Tror sgu ikke det er så svært at få et script kiddie job, hvor man sidder og leger med Kali, hvis det er sådan noget du tænker på ? Men prøv at tjek nogle Defcon videoer, og tjek lidt op på dem, som holder foredrag. Læs lidt op på hvilken baggrund de har, og hvad de har af uddannelse og jobs m.m.
--
Take everything you like seriously, except yourselves.
--

Sidst redigeret 02-03-2018 23:34

#1 Pentesting ja(man kan vel kalde det kiddie)eller audit, hvor man gennemgår policies for IT. Det mere om jeg skal træffe det rigtige valg. Har vi et markedet, hvor man tjener 50-60K+ som sikkerhedsexpert?(igen hvad enten det er om scripting eller auditing?). Elsker også mit nuværende job - vil ikke give afkald på uendelig meget Cisco erfaring, medmindre IT sikkerhed er et område, som kan betale sig at investerer i karreermæssig:)
--
Gæstebruger, opret dit eget login og få din egen signatur.

#2 Det kommer an på om du søger penge (hvilket det lader til), eller du søger et job, som du gider at stå op til hver dag.
--

Kommer helt an på hvad du ønsker. Lige nu lyder det til du ikke er klar over det. IT-sikkerhed er basalt set blot ekspertviden inden for sit respektive område. Du kan li Cisco, så er det blot en CCIE Security certificering du skal gå efter og hive +1 million hjem i årsløn ;)
--

#1 var Kali ikke død i en periode?
--
3dfx 4 ever!!!

#5 Nææ, der er lige udgivet et nyt release: https://www.kali.org[...] samt forrige release var i november, sidste år ?
--
Take everything you like seriously, except yourselves.
--

Sidst redigeret 02-03-2018 23:56

#4 Ej, mener du det? Der er gode penge i Cisco Security(vil heller sigte efter en CCNP, er bange for jeg går død i det under CCIE forløbet:P)?
--
Gæstebruger, opret dit eget login og få din egen signatur.

#7, de steder jeg har været, tjente CCIE folkene ikke under 80k månedligt. Kræver naturligvis du har de skills der skal til for at komme i top 5%. Du kan prøve med CCNP og se hvor langt det rækker. CCNP er ikke det helt store vær, det er erfaringen der tæller :)
--

Der vil altid være jobs i IT-sikkerhed, sandsynligvis flere i fremtiden. Jeg aner intet om det, men syntes da ikke der er noget galt i, at henvende sig til firmaer indenfor området og høre, hvad de kigger efter, når de skal ansætte nye medarbejdere. Jeg ved at Deloitte søger en masse indenfor IT-sikkerhed for tiden, hvad dét så indebære, ved jeg ikke.
--

#4 Tror man skal have en del års erfaring, for at have nok viden, inden for emnerne man bliver eksamineret i. #8 Datateknikere bliver tæsket igennem et CCNP kursus (dog uden Cisco certificering) - måske det kunne være et sted at starte.
--
Take everything you like seriously, except yourselves.
--

Sidst redigeret 03-03-2018 00:05

#10, du får ikke erfaring hvis ikke du starter et sted ;) CCIE er teori og du kommer langt med øvelse i hjemmelab. Så hvor der er vilje er der vej. Dog svare en CCIE typisk til en PHD. Så det er omfattende og naturligvis også en lidt dyre certificering. Men alle pengene vær :) Har selv været igennem CCNP på IT-supporter. Dog er CCIE en verden for sig :)
--

Sidst redigeret 03-03-2018 00:09

#11 Jeg syntes ikke at #0 for mig, virker som typen. De ville sgu nok ikke starte her på hol.dk, men ville allerede være startet forlængst. F.eks. på et eller andet script kiddie board eller IRC kanal, da de var teenager, hvis du forstår hvad jeg mener - så kommer resten lidt af sig selv ;-)
--
Take everything you like seriously, except yourselves.
--

