beerflow
Inlägg: 64
Blev medlem: 14 feb 2015, 18:32

Re: Hur ni SERIÖST blir bra på IT-säkerhet

25 sep 2016, 20:18

Från wiki: https://sv.wikipedia.org/wiki/IT-s%C3%A4kerhet

IT-säkerhet ansvarar för att skydda en organisations (företags, myndighets, etc) värdefulla tillgångar som information, hårdvara och mjukvara. IT-säkerhet ingår som en beståndsdel i det totala säkerhetsramverket och liksom det totala ramverket skall hantera skydd mot allehanda hot och faror mot organisationen och dess verksamhet, det vill säga bland annat katastrofer, främmande makter och individer, medarbetare och dåligt utformad verksamhet, som av någon anledning kan skada organisationen. IT-säkerhet koncentrerar sig på hot och skydd förenade med användning av IT.

IT-säkerhet bygger på:

förståelsen om vilka tillgångar som finns inom organisationen och vad de är "värda" för organisationen och utomstående
förståelse om risker för dessa tillgångar (stöld, sabotage, spionage, naturkatastrof, mänskligt misstag, buggar i program)
medvetenhet inom organisationen
rätt säkerhetsorganisation det vill säga människor som arbetar med säkerhet
rätt procedurer och arbetssätt som tar höjd för säkerhetsproblematiken
rätt skalskydd för att förhindra att obehöriga, rent fysiskt, kan få tillträde till serverrum och dataterminaler
rätt verktyg och mekanismer (till exempel loggar, brandväggar, antivirus, intrångsupptäcktsystem (IDS))
avvikelssehantering, det vill säga rapportering av säkerhetsproblem och systematiskt arbete med åtgärder
regelbundna revisioner av IT-säkerhetssystemet (engelska: audit) av systemets effektivitet och ändamålsenlighet
Internationella standarder för IT-säkerhet är bland annat:

ISO/IEC 27001
ISO/IEC 17799
NIST SP 800
IETF Säkerhetsarkitektur, RFC 2196
Säkerhet, och IT-säkerhet handlar ofta om att förstå hotbilden, hantera sannolikheter för att utsättas för skada samt att balansera kostnader för motmedel för skydd mot värdet av det man skyddar.

En viktig del i IT-säkerhet är datasäkerheten som bland annat innebär att skydda sig mot hackare och virus eller stöld av information på en dator eller i ett datornätverk samt att ha arbetssätt så att informationen inte oavsiktligt förstörs.


Men här känns det som att ni tolkar IT-säkerhet = att vara bra på hacka...

En hackare skulle jag tolka till IT-säkerhetsspecialist, och här är man antingen en generalist eller så är du riktigt duktig på något specifikt område.

Det finns även IT-säkerhetsarkitekt: Du bygger upp och ansvarar för säkerhetsarkitekturen på bolaget, projektet, applikationen osv.

Att handlöst börja plugga böcker eller hacka leder dig till ett visst spår men det finns många vägar och roller att fylla. Personer som har lite mera erfarenhet borde nog prova på arkitektrollen och gå sig på aktuella utmaningar som "secure by design" och "privacy by design". Är du bra på detta område då kommer att vara riktigt eftertraktad, speciellt nu när alla börjar få lite panik inför den kommande GDPR direktivet.

/Arkitekter rules!

Arabies
Inlägg: 83
Blev medlem: 18 mar 2016, 09:42

Re: Hur ni SERIÖST blir bra på IT-säkerhet

25 sep 2016, 21:47

beerflow skrev:Men här känns det som att ni tolkar IT-säkerhet = att vara bra på hacka...

En hackare skulle jag tolka till IT-säkerhetsspecialist, och här är man antingen en generalist eller så är du riktigt duktig på något specifikt område.

Det finns även IT-säkerhetsarkitekt: Du bygger upp och ansvarar för säkerhetsarkitekturen på bolaget, projektet, applikationen osv.

Att handlöst börja plugga böcker eller hacka leder dig till ett visst spår men det finns många vägar och roller att fylla. Personer som har lite mera erfarenhet borde nog prova på arkitektrollen och gå sig på aktuella utmaningar som "secure by design" och "privacy by design". Är du bra på detta område då kommer att vara riktigt eftertraktad, speciellt nu när alla börjar få lite panik inför den kommande GDPR direktivet.

/Arkitekter rules!


Det handlar nog inte så mycket som att det görs en viss tolkning som att den här tråden har ett visst syfte. Förutom det skulle jag vilja påstå att man inte blir en duktig hacker utan att också vara en duktig säkerhetsarkitekt, och vice versa. Och nej, då menar jag inte att en person som är asgrym på att hacka webappar är en duktig hacker, för att förtjäna den titeln ska man vara asgrym på alla nivåer i en enterprisemiljö. Hela vägen från webappar till infrastruktur.

dillbulle
Inlägg: 7
Blev medlem: 17 sep 2016, 23:30

Re: Hur ni SERIÖST blir bra på IT-säkerhet

27 sep 2016, 20:13

Arabies skrev:Det handlar nog inte så mycket som att det görs en viss tolkning som att den här tråden har ett visst syfte. Förutom det skulle jag vilja påstå att man inte blir en duktig hacker utan att också vara en duktig säkerhetsarkitekt, och vice versa. Och nej, då menar jag inte att en person som är asgrym på att hacka webappar är en duktig hacker, för att förtjäna den titeln ska man vara asgrym på alla nivåer i en enterprisemiljö. Hela vägen från webappar till infrastruktur.

Ett intryck jag fått av säkerhetsbranchen är att folk som sysslar med att hitta sårbarheter i andras system ofta är rätt kassa på att bygga säkra system själva, men tror sig själva vara rätt bra på det (Dunning-Krüger effekten). Man struntar i designprinciper som principle of least privilege, defence in depth, KISS, verifierbarhet, kodstandarder och liknande för att få ihop en MVP/PoC för någonting, driftsätter det, sen ett par år senare kommer någon och tittar på koden och/eller arkitekturen och hittar genast stora sårbarheter, och system för spårbarhet saknas vilket kan mynna ut i "meh, det där såg säkert ingen, ta i trä".

Anekdotisk evidens, liten samplingsmängd, ... men det är mina två cent. Att sätta upp ett säkert system från färdiga eller in-house utvecklade komponenter är något man blir bra på av att göra just det under en längre tid, och folk från den röda sidan av säkerhet har ofta vissa bias som IMO gör risken större för dem att överskatta sin egen förmåga inom den blåa sidan av saker. Det går säkert åt båda hållen, att folk som bygger säkra system överskattar sin förmåga att hitta sårbarheter i sina egna och/eller andras system också.

Arabies
Inlägg: 83
Blev medlem: 18 mar 2016, 09:42

Re: Hur ni SERIÖST blir bra på IT-säkerhet

07 okt 2016, 12:41

dillbulle skrev:Ett intryck jag fått av säkerhetsbranchen är att folk som sysslar med att hitta sårbarheter i andras system ofta är rätt kassa på att bygga säkra system själva, men tror sig själva vara rätt bra på det (Dunning-Krüger effekten). Man struntar i designprinciper som principle of least privilege, defence in depth, KISS, verifierbarhet, kodstandarder och liknande för att få ihop en MVP/PoC för någonting, driftsätter det, sen ett par år senare kommer någon och tittar på koden och/eller arkitekturen och hittar genast stora sårbarheter, och system för spårbarhet saknas vilket kan mynna ut i "meh, det där såg säkert ingen, ta i trä".

Anekdotisk evidens, liten samplingsmängd, ... men det är mina två cent. Att sätta upp ett säkert system från färdiga eller in-house utvecklade komponenter är något man blir bra på av att göra just det under en längre tid, och folk från den röda sidan av säkerhet har ofta vissa bias som IMO gör risken större för dem att överskatta sin egen förmåga inom den blåa sidan av saker. Det går säkert åt båda hållen, att folk som bygger säkra system överskattar sin förmåga att hitta sårbarheter i sina egna och/eller andras system också.


Jag håller inte med, förutsatt att vi har samma definition av "duktig" för en hacker eller arkitekt. Det görs absolut många snabbhack, såväl av hackers som arkitekter, där allt vad säkerhet heter åker genom fönstret för att man ska kunna använda det direkt, men om någon låter en sådan lösning leva mer än en kort period är det inte de tekniska kunskaperna det är fel på, det beror på lathet och dumhet.

sh333p
Inlägg: 3
Blev medlem: 04 feb 2016, 11:31

Re: Hur ni SERIÖST blir bra på IT-säkerhet

09 okt 2016, 11:54

Arabies skrev:Alltså, kort sagt (och det är säkert jättetråkigt att höra) kommer du bli högst medioker på området om du blir skedmatad. En bra hacker, oavsett vad han är intresserad av, låter inte saker som brist på publik information vara ett hinder. Det du skriver tyder på en attityd som aldrig kommer funka. Sätt igång och hacka, läs böcker, bygg appar och hacka dem sedan. Kör igång bara, eller acceptera att du aldrig kommer bli särskilt bra.


Tyckte jag var tydlig i min förklaring men det var jag kanske inte. Så jag ska ge ett konkret exempel på vad jag menar. Men jag håller med dig om att givetvis kan man inte bli bra om andra gör allt grovjobb åt en, det säger sig själv.

BnegoXXX tråd för ethical hacking
viewtopic.php?f=21&t=2084

Om man förutsätter att jag som tittara inte kan nånting överhuvudtaget och följer hans videos så lär man sig en del (ganska enkelspårigt då det är hans sätt att göra saker, inte mitt) men om man snappar upp allt han säger längs vägen och googlar på det man inte förstår och alla tekniska detaljer man inte känner till så kommer man få oändligt mycket mer kunskap, som i sin tur gör att i efterhand så har jag själv tillräckligt för att veta vad jag ska leta efter för att lära mig mer.

Han har inte sagt till en vad man ska leta efter, men genom att titta på hans videos så är det bara en själv som sätter begränsningar på hur mycket man lär sig. Och det var lite så jag menade, jag kan inte googla och söka på saker jag inte "vet" existerar än.

Arabies
Inlägg: 83
Blev medlem: 18 mar 2016, 09:42

Re: Hur ni SERIÖST blir bra på IT-säkerhet

10 okt 2016, 11:04

sh333p skrev:Tyckte jag var tydlig i min förklaring men det var jag kanske inte. Så jag ska ge ett konkret exempel på vad jag menar. Men jag håller med dig om att givetvis kan man inte bli bra om andra gör allt grovjobb åt en, det säger sig själv.

BnegoXXX tråd för ethical hacking
viewtopic.php?f=21&t=2084

Om man förutsätter att jag som tittara inte kan nånting överhuvudtaget och följer hans videos så lär man sig en del (ganska enkelspårigt då det är hans sätt att göra saker, inte mitt) men om man snappar upp allt han säger längs vägen och googlar på det man inte förstår och alla tekniska detaljer man inte känner till så kommer man få oändligt mycket mer kunskap, som i sin tur gör att i efterhand så har jag själv tillräckligt för att veta vad jag ska leta efter för att lära mig mer.

Han har inte sagt till en vad man ska leta efter, men genom att titta på hans videos så är det bara en själv som sätter begränsningar på hur mycket man lär sig. Och det var lite så jag menade, jag kan inte googla och söka på saker jag inte "vet" existerar än.


Saker du inte vet existerar är inget du behöver bry dig om, dock, eftersom du inte stött på dem. Jag står fast vid att man med den inställning du har blir en högst medioker hacker.

sh333p
Inlägg: 3
Blev medlem: 04 feb 2016, 11:31

Re: Hur ni SERIÖST blir bra på IT-säkerhet

10 okt 2016, 15:02

Arabies skrev:Saker du inte vet existerar är inget du behöver bry dig om, dock, eftersom du inte stött på dem. Jag står fast vid att man med den inställning du har blir en högst medioker hacker.


Nähä? Så du menar alltså att innan du började hacka så visste du redan exakt hur allt fungerade? Skämtar du eller?
Den här tråden handlar om hur man blir bra på IT-säkerhet, och i de två posterna du skrivit riktat till mig har du inte kommit med ett enda konkret förslag på förbättring, du har bara varit nedvärderande med en översittarattityd som säger att du helt och hållet saknar förmågan att se saker ur nått annat perspektiv än ditt eget.

Vill du ge tips, varsågod, avser du bara att ha tråkig attityd, besvära dig inte att svara.

Mvh

Arabies
Inlägg: 83
Blev medlem: 18 mar 2016, 09:42

Re: Hur ni SERIÖST blir bra på IT-säkerhet

10 okt 2016, 17:19

sh333p skrev:Nähä? Så du menar alltså att innan du började hacka så visste du redan exakt hur allt fungerade? Skämtar du eller?
Den här tråden handlar om hur man blir bra på IT-säkerhet, och i de två posterna du skrivit riktat till mig har du inte kommit med ett enda konkret förslag på förbättring, du har bara varit nedvärderande med en översittarattityd som säger att du helt och hållet saknar förmågan att se saker ur nått annat perspektiv än ditt eget.

Vill du ge tips, varsågod, avser du bara att ha tråkig attityd, besvära dig inte att svara.

Mvh


Jag visste inte ett dugg om hur man gjorde, men korsade varje bro när jag nådde den genom att faktiskt lära mig hur den var uppbyggd snarare än att be om att bli matad med kunskap, som jag ändå inte skulle kunna applicera på något annat än just det scenario som målades upp.

Jag har gett dig det enda konkreta tips du behöver: sätt igång. Upptäck på egen hand, och be om hjälp när du stöter på ett faktiskt hinder. Jag tror att det som svider är att du likt en arme av 90-talister inte vill höra att utan ansträngning blir du inte bra på något.

strkl
Inlägg: 2
Blev medlem: 09 okt 2016, 16:37

Re: Hur ni SERIÖST blir bra på IT-säkerhet

06 nov 2016, 11:22

Hittade bästa Couten ""Dont learn to hack, Hack to learn""

ThePsychiatrist
Inlägg: 2
Blev medlem: 25 nov 2016, 10:37

Re: Hur ni SERIÖST blir bra på IT-säkerhet

25 nov 2016, 10:42

För de som vill lära sig "application security" såsom, sqli, xss and so on.. Kan använda sig av just tor för att lära sig. Finns gott om hemsidor som inte någon bryr sig om vad som händer med de. Så innan du "hackar" en hemsida "för att lära dig", så öva lite på tor först, genom att sätta upp dina program genom tor