Nasıl penetrasyon testçisi olunur: 2. Bölüm – ‘Sonsuz merak’ sayesinde ‘Bay Hacking’ John Jackson


Deniz Piyadeleri mühendisinden saldırı güvenliği uzmanına dönüşen kariyer tavsiyesi ve en iyi ve en kötü deneyimlerini sunuyor

John Jackson, kalem testçisi, Trustwave

john jackson beş yıldan daha az bir süredir siber güvenlik alanında çalışıyor, ancak halihazırda birçok önemli galibiyete sahip.

Deniz Piyadeleri’nde beş yıl mühendis olarak çalıştıktan sonra, geçen yıl Birleşmiş Milletler altyapısında 100.000’den fazla özel çalışan kaydını ifşa eden git dizinlerini ve kimlik bilgisi dosyalarını keşfeden beyaz şapkalı hacker topluluğu Sakura Samurai’yi kurdu.

Grup, kısa süre sonra Hindistan hükümeti içindeki kişisel kayıtlara, polis raporlarına ve diğer son derece hassas verilere erişmelerine olanak tanıyan güvenlik açıklarının yanı sıra oturum hırsızlığı ve finansla ilgili hükümet sistemlerinde keyfi kod yürütme kusurlarını kamuya açıkladı.

Jackson’ın diğer önemli başarıları arasında, Talkspace akıl sağlığı uygulamasında bir güvenlik açığının keşfi ve Çin yapımı TCL marka televizyonlarda iki ciddi hata yer alıyor.

Kalem testi uzmanı olma konulu iki bölümlük uzun metrajlı yazımızın ilk bölümünün devamında, şu anda Trustwave’de kıdemli saldırı güvenliği danışmanı olan Jackson’a başarıları, kalem testi sevgisi ve gelecekte sahip olunabilecek beceriler hakkında sorular sorduk. penetrasyon testçilerinin başarılı olması gerekir.

Daily Swig: Kalem testine nasıl girdiniz?

John Jackson: Benim hikayem biraz geleneksel değil. Bir bilgisayar delisi olarak büyümedim. Aslında CU Denver’da felsefe fakültesine gidiyordum ki bir işe alım görevlisinden bir telefon aldım ve bana hey, bilgisayar korsanı olmak ister misin diye sordu.

Bir eğitim kampından geçtim ve sertifikalı etik hacker seviyesine geldiğimde aslında sınıf üyelerinin öğrenmesine yardımcı oluyordum çünkü kendi başıma o kadar çok bireysel çalışma yapmıştım ki çok heyecanlıydım.

TEKsystems tarafından başlangıçta bir siber güvenlik mühendisi olarak Staples için çalışmak üzere yüklenici olarak işe alındım ve oradaki ilk altı aydan sonra beni uç nokta tespit yanıtına geçirdiler. Shutterstock için uygulama güvenlik mühendisinden kıdemli uygulama güvenlik mühendisine geçtim ve ardından Trustwave’e geçtim.

Hala kendi zamanımda etik hacking yapıyordum ve o zamanlar Sakura Samurai adında bir grup kurmuştum.

KAÇIRMAYIN Nasıl kalem testçisi olunur: 1. Bölüm – saldırgan güvenlik testine giden yolunuz

DS: Penetrasyon testine girmenin en iyi yolu nedir?

JJ: Doğrusal bir yol yok. Ben işin içine girince onlar [the industry] şu anki kadar çok sertifikaları yoktu ve aynı zamanda çok fazla materyalleri de yoktu ama bugünlerde Hack the Box gibi iyi bir giriş yolu olabilecek şeyleri var.

Bence sizi iyi bir bilgisayar korsanı yapan kesin bir beceri yok – bu bir beceriden çok bir zihniyettir. Bitmeyen meraktır.

Boş zamanınızın çoğunu öğrenmeye harcamayı seven bir insan değilseniz, o zaman bu sizin için en iyi alan değildir, çünkü her zaman gelişmeniz gerekecek ve eğer değilseniz gelişmek çok zordur. sürekli öğrenme ve çoğu zaman kendi zamanınızda.

DS: İşinizle ilgili en sevdiğiniz şeyler neler?

JJ: En sevdiğim şeylerden biri, pek çok farklı şeyi hackleme yeteneğidir. ATM korsanlığı yaptım, kimlik avı ve sosyal mühendislik yaptım ve sonra kapsamın çok daha geniş olduğu ve gelişmiş kalıcı tehdide öykündüğünüz için kuruluşları nasıl hackleyeceğiniz konusunda çok daha fazla kontrole sahip olduğunuz kırmızı takıma geçtim. aktörler.

Kalem testi harika çünkü her zaman öğreniyorum – gerçekten devam etmemi sağlıyor ve beynimi zinde tutuyor. Her gün yeni olduğu için sıkılmam.

DS: Ya en kötüsü?

JJ: Pek çok teknik olmayan kişi bazen, kalem testleri ve kırmızı ekiplerin kurulması ve düzenlenmesine dahil olur ve bazen değerlendirmelerin kapsamını yetersiz görürler ve kalem testi için çok hazır bir yaklaşım benimserler.

Bunun dahil olan herkes için kötü olduğunu düşünüyorum – kalem test edenler için kötü çünkü yapabilecekleriniz ve yapamayacaklarınız çok dar bir kapsamla sınırlısınız ve güvenlik için kötü çünkü gerçekte gerçekçi değil. Suçlu bir bilgisayar korsanı durup “biliyor musun, bu alan adı kapsam dışında, bu teknoloji kapsam dışında, bununla uğraşmayacağım” demeyecek.

