SlideShare uma empresa Scribd logo
1 de 31
Baixar para ler offline
Pentester - fakty i mity
0xfb44f4f23139bb8a
Mateusz Kocielski
m.kocielski@logicaltrust.net
LogicalTrust
SecurityBsides
Warszawa, 10 października 2015 r.
$ whoami
pentester w LogicalTrust
open source:
PHP - bug fixing
NetBSD - libsaslc(3), bozohttpd(8), losowe rzeczy & członek
security-team@
bezpieczeństwo:
PHP - CVE-2010-1868, CVE-2010-1917, CVE-2010-4150,
CVE-2010-4156, CVE-2011-1938, ...
stunnel - CVE-2013-1762
OpenSSH - CVE-2011-0539
Apache - CVE-2014-0117, CVE-2014-0226
FreeBSD - CVE-2015-1414
0xfb44f4f23139bb8a?
CRYPTO/STEGANO
100000 pkt.
0xfb44f4f23139bb8a?
https://www.youtube.com/watch?v=CgcorLQXsQQ
O co chodzi?
turecki rambo vs. księgowy
weryfikacja faktów i mitów
wskazówki jak zostać (dobrym) pentesterem
doświadczenia innych
Ogłoszenie parafialne
nie chcę definiować pojęć:
testów penetracyjnych
red team vs. blue team
audytów bezpieczeństwa
pozostańmy na dużym stopniu ogólności
MIT - praca pentestera jest ULTRA ciekawa
dokumentacja
testy, które nie są interesujące
testowanie technologii, które znasz na pamięć
praca jest powtarzalna
wskazanie wszystkich obszarów ryzyk, a nie jednej ścieżki jak
zdobyć ”roota”
ale...
...dla tych (20-80)% warto być pentesterem
Źródło: http://img.fifa.com/mm/photo/tournament/competition/01/64/24/39/1642439 big-lnd.jpg
Fakt: ok. (20-80)% pracy jest ciekawa
...każdy pentest zawiera jednak coś innego
zrobienie ”roota” zawsze jest przyjemne
ciekawe projekty
trafiają się błędy, które sprawiają, że serce bije szybciej:
wczytanie plików przez serię błędów w PHP (open source)
RCE w cache języków (open source)
MIT - praca pentestera jest tylko techniczna
Źródło: http://3vxsjq3roj103wlhf71jhh7t.wpengine.netdna-cdn.com/wp-content/uploads/2014/09/computer-nerd.jpeg
pentesterów, którzy wykonują tylko techniczną robotę nikt nie
rozumie
dokumentacja jest NIEZBĘDNA
umiejętność napisania dwóch zdań jest NIEZBĘDNA
potrzeba odtwarzania swoich kroków
potrzeba edukacji klientów
...pamiętaj, że Twoja praca ma zostawić klienta w
”bezpieczniejszym świecie”
MIT - pentesterzy są podziwiani
Źródło: http://images.amcnetworks.com/ifc.com/wp-content/uploads/2014/02/nerd-dance.jpg
...bo są ”hakerami”
postrzeganie pentestera jako intruza przez pracowników klienta:
jałowe dyskusje o krytyczności błędów
personalne odbieranie uwag
wyrywanie włosów
próby podważenia kompetencji i znalezisk
”Paaanie, to tylko na testówce!”
”Paaanie, to się nie wydarzy!”
”A nieprawda bo mamy HTTPS”
jak czegoś nie znajdziesz, to dostaniesz po głowie
MIT - bezpieczeństwo jest najważniejsze
Źródło: https://wombatsdojogle.files.wordpress.com/2012/01/search-results-cyclethere-i-fixed-it-redneck-repairs-page-3-
1.jpg?w=560
nikt nie ma potrójnej ściany ognia i sendmaila
bezpieczeństwo jest dla biznesu, a nie odwrotnie!
często trzeba zawrócić
Klient optymalizuje po wielu zmiennych, nie tylko po
bezpieczeństwie
pani Zosia w kiosku nie ma sejfu
a pan Antoni obsługuje metodę TRACE na swoim hostingu
MIT - będziesz szukał 0-dayów
Źródło: http://thewindowsclub.thewindowsclubco.netdna-cdn.com/wp-content/uploads/2015/02/zero-day-attack.png
...nie będziesz
...nie będziesz ich używał
...ale sporadycznie coś samo się trafi!
...ale czasem są misje specjalne
MIT - pentester podczas pentestu może wszystko!
Źródło:
http://cdn.okcimg.com/php/load okc image.php/images/0x0/0x0/0/8954805073882791803.jpeg 1 500 1 500 cb94de6a .png
niestety w praktyce nie można wejść do dyskoteki i bić kogo
popadnie
często narzucone są sztywne ramy (czasowe, wpływu ataków na
biznes etc.)
często trzeba zawrócić i pozostawić rzeczy niedopowiedziane
MIT - firmy pentesterskie są cool
