Taggat med: GHIDRA

Guide till dig som funderar på att börja inom cybersäkerhet

Guide till dig som funderar på att börja inom cybersäkerhet

Denna guide gäller främst till dig som är intresserad av det mer tekniska området inom cybersäkerhet.

Läs på flertalet write-ups inom Bug Bounty och Capture-The-Flag (CTF) området. Kan rekommendera följande lista:

Försök även själv lösa CTF:er som är offline eller testa HackTheBox-utmaningar. För offline kan jag rekommendera Metasploitable2 eller vulnhub.com.

Kolla på verktyg som återfinnes på Github och testa dessa. Se om du saknar något och utveckla eller vidareutveckla något verktyg. Att ha något på github som du kan visa upp är otroligt värdefullt.

Att bli bra inom cybersäkerhet innebär som oftast att man måste känna till många olika områden och sedan välja att fördjupa sig inom ett område.

Jag är inte så mycket för certifieringar men om du ska titta på någon och ta så är det OSCP som gäller, för den är mest hands-on och någorlunda realistisk. Förvisso så har du inte den typen av tidspress och i riktiga situationer får du använda automatiserade verktyg. Certifieringar kan vara bra vid upphandlingar eller om ditt CV inte är så välfyllt ännu. Har inte själv tagit eller gått någon av SANS kurser, men GPEN är också väletablerd. Håll dig långt borta från CEH, jag har tagit den men hela upplägget kändes otroligt oseriöst.

Att utföra omvärldsbevakning och lägga tid på forskning och utveckling är vitalt, jag använder främst Twitter nuförtiden och LinkedIn till viss del. Förut så följde jag mängder med bloggar via RSS-flöden, men det gör jag inte längre.

Se vilka konferenser som går av staplen framöver och viktigt att säga när det gäller att åka på konferenser så kanske 1-2 föredrag är intressanta. Men underskatta inte heller det sociala som händer mellan föredragen och kvällarna.

Lär dig hur ett Windows AD fungerar och sätt upp en labb-miljö med en server och en klient. Testa att utföra olika attacker och ser hur de är möjliga. Börja ej med en fullt patchad server och klient, utan installera en server och klient som är något äldre. Testa sedan samma saker och verktyg mot en nyare version.

Konferenser jag gillar:

  • Infiltrate
  • Offensive Con
  • Blackhat Las Vegas eller Europe
  • Defcon, Las Vegas
  • Svenska konferenser såsom Sec-T och SecurityFest
  • CanSecWest

Det är också viktigt att kunna läsa kod och skriva minst ett språk. Spendera lite tid i IDA Pro eller Ghidra och lär dig hur program är uppbyggda och hur skadlig kod fungerar.

Att veta vilka spår man lämnar vid ett penetrationstest eller red-teaming uppdrag är viktigt, därför bör du också känna till OPSEC och IT-forensik. Lär dig minnesforensik, hårddiskforensik och nätverksforensik. Som bonus är det även bra att känna till forensik på mobiltelefoner.

Lär dig att läsa in en stor PCAP-fil och identifiera indikatorer på intrång. Lär dig hur volatility fungerar och hur du kan utläsa information från en minnesdump.

Viktigt är också att inte förlita sig på ett enda verktyg, så lär dig därför att använda olika verktyg för att uppnå samma mål. Skriv ner fördelar och nackdelar med verktygen som används. Exempelvis: Vad är skillnaderna mellan masscan och nmap?

Sist men inte minst måste jag nämna Kali Linux. Det är bra med ett operativsystem som har många färdiga verktyg installerade, men vad finns det för nackdelar? Jag saknar alltid massor av verktyg så har byggt en egen Kali dist där jag lägger till sådant som jag saknar, men nackdelen då blir storleken.

En till lista jag hittade via twitter som är värd att ta med för att lära sig:

Även är det bra att läsa på publika pen-test rapporter. Finns några Github-repon som listar ett gäng, såsom denna:

NSA släpper Reverse-Engineering verktyg

NSA släpper Reverse-Engineering verktyg

Uppdatering: Ghidra är nu släppt på https://ghidra-sre.org/

Amerikanska säkerhetsmyndigheten NSA avser att släppa verktyget GHIDRA som open-source under den årliga RSA-konferensen som går av stapeln i San Francisco under Mars månad.

Stöd mitt bloggande via Patreon 👊

GHIDRA är ett ramverk för att utföra Reverse-Engineering eller baklänges ingenjörskonst som det ibland kallas. Analysera binär kod exempelvis i syfte att undersöka skadlig kod eller ta sig in i system.

The GHIDRA platform includes all the features expected in high-end commercial tools, with new and expanded functionality NSA uniquely developed, and will be released for free public use at RSA.

Robert Joyce, NSA

Charlie Miller som tidigare jobbat på NSA kommenterade på Twitter att verktyget fanns för 13 år sedan då han jobbade på myndigheten:

Verktyget är skrivet i programspråket Java och påminner mycket om IDA Pro som är ett verktyg som jag spenderat en hel del tid med.

Information om GHIDRA har tidigare läckt via CIA Vault7-läckorna som återfinnes på Wikileaks.