Pen test cihazları son derece tekniktir ve bazen daha satışla ilgili veya C düzeyindeki insanlarla uğraşırsınız ve bunun neden önemli olduğunu açıklamanız gerekir ve bu zor olabilir.

MUTLAKA OKUYUN Siber güvenlik alanında bir kariyer başlatmak için kaba bir rehber

DS: Şimdiye kadar üzerinde çalıştığın en eğlenceli proje hangisiydi?

JJ: Sanırım en sevdiğim proje, kapsamı hemen hemen her şeyi olan kırmızı bir ekip isteyen bir bankaydı. Bu çok eğlenceliydi çünkü alışılmışın dışında düşünmek zorunda olduğum uzmanlığı kullanmam ve şirketlerini kötüye kullanmak için kendi platformlarından bazılarını kullanmam gerekiyordu.

Şu ya da bu hizmetin kötüye kullanıldığını görmeyi beklemedikleri için şaşkına döndüler, bu yüzden bunu yapmaktan gurur duydum. [It felt like] sonunda birisi bu alışılmışın dışında düşünmeyi takdir ediyor.

Red teaming, penetrasyon testi, siber güvenlik, bilgi güvenliği‘Kırmızı ekip oluşturma’ size ‘APT’leri taklit ettiğiniz için’ kuruluşları nasıl hackleyeceğiniz konusunda çok daha fazla kontrol sağlar’

DS: Ve en ciddisi?

JJ: BM ile, grubum Sakura Samurai ile GitHub kimlik bilgilerini bulduk. Kuruluşun dahili GitHub kodunu indirmek için GitHub kimlik bilgilerini kullandık ve ardından kodu inceleyerek 100.000 satırdan fazla çalışan bilgisi bulduk. Bu çılgıncaydı. Bu kesinlikle oldukça korkutucuydu.

Hindistan hükümetinin hacklemesi de çılgıncaydı – bu başka bir seviyedeydi. Kimlik bilgileri, uzaktan kod çalıştırma gibi birçok güvenlik açığı bulduk. İçeri giriyorduk ve onlara çok kapsamlı bir rapor verdik ve aslında bunu DC3 ile koordine ettik. [Department of Defense Cyber Crime Center] ifşa etmemize yardımcı olmak için, çünkü ne kadar bulduğumuz konusunda çok endişeliydik.

DS: Böcek ödülleri hakkında ne düşünüyorsunuz?

JJ: çok şikayetim var [about] böcek ödülü [programs], en büyüğü, bu hataları gönderdiğinizde gizlilik anlaşmaları imzalamanız gerektiğidir ve bazen bu ahlaki bir çelişkidir çünkü gerçekten kötü şeyler keşfedersiniz. Kariyerimin yarısında mavi bir takım oyuncusuydum, bu yüzden böcek ödül programlarında bu tür hataları bulduğumda bu sinir bozucu çünkü bunu halletmeleri gerektiği gibi halletmeyeceklerini biliyorum, deneyecekler ve bunu halının altına süpür.

Güvenlik açığı açıklama programlarına yöneldim çünkü onlara düzeltmeleri için zaman veriyorsunuz ve ardından bulduğunuz hatayı ifşa edebiliyorsunuz. Bence tüm bilgisayar korsanları bir güvenlik açığı açıklamasını denemeli çünkü bu size gerçekten bir çok şeyi aynı anda hackleme ve ardından süreci tamamlama şansı veriyor.

Kalem testi endüstrisinden en son haberleri okuyun

DS: Şu anda ne üzerinde çalışıyorsun?

JJ: Şu anda başka bir kırmızı takım anlaşması üzerinde çalışıyorum. Dahili aşamadayız, yani sadece organizasyonun içinde olma ve neleri yapıp neyi yapamayacağımızı, ne kadar ileri gidebileceğimizi görmek için güvenlik açıklarını arama aşamasındayız.

Her zaman heyecan verici. Bunu yapmayı seviyorum, çünkü bu gerçekten bilgisayar korsanlığının pek çok unsurunu birleştiriyor – ağ korsanlığı, web korsanlığı ve ardından insanlar ne tür teknolojiler kullanıyor ve bunu dahili olarak nasıl kötüye kullanabilirsiniz?

Kayıtlı olarak söyleyebileceğim iyi bir örnek, çok açık olduğu için Office 365’tir, daha fazla parola almak veya kuruluşa erişim sağlamak için Microsoft ürünlerini kullanır, yani şu anda uğraştığım şey bu.

DS: Kalem testi hangi kariyerlere yol açabilir?

JJ: Kesinlikle farklı bir kalem testi biçimi olan kırmızı takıma daha çok geçtim. Ama benim için kırmızı takım oluşturma ve pen testinin çizginin sonu olduğunu söyleyebilirim.

Tüm hayatınızı kesinlikle bir kalem testçisi olarak geçirebilirsiniz, ancak bence farklı müşteri ortamlarındaki pek çok insan, kalem testçilerinin daha fazla tehdit öykünmesi yapmasını isteme modeline geçti – “kredi kartı verilerimizi çalmak” gibi belirli hedefler. çalışan hesaplarımızı çalmak’.

Gerçek şu ki, sadece sonsuz ve her zaman arzu edebileceğiniz daha büyük bir şey var. Öyleyse, eğer bir kalem testçisiyseniz, belki [the next step is] Kıdemli kalem testçisi, eğer kıdemli kalem testçisiyseniz, belki de saldırı güvenlik danışmanına gidip kırmızı takıma geçmeniz gerekir. Bence kırmızı takıma geçmek birçok insan için nihai hedef.

ŞUNLAR DA HOŞUNUZA GİDEBİLİR Nasıl CISO olunur – Kurumsal güvenlik merdiveninin tepesine tırmanma rehberiniz





Source link