Sidst redigeret 03-03-2018 00:22

#11 "Dog svare en CCIE typisk til en PHD" Hvad baserer du dette udsagn på?
--

top 5% i DK kommer ikke til at ske ever
--

#13, hvad jeg har hørt af erfaring og den tid der skal ligges i det og fra interviews med folk der har taget CCIE. Arbejdsmængden er enorm, men har aldrig taget dem. #12, scriptkiddies kommer typisk ikke videre, fordi de ikke har interessen for teknologien. De er kun efter fame effekten. #0 har egentlig et godt udgangspunkt i form af sit arbejde, hvor han kan hente erfaring. Så synes han skal gå efter det, nu hvor han gerne vil være i top 5% :)
--

Sidst redigeret 03-03-2018 00:36

#15 Hurtig søgning foreskriver at CCIE er estimeret til ca. 1000-1200 timer + CCNP + CCNA. Selv baseret på tid alene (hvilket ikke giver mening) kan jeg ikke få dit regnestykke til at gå op mod gymnasiel eksamen + bachelor + kandidat + PhD. Ret mig hvis jeg tager fejl.
--

Sidst redigeret 03-03-2018 01:33

#16, jeg er imponeret over hvis du kan klare det på det få antal timer :) Og du skal lige tage gym, bach, kand fra i dit regnestykke. Sagde det var som en PHD ;) Iøvrigt, jeg er i gang med akademi uddannelse inden for IT-sikkerhed. 10 ETCS point svare her til 280 arbejdstimer. Et fuld studie år svare til 60 ETCS og er lig 1680 timer. Jeg ved godt hvad der ville trække flest tænder ud :)
--

Sidst redigeret 03-03-2018 01:54

#17 De antal timer fandt jeg nævnt flere steder. Der er forudsætninger for PhD, som der skal tages højde for. Desuden sammenligner du vidt forskellige niveauer. Den ene er en akademisk grad og den anden en certificering. Prøver blot at forstå din sammenligning. Antager at du brugte PhD som en måde at måle tid?? Hvorfor ikke bare skrive eks. 18 måneder el. lign.
--

Hvis det er mere management delen, så kig på f.eks. CISSP: https://www.isc2.org[...] Hvis det er mere pentest vejen du vil, så kan CEH være en mulighed: https://www.eccouncil.org[...]
--
Bazinga! Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede. FFHAU!

#19, CEH er en joke, Offensive Security vil jeg derimod anbefale :) Læser selv CISSP og rigtig fornuftigt, set fra et organisatorisk synspunkt.
--

#20 - CISSP er bare et underligt misk-mask af governance og management og så noget dybdegående teknik, som f.eks. i kryptografi. Og så er den fokuseret på USA, sjovt nok.
--
Bazinga! Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede. FFHAU!

#18, du blander tingene lidt sammen. En PHD ligger på 8 ud af 8 i livslang læring. Ligeledes har jeg fået fortalt og kan læse mig til, at CCIE ligger i samme niveau. Herfor at sidestille. Du kan ikke sætte timer på, da det er individuelt. Men vil dog mene 1200 timer lyder af alt for lidt. Synes #0 skal kaste sig ud i det. Certificeringen koster dog +10.000 per forsøg, men arbejdspladsen er nok villig til at betale for den slags kompetence og høje ambitions niveau :)
--

#22 Kilde til at de to ligger på samme niveau på kvalifikationsrammen for livslang læring, EQF eller e-cf.
--

Sidst redigeret 03-03-2018 12:52

#23, jeg har de samme kilder som du selv er fundet frem til.
--

Der er en væsentlig forskel på en phd og f.eks. en certificering som CCIE. Phd er (oftest) et fuldtidsstudie, men CCIE er et fyraftensstudie. At bruge 2-3 år på at tage CCIE certfificeringen er ikke unormalt.
--
Bazinga! Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede. FFHAU!
--

Sidst redigeret 03-03-2018 13:36

#24 Øhh? Prøv igen. #25 Præcis.
--

Sidst redigeret 03-03-2018 13:47

#26, vi kommer ikke rigtig videre, så holder her :)
--

#26 +#27 - Når ingen af Jer gider at smide de kilder I har fundet, kommer I ingen vejne.
--
Bazinga! Problemer med en Admin/Moderator? Spørgsmål vedr. en tråd/et indlæg? - Send en mail til undertegnede. FFHAU!

