Ada yang tanya aku, apa yang depa perlu tahu kalau nak ceburi bidang Cyber Security (CyberSec)? Nampaknya ramai yang berminat nak masuk bidang ni π
Kalau nak terjun bidang CyberSec, ini benda asas yang korang kena tahu..
Bebenang π§΅
Kalau nak terjun bidang CyberSec, ini benda asas yang korang kena tahu..
Bebenang π§΅
β οΈ Disclaimer: niche aku bukan CyberSec, tapi software. Walaubagaimanapun, SE pun ada pertembungan dengan CyberSec, jadi aku tahu serba sedikit lah pasal ni.
Disebabkan ramai orang tanya, jadi aku tulis apa yang aku tahu ok?
Disebabkan ramai orang tanya, jadi aku tulis apa yang aku tahu ok?
So kalau korang berminat nak masuk bidang CyberSec, korang kena hone skills ni:
1. Networking & Wireless Technologies
2. Operating Systems (OS)
3. Terminal/CLI
4. Social Engineering
5. Programming
6. Penetration Testing
7. Ethical Hacking
1. Networking & Wireless Technologies
2. Operating Systems (OS)
3. Terminal/CLI
4. Social Engineering
5. Programming
6. Penetration Testing
7. Ethical Hacking
1. Networking & Wireless Technologies
Benda ni penting sebab hampir kesemua aktiviti hacking berlaku kat dalam network, be it local network or the Internet. Zaman sekarang ni, majoriti orang connect ke network guna teknologi wireless kan?
Benda ni penting sebab hampir kesemua aktiviti hacking berlaku kat dalam network, be it local network or the Internet. Zaman sekarang ni, majoriti orang connect ke network guna teknologi wireless kan?
Sebagai hacker, dia kena pun kena belajar lah tentang rangkaian ni. Antaranya, kena tahu network topology, device addresses (IP, MAC, etc.), ARP dan lain-lain.
Sebab apa? Okay camni. Dalam hacking ada satu teknik ni dipanggil reconnaissance.
Sebab apa? Okay camni. Dalam hacking ada satu teknik ni dipanggil reconnaissance.
Reconnaissance ini adalah proses di mana hacker dia cuba dapatkan sebanyak mungkin maklumat tentang sistem target untuk cari di mana ada vulnerabilities.
Benda ni macam entry point untuk hacking lah. Let say dia scan satu network. Kemudian keluar topology:
Benda ni macam entry point untuk hacking lah. Let say dia scan satu network. Kemudian keluar topology:
Macamana dia nak start hack kalau dia tak reti baca topology at the first place?
Contoh lain, katakanlah dia nak hack public WiFi.. pertama sekali, macamana dia nak hack WiFi tu kalau dia tak tahu tentang teknologi ni?
Contoh lain, katakanlah dia nak hack public WiFi.. pertama sekali, macamana dia nak hack WiFi tu kalau dia tak tahu tentang teknologi ni?
Umum tahu, biasanya WiFi ni protected/encrypted. Kalau hacker tu reti tentang WiFi, dia kena tahu beza WEP/WPA/WPA2. WEP ni memang banyak vulnerablities dan paling senang untuk crack password dia.
(Kalau ofis masih guna WEP, sila upgrade ke WPA segera).
(Kalau ofis masih guna WEP, sila upgrade ke WPA segera).
2. Operating Systems (OS)
Bukan setakat Windows sahaja yang nak kena reti. Security enthusiasts kena reti lah bagaimana OS berfungsi dan macamana nak guna; especially Linux distro (distributions).
Ada banyak Linux distro, tapi yang popular untuk hacker adalah Kali.
Bukan setakat Windows sahaja yang nak kena reti. Security enthusiasts kena reti lah bagaimana OS berfungsi dan macamana nak guna; especially Linux distro (distributions).
Ada banyak Linux distro, tapi yang popular untuk hacker adalah Kali.
Kenapa Kali? Apa yang istimewanya dengan benda ni? Kali Linux ni dah dilengkapi dengan banyak pentesting tools. Sebab tu lah dia popular dalam kalangan security enthusiasts.
Tapi biasanya hacker ni memang terer lah bab OS ni, diorang memang expert dalam pelbagai jenis distro.
Tapi biasanya hacker ni memang terer lah bab OS ni, diorang memang expert dalam pelbagai jenis distro.
Selain Kali, ada Parrot OS, Backbox, NodeZero dan memacam lagi lah. Cuma nak pesan; jarang aku tengok hacker profesional boast pasal Kali sebenarnya haha.
*screenshot $ sudo bettercap --help*
*post kat Twitter*
*yay aku hacker*
Lol. Jangan begitu.
*screenshot $ sudo bettercap --help*
*post kat Twitter*
*yay aku hacker*
Lol. Jangan begitu.
Joke aside. Walaupun hacker guna Linux, dia kena tahu Windows OS juga. Kalau taktahu Windows, nak jadikan siapa lagi sebagai mangsa? Wakaka.
Jujur cakap, Windows ni selalu jadi target sebenarnya. Tapi adakah itu menjadikan Windows OS yang tak secure? Tidak semestinya.
Jujur cakap, Windows ni selalu jadi target sebenarnya. Tapi adakah itu menjadikan Windows OS yang tak secure? Tidak semestinya.
Yang selalu jadi mangsa kat Windows ni bila dia suka download dan install memacam benda kat situ dan pada masa yang sama dia taktahu pun apa benda yang dia install.
https://twitter.com/omarqe/status/1274539729023713283?s=20
3. Terminal/CLI
Ini penting kerana kebanyakan hacking tools ni wujud dalam bentuk Command Line Interface (CLI).
Tools macam God's Eye yang korang tengok dalam Fast and Furious tu exaggeration je nak bagi mata korang seronok tengok benda fancy macamni haha.
(gambar dari Google)
Ini penting kerana kebanyakan hacking tools ni wujud dalam bentuk Command Line Interface (CLI).
Tools macam God's Eye yang korang tengok dalam Fast and Furious tu exaggeration je nak bagi mata korang seronok tengok benda fancy macamni haha.
(gambar dari Google)
Aku tak rasa ada developer yang rajin buat tools dengan animation fancy-fancy macamtu just untuk hacking. Pada hakikatnya, skrin hacker dipenuhi dengan benda macamni. GUI untuk cam streaming pun macam screenshot terakhir tu je.
(gambar dari Google)
(gambar dari Google)
Keseronokan guna Terminal ni hanya orang yang minat sahaja boleh rasa. Kalau nak jadi security expert pengaruh dari filem-filem Hollywood yang exaggerating tu, sorry to disappoint you, it's not that fancy kot.
4. Social Engineering
Social Engineering adalah tentang bagaimana korang memanipulasi mangsa secara psikologi (menipu) untuk dapatkan data sensitif mahupun, akses sistem tertentu mahupun duit daripada mereka.
Social Engineering adalah tentang bagaimana korang memanipulasi mangsa secara psikologi (menipu) untuk dapatkan data sensitif mahupun, akses sistem tertentu mahupun duit daripada mereka.
Kemahiran Social Engineering ni pun kena ada juga. Aku taknak cerita dah dalam bebenang ni; sebab aku dah banyak cerita sebelum ni, korang cari la bebenang pasal ni kat Pinned Tweet aku.
Cuma nak highlight recent event hasil social engineering:
auto.hindustantimes.com/auto/news/hereβ¦
Cuma nak highlight recent event hasil social engineering:
auto.hindustantimes.com/auto/news/hereβ¦
5. Programming
Tak ada language yang spesifik untuk belajar untuk hacking ni. Sebab fokus korang bukan software development, tapi security. Sistem kalau dibina dengan language apa sekalipun akan ada vulnerabilities.
Bukan sedikit hacker yang tak ada pengalaman programming.
Tak ada language yang spesifik untuk belajar untuk hacking ni. Sebab fokus korang bukan software development, tapi security. Sistem kalau dibina dengan language apa sekalipun akan ada vulnerabilities.
Bukan sedikit hacker yang tak ada pengalaman programming.
Hacker yang pandai programming adalah advantage, di mana dia boleh develop hacking tools, boleh analisa kod untuk cari vulnerabilities dan lain-lain.
To point you into that direction, antara programming languages yang berguna adalah yang popular:
To point you into that direction, antara programming languages yang berguna adalah yang popular:
https://twitter.com/omarqe/status/1208215031554265088?s=20
6. Penetration Testing
Pentesting adalah cubaan untuk ceroboh masuk ke dalam sesuatu sistem β biasanya terjadi kat sistem web lah. To get started, aku suggest korang mulakan dengan OWASP Top 10.
owasp.org/www-project-toβ¦
Pentesting adalah cubaan untuk ceroboh masuk ke dalam sesuatu sistem β biasanya terjadi kat sistem web lah. To get started, aku suggest korang mulakan dengan OWASP Top 10.
owasp.org/www-project-toβ¦
OWASP adalah satu komuniti yang dokumenkan security vulnerabilities untuk software. OWASP ni femes dengan Top 10 tu, di mana diorang senaraikan top 10 security vulnerabilities.
So dalam dokumen ni korang boleh baca benda apa yang possible berlaku untuk sistem zaman sekarang.
So dalam dokumen ni korang boleh baca benda apa yang possible berlaku untuk sistem zaman sekarang.
Disebabkan teknologi semakin laju, maka security flaws pun semakin hari semakin berbeza. Maka OWASP ni akan buat major updates dalam beberapa tahun.
