CTF Field Guide by Trail of Bits

What is Trail of Bits?
trail of bits logo
Trail of Bits is an independent information security company that aims to build better security for organizations over the world.
You can learn more about them here

Review
When you want to learn more about how to become an ethical hacker and how to get your hands dirty and start to practice it is quite hard to know where to start.
Of course you have plenty of information online but it’s hard to find a way to start from scratch.
The CTF Field Guide will explain everything in a very structured way and you’ll  find plenty of resources (books, CTF, wargames, websites, courses,… ).
Also you’ll be able to learn the differences between CTF and Wargames  and the basics you should know about those.
Besides, they explain what type of Employers you have in the field and what kind of jobs. This is  a good point because I had quite a hard time to find a proper knowledge about this. I was only able to find out more when I talked to professionals and experts in the field.
Furthermore they make a good point in the chapter about certification. I let you find out about it but it made me think and reform my challenge.
When you’ll be done reading the intro you’ll have a great base to continue the practice in a well structured way with few main themes: Vulnerability discovery, Exploit Creation, Forensics, Toolkit Creation and Operational Tradecraft.

To conclude, I would totally recommend this guide if you are the kind of person who like to learn things in a structured manner. Also you’ll find a bunch of great advise.

Cyber Challenge by department of defense of the US military

screen of the game
Screen of my badges at the end of the game

I tried the game cybermission available here .
It took me around less than 1 hour to finish the full game.

Pros:
– Nice introduction to cybersecurity types of job positions: you understand that you have three main fields in cyber: protect, defend and strike.
Protect consists in detecting threats and suspicious activities,
Defend consists in creating secure networks
Strikes consists in finding the ip address of a hacker.
– Really fun to play. I had a great time and it is a nice entertainement.
– You don’t have to create an account to play.

Cons:
– Very short to fulfill the whole game. As i said before it took me less than an hour.
– Very basic introduction. It is very basic you won’t have strong concepts of cyber security here. It seems like the purpose is mostly to be a fun game.
– You won’t be able to register and keep your progress it recognize you with your ip address. But you still can keep your progress with a good old screen.

To conclude i would recommend it as an entertaining break between two moocs, hard wargames or CTF.  It is fun and shows a very basic introduction in what cybersecurity looks like.

Le mooc sécurité numérique de l’ANSSI

This article is in french because it is a review of a french Mooc

Screen Secnum Académie
Le mooc sécurité numérique de l’ANSSI propose une initiation à la cybersécurité pour les professionnels ou particuliers.
L’agence nationale de la Sécurité des Systèmes d’information a pour mission d’apporter “son expertise et son assistance technique aux administrations et aux entreprises avec une mission renforcée au profit des opérateurs d’importance vitale (OIV). Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.” source

Ce MOOC est composé de quatres modules:

  • Module 1 : Panorama de la SSI ou une première immersion dans le monde de la SSI
  • Module 2 : Sécurité de l’authentification ou la base de la sécurité informatique
  • Module 3 : Sécurité sur Internet ou les bons réflexes à adopter sur la toile
  • Module 4 : Sécurité du poste de travail et nomadisme ou la sécurité même lors de déplacements professionnels

Chaque module est découpé en cinq unités dont chacune débute par une vidéo d’introduction qui explique tous les concepts qui seront abordés. Elles sont conclues par des quizz pour contrôler ses connaissances et valider le suivi du module ainsi que par une page de liens pour aller plus loin.
A la fin des quatre modules on peut obtenir une attestation certifiant qu’ils ont été réalisés avec succès.

Attestation de suivi du Mooc

Cette formation m’a permis de renforcer mes connaissances en cybersécurité et de mettre le doigt sur certaines choses peu sécurisées que je faisais.
En effet, elle m’a d’abord permis de me familiariser avec les acteurs de la cybersécurité en France. Par exemple j’ai appris l’existence de la plateforme cybermalveillance qui a pour objectif de venir en aide aux victimes d’actes de cybermalveillance.
J’en ai appris plus sur l’ANSSI (quand et comment elle a été créé, quelles sont ses missions) et sur les différents acteurs publics.
J’ai pu compléter mon vocabulaire relatif à la cybersécurité et aux attaques informatiques et j’ai même pu faire une courte initiation à la cryptographie.
Ensuite j’ai pu mettre à l’épreuve mon hygiène informatique. J’ai notamment appris qu’il vaut mieux jeter les clés USB que l’on nous donne gratuitement lors d’évènements. En effet, le firmware de ces clés USB peut effectuer des commandes systèmes à l’insu de l’utilisateur.

J’ai commencé cette formation pour avoir une bonne introduction en cybersécurité. J’ai été très satisfaite sur ce plan car sans être trop complexe on y apprend quelques éléments techniques.
Je recommande ce Mooc non seulement à toutes les personnes qui utilisent régulièrement l’outil informatique dans leur travail mais aussi dans le cadre privé.
En effet de plus en plus de services administratifs nous permettent d’accélérer nos démarches grâce à l’outil informatique, ainsi nos précieuses données personnelles sont plus facilement exposées. Ce MOOC permet d’appréhender les risques cyber en toute sérénité.

Ressources: