Rot oder Blau

(elkement. Erstellt: 2019-06-30. Tags: Arbeit, Leben, Business, Hacken, Introspektion, IT, IT Security, IT-Sicherheit, Rückblick, Sicherheit. Englische Version.)

Seit über 20 Jahren bin ich 'in der IT' / in 'Infosec', aber erst vor einem Jahr habe ich begonnen, offensive Hackertools wirklich zu testen - auf hackthebox.eu. Warum erst jetzt? Ein paar lose Gedanken dazu...

Auch die richtige Terminologie lerne ich gerade: Red Team versus Blue Team zum Beispiel. Als PKI Consultant sind meine Ansprechpartner meist Teams, die zuständig sind für 'Active Directory', 'Server', oder 'Netzwerk'. Security war für mich immer ein Aspekt des IT-Betriebes. Vielleicht darf ich mich nicht zur Infosec-Community zählen, sondern bin die Systemadministratorin für alles was mit X.509-Zertifikaten zusammenhängt.

Und wenn es die Wahl gab, habe ich mich oft entschieden, eher die Betreiber und Administratoren zu unterstützen als die Berater für Security - extern oder intern - die den Betreibern sagen wie Security geht. In seinem Buch Advanced Penetration Testing sagt ein in Pentesting Veteran:

All that is needed for an attacker to gain entry to the most secure environments is for one person to have one lapse in judgment one time. I keep driving this point home because it really is the point. As a penetration tester, I have the easy job. An attacker is always at an advantage. I would hate to have the responsibility of keeping a network safe from attack; I'd never sleep.

Wenn Dein Ziel ist, die Dinge am Laufen zu halten, macht man Kompromisse um x unterschiedliche Anforderungen unter einen Hut zu bringen. Als Consultant kann man sich in diese Rolle nur bedingt hineinversetzen. Wer weiß, was ich selbst heute mit Distanz zu - evtl. unsicheren - Lösungen sagen würde, die ich selbst unter schwierigen Umständen gebaut habe?

Ich denke oft in Gegensatzpaaren - wie Rot versus Blau, Machen oder Kommentieren, Lehren oder Tun. Immer wieder habe ich geliebäugelt mit einer reinen Beobachter- oder Gutachterrolle - und bin immer wieder zum Schluss gekommen: Ich tue lieber und kommentiere nur dann, wenn ich auch 'Skin in the Game' habe. Dereinst bin ich in eine externe Rolle gewechselt, weil ich mich auch als Externer schon 'zu viel' verantwortlich fühle, auch für Systeme, an die ich vielleicht alle paar Jahre Hand anlege und obwohl es eigentlich keinen Vertrag und keine Verpflichtung gibt. Auch noch intern eingebettet in einer Organisation (mit Politik etc.) 100% offiziell verantwortlich für Systeme zu sein, treibt mich dan den Rand des Burnouts.

Das bedeutet überhaupt nicht, dass ich z.B. die Herausforderungen unterschätze, die ein Pentester meistert. Ich habe da keine eigenen Erfahrungen dazu, stelle mir das aber vor als 'Consulting extrem': Viele Reisen, Stress, Chaos, Deadlines, auch Politik und Kommunikation ... also genau die Punkte derentwegen ich den nomadischen Consultant-Lifestyle (fast) aufgegeben habe.

Wenn ich die Security-Experten auf Twitter verfolge, sehe ich eine Grundsatzdiskussion immer wieder hochpoppen: Ist es sinvoll oder möglich, gleich nach der Ausbildung in eine Infosec-Rolle zu schlüpfen oder ist es besser, Jahre Erfahrung in einem anderen IT-Bereich zu haben - als Programmierer oder Administrator z.B.? Meinen eigenen Weg betrachtend müsste ich dem zweiten Lager zustimmen.Trotzdem glaube ich, dass man nicht Jahre damit verbringen muss Mein-Outlook-geht-nicht-Probleme zu lösen, um ein Security-Experte werden zu können.

Mein Karrierepfad verlief an einigen Punkten sehr sprunghaft - aber ich könnte diese Sprünge auch als logische Weiterentwicklungen darstellen. Manchmal in einer relativ neuen Rolle wurde ich gefragt, wie lange ich das denn schon mache... als Kompliment gemeint. Ich hatte dann meist aufgerundet. Als (so genannter, von anderen so bezeichneter) PKI-Guru immer gesagt: Ein Student mit Begeisterung und Durchhaltevermögen kann in ieinem Jahr auch ein Guru werden.

Mein Blog hieß am Anfang Theory and Practice of Trying to Combine Just Anything.Das war eigentlich genzogen auf 'Physik und/oder IT' und Theme wie: 'Ich hatte auch überlegt Philosophie zu studieren und will so eine Art Renaissance-Mensch werden'. Aber irgendwie war das auch mein Zugang zur Security und zur IT: Ich wollte viele unterschiedliche Erfahrungen kombinieren. Das war meine persönliche Wahl und Entscheidung, nicht unbedingt meine Empfehlung für den bestmöglichen Weg. Gerade das 'Spielen' auf hackthebox zeigt mir immer wieder, was ich alles nicht weiß. In seltenen Fällen kann ich etwas 'Originales' beutragen auf der Basis wirklicher Erfahrung, wie im Falles meines 'PKI- / Smartcard-Hacks'.

Ich fühle mich als glückliche Dilettantin - im positiven Sinne der ursprünglichen Bedeutung dieses Wortes.

Hacker!

Persönliche Website von Elke Stangl, Zagersdorf, Österreich, c/o punktwissen.
elkement [ät] subversiv [dot] at.