OWASP Top 10 yang paling terkini adalah tahun 2017.
OWASP Top 10 yang paling terkini adalah tahun 2017.
Dalam pentesting ni lah orang cakap tentang SQL injection, CSRF, XSS, etc.
Ambil SQL Injection sebagai contoh. Benda ni bahaya sebenarnya haha. Ia bukan sekadar maliciously display sensitive data kat web, tetapi dia boleh bagi akses kepada seluruh server kat hacker (worst case).
Ambil SQL Injection sebagai contoh. Benda ni bahaya sebenarnya haha. Ia bukan sekadar maliciously display sensitive data kat web, tetapi dia boleh bagi akses kepada seluruh server kat hacker (worst case).
Untuk belajar pentest ni, korang boleh gunakan Kali Linux dan install Metasploit dalam VirtualBox sebagai training playground. Metasploit tu macam makmal untuk korang eksperimen tentang pentesting ni.
Dalam Metasploit ni ada bermacam-macam vulnerable programs korang boleh test.
Dalam Metasploit ni ada bermacam-macam vulnerable programs korang boleh test.
7. Ethical Hacking
Dalam Islam, penganiayaan adalah perbuatan yang berdosa. Jadi, pastikan korang belajar hacking bukan untuk aniaya orang.
Korang mungkin tahu kot Black Hat dan White Hat. White Hat adalah kerjaya profesional; kita panggil security experts, pentesters, etc.
Dalam Islam, penganiayaan adalah perbuatan yang berdosa. Jadi, pastikan korang belajar hacking bukan untuk aniaya orang.
Korang mungkin tahu kot Black Hat dan White Hat. White Hat adalah kerjaya profesional; kita panggil security experts, pentesters, etc.
So tugas white hat ni bukan untuk hack orang, tetapi untuk protect. Dia cari makan dengan cari vulnerabilities dalam sistem, kemudian dokumenkan laporan tentang vulnerabilities yang dia jumpa.
So untuk jadi seorang white hat hacker, perlu belajar tentang etika lah dalam hacking.
So untuk jadi seorang white hat hacker, perlu belajar tentang etika lah dalam hacking.
So ada certification programme untuk white hat ni seperti Certified Ethical Hacker (CEH). Certification ni penting jugak kalau nak kerja security analyst kat syarikat-syarikat teknologi.
Dan aku rasa korang kena ada rekod yang cantik jugak lah kot.
Dan aku rasa korang kena ada rekod yang cantik jugak lah kot.
Kalau pernah ada rekod buat jenayah hacking; agak-agak ada lagi ke syarikat yang akan percaya pada korang? Rasanya tak kot.
Selain tu, kadang-kadang giants macam Instagram, Facebook ada bounty program. Aku tak sure macamana nak join tu β tapi aku mention jelah.
Selain tu, kadang-kadang giants macam Instagram, Facebook ada bounty program. Aku tak sure macamana nak join tu β tapi aku mention jelah.
Bounty program ni di mana diorang hire security experts untuk cari vulnerabilities kat app diorang. Kemudian kalau experts jumpa, diorang bayar hefty amount of cash jugak la.
Ni salah satu contoh la, Instagram bayar orang ni USD $30,000.
thezerohack.com/hack-any-instaβ¦
Ni salah satu contoh la, Instagram bayar orang ni USD $30,000.
thezerohack.com/hack-any-instaβ¦
Aku rasa sampai situ saja bebenang ni. Aku nak pi makan. Semoga semua rakyat Malaysia diberikan kesihatan yang baik dan dihindari daripada wabak COVID ni. Ameen.
Stay safe semua. #StayAtHome #RakyatJagaRakyat
Stay safe semua. #StayAtHome #RakyatJagaRakyat
Kalau rasa thread ini bermanfaat, kongsikan dengan rakan anda.
Berminat nak baca thread CSIT yang sebelum-sebelum ni, baca kompilasi di bawah ni. Follow for more threads on CSIT in the future.
Berminat nak baca thread CSIT yang sebelum-sebelum ni, baca kompilasi di bawah ni. Follow for more threads on CSIT in the future.
https://twitter.com/omarqe/status/1155346037013221377?s=20
Tambahan: aku tengah menulis buku (e-book) full stack programming dalam Bahasa Melayu β aku ada bagi teaser sikit kat tweet bawah ni haha. Releasing soon inshaAllah.
https://twitter.com/omarqe/status/1309749075441364998?s=20
Kalau berminat nak dapatkan buku ni, subscribe channel Telegram aku t.me/omvrio. Bila nak release nanti aku inform kat situ lebih awal untuk dapatkan harga diskaun hehe.
Just found this meme in the dark web π
β’ β’ β’
Missing some Tweet in this thread? You can try to
force a refresh
γ
