederhana, tidak mungkin untuk memeriksa kualitas pekerjaan.
Tindakan yang mungkin dilakukan, selain aktivitas pelacakan, adalah meminta laporan rinci tentang apa yang sedang dilakukan, meminta artefak, laporan dari pemindai dan log lainnya, misalnya, dari alat Burp. Awalnya, Anda dapat mendiskusikan metodologi - apa yang akan dilakukan pentester. Jelas dari sini bahwa mereka mengerti. Tetapi semua ini membutuhkan keterampilan dan pengetahuan - oleh karena itu, jika perusahaan tidak memiliki personel keamanan yang telah berinteraksi dengan pentester dan memahami layanan ini, kualitas pekerjaan tidak akan dapat diperiksa.
T: Beri tahu saya mulai dari mana? Berapa usia yang ideal untuk menyelam jauh ke dalam bidang pentest?
Kedua pertanyaan ini adalah tentang karier, dan di sini Anda dapat mengubah "pentest" menjadi "pemrograman", misalnya. Saya akan mengatakan bahwa tidak ada usia yang ideal, tetapi ini adalah jenis mantra yang diulangi semua orang - seharusnya tidak ada kata terlambat. Tetapi, tentu saja, jika seseorang mulai belajar pada usia 10 tahun, kemungkinan besar ia akan mencapai kesuksesan dan akan belajar lebih cepat daripada jika ia mulai belajar pada usia 40; meskipun ini tidak berarti bahwa mulai dari 40 tidak ada gunanya. Ini hanya membutuhkan lebih banyak usaha. Kedua, jika kita berbicara dari sudut pandang utilitarian - untuk pekerjaan di bidang pentesting, untuk menjadi pentester dan mendapatkan pekerjaan, ambang masuknya lebih rendah daripada untuk pembangunan. Karena untuk mulai berguna dalam pembangunan, Anda harus setidaknya dapat memprogram dan mengetahui beberapa teknologi. Dan dalam ketertibanuntuk mulai melakukan setidaknya sesuatu dalam uji penetrasi - meskipun ini mungkin merupakan "ilusi aktivitas" - cukup mempelajari cara menggunakan beberapa alat dan menafsirkan hasil pekerjaan ini. Tetapi ini akan menjadi ambang masuk yang sangat dasar. Ini akan membutuhkan lebih banyak usaha untuk menjadi sangat keren dalam uji penetrasi daripada mengembangkannya. Untuk benar-benar mempercepat peretasan, Anda perlu mengetahui pengembangan - dan bahkan tidak dalam satu bahasa pemrograman dan tumpukan teknologi, tetapi dalam beberapa. Anda juga membutuhkan setidaknya beberapa (atau lebih baik, baik) pengetahuan tentang infrastruktur, jaringan, administrasi Windows dan Linux, dan pemrograman. Anda membutuhkan perendaman yang dalam di beberapa area, dan pada saat yang sama bisa istirahat. Artinya, ambang masuk yang lebih rendah dalam uji penetrasi lebih rendah, tetapi menjadi senior atau lebih tinggi lebih sulit.akan membutuhkan lebih banyak upaya untuk menjadi sangat keren dalam pengujian penetrasi daripada mengembangkannya. Untuk benar-benar mempercepat peretasan, Anda perlu mengetahui pengembangan - dan bahkan tidak dalam satu bahasa pemrograman dan tumpukan teknologi, tetapi dalam beberapa. Anda juga membutuhkan setidaknya beberapa (atau lebih baik, baik) pengetahuan tentang infrastruktur, jaringan, administrasi Windows dan Linux, dan pemrograman. Anda membutuhkan perendaman yang dalam di beberapa area, dan pada saat yang sama bisa istirahat. Artinya, ambang masuk yang lebih rendah dalam uji penetrasi lebih rendah, tetapi menjadi senior atau lebih tinggi lebih sulit.akan membutuhkan lebih banyak upaya untuk menjadi sangat keren dalam pengujian penetrasi daripada mengembangkannya. Untuk benar-benar mempercepat peretasan, Anda perlu mengetahui pengembangan - dan bahkan tidak dalam satu