Rotkäppchen und Klettern jenseits der Wolke (Wie man ein Hacker wird)

(Di Fabrizio Colalongo)
14/12/20

"Es war einmal die reale Welt ..." In hundert Jahren mit dieser Prämisse werden wir ein Märchen erzählen, um unsere Ururenkel ins Bett zu bringen. Wir werden zunächst über ein süßes kleines Mädchen sprechen, dem ihre Großmutter einen roten Samtumhang gab, den sie trug, um zum Computer zu gehen, bevor sie den betrat Cloud Restaurants Cyber-Domain. Rotkäppchen wollte eins werden Hacker...

„Wie jeder ihrer Rassen war sie eine gemischte Rasse: halb Maschine und halb Nerd. Sie hatte kein soziales Leben und tat alles selbst, sie verstand die Zahlen, die oben auf den Bildschirmen auftauchten, sie trug immer Kapuzen und wurde geboren, weil sie alles wusste. ".

Ausgehend von Klischees und Trivialisierungen wird diese Fabel unseren Kleinen jene Werte beibringen, die sie in verantwortungsbewusste Erwachsene verwandeln. Aber dann werden die Kinder erwachsen und stellen sich Fragen, die wir auf eine Weise beantworten müssen, die einfach zu verstehen, aber umfassend genug ist, um peinliche Einsichten zu vermeiden.

Und dann wird der Kleine mit seiner Zunge aus den Löchern der Milchzähne fragen: "Ur-Ur-Großvater, was sind Hacker?"

„Sie nutzen ihre Computerkenntnisse, um Computer und Computernetzwerke zu erkunden und zu experimentieren, wie sie ihre Nutzung erweitern können. Einige sind schlecht und werden schwarze Hüte genannt. 'schwarzen Hut', andere sind gut und natürlich werden wir sie weiße Hüte nennen, oder'weißen Hut'1. Ersteres sind Betrüger, Betrüger oder Diebe, die aus böswilligen Gründen gegen Computersysteme verstoßen. Manchmal stehlen sie nur Daten, manchmal bereichern sie sich auf Kosten der Girokonten ahnungsloser Eigentümer, manchmal dringen sie zum Zweck des Terrorismus in automatisierte Systeme ein. Diese sind die schlimmsten von allen, weil sie manchmal Fabriken in Brand setzen und Flüsse verschmutzen. Andere Male stürzen sie Flugzeuge ab2 oder Unfälle unter unseren autonomen Autos verursachen3" .

Nach einer kurzen Pause für einen Schluck frisches Wasser fährt der Großvater fort ...

„Wir mussten in Deckung gehen und in den ersten zwei Jahrzehnten des letzten Jahrhunderts (Anmerkung: Ich beziehe mich auf das 2001. Jahrhundert, das von 2100 bis XNUMX reicht) begannen Unternehmen, sich selbst zu schützen. Es wurden Cyber-Notfallgruppen erstellt4 und bevölkerte sie mit der besten Professionalität: die 'blaues Team'der Cybersicherheit. Sie verwenden Überwachungssysteme und helfen Administratoren, die Sicherheitsmaßnahmen für Netzwerke und Systeme auf dem neuesten Stand zu halten5. Jede seltsame oder verdächtige Aktivität wird von ihren mächtigen Werkzeugen abgefangen6 Diese scannen Milliarden digitaler Pakete und suchen nach Anomalien, die einen Hinweis auf eine durch schwarze Hüte verursachte Infektion darstellen. Bei einem Unfall greifen die blauen Teams als erste ein. Sie führen Ermittlungen durch, um den Angreifer zu identifizieren und die Fehler zu entdecken, die es ermöglichten, den Schlag auszuführen. Die Cloud ist sicherer, wenn sie arbeiten. Sie sind die bewaffneten Wachen des Netzwerks ".

Die Realität ist, dass wir uns leider zu oft damit zufrieden geben müssen, die Scheune zu schließen, wenn die Ochsen bereits geflohen sind. Es wäre besser zu verhindern, aber dazu wäre es notwendig, voraussehen zu können.

Es ist offensichtlich, dass Sie die Techniken der Angreifer beherrschen müssen, um den Angriff vorherzusagen. Aber wer kann das? Informatiker werden geschult, um ihre Systeme zu bedienen, Administratoren werden geschult, um sie und die zu schützen Cyber-Polizei Sie ist ausgebildet, um zu verteidigen, zu untersuchen und zu unterdrücken. Keiner von ihnen kann angreifen.