Jeg tror dit motiv ligger det forkerte sted hvis du gerne vil opbygge en karriere inden for IT sikkerhed og dit mål er at tjene flere penge og blive top 5% (hvad betyder dette lige og hvordan måler du det?). Det er helt klart vigtigt at have ambitioner, jeg tror dog ikke at målet med at tjene kassen er det som skal være den underlæggende drivkraft og motivation for at gå i IT sikkerheds retningen. Jeg er overbevist om at man ikke er i IT sikkerheds branche udelukkende for at tjene penge, da der er så meget arbejde og energi der skal ligges i det - Man er der fordi man er passioneret omkring det. Personligt er jeg i gang med at opbygge min egne færdigheder for at kunne arbejde som Security Researcher, hvilket er lidt mere bredt end bare pentester/code audit, da min interesse ikke kun ligger i at lave pentests for firmaer osv. Det jeg gør for at nå mit mål er at lære alt.. Læse alle bøger jeg kan komme i nærheden af omkring emnet, se så mange talks som muligt og arbejde med det aktivt hver dag. Alle kan med en dags træning lære de grundlæggende principper for pentest hvis de gider at lære det, dog tager det rigtig mange år og dermed erfaring, at blive dygtig. Mht. til økonomi og it sikkerhed, så er det jo et område der er i rivende udvikling og der bliver spyttet flere og flere penge ind på området, da det er et af de største udfordringer vi står overfor i den verden vi lever i, i dag. Det er dog ikke garanteret at man kan tjene mange penge da det er afhængigt af hvad man er i stand til aka hvor dygtig man er. Med det sagt, så er der en underlæggende budskab med mit udtalelse, hvis du virkelig vil, så gør hvad der skal til for at opnå det. Jeg tror ikke at hol er det rette sted for dette emne, da der eksistere andre forums som er fokuseret på området. Hvilke certificeringer osv.. du skal vælge aner jeg ikke.. Men jeg har en idé om hvilke egenskaber du bør have hvis du vil arbejde med pentest, code auditing eller generel security researcher og det handler om at du bliver nødt til at fokusere på hvad du vil, derefter gør hvad der skal til for at lære det, om det er igennem certificeringer eller om det er igennem at læse og arbejde dig frem til det er i min optik irrelevant. Autodidakte mennesker er oftest dem som når længest inden for fx. dette område vi snakker om, fordi de ikke er begrænset af skoler og kurser, men kun begrænset af deres egen nysgerrighed og drivkraft. At studere og lære stopper aldrig, der er bare nogle folk som sætter det på pause i sin karriere. Jeg håber du får mulighed for at arbejde med det du mest brænder for og ønsker dig god med vind i processen. Leg med det ved siden af som en hobby og lad den vokse stille og roligt - så skal du nok finde ud af om det er noget du brænder for eller ej :) Btw. en lille side note, pentest er langt hen ad vejene ved at blive automatiseret og er et af de områder der er/bliver interessant at kombinere med machine learning, dog er det menneskelige aspekt af det stadigvæk nødvendigt.
--

#28 Tror du har glemt at jeg fortsat venter på svar fra #11 "Dog svare en CCIE typisk til en PHD". Det er ikke mit postulat.
--