bahasa pemrograman dan tumpukan teknologi, tetapi dalam beberapa. Anda juga membutuhkan setidaknya beberapa (atau lebih baik, baik) pengetahuan tentang infrastruktur, jaringan, administrasi Windows dan Linux, dan pemrograman. Anda membutuhkan perendaman yang dalam di beberapa area, dan pada saat yang sama bisa istirahat. Artinya, ambang masuk yang lebih rendah dalam uji penetrasi lebih rendah, tetapi menjadi senior atau lebih tinggi lebih sulit.Anda juga membutuhkan setidaknya beberapa (atau lebih baik, baik) pengetahuan tentang infrastruktur, jaringan, administrasi Windows dan Linux, dan pemrograman. Anda membutuhkan perendaman yang dalam di beberapa area, dan pada saat yang sama bisa istirahat. Artinya, ambang masuk yang lebih rendah dalam uji penetrasi lebih rendah, tetapi menjadi senior atau lebih tinggi lebih sulit.Anda juga membutuhkan setidaknya beberapa (atau lebih baik, baik) pengetahuan tentang infrastruktur, jaringan, administrasi Windows dan Linux, dan pemrograman. Anda membutuhkan perendaman yang dalam di beberapa area, dan pada saat yang sama bisa istirahat. Artinya, ambang masuk yang lebih rendah dalam uji penetrasi lebih rendah, tetapi menjadi senior atau lebih tinggi lebih sulit.
Agar tidak terjebak pada anak tangga pertama, Anda perlu memulainya dengan mempelajari hal-hal yang fundamental. Pemrograman, jaringan, teknologi secara umum - bagaimana OS, jaringan diatur, bagaimana layanan modern digunakan, bagaimana berbagai serangan terkenal bekerja dalam bahasa pemrograman yang berbeda, bagaimana mempertahankannya. Ada banyak hal, tetapi semua ini adalah hal mendasar yang perlu Anda ketahui untuk maju.
T: Apakah serangan terhadap wifi Evil Twin nyata sekarang, atau apakah perusahaan memiliki otorisasi melalui server RADIUS?
Sejujurnya, saya tidak bisa memberikan jawaban ahli tanpa statistik. Saya pikir itu berbeda untuk setiap orang; mungkin ada banyak tempat di mana Evil Twin bekerja dengan baik.
T: Apakah Anda menggunakan metode dan pendekatan NIST, OSSTMM, OSINT, OWASP, dll dalam pekerjaan Anda, dan mana yang dapat Anda soroti?
OSINT sebenarnya bukan teknik, itu hanya kecerdasan sumber terbuka. OWASP umumnya adalah sebuah organisasi, tetapi organisasi ini memiliki metodologi untuk menguji aplikasi web, aplikasi seluler, dan kami mengikutinya; setidaknya dalam semangat, tidak melakukan setiap daftar periksa dengan kutu - mereka bisa sangat kontroversial. Kami mengikuti metodologi OSSTMM; menurut saya, dalam OSSTMMlah langkah-langkah eksplorasi, pemindaian, eksploitasi, pasca-eksploitasi, pengupasan ditetapkan - maksud utama dari metodologi ini adalah bahwa langkah-langkah tersebut harus diterapkan, tetapi kemudian berlanjut ke lebih detail.
Singkatnya, ya, tapi tidak secara harfiah. Kami mengikuti semangat metodologi ini.
T: Apa yang ditanyakan dalam wawancara?
Berbeda. Tergantung pada posisi mana yang Anda tuju. Seringkali ada pola pertanyaan seperti ini. Mereka menggambarkan situasi kepada Anda - misalnya, mereka berkata: Anda mendapatkan eksekusi kode di server Linux dari luar, Anda berhasil melewati batas, merusak server web, Anda berada di dalam, tindakan apa yang harus Anda ambil selanjutnya? Atau - Anda sampai di tempat kerja karyawan, apa langkah selanjutnya? Atau - Anda menemukan kerentanan dalam skrip lintas situs di beberapa halaman, kebijakan keamanan konten diterapkan dengan parameter ini dan itu, bagaimana Anda akan melewatinya? Biasanya ada pertanyaan seperti ini.
T: Berapa ambang batas untuk memasuki bug bounty, dan apakah benar-benar mungkin untuk hidup hanya di situ?
Bug bounty adalah hadiah untuk kesalahan. Program di mana perusahaan memberikan uang kepada orang-orang yang melaporkan kerentanan dalam sistem perusahaan tersebut. Seperti crowdsourcing dari pentest, ketika itu dilakukan bukan atas kesepakatan antara dua perusahaan, tetapi melalui penawaran umum. Ini untuk mereka yang belum tahu.
Faktanya, bug bounty adalah hal yang berkembang. Ada tempat-tempat besar dengan banyak program. Ambang batas masuk untuk berpartisipasi dalam bug bounty untuk pentester rendah dan tinggi. Rendah dalam arti bahwa ada begitu banyak program dan sumber daya bug bounty yang dapat dipecahkan sehingga Anda dapat menemukan beberapa kerentanan sederhana. Belum tentu rumit. Tetapi, di sisi lain, Anda dapat menemukan beberapa program, di mana Anda telah menemukan semua bug sederhana, dan menghabiskan dua bulan untuk menggali di dalamnya tanpa menemukan apa pun. Ini sangat mendemotivasi. Oleh karena itu, sering terjadi orang mencoba sendiri di bidang ini, dan mereka tidak beruntung - mereka mencoba sesuatu yang sulit dan tidak menemukan kerentanan.
Secara umum, ada banyak orang bug bounty yang menghasilkan banyak uang tanpa memiliki keunikan dan pengetahuan yang luar biasa. Entah mereka beruntung beberapa kali, atau mereka memahami trik bug bounty dan belajar bagaimana menemukan program dan sumber daya yang mengandung kerentanan sederhana. Seringkali juga terjadi bahwa seseorang menemukan semacam kerentanan pada suatu sumber daya dan kemudian menyadari bahwa kerentanan itu sebenarnya sangat luas, dan dengan cara yang sama lebih banyak perusahaan dapat dirusak dengan menghasilkan uang. Apakah realistis untuk hidup hanya dengan bug bounty - ya, bahkan ada jutawan yang menghasilkan ratusan ribu dolar setahun hanya dari bug bounty. Mereka sedikit; kebanyakan, tentu saja, berpenghasilan sedikit. Tetapi ada lapisan orang yang cukup besar yang berpenghasilan setidaknya puluhan ribu setahun. Artinya, bukan hanya sedikit dan puluhan orang, tetapi ratusan.
T: Beri tahu kami tentang versi Metasploit. Saya dengar ada beberapa, dan di antaranya ada yang berbayar. Apa bedanya?
Saya pikir Anda dapat pergi ke situs versi berbayar dan membaca apa bedanya. Saya sudah lama tidak menggunakan Metasploit pro, tetapi setidaknya ada antarmuka web. Inilah salah satu perbedaannya; Saya tidak akan langsung mengatakan apa perbedaan mendasar lainnya yang ada di sana. Mungkin ada beberapa modul lain.