So wurde schließlich klar, dass das zu schlagen schwarzen Hut sie brauchten welche Hacker die ihre Techniken in den Dienst des Guten stellen. Zu diesem Zeitpunkt erschienen die "weißen Hüte".

weißen Hut Sie sind diejenigen, die gegen Computersysteme verstoßen, um die Eigentümer über Schwachstellen zu informieren. Sie sind wie Diebe, die vom Bankinhaber angeheuert wurden und die zum Testen der Sicherheitssysteme versuchen, den Safe zu betreten und mit einer simulierten gestohlenen Ware auszusteigen. Auf diese Weise lernt jeder, der die Aufgabe hat, die Wand fest zu halten, die besten Bautechniken. Der Schlosser, der den Safe baut, rüstet ihn mit einer Einbruchschutztür mit einem stabilen Schlüssel aus. Der Wachmann am Eingang trainiert, um verdächtiges Verhalten zu erkennen. Die Polizei lernt, einzugreifen, um das Verbrechen zu stoppen, bevor es zu spät ist, und der Direktor verabschiedet Regeln, um das Risiko zu minimieren und die Krise zu bewältigen. Außerhalb der Metapher, ich weißen Hut Stellen Sie sicher, dass Programmierer und Netzwerkadministratoren ihre Systeme robust gemacht haben7, Schlüssel und kryptografische Protokolle sind nicht verfügbar8, blaues Team Trainieren Sie sich darin, böswillige Aktivitäten zu erkennen. Manager lernen, Risiken zu berechnen, Ressourcen zuzuweisen und Unternehmensrichtlinien zu entwickeln, die für das Management von Vorfällen geeignet sind.

Wenn ich weißen Hut Sie werden Teil einer Organisation, sie bilden ein rotes Team. Sie studieren und dokumentieren sich kontinuierlich. Sie müssen immer einen Schritt voraus sein, weil in Cyber-Domain Zweiter zu werden heißt zuletzt zu beenden. Dafür entwickeln sie dynamische und flexible Verfahren. Sie haben eine sehr kurze Befehls- und Kontrollkette, um zu verhindern, dass ihre Geheimnisse diejenigen erreichen, die es nicht wissen dürfen.

Dies birgt jedoch ein großes Risiko. Juvenal würde fragen "Quis custodiet ipsos custodes?" oder "Wer kontrolliert die Controller?"  Die Antwort wäre komplex, aber einem Kind erklären wir es einfach9. Niemand kann es tun10. Also die rotes Team Er muss ein unbestrittenes Maß an Moral haben und das größte Vertrauen der Spitze genießen.

Um die Zeit zu verschieben, in der das Licht etwas länger ausgeht, werden uns unsere Enkel zwangsläufig eine andere Frage stellen: "Ur-Ur-Großvater, wie wirst du ein weißer Hut?"

Wir werden über eine Legende sprechen, die davon erzählt schwarzen Hut die die dunkle Seite verlassen, um zum Licht zurückzukehren, aber dies war vielleicht am Anfang möglich. Heute ermächtigt niemand bereitwillig den selbsternannten reuigen Dieb, sein eigenes Schloss zu erzwingen, und mit der Marktnachfrage hat das Angebot begonnen, sich zu organisieren, um Fachleute in der Branche auszubilden. Mit diesem Geist die Kurse von Ethischer Hacker. Das Problem ist, dass diese Zertifizierungen auf semantischem Wissen basieren. Ein berühmtes Mem lautet: „Ich habe 93 Kreuze von 100 gut gesetzt! Das macht mich zu einem ethischen Hacker! ". Es tut mir leid, einen so schönen Traum zu brechen, aber nein, leider sind die Dinge komplizierter.

Seit wann Internet-Sicherheit hat eine größere Reife erreicht Es gibt Kurse und Zertifizierungen, die dazu führen, die Grundlagen zu erlernen und die Fähigkeiten von Fachleuten zu bewerten.