Opretter mig helt sikkert som en bruger. Super fedt sted at hænge ud og uendelig mange gode svar(og folk der har samme ambitioner). Tak gutter:) #29 Jeg føler jeg har langt om længe fundet min passion indenfor IT. Og det er super fedt. Heldigvis besidder jeg et job, hvor sidder og roder med Cisco routere, 8 timer om dagen(og lige så mange udfordringer, som der er firmaer). Jeg føler det grundlæggende i mit arbejde, er utrolig værdigfuld indenfor sikkerhed. Nu skal jeg truffe et rigtigt godt valg. Jeg er trods alt 32 år og jeg må etablere mig i en retning. Som sagt: 1)Jeg kan sidde her uden problemer og dygtiggøre mig indenfor Cisco. 2)Jeg kan tage chancen indenfor sikkerhed. Jeg kender dog ikke branchen. Men jeg SKAL overveje økonomien i det. Jeg håber vi folk, som kan gå ind på, hvordan deres IT afdeling mv. håndtere sikkerhed. Om der er en fremtid i det.
--
Gæstebruger, opret dit eget login og få din egen signatur.

#29 "Btw. en lille side note, pentest er langt hen ad vejene ved at blive automatiseret og er et af de områder der er/bliver interessant at kombinere med machine learning, dog er det menneskelige aspekt af det stadigvæk nødvendigt." VIGTIGT. Takker! Det er noget jeg skal have i mine overvejelser. Vil ikke ende i en situation, hvor jeg investere min fritid og ingen kan bruge mig i sidste ende. Så jeg ikke misforstår dig - når du siger automatiseret - er det fordi man kan kører en "debug" eller et tool? Ikke noget man, at man faktisk har en hacker med hele kittet som gennemtester virksomheden? Jeg formoder auditing i så fald vil være vigtigt i fremtiden?(mere software, størrere udfordringer)? Eller en sikkerheds-arkitekt, som implementere et netværk eller gennemgår software koding?
--
Gæstebruger, opret dit eget login og få din egen signatur.

#31, når du siger IT-sikkerhed, hvad mener du nærmer? Det er et bredt område :)
--

#33 Jeg ved det ikke:) Jeg håber at folk herinde har erfaringer handson eller fra deres netværk. Mangler lidt insider viden.:)
--
Gæstebruger, opret dit eget login og få din egen signatur.

#24, du kan starte med at fortælle om du foretrækker red eller blue team? :)
--

#35 Som udgangspunkt Red. Men nu må jeg indrømme, at i har inspireret mig til Blue, eftersom jeg kan gøre brug af Cisco:) Fortæl fortæl:P
--
Gæstebruger, opret dit eget login og få din egen signatur.

#36, du bliver nødt til at finde ud af hvad du vil. Det kan jeg ikke gøre for dig :P
--

Vil du tjene penge på it sikkerhed, så er det helt klare var at du skal opgradere din uddannelse til datalogi og lave speciale i kryptologi eller lign.
--

#32 Der er forskellige værktøjer til at lette arbejdet. Alt fra Static Code Analysis til automatisk Port Scanning og automatisk exploitation.. Som pentester skal du helst kunne opnå så meget som muligt på kort tid som muligt, når jeg laver en pentest benytter jeg mig fx. af værktøjer til at indsamle så meget information som muligt (reconnaissance) for derefter at kunne analysere hvilke mulige entries der er i det givne system og derefter planlægger exploitation delen. Problemet med automatisk scanning er False-Positives og man bliver derfor nødt til at kigge resultaterne igennem og finde ud af hvordan du kan gøre det brugbart. Før man går i gang med at bruge automatiserede tilgange skal man kunne gøre det manuelt, det hjælper ikke at der er et stykke software skrevet af en anden hacker som udføre en process man ikke selv forstår, hvis man skal kunne bruge det effektivt. Så pt. ligger automatiseringen primært i at løse det trivielle fordi det letter arbejdet og giver mere overskud. Se det lidt som en tømre der benytter sig af en boremaskine istedet for en skruetrækker :) Auditing er super vigtigt, det er selv et område jeg gerne vil spendere rigtig meget tid på, især fordi at de fleste firmaer ikke køre nogen form for "Secure Coding Policy" og i nutidens verden er der utrolig mange mennesker som lære at kode sprog, men ikke lære hvilke faldgrupper der er. Et klassisk eksempel er C/C++, dangling pointers & buffer overflows.. Da jeg var på datamatiker uddannelsen var der ingen informationer omkring hvordan generelle fejl fungere og hvordan de kan udnyttes fordi det var der ikke tid/interesse til det. Der blev lagt mere vægt på at producere kode og forstå kunders umådelige mærkelige ønsker til de produkter som man skal levere/producere - hvilket er ærgeligt! Alle udviklere burde have dette med helt fra start af, så de lære at genkende fejl. Med auditing kan du benytte dig af fuzzers og static code analysis udover at kigge på koden og genkende hvilke fejl der er eksisterende. Det skal lige tilføjes at du faktisk ikke behøver at være særlig dygtig til at kode for at kunne finde fejl og forstå de grundlæggende koncepter der gør dig i stand til at udnytte disse fejl. Ydermere så er der stille og roligt begyndt at komme flere sprog frem (som egentlig bare er variationer af gamle sprog) der prøver at løse disse "standard" problemer som programmøre indføre i deres kode, fx. rust. Jeg håber det kan give et lidt bedre billede af hvordan det fungere, du kan evt. oprette en bruger og kontakte mig herinde, så kan vi snakke mere om det hvis det har interesse :) Mht. til red/blue teams, så har jeg ikke interesse i at indlede i en lang subjektiv diskussion omkring hvilket hold er bedst, dog vil jeg lige skyde lys på at begge hold er vigtige og at red team nok er noget af det vigtigste. Hvad hjælper det at man producere en væg som skal kunne modstå brand, men aldrig har sat ild til den? Oversat til it sikkerhed, hvad hjælper det at man har et it system man betegner som sikkert, men egentlig ikke ved om det er fordi der ikke har været udført nogle test på det. Det er vigtigt at teste for at kunne blive bevidst omkring hvilke mulige faldgrupper der er eksisterende.
--

Sidst redigeret 04-03-2018 19:37

#39, hvad hjælper det at du sætter ild til en fake væg (honypot) og efterlader fingeraftryk overalt? I dag handler om gensidig forståelse for hvordan modparten arbejder. Derfor synes jeg ikke du kan stille en øverst. Det er hønen og ægget diskussion :)
--

#40 Jeg snakker ikke om honeypots og så forstår jeg ikke hvordan "fingeraftryk" har relevans i forhold til kontekst, du kan også godt bruge metoder som ikke direkte efterlader "fingeraftryk" over det hele når man tester sikkerheden af. Se det som et game hvor du har "attackers" og "defenders" du kan ikke have den ene part uden den anden. På samme måde kan man stille det op som at hvis der ikke var folk i verden med hensigten om at kontrollere systemer ved at finde sårbarheder og udnytte dem, ville der så være behov for at beskytte imod dem? Derfor mener jeg at i dette tilfæde, at man aktivt bliver nødt til at finde fejl ved direkte at gå ind og se hvad kan man finde frem af fejl og hvordan kan de udnyttes. For verden er således at der eksistere folk der gerne vil kontrollere systemer af forskellige årsager - så hvis fejlene ikke bliver fundet inden de gør, hvordan kan man så være i stand til at beskytte sig selv mod dem? Jeg vil ikke stille en af dem øverst, men derimod pointere at uden "red team" ville det være næsten umuligt at beskytte sig (blue team) - det er et direkte paradoks og ja man sagtens drage "hønen og ægget" som en analogi til situationen :)
--

Sidst redigeret 05-03-2018 00:20