Saya berpikir untuk memberi tahu Anda tentang kerentanan yang paling umum. Faktanya, banyak perusahaan melakukan pentest sepanjang tahun dan menghitung jumlah jenis kerentanan yang berbeda untuk merangkum statistik untuk tahun tersebut. Saya tidak mengecewakan statistik tersebut, tetapi jika kita berbicara tentang perasaan dan hal-hal paling sederhana yang ditemukan, kerentanan paling sederhana dan efektif dalam infrastruktur yang membawa banyak manfaat bagi penyerang adalah kebijakan sandi yang lemah. Serangan brute force banal adalah momok infrastruktur. Jika perusahaan mempekerjakan setidaknya 500 orang, maka cukup banyak dari mereka yang tidak terlalu paham teknologi. Setidaknya salah satu dari mereka biasanya dapat memaksa kata sandi secara brute force. Ini berfungsi sangat keren ketika kebijakan kata sandi diterapkan di perusahaan, yang memaksa, misalnya, memiliki kata sandi,mengandung huruf kapital, huruf kecil dan angka, minimal 8 karakter, dan diganti setiap tiga bulan atau satu bulan. Ini mengarah pada hasil yang buruk. Jika seseorang dipaksa melakukan ini, maka dia tidak dapat mengingat kata sandinya. Jika dia tidak menggunakan pengelola kata sandi dengan kata sandi acak, terkadang dia hanya menulis bulan ini dengan huruf kapital (seperti "Desember2020"). Faktanya, ini sangat umum di semua infrastruktur perusahaan biasa - bayangkan Active Directory, ratusan karyawan dengan Windows di komputer mereka. Anda hanya dapat mengambil bulan dan tahun saat ini atau terakhir, memeriksa semua akun - seseorang akan rusak. Serangan yang sangat kuat.maka dia tidak dapat mengingat kata sandinya. Jika dia tidak menggunakan pengelola kata sandi dengan kata sandi acak, terkadang dia hanya menulis bulan ini dengan huruf kapital (seperti "Desember2020"). Faktanya, ini sangat umum di semua infrastruktur perusahaan biasa - bayangkan Active Directory, ratusan karyawan dengan Windows di komputer mereka. Anda hanya dapat mengambil bulan dan tahun saat ini atau terakhir, memeriksa semua akun - seseorang akan rusak. Serangan yang sangat kuat.maka dia tidak dapat mengingat kata sandinya. Jika dia tidak menggunakan pengelola kata sandi dengan kata sandi acak, terkadang dia hanya menulis bulan ini dengan huruf kapital (seperti "Desember2020"). Faktanya, ini sangat umum di semua infrastruktur perusahaan biasa - bayangkan Active Directory, ratusan karyawan dengan Windows di komputer mereka. Anda hanya dapat mengambil bulan dan tahun saat ini atau terakhir, memeriksa semua akun - seseorang akan rusak. Serangan yang sangat kuat.memeriksa semua akun - seseorang akan rusak. Serangan yang sangat kuat.memeriksa semua akun - seseorang akan rusak. Serangan yang sangat kuat.
Jika kita berbicara tentang layanan web, maka serangan paling sederhana adalah melewati otorisasi dan mengakses data dari klien lain. Serangan itu terdiri dari fakta bahwa Anda mengambil permintaan ke aplikasi web, yang memberikan, misalnya, rekening koran Anda dengan nomor rekening. Di tautan atau dalam permintaan ke situs, nomor akun, numerik, dikirimkan, sebagai tanggapan, file PDF dengan pernyataan itu dikeluarkan. Anda mengubah nomor rekening Anda menjadi nomor rekening orang lain, dan Anda mendapatkan laporan mutasi orang lain.
Kerentanan ini disebut "referensi objek langsung yang tidak aman" - referensi objek langsung yang tidak aman. Dalam layanan modern, ini adalah kerentanan yang paling umum, menurut pengamatan saya. Kerentanan yang lebih klasik yang telah lazim di masa lalu - seperti injeksi SQL dan skrip lintas situs - kurang umum dalam layanan yang ditulis menggunakan kerangka kerja modern. Terutama injeksi SQL. Tetapi kesalahan logis muncul, karena kerangka kerja tidak menyimpannya. Pengembang sendiri harus berpikir tentang bagaimana melindungi dirinya sendiri, bagaimana menerapkan model peran dan membatasi akses ke objek.
T: Anda berbicara tentang gradasi gradasi tertentu dalam sistem, dapatkah Anda memberikan contoh kerentanan yang sederhana, sedang, dan kompleks?
Saya tidak ingat dalam konteks apa saya berbicara tentang ini, jujur saja. Saya baru saja mengatakan bahwa kerentanan sederhana adalah kerentanan yang mudah ditemukan dan mudah dieksploitasi. Mungkin, parameter ini dapat digunakan untuk mengkarakterisasi kompleksitas kerentanan - kompleksitas pencarian dan kompleksitas eksploitasi. Mungkin sulit untuk menemukannya - misalnya, ini adalah semacam kerentanan logis yang rumit, untuk eksploitasinya Anda perlu memahami logika layanan dan interaksi berbagai komponen, tetapi pada saat yang sama, operasinya adalah sederhana: Anda hanya perlu mengirim beberapa permintaan. Atau, misalnya, sulit untuk menemukannya, karena Anda diberi sumber 100 MB dengan sejuta baris kode - duduk, baca.
