"Dahulu kala ada dunia nyata ..." Dalam seratus tahun dengan premis ini kami akan menceritakan sebuah dongeng untuk membuat cicit kami pergi tidur. Kita akan mulai dengan berbicara tentang seorang gadis kecil yang manis kepada siapa neneknya memberikan jubah beludru merah yang dia kenakan untuk pergi ke komputer sebelum masuk. awan itu domain cyber. Little Red Riding Hood ingin menjadi satu hacker...
“Seperti semua orang di rasnya, dia adalah ras campuran: setengah mesin dan setengah nerd. Dia tidak memiliki kehidupan sosial dan melakukan semuanya sendiri, dia mengerti angka-angka yang turun dari atas layar, dia selalu mengenakan kerudung dan dilahirkan dengan mengetahui segalanya ".
Berawal dari klise dan remeh-temeh, dongeng ini akan mengajarkan anak-anak kita nilai-nilai yang akan mengubah mereka menjadi orang dewasa yang bertanggung jawab. Tetapi kemudian anak-anak akan tumbuh dan bertanya pada diri mereka sendiri pertanyaan-pertanyaan yang harus kita siap jawab dengan cara yang cukup sederhana untuk dipahami tetapi cukup komprehensif untuk menghindari wawasan yang memalukan.
Dan kemudian si kecil, dengan lidah yang menyembul dari lubang yang ditinggalkan oleh gigi susunya, akan bertanya: "Kakek buyut, apa itu peretas?"
“Mereka adalah orang-orang yang menggunakan keterampilan komputer mereka untuk menjelajahi komputer dan jaringan komputer dan bereksperimen dengan cara memperluas penggunaannya. Beberapa buruk dan mereka disebut topi hitam, 'topi hitam', yang lain bagus dan, tentu saja kami akan menyebutnya topi putih, atau'topi putih'1. Yang pertama adalah scammer, penipu, atau pencuri yang meretas sistem komputer untuk tujuan jahat. Kadang-kadang mereka hanya mencuri data, di lain waktu mereka memperkaya diri mereka sendiri dengan mengorbankan rekening giro pemilik yang tidak curiga, masih di lain waktu mereka menyusup ke dalam sistem otomatis untuk tujuan terorisme. Itu adalah yang paling buruk dari semuanya karena kadang-kadang membakar pabrik dan mencemari sungai. Di lain waktu mereka menabrakkan pesawat2 atau menyebabkan kecelakaan di antara mobil otonom kami3".
Setelah berhenti sejenak untuk menyesap air tawar, kakek melanjutkan ...
“Kami harus mencalonkan diri dan, dalam dua dekade pertama abad lalu (catatan: saya mengacu pada abad ke-2001, yang berlangsung dari 2100 M hingga XNUMX M), perusahaan mulai melindungi diri mereka sendiri. Grup tanggap darurat cyber telah dibuat4 dan mengisi mereka dengan profesionalisme terbaik: 'tim biru'keamanan cyber. Mereka adalah orang-orang yang menggunakan sistem pemantauan dan membantu administrator menjaga keamanan jaringan dan sistem tetap mutakhir5. Setiap aktivitas aneh atau mencurigakan dicegat oleh alat canggih mereka6 yang memindai miliaran paket digital dan menemukan anomali apa pun yang mewakili petunjuk infeksi yang diatur oleh topi hitam. Jika terjadi kecelakaan, tim biru yang pertama turun tangan. Mereka melakukan investigasi untuk mengidentifikasi penyerang dan mengungkap kekurangan yang memungkinkan pukulan itu dilakukan. Cloud adalah tempat yang lebih aman saat mereka bekerja. Mereka adalah penjaga bersenjata jaringan ".
Kenyataannya adalah bahwa sayangnya, terlalu sering, kita harus puas dengan menutup kandang ketika lembu telah melarikan diri. Akan lebih baik mencegah tetapi, untuk melakukannya, itu perlu untuk dapat meramalkan.
Jelas bahwa untuk memprediksi serangan, Anda harus menguasai teknik penyerang. Tapi siapa yang bisa melakukannya? Ilmuwan komputer dilatih untuk mengoperasikan sistem mereka, administrator dilatih untuk melindungi mereka dan polisi cyber dia dilatih untuk membela, menyelidiki, dan menekan. Tak satu pun dari mereka tahu bagaimana cara menyerang.