Źródło: https://imagoinc.files.wordpress.com/2010/04/dreamstime corporate.jpg
te większe, nie różnią się NICZYM od typowego korpo
timesheety, raporty, ...
te mniejsze, nie różnią się NICZYM od typowej mniejszej firmy
praca pentestera wymaga profesjonalizmu
FAKT - poznasz wiele technologii
Źródło: http://i.ytimg.com/vi/McaV4Ua-QMA/maxresdefault.jpg
...o ile pracujesz w firmie, która wykonuje testy ”na zewnątrz”
styczność z Luą, Scalą, Pythonem, PHP, Javą, Cobolem, APL i
milionami innych technologii
musisz się szybko uczyć
większość z nich tylko ”liźniesz”
FAKT - zobaczysz wiele!
Źródło: http://memestorage.com/ nw/23/87899101.jpg
styczność z systemami niedostępnymi dla ”szaraka”
styczność z usługami/aplikacjami przed ”premierą”
możliwość spotkania ekspertów w wielu dziedzinach
zobaczysz ...za wiele
FAKT - pentester się ciągle uczy
Źródło: http://computers.childrens-library.com/images/Learning With Computers 0 large.jpg
wiedza z 2014...
...to nieaktualna wiedza!
trzeba się uczyć, STALE
trzeba się uczyć nowych technologii
FAKT - pentester robi to czego wymaga rynek
Źródło: https://c2.staticflickr.com/4/3118/2398651856 022030f3e4.jpg
...urządzenia mobilne
...aplikacje www
Java (tm) i inne straszne technologie
MIT - gracze CTF to świetni pentesterzy
Źródło:
http://www.seguridadaldia.net/wp-content/uploads/imgcache/0335da827f Capture-20The-20Flag-20Graphic-jpg.jpg
nie każdy kto dobrze biega przez płotki będzie dobrym piłkarzem
∀x,y nie każdy x będzie dobrym y - truizm
CTFy często są DIAMETRALNIE RÓŻNE od pentestów
są ograniczenia, jest Klient, jest inny cel
MIT - będziesz ciągle siedział w majtach i zapoconej
koszulce przed komputerem...
Źródło: http://www.lolhome.com/img big/home-office.jpg
MIT - pentesterzy milionerzy
Źródło: http://i.wp.pl/a/f/jpeg/27303/sknerus.jpeg
jeżeli chcesz zjeżdżać na nartach z góry hajsu, to zostań:
blackhatem
programistą Javy w banku
tańcz z gwiazdami
MIT - pentester od 8 do 16
Źródło:
http://1.bp.blogspot.com/-EdLID12lJEk/UM7z9t3CPpI/AAAAAAAAAbk/1dLLuZz1cO4/s1600/Gamer-Meme.jpg
bycie pentesterem to styl życia
będziesz ciągle myślał o tym jak coś obejść lub zepsuć
stały rozwój
FAKT: dyskrecja jest ważną częścią pracy
Źródło: http://esklep-sportowy.pl/grafiki-allegro/pliki/pku1.jpg
zaufanie jest podstawą współpracy z klientem
jeżeli zawiedziesz je chociaż raz, to wybrany klient (i inni) uciekną
”nie paplaj w słuchawę”
FAKT: wiedza praktyczna jest nie do przecenienia
Źródło: http://cdn.thedailybeast.com/content/dailybeast/articles/2014/08/14/rambo-hates-guns-how-sylvester-stallone-
became-the-most-anti-gun-celeb-in-hollywood/jcr:content/image.crop.800.500.jpg/47401550.cached.jpg
...większość dobrych pentesterów (których znam) najpierw było
programistami/administratorami
jeżeli nie rozumiesz jak coś działa, to nie przetestujesz tego od ”a
do z”
w praktyce pentester to często człowiek orkiestra
FAKT: CTFy, Bug Bounty i WARGAMEy są bardzo
przydatne
Źródło: http://www.sw.gov.pl/Data/Files/pzaranek/poezja-006.jpg
można poćwiczyć bez obawy o bilet do ZK Wronki
ciemne strony bug bounty
często zadania na CTF/wargame są WYDUMANE
FAKT: umiejętność programowania jest przydatna
Źródło: http://i.ytimg.com/vi/utTclg8vDis/hqdefault.jpg
...do automatyzacji różnych rzeczy
...do zrozumienia jak działa aplikacja
...do popełniania błędów
FAKT: bardzo ważne są umiejętności miękkie
Źródło: http://www.kindofcreepy.com/wp-content/uploads/2011/02/super-nerds02.jpg
rozmowy z osobami nietechnicznymi
praca w grupie
samodzielność
rozmowy/negocjacje z klientem
Moar?
Źródło: http://i0.kym-cdn.com/entries/icons/original/000/000/574/moar-cat.jpg
inne fakty/mity?
Czas na pytania (i odpowiedzi)
Q&A
Pentester - fakty i mity

Mais conteúdo relacionado

Semelhante a Pentester - fakty i mity

Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
PLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktycePLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktycePROIDEA
 
Hacking Bluetooth Smart
Hacking Bluetooth SmartHacking Bluetooth Smart
Hacking Bluetooth SmartSlawomir Jasek
 
Hacking Internet of Things
Hacking Internet of ThingsHacking Internet of Things
Hacking Internet of ThingsSecuRing
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
 
Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009Logicaltrust pl
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PROIDEA
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PROIDEA
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierciDivante
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Modul 1
Modul 1Modul 1
Modul 1Jacek
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PROIDEA
 

Semelhante a Pentester - fakty i mity (20)

Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 
PLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktycePLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktyce
 
Hacking Bluetooth Smart
Hacking Bluetooth SmartHacking Bluetooth Smart
Hacking Bluetooth Smart
 
Hacking Internet of Things
Hacking Internet of ThingsHacking Internet of Things
Hacking Internet of Things
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
 
BlackHat Analytics
BlackHat AnalyticsBlackHat Analytics
BlackHat Analytics
 
Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009
 
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
PLNOG 18 - Robert Ślaski - Programowanie a nie konfiguracja - porozmawiajmy z...
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierci
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Modul 1
Modul 1Modul 1
Modul 1
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
 
Upadki giełd bitcoinowych
Upadki giełd bitcoinowychUpadki giełd bitcoinowych
Upadki giełd bitcoinowych
 
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...
 

Mais de Logicaltrust pl

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awarenessLogicaltrust pl
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing toolLogicaltrust pl
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Logicaltrust pl
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykładyLogicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreterLogicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 

Mais de Logicaltrust pl (20)

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awareness
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing tool
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykłady
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
 
Devops security
Devops securityDevops security
Devops security
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreter
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 