Menemukan kerentanan dalam 100 MB tersebut bisa jadi sulit - tetapi mudah untuk dieksploitasi. Atau sebaliknya - sulit untuk dieksploitasi karena beberapa batasan, karena firewall. Tetapi dalam laporan pentest tidak ada gradasi "sederhana-kompleks": ada gradasi menurut kekritisan. Kekritisan terdiri dari tingkat risiko - yaitu, tingkat kerusakan - dan kemungkinan eksploitasi. Probabilitas, meskipun, hampir sama dengan kompleksitas. Jika kami membutuhkan banyak waktu dan keterampilan penguji penetrasi senior untuk menemukan kerentanan, maka kami dapat memperkirakan kemungkinan eksploitasi serendah mungkin. Kami menemukannya dalam tiga minggu penggalian, sementara yang lain mungkin tidak menemukannya sama sekali. Namun, kerusakan dari kerentanan ini bisa jadi tinggi. Dengan menggabungkan indikator seperti itu, kita mendapatkan tingkat risiko "rata-rata".
Laporan Pentest memiliki template yang cukup standar. Ada bagian pengantar di mana secara sederhana dijelaskan apa yang telah kami uji dan mengapa, model penyusup mana - akses eksternal atau internal, apakah dia memiliki akun atau tidak. Kemudian ada ringkasan, yang secara singkat menjelaskan hasilnya: kerentanan apa yang ditemukan, tingkat keamanan apa - semuanya buruk atau semuanya baik. Setiap kerentanan dideskripsikan, didemonstrasikan dengan tangkapan layar, dan kode diberikan kepada pengembang perusahaan untuk memahami segalanya. Dan rekomendasi diberikan. Ini juga memberikan penilaian tentang kemungkinan dan tingkat kerusakan.
T: Berapa banyak Windows 7 yang belum ditambal dengan ms17-010 di sektor korporat yang Anda temui selama uji penetrasi?
Ada. Biasanya bukan di domain, kok. Tidak terlalu banyak.
T: Bagaimana Anda tahu kapan waktunya untuk wawancara? Bagaimana Anda akan menonjol dari kandidat lain? (mungkin pengetahuan tentang bahasa pemrograman atau akun di situs seperti HackTheBox)
Saya akan memasukkan lebih banyak akun di situs. Jika, tentu saja, Anda dengan jujur menyelesaikan masalah di sana. Jika tidak adil, maka tidak akan ada pengetahuan, dan Anda juga tidak akan lulus wawancara.
Secara umum tentu ada juga sertifikasi. Mereka tidak benar-benar menunjukkan apa-apa, tetapi mereka membantu melewati filter HR dan menerobos.
T: Dapatkah Anda memberikan panduan tentang literatur dan sumber daya untuk meletakkan dasar?
Ya, bagaimanapun, dalam format yang tidak terlalu nyaman.
Tautan disediakan oleh Omar
:
docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=0
:
blog.deteact.com/ru
blog.orange.tw
swarm.ptsecurity.com
malicious.link/post
adsecurity.org
posts.specterops.io/archive
:
portswigger.net/web-security
www.hackthebox.eu
overthewire.org/wargames
ctftime.org
:
.
Web Application Hacker's Handbook
The Tangled Web
docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=0
:
blog.deteact.com/ru
blog.orange.tw
swarm.ptsecurity.com
malicious.link/post
adsecurity.org
posts.specterops.io/archive
:
portswigger.net/web-security
www.hackthebox.eu
overthewire.org/wargames
ctftime.org
:
.
Web Application Hacker's Handbook
The Tangled Web
Tetapi sekarang tidak ada kekurangan literatur - kesulitannya, sebaliknya, adalah memilih dari banyak bahan yang cocok untuk Anda. Google "kursus pentest" - akan ada banyak hal sekaligus. HackTheBox sangat bagus; Saya tidak memutuskan apa-apa, tapi saya punya ide. Saya pikir banyak keterampilan yang bisa dipelajari di sana.