Jadi, akhirnya disadari bahwa untuk mengalahkan topi hitam mereka membutuhkan beberapa hacker yang menempatkan teknik mereka untuk melayani kebaikan. Saat itulah "topi putih" muncul.
I topi putih mereka adalah orang-orang yang melanggar sistem komputer untuk menginformasikan pemilik kerentanan. Mereka seperti pencuri yang disewa oleh pemilik bank yang, untuk menguji sistem keamanan, mencoba memasuki brankas dan keluar dengan barang curian yang disimulasikan. Dengan cara ini, siapa pun yang bertugas menjaga agar tembok tetap kokoh mempelajari teknik konstruksi terbaik; tukang kunci yang membuat brankas melengkapinya dengan pintu anti-masuk dengan kunci yang kokoh; penjaga di pintu masuk kereta untuk mengenali perilaku mencurigakan; polisi belajar untuk campur tangan untuk menghentikan kejahatan sebelum terlambat dan direktur mengadopsi aturan untuk meminimalkan risiko dan mengelola krisis. Di luar metafora, i topi putih verifikasi bahwa pemrogram dan administrator jaringan telah membuat sistem mereka kuat7, kunci dan protokol kriptografi tidak dapat disangkal8, The tim biru melatih diri mereka sendiri untuk mengenali aktivitas berbahaya, manajer belajar menghitung risiko, mengalokasikan sumber daya dan mengembangkan kebijakan perusahaan yang sesuai untuk mengelola insiden.
Ketika saya topi putih mereka menjadi bagian dari organisasi, mereka membentuk tim merah. Mereka mempelajari dan mendokumentasikan diri sendiri secara terus menerus. Mereka harus selalu selangkah lebih maju dari semua orang karena masuk domain cyber menyelesaikan kedua sama dengan menyelesaikan terakhir. Untuk ini, mereka mengembangkan prosedur yang dinamis dan fleksibel. Mereka memiliki rantai komando dan kendali yang sangat pendek untuk mencegah rahasia mereka menjangkau orang-orang yang pasti tidak tahu.
Tapi ini membuka risiko besar. Juvenal akan bertanya "Quis custodiet ipsos custodes?" atau "Siapa yang mengontrol pengontrol?" Jawabannya akan rumit tetapi kepada seorang anak kami menjelaskannya dengan sederhana9. Tidak ada yang bisa melakukannya10. Jadi, itu tim Merah ia harus memiliki tingkat moralitas yang tak terbantahkan dan menikmati kepercayaan tertinggi dari yang tertinggi.
Untuk menunda waktu ketika lampu padam sedikit lebih lama, cucu kita pasti akan menanyakan pertanyaan lain kepada kita: "Kakek buyut, bagaimana Anda menjadi topi putih?"
Kami akan berbicara tentang legenda yang menceritakan topi hitam yang meninggalkan sisi gelap untuk kembali ke terang tapi ini, mungkin, mungkin pada awalnya. Saat ini, tidak ada seorang pun yang dengan rela memberi wewenang kepada pencuri yang mengaku menyesali diri untuk memaksa kuncinya sendiri dan, dengan permintaan pasar, tawaran tersebut mulai mengatur dirinya sendiri untuk melatih para profesional di sektor tersebut. Dengan semangat ini jalannya Peretas Etis. Masalahnya adalah sertifikasi ini didasarkan pada pengetahuan semantik. Sebuah meme terkenal berbunyi: “Saya melakukan 93 umpan silang dari 100 sumur! Ini membuat saya menjadi Ethical Hacker! ". Saya minta maaf untuk menghancurkan mimpi yang begitu indah tetapi tidak, sayangnya semuanya lebih rumit dari itu.
Sejak kapan keamanan cyber telah mencapai kematangan yang lebih besar ada kursus dan sertifikasi yang mengarah pada mempelajari dasar-dasar dan menilai keterampilan para profesional.
Sertifikasi yang paling banyak diminta adalah yang diberikan oleh Keamanan ofensif yang, pada akhir kursus dari cetakan praktis murni11 menyerahkan ujian yang berlangsung selama 24 jam. Ini semacam permainan mencuri bendera. Itu dipraktekkan dalam lingkungan virtual yang disiapkan secara khusus. Singkatnya, Anda harus dapat melewati langkah-langkah keamanan beberapa komputer jarak jauh dan membaca rangkaian kode rahasia. Ini adalah ujian yang sulit di mana keterampilan teknis dan ketahanan terhadap kelelahan diperlihatkan. Kami berpacu dengan waktu. Namun, kursus ini hanya memberikan dasar-dasar dan kemudian, dari sana, Anda harus memukul kepala Anda dan menemukan solusi dari teka-teki tersebut. Moto mereka adalah "berusaha lebih keras" atau "berusaha lebih keras". Filosofinya adalah bahwa ada segalanya di internet, Anda hanya perlu tahu bagaimana menemukan solusi untuk masalah tersebut12. Ini adalah pendekatan "lakukan untuk memahami".
Kursus dari SANS (Sertifikasi GIAC) dan eLearnKeamanan. Tetapi kesamaan antara dua perusahaan terakhir berakhir di situ. Kursus dari SANS13 mereka lebih tradisional. Mereka disusun dalam dua fase, satu frontal di hadapan dan satu lagi berdasarkan manual. ELearnSecurity, di sisi lain, hanya online. Pertama, Anda mempelajari teori melalui ribuan piring yang masing-masing berisi beberapa konsep, lalu Anda menonton video dari mereka yang bekerja dengan alat yang dijelaskan dan akhirnya lokakarya praktik berlangsung. Jika ada kesulitan, ada forum internal untuk mencari atau meminta jawaban.
Dengan begitu, terbangun latar budaya yang diterjemahkan menjadi metode kerja. Memang benar bahwa semuanya ada di internet, tetapi ada juga kebalikan dari semuanya dan jika Anda tidak mengetahui alat terbaik dan praktik terbaik, siapa pun dapat tersesat di cloud.
Dalam maksudnya untuk menemani peserta didik dalam pilihan mereka, eLearnKeamanan saran dei Jalur Pelatihan, atau kursus pelatihan yang memungkinkan para profesional dari keamanan cyber untuk mencapai kematangan tertentu. Jalur yang diusulkan berkisar dari pertahanan perusahaan dan respons insiden (Tim biru), al jaringan e Pentester Aplikasi Web14 (Tim Merah).
“Menjadi Little Riding Hood yang jatuh cinta dengan warna 'merah', dia memutuskan bahwa kursus pertama yang dia ambil adalah Penetration Testing Student. Setelah membaca dan membaca ulang semua materi, dia memutuskan untuk membeli laboratorium dan ujian untuk menguji dan mensertifikasi keterampilan yang diperoleh ".
Ini bukan kursus yang mudah tetapi dapat diikuti dan dilalui oleh siapa saja yang ingin berkomitmen selama beberapa bulan, menonton video dan tutorial, coba lokakarya pendidikan. Ujian berlangsung dalam lingkungan yang realistis dan berlangsung selama tiga hari, itu dasar tetapi tidak jelas, menantang tetapi tidak membuat frustrasi. Kami pergi terburu-buru tapi tanpa tergesa-gesa. Harus ditemukan cara untuk melanggar a web server dikonfigurasi dengan buruk dan gunakan "pintu" ini untuk mengakses area pribadi. Setelah berada di dalam perimeter, temukan kerentanan dan ekstrak data sensitif.
Dia adalah seorang siswa yang rajin dan, berkat banyak catatan yang diambil, pengetahuan tentang teori dan kompetensi yang diberikan oleh tes di laboratorium, Little Red Riding Hood telah memperoleh sertifikasi bergengsi pertama: dia telah menjadi eJPT, atau "eLearnSecurity Junior Penetration Tester" .
Menjadi dunia kerja itu keamanan cyber dia lebih lapar daripada serigala, setelah beberapa hari dia mulai menerima tawaran dan mendapatkan pekerjaan. Ia pernah mengalami aktivitas OSINT15, dia merasa seperti agen kontraintelijen16, telah menemukan informasi sensitif yang, tanpa izin dari pelanggannya, telah dicuri. Itu telah menguji sistem dan jaringan untuk menemukan kekurangan dan kerentanan. Dia telah melaporkannya kepada rekan-rekannya di tim biru yang telah mengambil langkah untuk membuat bagian mereka di dunia maya lebih kuat. Dengan pengalaman yang didapat saat masih muda hacker itu Tim Merah (dan sangat ingin terlibat), dia siap untuk memulai tantangan baru dan menjalankan proses eCPPT dan menjadi Penguji Penetrasi Profesional Bersertifikat. Di sana dia akan mempelajari teknik baru dan mencapai tujuan baru yang akan memungkinkannya suatu hari memperoleh sertifikasi darinya EXtreme Penetration Tester17.
