Omar Mokhtar Profile picture
6 Oct, 35 tweets, 10 min read
Ada yang tanya aku, apa yang depa perlu tahu kalau nak ceburi bidang Cyber Security (CyberSec)? Nampaknya ramai yang berminat nak masuk bidang ni πŸ˜„

Kalau nak terjun bidang CyberSec, ini benda asas yang korang kena tahu..

Bebenang 🧡 Image
⚠️ Disclaimer: niche aku bukan CyberSec, tapi software. Walaubagaimanapun, SE pun ada pertembungan dengan CyberSec, jadi aku tahu serba sedikit lah pasal ni.

Disebabkan ramai orang tanya, jadi aku tulis apa yang aku tahu ok?
So kalau korang berminat nak masuk bidang CyberSec, korang kena hone skills ni:

1. Networking & Wireless Technologies
2. Operating Systems (OS)
3. Terminal/CLI
4. Social Engineering
5. Programming
6. Penetration Testing
7. Ethical Hacking
1. Networking & Wireless Technologies

Benda ni penting sebab hampir kesemua aktiviti hacking berlaku kat dalam network, be it local network or the Internet. Zaman sekarang ni, majoriti orang connect ke network guna teknologi wireless kan? Image
Sebagai hacker, dia kena pun kena belajar lah tentang rangkaian ni. Antaranya, kena tahu network topology, device addresses (IP, MAC, etc.), ARP dan lain-lain.

Sebab apa? Okay camni. Dalam hacking ada satu teknik ni dipanggil reconnaissance.
Reconnaissance ini adalah proses di mana hacker dia cuba dapatkan sebanyak mungkin maklumat tentang sistem target untuk cari di mana ada vulnerabilities.

Benda ni macam entry point untuk hacking lah. Let say dia scan satu network. Kemudian keluar topology: Image
Macamana dia nak start hack kalau dia tak reti baca topology at the first place?

Contoh lain, katakanlah dia nak hack public WiFi.. pertama sekali, macamana dia nak hack WiFi tu kalau dia tak tahu tentang teknologi ni?
Umum tahu, biasanya WiFi ni protected/encrypted. Kalau hacker tu reti tentang WiFi, dia kena tahu beza WEP/WPA/WPA2. WEP ni memang banyak vulnerablities dan paling senang untuk crack password dia.

(Kalau ofis masih guna WEP, sila upgrade ke WPA segera).
2. Operating Systems (OS)

Bukan setakat Windows sahaja yang nak kena reti. Security enthusiasts kena reti lah bagaimana OS berfungsi dan macamana nak guna; especially Linux distro (distributions).

Ada banyak Linux distro, tapi yang popular untuk hacker adalah Kali. Image
Kenapa Kali? Apa yang istimewanya dengan benda ni? Kali Linux ni dah dilengkapi dengan banyak pentesting tools. Sebab tu lah dia popular dalam kalangan security enthusiasts.

Tapi biasanya hacker ni memang terer lah bab OS ni, diorang memang expert dalam pelbagai jenis distro. Image
Selain Kali, ada Parrot OS, Backbox, NodeZero dan memacam lagi lah. Cuma nak pesan; jarang aku tengok hacker profesional boast pasal Kali sebenarnya haha.

*screenshot $ sudo bettercap --help*

*post kat Twitter*

*yay aku hacker*

Lol. Jangan begitu.
Joke aside. Walaupun hacker guna Linux, dia kena tahu Windows OS juga. Kalau taktahu Windows, nak jadikan siapa lagi sebagai mangsa? Wakaka.

Jujur cakap, Windows ni selalu jadi target sebenarnya. Tapi adakah itu menjadikan Windows OS yang tak secure? Tidak semestinya.
Yang selalu jadi mangsa kat Windows ni bila dia suka download dan install memacam benda kat situ dan pada masa yang sama dia taktahu pun apa benda yang dia install.

3. Terminal/CLI

Ini penting kerana kebanyakan hacking tools ni wujud dalam bentuk Command Line Interface (CLI).

Tools macam God's Eye yang korang tengok dalam Fast and Furious tu exaggeration je nak bagi mata korang seronok tengok benda fancy macamni haha.

(gambar dari Google) Image
Aku tak rasa ada developer yang rajin buat tools dengan animation fancy-fancy macamtu just untuk hacking. Pada hakikatnya, skrin hacker dipenuhi dengan benda macamni. GUI untuk cam streaming pun macam screenshot terakhir tu je.

(gambar dari Google) ImageImageImage
Keseronokan guna Terminal ni hanya orang yang minat sahaja boleh rasa. Kalau nak jadi security expert pengaruh dari filem-filem Hollywood yang exaggerating tu, sorry to disappoint you, it's not that fancy kot.
4. Social Engineering

Social Engineering adalah tentang bagaimana korang memanipulasi mangsa secara psikologi (menipu) untuk dapatkan data sensitif mahupun, akses sistem tertentu mahupun duit daripada mereka. Image
Kemahiran Social Engineering ni pun kena ada juga. Aku taknak cerita dah dalam bebenang ni; sebab aku dah banyak cerita sebelum ni, korang cari la bebenang pasal ni kat Pinned Tweet aku.

Cuma nak highlight recent event hasil social engineering:

auto.hindustantimes.com/auto/news/here…
5. Programming

Tak ada language yang spesifik untuk belajar untuk hacking ni. Sebab fokus korang bukan software development, tapi security. Sistem kalau dibina dengan language apa sekalipun akan ada vulnerabilities.

Bukan sedikit hacker yang tak ada pengalaman programming. Image
Hacker yang pandai programming adalah advantage, di mana dia boleh develop hacking tools, boleh analisa kod untuk cari vulnerabilities dan lain-lain.

To point you into that direction, antara programming languages yang berguna adalah yang popular:

6. Penetration Testing

Pentesting adalah cubaan untuk ceroboh masuk ke dalam sesuatu sistem – biasanya terjadi kat sistem web lah. To get started, aku suggest korang mulakan dengan OWASP Top 10.

owasp.org/www-project-to… Image
OWASP adalah satu komuniti yang dokumenkan security vulnerabilities untuk software. OWASP ni femes dengan Top 10 tu, di mana diorang senaraikan top 10 security vulnerabilities.

So dalam dokumen ni korang boleh baca benda apa yang possible berlaku untuk sistem zaman sekarang.
Disebabkan teknologi semakin laju, maka security flaws pun semakin hari semakin berbeza. Maka OWASP ni akan buat major updates dalam beberapa tahun.

OWASP Top 10 yang paling terkini adalah tahun 2017.
Dalam pentesting ni lah orang cakap tentang SQL injection, CSRF, XSS, etc.

Ambil SQL Injection sebagai contoh. Benda ni bahaya sebenarnya haha. Ia bukan sekadar maliciously display sensitive data kat web, tetapi dia boleh bagi akses kepada seluruh server kat hacker (worst case).
Untuk belajar pentest ni, korang boleh gunakan Kali Linux dan install Metasploit dalam VirtualBox sebagai training playground. Metasploit tu macam makmal untuk korang eksperimen tentang pentesting ni.

Dalam Metasploit ni ada bermacam-macam vulnerable programs korang boleh test. Image
7. Ethical Hacking

Dalam Islam, penganiayaan adalah perbuatan yang berdosa. Jadi, pastikan korang belajar hacking bukan untuk aniaya orang.

Korang mungkin tahu kot Black Hat dan White Hat. White Hat adalah kerjaya profesional; kita panggil security experts, pentesters, etc. Image
So tugas white hat ni bukan untuk hack orang, tetapi untuk protect. Dia cari makan dengan cari vulnerabilities dalam sistem, kemudian dokumenkan laporan tentang vulnerabilities yang dia jumpa.

So untuk jadi seorang white hat hacker, perlu belajar tentang etika lah dalam hacking.
So ada certification programme untuk white hat ni seperti Certified Ethical Hacker (CEH). Certification ni penting jugak kalau nak kerja security analyst kat syarikat-syarikat teknologi.

Dan aku rasa korang kena ada rekod yang cantik jugak lah kot.
Kalau pernah ada rekod buat jenayah hacking; agak-agak ada lagi ke syarikat yang akan percaya pada korang? Rasanya tak kot.

Selain tu, kadang-kadang giants macam Instagram, Facebook ada bounty program. Aku tak sure macamana nak join tu – tapi aku mention jelah.
Bounty program ni di mana diorang hire security experts untuk cari vulnerabilities kat app diorang. Kemudian kalau experts jumpa, diorang bayar hefty amount of cash jugak la.

Ni salah satu contoh la, Instagram bayar orang ni USD $30,000.

thezerohack.com/hack-any-insta…
Aku rasa sampai situ saja bebenang ni. Aku nak pi makan. Semoga semua rakyat Malaysia diberikan kesihatan yang baik dan dihindari daripada wabak COVID ni. Ameen.

Stay safe semua. #StayAtHome #RakyatJagaRakyat
Kalau rasa thread ini bermanfaat, kongsikan dengan rakan anda.

Berminat nak baca thread CSIT yang sebelum-sebelum ni, baca kompilasi di bawah ni. Follow for more threads on CSIT in the future.

Tambahan: aku tengah menulis buku (e-book) full stack programming dalam Bahasa Melayu – aku ada bagi teaser sikit kat tweet bawah ni haha. Releasing soon inshaAllah.

Kalau berminat nak dapatkan buku ni, subscribe channel Telegram aku t.me/omvrio. Bila nak release nanti aku inform kat situ lebih awal untuk dapatkan harga diskaun hehe.
Just found this meme in the dark web πŸ˜† Image

β€’ β€’ β€’

Missing some Tweet in this thread? You can try to force a refresh
γ€€

Keep Current with Omar Mokhtar

Omar Mokhtar Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @omarqe

6 Jul
"Omar, boleh tak suggest language untuk saya belajar?"

Aku tak boleh bagi jawapan untuk soalan macamni sebab aku taktau apa objektif korang.

Jadi, ini senarai programming languages secara detail (nama, kegunaan, demand, etc.) supaya korang boleh buat penilaian sendiri:
Amaran: bebenang ini panjang. Kalau nak jadi seorang developer atau software engineer, korang tak semestinya kena belajar kesemuanya – memang tak perlu pun.

Belajarlah ikut objektif sendiri dan jangan ikut-ikut orang. Tanpa berlengah lagi, jom kita mula.
1. Hypertext Markup Language (HTML)

Pada asasnya, semua website yang korang lawati di Internet ini dibina menggunakan HTML. Ini adalah language yang paling mudah untuk dipelajari.

Ia boleh dilihat melalui browser dengan cara View Page Source atau DevTools (Inspect Element).
Read 65 tweets
4 Jul
Anda nak tukar kerjaya kepada bidang teknologi atau developer, tapi anda takde degree dalam Computer Science dan/atau IT.

Possible? Mestilah. Tapi anda kena buat extra homework sikit untuk buktikan diri anda dan 'tailor' resumΓ©/cv anda secara spesifik untuk bidang ini.

Caranya:
1. Belajar programming language.

Anda perlu jelas apa language yang anda dah belajar/kuasai. Lebih bagus kalau belajar language yang paling dekat dengan kerjaya impian anda.

Contoh: mobile app developer – Java/Kotlin (Android), Swift (iOS), React Native, Flutter, etc.
2. Bina portfolio.

Kalau sekadar belajar tapi tiada portfolio, belum tak cukup kuat. Untuk ini, anda boleh bina projek hobi atau buat freelance. Bina satu laman web peribadi untuk showcase portfolio anda.

Pastikan projek-projek anda tu hidup & bakal majikan boleh tengok.
Read 18 tweets
21 Jun
"Hacker boleh ke embed code dalam gambar?" – ya, boleh.