T: Apa bahasa pemrograman lain yang layak dipelajari selain Python dan Bash?
Bash mungkin benar-benar perlu dilakukan. Omong-omong, ada situs OverTheWireBandit yang bagus tempat Anda dapat berlatih Bash dengan baik. Jadi - hanya satu bahasa, yang Anda cukup ketahui untuk menyelesaikan tugas. Tentu saja, ada tugas yang tidak cocok dengan Python - misalnya, jika Anda perlu mengumpulkan data dengan cepat dari banyak host di seluruh Internet. Tetapi untuk sebagian besar tugas, itu akan berhasil. Namun, semakin banyak bahasa yang Anda ketahui - setidaknya pada tingkat pemahaman paradigma dan sintaks membaca - semakin baik. Selama pengujian penetrasi dan audit, Anda akan menemukan tumpukan dan aplikasi berbeda yang ditulis dalam bahasa berbeda - Anda harus dapat memahami cara kerjanya. Selain itu, meskipun Anda tidak mengaudit sumber perangkat lunak sama sekali - Anda hanya berurusan dengan infrastruktur - Anda masih perlu mengetahui bahasa yang berbeda.Banyak alat tidak ditulis dengan Python. Jika alat tidak bekerja dengan baik, Anda mungkin harus memahaminya, membaca kodenya, menambalnya. Katakanlah pada infrastruktur Windows sebagian besar C #.
T: Sertifikat apa yang paling banyak diminta untuk redtim, selain OSCP?
Tepatnya untuk Redtim? Ada sertifikat yang disebut - Certified Redream Professional, Certified Redteam Expert, Pentester Academy. Tapi mereka tidak banyak diminati, mereka hanya ada. Saya kesulitan menjawab mana yang benar-benar laris. Permintaan dihitung dengan berapa banyak pengusaha memasukkan mereka dalam persyaratan lowongan, dan berapa banyak pelanggan - dalam persyaratan tender. Seringkali karyawan kontraktor diharuskan memiliki sertifikat - dan paling sering OSCP atau CEH - sertifikat lama, bahkan lebih teoritis daripada praktis.
T: Apakah Anda membutuhkan keterampilan mendekompilasi di pentest?
Untuk beberapa hal, ya. Terutama jika Anda bekerja dengan keamanan aplikasi, dalam analisis keamanan aplikasi. Itu mungkin berguna. Tetapi paling sering - dengan aplikasi seluler: bagi mereka Anda mungkin tidak diberi kode sumber, tetapi Anda akan memiliki aplikasi itu sendiri, dan Anda akan mendekompilasinya, merekayasa baliknya.
Secara umum, jika Anda bertanya tentang "apakah Anda membutuhkan keterampilan" - yah, tentang keterampilan apa pun, Anda dapat mengatakan bahwa itu berguna. Tetapi tidak mungkin untuk mengetahui segalanya secara mutlak. Mengetahui banyak hal itu bagus, tetapi Anda masih perlu memahami spesialisasi Anda, memahami apa yang dapat Anda lakukan dengan lebih baik. Bahkan di dalam aplikasi web, ada spesialisasi; ada spesialisasi berdasarkan industri - misalnya, seseorang mungkin mengetahui kerentanan layanan pembayaran. Tidak masalah di web atau tingkat logika keuangan; ada orang yang hanya terlibat dalam pengujian terminal pembayaran, perbankan Internet, perolehan kartu, dan sebagainya. Tampaknya ini semua - satu area, tetapi sebenarnya ada hal yang sangat berbeda. Dan perangkat kerasnya bisa berbeda (kartu pintar, terminal), dan web, dan API, dan aplikasi seluler. Singkatnya, keterampilan apa pun bisa berguna, tetapi tidak wajib.Sangatlah penting untuk memiliki beberapa jenis keterampilan dan pengetahuan yang kritis.
Saya bisa menambahkan tentang biaya dan permintaan. Menurut perkiraan saya, ukuran pasar pengujian penetrasi Rusia adalah sekitar RUB 1-1,5 miliar. Ini saya hitung pada akhir 19. Artinya, persis seperti itulah jumlah yang dibelanjakan perusahaan Rusia untuk pentest. Tentu saja, perusahaan pentester bisa menjual jasanya ke luar negeri setidaknya sedikit, jadi total market size akan sedikit lebih besar. Tentu saja, pasar pentest sangat terfragmentasi; ada banyak perusahaan kecil yang menghasilkan sedikit uang. Pelanggan cenderung mengganti penyedia uji penetrasi karena rotasi memberikan tampilan segar dan cakupan maksimum. Satu tim, misalnya, melewatkan satu kerentanan, sementara yang lain akan menyadarinya, tetapi mungkin melewatkan yang lain. Karena itu, tidak ada monopoli penuh - bagi satu tim untuk duduk, dan pentest hanya membeli darinya.Mereka berubah setiap tahun.
T: Berapa jam Anda menyelesaikan ujian OSCP?
Saya tidak ingat, beberapa jam. Sejujurnya, saya lulus dua kali; pertama kali saya menyelesaikan semuanya pada siang hari, menulis laporan 80 halaman, tetapi tidak membaca persyaratannya. Ternyata diperlukan screenshot dengan format tertentu, dan laporan saya tidak diterima, jadi saya harus mengirimkannya lagi. Butuh waktu 5 jam untuk mengulang
tes ini Q: nasihati blogger berbahasa Rusia di bidang pentesting
Perusahaan kami memiliki blog. Benar, kami jarang menulis. Pada dasarnya, Anda perlu mengikuti orang di Twitter; kebanyakan pentester menulis dalam bahasa Inggris, termasuk pentester berbahasa Rusia. Kami mencoba menggandakan - kami menulis dalam bahasa Rusia dan bahasa Inggris. Saya mendapatkan informasi dari Twitter - Saya berlangganan ke orang-orang menarik yang, cepat atau lambat, akan memposting ulang semua yang menarik, jadi Anda tidak dapat mengikuti blog secara spesifik, tetapi mendapatkan semuanya melalui Twitter. Atau melalui saluran Telegram. Tidak ada blogger berbahasa Rusia, menurut saya.
T: Bagaimana kemungkinan Administrator Linux / Jaringan masuk ke Pentest?
Jalan langsung ke uji penetrasi infrastruktur. Seharusnya cukup mudah untuk masuk jika administrator memiliki pemahaman yang baik tentang jaringan dan Linux. Satu-satunya hal adalah bahwa jalannya akan lebih pendek jika itu adalah administrator Windows; jaringan perusahaan biasanya Windows. Tapi tidak apa-apa, itu latar belakang yang bagus.
Sebenarnya, saya memiliki pelat Google tempat saya menulis serangkaian pengetahuan untuk berbagai spesialisasi dan tingkat penguji penetrasi. Magang, Junior, Menengah, Senior, Web dan Infrastruktur. Mungkin, tautannya bisa disisipkan; itu akan di Habré, jika ada posting terakhir. Ini adalah persyaratan subjektif saya, tetapi saya mengubahnya sedikit berdasarkan umpan balik dari orang-orang yang memberikan komentar dan saran serta menambahkan sesuatu. Oleh karena itu, kita dapat menganggapnya plus atau minus cukup dan fokus pada mereka. Ada sertifikasi terdaftar, dan bahkan tingkat gaji di pasar, dan arahan untuk pengembangan.
T: Betapa indahnya melepaskan diri dari pertanyaan dari pelanggan, yang dapat dia tanyakan selama tes penetrasi - "Nah, apakah Anda menemukan sesuatu?"
Mengapa menjauh dari pertanyaan itu? Menjawab. Jika Anda belum menemukan apa pun, Anda belum menemukannya. Cepat atau lambat, Anda harus menjawab pertanyaan ini dalam laporan. Oleh karena itu, wajar jika Anda ditanyai seminggu setelah mulai bekerja dan Anda menjawab tidak menemukannya.
Q: Dimana mencari lowongan di pentester? Sangat sedikit di hh.
Ya, Headhunter tidak punya banyak. Biasanya setiap orang mencari satu sama lain melalui kenalan, jadi, mungkin, Anda hanya perlu berkomunikasi dengan orang lain. Anda dapat memposting resume Anda - mungkin dalam mode ini akan ada lebih banyak perhatian. Anda juga dapat mencari pekerjaan di LinkedIn. Dan ada juga saluran Telegram tempat lowongan diposting
Q: apa pendapat Anda tentang tryhackme?
Saya tidak tahu satu pun. Sekarang ada banyak situs, di web saya akan merekomendasikan Portswigger Academy untuk memutuskan. Portswigger adalah perusahaan di balik Burp.
Q: pentest dan remote control. Apakah itu nyata Atau, karena spesifik pekerjaan, mereka mencoba merekrut ke kantor?
Betulkah. Nah, sekarang semua orang bekerja dari jarak jauh, bahkan perusahaan besar. Jelas bahwa jika Anda mempertimbangkan opsi jarak jauh murni, maka mungkin ada kesulitan. Ada juga format seperti Anda pertama kali datang ke kantor untuk bekerja, selama sebulan, misalnya, dan kemudian dari jarak jauh.
T: Apakah ada database publik atau daftar kerentanan umum yang dapat dipelajari? Atau sejenis buku?
Ya, misalnya, OWASP Top 10. Ini adalah hal yang kontroversial, tetapi ini adalah 10 kerentanan teratas dalam aplikasi web. Ada juga CWE (Common Weakness Enumeration) - upaya untuk mengklasifikasikan semua kerentanan, membaginya menjadi sistem hierarki. Anda dapat melihat ada contoh kerentanan tertentu. Direktori lain adalah CVE, ini hanya direktori kerentanan di berbagai perangkat lunak. Ada juga contoh nyata di sana, Anda dapat melihat dan memahami cara kerja eksploitasi.
T: Dapatkah Anda membaca sedikit tentang pelat spesifikasi Anda?
Format suaranya tentu saja aneh. Saya dapat berbagi layar. [layar tidak dibagikan] Saya pikir tautan ke dokumen akan ada di Habré. Dikatakan berapa banyak pengalaman (dalam tahun) yang dibutuhkan untuk setiap level; ini, tentu saja, subjektif - lebih tepatnya, sebagai titik acuan. Keterampilan dijelaskan, tanpa urutan tertentu. Gaji dan sertifikasi sesuai target. Dan jalur pertumbuhan - apa yang harus dilakukan untuk mencapai tingkat berikutnya. Misalnya, untuk pentester junior Anda membutuhkan sekitar satu tahun pengalaman - bekerja atau belajar; jika seseorang belum belajar selama setidaknya satu tahun - belum terlibat dalam TI atau pemrograman - dan segera mencoba untuk melakukan uji penetrasi, maka dia hampir tidak memiliki pengetahuan dan keterampilan. Persyaratan utama pada level ini adalah keakraban umum dengan metodologi pentest, pengetahuan tentang dasar-dasar teknologi, kemampuan untuk menggunakan Linux dan menulis skrip sederhana yang bekerja dengan jaringan (parser, misalnya),pengetahuan tentang ekspresi reguler, pengetahuan tentang protokol HTP, bekerja dengan alat - pemindai kerentanan dan Burp. Secara umum, membacanya, saya tidak akan mencantumkan semuanya.
Q: Apa yang harus dilakukan jika hampir semua lowongan membutuhkan pengalaman minimal 2 tahun? Menempel Bug Bounty dan HackTheBox, atau mencoba menerobos ke level yang tidak Anda cocokkan?
Itu buul. Mereka menuntut dan menuntut - pada kenyataannya, mereka akan melihat pada pengetahuan. Anda dapat menulis ke dalam "pengalaman" hanya bug bounty dan HackTheBox. Jika Anda benar-benar tidak sesuai dengan tingkat yang diperlukan dalam pengetahuan dan pemahaman, itu berarti Anda tidak sesuai. Tetapi kriteria formal untuk jumlah tahun pengalaman tidak begitu penting, menurut saya.