Kemudian suatu hari Little Red Riding Hood menyadari bahwa dia telah dewasa, dia menikah dengan seorang hacker bertobat dan bersama-sama mereka memiliki banyak anak ... dan semua hidup bahagia selamanya.
Tapi sekarang sudah larut, jadi tidurlah keponakanku tersayang ...
1 Perbedaan ini sangat umum tetapi dianggap dangkal oleh operator di sektor ini.
2 Belum ada insiden seperti itu yang terjadi.
3 Banyak outlet media telah melaporkan hal ini selama bertahun-tahun.
4 Tim Tanggap Darurat Komputer.
5 Ini adalah penyederhanaan, tugas Tim Biru mereka tak terhitung banyaknya.
6 Misalnya SIEM, Informasi Keamanan dan Manajemen Acara: https://it.wikipedia.org/wiki/Security_Information_and_Event_Management.
7 Fase dari pengerasan: idealnya kode pemrograman harus bebas dari kerentanan (mis. buffer overflow) dan sistem jaringan harus menyertakan alat perlindungan (mis. firewall, kebijakan, dll.). Sayangnya, untuk alasan efektivitas biaya dan fungsionalitas, sejumlah risiko harus selalu diterima.
8 Kriptografi adalah cabang matematika teoretis yang agak kompleks. Keamanan bergantung pada banyak faktor heterogen. Kerahasiaan sempurna ada tetapi tidak dapat diterapkan dalam konteks nyata oleh karena itu sejumlah risiko harus diterima sehingga ahli matematika tahu cara menghitung. Mengembangkan kode kriptografi Anda sendiri berbahaya tetapi cukup umum di antara para kriptografer pemula, peretas tahu bagaimana memanfaatkan kekurangan ini. Untuk informasi lebih lanjut, lihat “Jonathan Katz, Yehuda Lindell - Pengantar Prinsip dan Protokol Kriptografi Modern-Chapman and Hall”.
9 Ilmu hukum diterapkan pada teknologi informasi dan khusus di dunia maya.
10 Di sini juga penyederhanaan dibuat, tim merah bertindak di bawah kontrak yang sangat tepat yang menetapkan batasan secara tepat waktu. Melampaui batas ini dapat mengakibatkan konsekuensi perdata dan hukuman pidana yang berat.
11 PWK - Pengujian penetrasi Dengan Kali Linux.
12 Sertifikasi pertama diambil sebagai contoh Keamanan ofensif, yaitu OSCP (Ofensive Security Certificated Professional). Tawaran dari perusahaan bergengsi ini diperkaya dengan kursus lain yang bahkan lebih berharga dan sulit yang semuanya berorientasi pada pelatihan ofensif, yaitu tim Merah.
13 SANS menawarkan kursus bergengsi, tetapi dengan biaya yang sangat tinggi, di setiap bidang keamanan dunia maya.
14 Singkatan dari PENetration TESTER.
15 Intelijen Sumber Terbuka.
16 Mengenai subjek, lihat artikel saya sebelumnya: “nama saya keamanan, keamanan dunia maya. Google Hacking dan Shodan: kecerdasan yang tidak Anda harapkan ”.
17 Klarifikasi berikut diperlukan:
- Tidak ada sertifikasi itu sendiri yang membuktikan kemampuan operator keamanan cyber, jalurnya penguji penetrasi ini terutama didasarkan pada pengalaman lapangan;
- Ada kursus pelatihan yang valid seperti yang dijelaskan; cerita tersebut didasarkan pada pengalaman pribadi penulis dan tidak memiliki nilai ilmiah;
- Tujuan artikel bukan untuk mengiklankan dan tidak ada hubungan antara penulis, penerbit, dan perusahaan yang menyediakan kursus dan sertifikasi.