Kebiasaannya, file media seperti gambar, video, PDF dan sebagainya digunakan sebagai "loader" (atau dropper) untuk download program backdoor di sebalik tabir tanpa mangsa sedari.

Macamana diorang buat?

Ini bebenang 🦠
Kita akan bincangkan bagaimana virus gambar dibuat.

Tapi sebelum kita pergi ke perbincangan tu, aku perlu perkemaskan beberapa istilah dulu (𝙸1-𝙸4).

Aku percaya ramai antara korang dah tahu dah pun semua istilah ni, cuma nak recall balik je terutamanya kepada yg belum tahu.
𝙸1. Malware

Singkatan kepada "malicious software", iaitu program yang dicipta untuk menjangkiti dan memudaratkan komputer korang.

Biasanya orang panggil "virus" ja, tetapi virus dan malware adalah dua benda yang berbeza. Virus pun adalah sejenis malware juga.
Read 44 tweets
29 Apr
Sebelum ada orang buat cerita mitos pasal deep & dark web, aku rasa lebih baik aku tulis dulu perkara yang sebenar.

Banyak sangat mitos pasal deep & dark web ni yang digemari oleh para sarjana conspiracy theorists. Daripada UFO, kepada lokasi Atlantis. Hahaha πŸ˜†

Bebenang.
Surface, deep & dark web adalah tiga klasifikasi kandungan yang terdapat di dalam Internet.

Bila bercakap pasal deep & dark web, ramai orang akan gambarkan tempat ni sebagai tempat yang menakutkan, tempat para hackers bersemayam, tempat tengok live streaming torture dan murder.
Tak kurang juga ramai yang beria cerita pasal deep & dark web, tapi kebanyakannya banyak dipengaruhi oleh filem-filem, mitos-mitos dan misteri-misteri yang diorang pernah baca. Lepastu buat thread.

Tetapi pada masa sama, diorang sendiri pun konfius apa beza deep & dark web πŸ˜…
Read 53 tweets
4 Apr
Dalam web security, ada satu 'hack' ni di mana dengan hanya melawati/membuka malicious email/web, boleh berlaku benda bahaya seperti transfer duit dari akaun anda ke akaun orang lain TANPA SEDAR.

But fret not, peluang berlaku kat korang agak tipis sekarang. Learn whyπŸ‘‡πŸ»

[THREAD]
Lompong sekuriti ini dipanggil sebagai Cross-Site Request Forgery (CSRF).

Suatu masa dulu, CSRF disenaraikan dalam OWASP Top 10 di tangga ke-5 & ke-8 (A5:2007 & A7:2013).

Namun kini CSRF tidak lagi menjadi "main threat" dan dah dibuang dari OWASP Top 10 sejak tahun 2017.
Memetik kenyataan daripada OWASP, alasan kenapa mereka buang CSRF daripada senarai Top 10:

"A8-Cross-Site Request Forgery (CSRF), as many frameworks include CSRF defenses, it was found in only 5% of applications."

Maknanya, banyak framework moden dah implemen anti-CSRF ni.
Read 56 tweets
24 Feb
Antara CGPA dan kemahiran, dalam industri teknologi. Mana yang perlu diutamakan?

Pada pendapat aku la kan, dalam dunia IT ni, aku lebih suka utamakan kemahiran.

Mungkin ada yang tak setuju dengan aku bila baca first tweet ni, tapi jemput baca bebenang ni sampai habis.
Rasanya isu ini agak sensitif, kalau salah tulis ni boleh jadi kena backlashes πŸ˜‚

Mungkin dah ramai kupas isu ni secara umum – graduan takde kerja sebab takde skills lah, apa lah, memacam.

Tapi dalam bebenang ni aku khususkan untuk bidang teknologi.
Selepas habis alam universiti, secara umumnya seseorang tu akan pilih salah satu jalan ni:

1. Jadi bos untuk diri sendiri (usahawan).
2. Bekerja dengan syarikat.
3. Menganggur.
4. Sambung belajar (academician)

Sebenarnya, jalan 1 & 2 sangat memerlukan kepada kemahiran anda.
Read 34 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!