Die am häufigsten angeforderte Zertifizierung ist die von Offensive Sicherheit was am Ende des Kurses aus der rein praktischen Form11 einer 24-stündigen Prüfung unterziehen. Es ist eine Art Fahnenraubspiel. Es wird in einer speziell vorbereiteten virtuellen Umgebung geübt. Kurz gesagt, Sie müssen in der Lage sein, die Sicherheitsmaßnahmen einiger Remotecomputer zu umgehen und die geheime Codezeichenfolge zu lesen. Es ist eine schwierige Prüfung, bei der technische Fähigkeiten und Belastbarkeit nachgewiesen werden. Wir rennen gegen die Zeit. Der Kurs gibt jedoch nur die Grundlagen und von da an müssen Sie Ihren Kopf schlagen und die Lösung der Rätsel finden. Ihr Motto lautet "härter versuchen" oder "härter versuchen". Die Philosophie ist, dass es im Internet alles gibt, man muss nur wissen, wie man die Lösung für das Problem findet12. Dies ist der "Do to Understanding" -Ansatz.

Aus einer völlig entgegengesetzten Idee, "Verständnis zu tun", die Kurse von OHNE (GIAC-Zertifizierungen) und die eLearning-Sicherheit. Aber die Ähnlichkeiten zwischen den beiden letztgenannten Unternehmen enden dort. Die Kurse der OHNE13 Sie sind traditioneller. Sie sind in zwei Phasen gegliedert, eine frontal in Anwesenheit und eine basierend auf Handbüchern. Die eLearnSecurity ist dagegen nur online. Zuerst lernst du die Theorie durch Tausende von Tafeln mit jeweils ein paar Konzepten, dann siehst du dir die Videos derer an, die mit den beschriebenen Werkzeugen arbeiten, und schließlich finden die praktischen Workshops statt. Bei Schwierigkeiten gibt es interne Foren, in denen gesucht oder nach Antworten gefragt werden kann.

Auf diese Weise wird ein kultureller Hintergrund geschaffen, der sich in einer Arbeitsmethode niederschlägt. Es ist wahr, dass es im Internet alles gibt, aber es gibt auch das Gegenteil von allem. Wenn Sie die besten Tools und Best Practices nicht kennen, kann sich jeder in der Cloud verirren.

In seiner Absicht, die Lernenden bei ihren Entscheidungen zu begleiten, hat die eLearning-Sicherheit berät dei Trainingswegeoder Schulungen, die Fachleuten der Internet-Sicherheit eine bestimmte Reife erreichen. Die vorgeschlagenen Wege reichen von der Unternehmensverteidigung bis zur Reaktion auf Vorfälle (Blaues Team), al Netzwerk e Webanwendung Pentester14 (Rotes Team).

„Da sie Rotkäppchen in die Farbe 'Rot' verliebt war, entschied sie, dass der erste Kurs, den sie belegen würde, der Penetrationstest-Student sein würde. Nachdem er das gesamte Material gelesen und erneut gelesen hatte, beschloss er, die Labors und die Prüfung zu kaufen, um die erworbenen Fähigkeiten zu testen und zu zertifizieren. ".

Es ist kein einfacher Kurs, aber er kann von jedem befolgt und bestanden werden, der sich für ein paar Monate engagieren, Videos ansehen und LernprogrammVersuchen Sie es mit pädagogischen Workshops. Die Prüfung findet in einer realistischen Umgebung statt und dauert drei Tage. Sie ist elementar, aber nicht offensichtlich, herausfordernd, aber nicht frustrierend. Wir haben es eilig, aber ohne Eile. Es muss ein Weg gefunden werden, um a zu verletzen Web-Server schlecht konfiguriert und verwenden Sie diese "Tür", um auf den privaten Bereich zuzugreifen. Suchen Sie im Umkreis nach Schwachstellen und extrahieren Sie vertrauliche Daten.

Sie war eine fleißige Studentin gewesen, und dank der vielen Notizen, der Kenntnis der Theorie und der Kompetenz, die die Tests in den Labors verliehen hatten, hatte Rotkäppchen ihre erste prestigeträchtige Zertifizierung erhalten: Sie war eJPT oder "eLearnSecurity Junior Penetration Tester" geworden. .

Dass die Arbeitswelt der Internet-Sicherheit Er ist hungriger als der Wolf, nach ein paar Tagen erhielt er Angebote und fand einen Job. Er hatte die Aktivitäten von OSINT erlebt15Sie fühlte sich wie eine Spionageabwehr16hatte sensible Informationen gefunden, die ohne die Erlaubnis seiner Kunden gestohlen worden waren. Es hatte Systeme und Netzwerke auf Fehler und Schwachstellen getestet. Er hatte sie Kollegen der blaues Team die Schritte unternommen hatten, um ihr Stück der virtuellen Welt robuster zu machen. Mit der Erfahrung als junger Mann Hacker Restaurants Rotes Team (und ein großer Wunsch, sich zu engagieren), war sie bereit, neue Herausforderungen zu beginnen und den eCPPT-Prozess zu übernehmen und eine zu werden Zertifizierter professioneller Penetrationstester. Dort lernte sie neue Techniken und erreichte neue Ziele, von denen sie eine Zertifizierung erhalten konnte Penetrationstester eXtreme17.