Pentester - fakty i mity

  • 3. $ whoami pentester w LogicalTrust open source: PHP - bug fixing NetBSD - libsaslc(3), bozohttpd(8), losowe rzeczy & członek security-team@ bezpieczeństwo: PHP - CVE-2010-1868, CVE-2010-1917, CVE-2010-4150, CVE-2010-4156, CVE-2011-1938, ... stunnel - CVE-2013-1762 OpenSSH - CVE-2011-0539 Apache - CVE-2014-0117, CVE-2014-0226 FreeBSD - CVE-2015-1414
  • 6. O co chodzi? turecki rambo vs. księgowy weryfikacja faktów i mitów wskazówki jak zostać (dobrym) pentesterem doświadczenia innych
  • 7. Ogłoszenie parafialne nie chcę definiować pojęć: testów penetracyjnych red team vs. blue team audytów bezpieczeństwa pozostańmy na dużym stopniu ogólności
  • 8. MIT - praca pentestera jest ULTRA ciekawa dokumentacja testy, które nie są interesujące testowanie technologii, które znasz na pamięć praca jest powtarzalna wskazanie wszystkich obszarów ryzyk, a nie jednej ścieżki jak zdobyć ”roota” ale...
  • 9. ...dla tych (20-80)% warto być pentesterem Źródło: http://img.fifa.com/mm/photo/tournament/competition/01/64/24/39/1642439 big-lnd.jpg Fakt: ok. (20-80)% pracy jest ciekawa ...każdy pentest zawiera jednak coś innego zrobienie ”roota” zawsze jest przyjemne ciekawe projekty trafiają się błędy, które sprawiają, że serce bije szybciej: wczytanie plików przez serię błędów w PHP (open source) RCE w cache języków (open source)
  • 10. MIT - praca pentestera jest tylko techniczna Źródło: http://3vxsjq3roj103wlhf71jhh7t.wpengine.netdna-cdn.com/wp-content/uploads/2014/09/computer-nerd.jpeg pentesterów, którzy wykonują tylko techniczną robotę nikt nie rozumie dokumentacja jest NIEZBĘDNA umiejętność napisania dwóch zdań jest NIEZBĘDNA potrzeba odtwarzania swoich kroków potrzeba edukacji klientów ...pamiętaj, że Twoja praca ma zostawić klienta w ”bezpieczniejszym świecie”
  • 11. MIT - pentesterzy są podziwiani Źródło: http://images.amcnetworks.com/ifc.com/wp-content/uploads/2014/02/nerd-dance.jpg ...bo są ”hakerami” postrzeganie pentestera jako intruza przez pracowników klienta: jałowe dyskusje o krytyczności błędów personalne odbieranie uwag wyrywanie włosów próby podważenia kompetencji i znalezisk ”Paaanie, to tylko na testówce!” ”Paaanie, to się nie wydarzy!” ”A nieprawda bo mamy HTTPS” jak czegoś nie znajdziesz, to dostaniesz po głowie
  • 12. MIT - bezpieczeństwo jest najważniejsze Źródło: https://wombatsdojogle.files.wordpress.com/2012/01/search-results-cyclethere-i-fixed-it-redneck-repairs-page-3- 1.jpg?w=560 nikt nie ma potrójnej ściany ognia i sendmaila bezpieczeństwo jest dla biznesu, a nie odwrotnie! często trzeba zawrócić Klient optymalizuje po wielu zmiennych, nie tylko po bezpieczeństwie pani Zosia w kiosku nie ma sejfu a pan Antoni obsługuje metodę TRACE na swoim hostingu
  • 13. MIT - będziesz szukał 0-dayów Źródło: http://thewindowsclub.thewindowsclubco.netdna-cdn.com/wp-content/uploads/2015/02/zero-day-attack.png ...nie będziesz ...nie będziesz ich używał ...ale sporadycznie coś samo się trafi! ...ale czasem są misje specjalne
  • 14. MIT - pentester podczas pentestu może wszystko! Źródło: http://cdn.okcimg.com/php/load okc image.php/images/0x0/0x0/0/8954805073882791803.jpeg 1 500 1 500 cb94de6a .png niestety w praktyce nie można wejść do dyskoteki i bić kogo popadnie często narzucone są sztywne ramy (czasowe, wpływu ataków na biznes etc.) często trzeba zawrócić i pozostawić rzeczy niedopowiedziane
  • 15. MIT - firmy pentesterskie są cool Źródło: https://imagoinc.files.wordpress.com/2010/04/dreamstime corporate.jpg te większe, nie różnią się NICZYM od typowego korpo timesheety, raporty, ... te mniejsze, nie różnią się NICZYM od typowej mniejszej firmy praca pentestera wymaga profesjonalizmu
  • 16. FAKT - poznasz wiele technologii Źródło: http://i.ytimg.com/vi/McaV4Ua-QMA/maxresdefault.jpg ...o ile pracujesz w firmie, która wykonuje testy ”na zewnątrz” styczność z Luą, Scalą, Pythonem, PHP, Javą, Cobolem, APL i milionami innych technologii musisz się szybko uczyć większość z nich tylko ”liźniesz”
  • 17. FAKT - zobaczysz wiele! Źródło: http://memestorage.com/ nw/23/87899101.jpg styczność z systemami niedostępnymi dla ”szaraka” styczność z usługami/aplikacjami przed ”premierą” możliwość spotkania ekspertów w wielu dziedzinach zobaczysz ...za wiele
  • 18. FAKT - pentester się ciągle uczy Źródło: http://computers.childrens-library.com/images/Learning With Computers 0 large.jpg wiedza z 2014... ...to nieaktualna wiedza! trzeba się uczyć, STALE trzeba się uczyć nowych technologii
  • 19. FAKT - pentester robi to czego wymaga rynek Źródło: https://c2.staticflickr.com/4/3118/2398651856 022030f3e4.jpg ...urządzenia mobilne ...aplikacje www Java (tm) i inne straszne technologie
  • 20. MIT - gracze CTF to świetni pentesterzy Źródło: http://www.seguridadaldia.net/wp-content/uploads/imgcache/0335da827f Capture-20The-20Flag-20Graphic-jpg.jpg nie każdy kto dobrze biega przez płotki będzie dobrym piłkarzem ∀x,y nie każdy x będzie dobrym y - truizm CTFy często są DIAMETRALNIE RÓŻNE od pentestów są ograniczenia, jest Klient, jest inny cel
  • 21. MIT - będziesz ciągle siedział w majtach i zapoconej koszulce przed komputerem... Źródło: http://www.lolhome.com/img big/home-office.jpg
  • 22. MIT - pentesterzy milionerzy Źródło: http://i.wp.pl/a/f/jpeg/27303/sknerus.jpeg jeżeli chcesz zjeżdżać na nartach z góry hajsu, to zostań: blackhatem programistą Javy w banku tańcz z gwiazdami
  • 23. MIT - pentester od 8 do 16 Źródło: http://1.bp.blogspot.com/-EdLID12lJEk/UM7z9t3CPpI/AAAAAAAAAbk/1dLLuZz1cO4/s1600/Gamer-Meme.jpg bycie pentesterem to styl życia będziesz ciągle myślał o tym jak coś obejść lub zepsuć stały rozwój
  • 24. FAKT: dyskrecja jest ważną częścią pracy Źródło: http://esklep-sportowy.pl/grafiki-allegro/pliki/pku1.jpg zaufanie jest podstawą współpracy z klientem jeżeli zawiedziesz je chociaż raz, to wybrany klient (i inni) uciekną ”nie paplaj w słuchawę”
  • 25. FAKT: wiedza praktyczna jest nie do przecenienia Źródło: http://cdn.thedailybeast.com/content/dailybeast/articles/2014/08/14/rambo-hates-guns-how-sylvester-stallone- became-the-most-anti-gun-celeb-in-hollywood/jcr:content/image.crop.800.500.jpg/47401550.cached.jpg ...większość dobrych pentesterów (których znam) najpierw było programistami/administratorami jeżeli nie rozumiesz jak coś działa, to nie przetestujesz tego od ”a do z” w praktyce pentester to często człowiek orkiestra
  • 26. FAKT: CTFy, Bug Bounty i WARGAMEy są bardzo przydatne Źródło: http://www.sw.gov.pl/Data/Files/pzaranek/poezja-006.jpg można poćwiczyć bez obawy o bilet do ZK Wronki ciemne strony bug bounty często zadania na CTF/wargame są WYDUMANE
  • 27. FAKT: umiejętność programowania jest przydatna Źródło: http://i.ytimg.com/vi/utTclg8vDis/hqdefault.jpg ...do automatyzacji różnych rzeczy ...do zrozumienia jak działa aplikacja ...do popełniania błędów
  • 28. FAKT: bardzo ważne są umiejętności miękkie Źródło: http://www.kindofcreepy.com/wp-content/uploads/2011/02/super-nerds02.jpg rozmowy z osobami nietechnicznymi praca w grupie samodzielność rozmowy/negocjacje z klientem
  • 30. Czas na pytania (i odpowiedzi) Q&A