Dann, eines Tages, als Rotkäppchen merkte, dass sie erwachsen geworden war, heiratete sie eine Hacker bereut und zusammen hatten sie viele Kinder ... und alle lebten glücklich bis ans Ende ihrer Tage.

Aber jetzt ist es spät, also mein lieber Neffe zu schlafen ...

1 Diese Unterscheidung ist sehr verbreitet, wird jedoch von den Betreibern des Sektors als oberflächlich angesehen.

2 Ein solcher Vorfall ist noch nicht aufgetreten.

3 Viele Medien berichten dies seit Jahren.

4 Computer-Notfallteam.

5 Es ist eine Vereinfachung, die Aufgaben von Blaues Team Sie sind unzählig.

6 Zum Beispiel SIEMs, Sicherheitsinformationen und Ereignisverwaltung: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.

7 Phase von Härten: Idealerweise sollte der Programmcode frei von Schwachstellen sein (z. Pufferüberlauf) und Netzwerksysteme müssen Schutzwerkzeuge (z. B. Firewalls, Richtlinien usw.) enthalten. Leider muss aus Gründen der Wirtschaftlichkeit und Funktionalität immer ein gewisses Risiko eingegangen werden.

8 Die Kryptographie ist ein ziemlich komplexer Zweig der theoretischen Mathematik. Sicherheit hängt von vielen heterogenen Faktoren ab. Perfekte Geheimhaltung besteht, ist jedoch in einem realen Kontext nicht anwendbar. Daher muss ein gewisses Risiko eingegangen werden, das Mathematiker berechnen können. Das Entwickeln eigener kryptografischer Codes ist gefährlich, aber bei angehenden Kryptographen weit verbreitet. Hacker wissen, wie sie diese Fehler ausnutzen können. Weitere Informationen finden Sie unter „Jonathan Katz, Yehuda Lindell - Einführung in die moderne Kryptographie - Prinzipien und Protokolle - Chapman und Hall“.

9 Die Rechtswissenschaft galt für die Informationstechnologie und spezialisierte sich auf Cyber.

10 Auch hier wird eine Vereinfachung vorgenommen, das rote Team handelt unter einem sehr präzisen Vertrag, der die Grenzen zeitnah definiert. Das Überschreiten dieser Grenzen kann zu zivilrechtlichen Konsequenzen und schweren strafrechtlichen Sanktionen führen.

11 PWK - Penetrationstests mit Kali Linux.

12 Die erste der Zertifizierungen wurde als Beispiel genommen Offensive Sicherheitd.h. der OSCP (Offensive Security Certified Professional). Das Angebot dieses renommierten Unternehmens wird durch andere noch wertvollere und schwierigere Kurse bereichert, die alle auf offensives Training ausgerichtet sind rotes Team.

13 SANS bietet sehr angesehene Kurse in allen Bereichen der Cybersicherheit an, die jedoch sehr teuer sind.

14 Kurz vor PENetration TESTER.

15 Open-Source-INTelligence.

16 Zu diesem Thema siehe einen früheren Artikel von mir: „Mein Name ist Sicherheit, Cybersicherheit. Google Hacking und Shodan: die Intelligenz, die Sie nicht erwarten “.

17 Folgende Klarstellungen sind erforderlich:

  • Keine Zertifizierung selbst beweist die Fähigkeit des Cyber-Sicherheitsbetreibers, den Weg des Penetrationstester es basiert hauptsächlich auf Erfahrungen vor Ort;
  • Es gibt Schulungen, die genauso gültig sind wie die beschriebenen. Die Geschichte basiert auf der persönlichen Erfahrung des Autors und hat keinen wissenschaftlichen Wert.
  • Der Zweck des Artikels ist keine Werbung und es besteht keine Verbindung zwischen dem Autor, dem Verlag und den Unternehmen, die Kurse und Zertifizierungen anbieten.

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte