Growing thick skin in InfoSec – to avoid burnouts and be more effective

Ignore obnoxious people you’ll meet along the way

One thing that will inevitably happen, is you working with people. Some of them will be always unsatisfied, ungrateful, rude or just deeply troubled and no matter how you approach them they’ll always be bitter.

Although the collaboration with that type of people may be draining, don’t give up on security of entire organization just because you run into anti-social jerks who don’t care about anything except of their ego.
Please note that I’ll be talking here about people who’re deeply malice rather than people with temporary weaker mental state. Life sometimes happens to us and I have no intent of speaking badly about people who’re going thru rough time in their personal lives.

While we’d all prefer to work only with nice and friendly people, we need to deal with various types of personalities or sometimes with great personalities having a bad day.
I feel you, I know that it really hurts when you’re trying your best and someone is doing everything in their power to put you down.
What I’ve learn thru my career is that more often than not you can clarify the situation by improving your communication, but for some people it’s not worth the effort. If you believe someone is terribly arrogant person on purpose, just talk to his manager and don’t waste your energy, health and reputation on endless disputes with the evil.

More you interact with such people, higher chances are that your behavior will be influenced by it. If you fill vast majority of your time time on interactions with messed up people, you may because as bitter as they are. It’s nohow worthy to sacrifice tens of good people for a person who doesn’t care and doesn’t want your help. Spend your time wisely and invest your energy in coworkers who appreciate you, your work and want you to help them.

Facing someone and having a discussion may help to clear the ground, but if you’ve tried all the nice ways, don’t let it grow and eat you up — seriously talk to the manager, HR, whoever is out there capable of solving the situation.
Sometimes it takes leaving the company to find a peace, but it is worth it.

Not a single job and not a single person on this planet is entitled to your physical, mental and physical health.
Don’t let anyone influence you negatively and seek escape when things are really bad.
Don’t let bad people get into your way and stop you from doing the things that matter.

“You’re the average of the five people you spend the most time with” rule really does apply to all aspects of life.

Professional and personal social interactions should not be much different

If we remove the artificial barriers we’ve put on ourselves when crossing the doors of corporate office, then we can see that nothing is really that much different. It’s all about people.

You should do you and live your life the way you feel like it, but I want to emphasize on the social thing one again. You’re working with people so you must try to be or at least act social. If you were as good and nice person to coworkers as you are for you personal friends, life would be so much easier. You must add politics because it’s still a workplace, but when you at it from 3rd party perspective, you’ll notice that there isn’t really that much more walk on eggshells involved, than it is in personal life. We’re acting to some extent in real life as well, we put a mask of a diplimate when needed and we follow the social rules even if we don’t feel like it.
When we know we must convey a bad message to someone we deeply care about we’ll put our needs and ego away and put that person on a pedestal. We will do certain things and act in a noncasual way in order to make experience of the other person as comforting as possible. So while at work you’ll not always have a good intent because we realize how dumb and unpleasant some artificial codes are, you must realize that if you’ve been doing well in your personal life then you have all the skills necessary to play your act in the workplace.

If you run into organisation that requires you to do plenty of politics and takes the humanity out of you, then is it really worth it to stay there? As a security professionals we have so much work available in the market that it’s unreasonable to stick with a place that makes you miserable and negatively changes you as a person.
Yet, so many of us do it.

Don’t shy away from showing-off your success

If you’re like me, then you prefer to do most of the work in silence and move forward without wasting time on show-offs, attention seeking and the whole marketing about your work. Some of us are really tired of seeing social medias flooded with people who not only obsess with marketing their stuff, but very often they have nothing of value to offer, yet they show it off so aggreesively that it sets a negative tone to the whole concept of a selfpromotion.

I know that not wanting to praise my own work it’s not coming from arrogance or narcism — altho some people may claim that, and for some it will be true — but so that I can get more shit done. It’s not about feeling that I don’t need to comment on my work because it’s so great that it’s making a marketing for itself.
It’s about focusing on things that matter, because every second put into self-promotion is a second taken away from doing the work that could bring value to the world.

The deal is that sometimes show-offs and public demonstration of your work help in building credibility and trust of coworkers. Some execs like rockstars and people who so demoing your work once in a while can put you in a great position for success in your organisation.

But it’s not always that shallow and really doesn’t mean you’re doing it to buy in into someone’s evil agenda. If you clearly express how much you were able to achieve and how does it positively affect the business, people will be more eager to offer you support in the future.
If you’ve proven yourself to be successful then you apparently know what you’re doing so you deserve the trust. I’ve fell too many times in a trap of doing things in too much silence without getting a word to other people in organisations, who didn’t really know what I was doing even tho those were great things.

Communicate, communicate, and when you think you’re already verbose enough — communicate a little more.

Jak zostać Pentesterem i Specjalistą Bezpieczeństwa

Skąd się uczyć i kilka słów o edukacji formalnej

Jeśli chcesz zostać testerem bezpieczeństwa, inżynierem bezpieczeństwa czy kimkolwiek w świecie security to już na samym początku mam dla Ciebie wyśmienite wieści. Trafiłeś na branżę, która nie tylko dynamicznie się rozwija i dobrze płaci, ale także ma całkiem niski koszt wejścia.
Zauważ, że nie napisałem o poziomie wejścia a koszcie. To znaczy, że nie musisz inwestować dużej ilości pieniędzy we własną edukację by otworzyć przed sobą sporą liczbę drzwi.

Są profesje w branży IT, gdzie ogromna ilość ofert pracy nawet na juniora wymaga od kandydata doświadczenia w świecie komercyjnym. I ma to jakiś tam sens, bo żeby być dobrym inżynierem oprogramowania nie wystarczy umieć kodzić, ale trzeba mieć ogólne ogarnięcie biznesowe i to zazwyczaj zdobywa się podczas komercyjnych projektów. Tworzenie własnych narzędzi czy wkładanie pracy w OSS(Open Source Software) to cenne doświadczenie, ale niekoniecznie porównywalne z praktyczną pracą w świecie biznesu.

W kwestii pentestingu i bezpieczeństwa, jest tyle dostępnych materiałów, że możesz nauczyć się naprawdę dużo w domu, a już na pewno na tyle, żeby znaleźć dobrą pracę która pomoże Ci się rozwijać i przyśpieszy proces edukacji.

Jest mnóstwo sposobów i źródeł z których możesz się uczyć branży InfoSec. Masz do dyspozycji obszerne książki; blogi pisane przez genialne i szczodre umysły; rzeczowe nagrania z niesamowitych konferencji; kursy na coursera, cybrary, securitytube, udemy, pluralsight i darmowe wykłady z przedmiotów związanych z bezpieczeństwem prowadzonych na uniwersytetach takich jak MIT czy Stanford.

Możesz iść na studia, ale nie musisz. Jeśli masz wystarczająco dyscypliny i samoogarnięcia to możesz samemu wyznaczyć sobie ścieżkę edukacji. Coraz mniej firm wymaga posiadania dyplomu, więc nie będzie żadnej tragedii jeśli zdecydujesz nie iść na studia.
Muszę jednak podkreślić, że nie powinieneś umniejszać wartości studiów Computer Science, bo dostarczają bardzo dobre podstawy i systematyzują wiedzę, a dla niektórych studia to jedyna możliwość utrzymania dyscypliny i regularnej nauki. Dla przykładu, ja wraz z kolegą(@naugtur) prowadzimy kilkudziesięciogodzinne zajęcia z bezpieczeństwa webaplikacji na Uniwersytecie Adama Mickiewicza w Poznaniu, więc czegoś ciekawego i mocno związanego z security można się nauczyć 🙂

Ale nie jest to żadne wymaganie dla pasjonatów i ludzi którzy dają radę uczyć się na własną rękę. Najlepsi hackerzy o których słyszał świat to samoucy, czasem nawet ludzie którzy porzucili edukację na wczesnym etapie, więc da się ogarnąć wszystko w branży security bez papierków.

 Mentorzy i partnerzy w nauce są bezcenni

Bardzo dobrym pomysłem jest poszukanie mentora, a najlepiej kilku. Nieposiadanie wzoru do naśladowania może sprawić, że przez lata będziesz dryfował gdzieś w przestrzeni ucząc się wszystkiego i niczego, frustrując się i koniec końców do niczego nie dochodząc.

Poszukaj kilku osób, które osiągnęły coś w branży i pogoogluj ich historię żeby zrozumieć ścieżkę jaką podążali. W ostateczności możesz się do nich odezwać z pytaniami bo ludzie nie gryzą, ale miej na uwagę że większość zawodowców jest naprawdę zmęczona lamerskimi pytaniami o coś co można znaleźć w sieci.
Więc najpierw googluj, później googluj, gdy uważasz że nie ma dla Ciebie odpowiedzi w Internecie, to pogoogluj jeszcze trochę i dopiero wtedy odzywaj się do kogoś. Bądź precyzyjny w języku który używasz, opisz dobrze swoją historię i potrzeby tak żeby zabrać jak najmniej czasu osobie która chce Ci pomóc.


Mówię o szukaniu mentorów w liczbie mnogiej, dlatego że ślepe podążanie jedną – nawet wybitną – osobą może być tragiczne w skutkach. Niektórzy ludzie osiągają sukces nie mając pojęcia jak to się stało, przez co mają klapki na oczach myśląc, że to co robili to jedyna droga do dobrej kariery i szczęśliwego życia. Ktoś taki może zrujnować Ci karierę i życie jeśli religijnie podchodzi do swojej ścieżki i wciska Ci na siłę rzeczy które kompletnie Cię nie pasjonują albo do których po prostu nie zostałeś stworzony.
Najlepiej więc będzie jeśli znajdziesz sobie kilka/kilkanaście osób do naśladowania i wybierzesz to co Ci najbardziej pasuje – no ale to powinno robić się w każdej dziedzinie życia, więc przejdźmy dalej.

Jednym z najlepszych sposobów na motywację w życiu jest złożenie publicznej obietnicy na dany temat. W skrócie chodzi o to, że jeśli znajdziesz kogoś z kim będziesz się wspólnie uczyć to trudniej będzie Ci się obijać żeby nie zawieść tej osoby, więc będziesz pracował intensywniej i bardziej regularnie. Ale to nie artykuł o produktywności, więc już wracam do konkretów.  
Znajdź sobie mentorów, którzy Cię inspirują i pokazują drogę. Jeśli to możliwe, znajdź też ludzi, którzy również chcą nauczyć się bezpieczeństwa i uczcie się razem, wzajemnie testując swoją wiedzę i pomagając sobie w trudnych sytuacjach.

Skup się na tym co możesz zaoferować, a dopiero na końcu myśl o $$$

Bądźmy szczerzy, bo pisanie bajek nikomu nic dobrego nie robi.
Zazwyczaj gdy zaczynasz pracę po raz pierwszy to niewiele wartości możesz wprowadzić do firmy. Nawet jeśli ogarniasz podstawy to i tak trzeba Cię przeszkolić, musisz się wdrożyć, ogarnąć cały ten świat biznesu i to co robi się w poważnej pracy i po paru miesiącach zaczynasz być naprawdę produktywny. Napływ ludzi szukających przyjemnej pracy w IT jest tak duży, że już na żadnym pracodawcy nie robią wrażenia krzykacze, którzy jedyne co mają do zaoferowania to mówienie o tym jak bardzo chcą pracy, jak bardzo są zapasjonowani i jak ciężko będą pracować jeśli wszystko podstawi im się pod nos.

To prawda, że kiedyś były takie czasy, ale już dawno minęły. Nadal łatwo dostać pracę w IT, ale to już nie są takie fajerwerki jakich niektórzy się spodziewają.

Ogromnym problemem w branży security jeśli chodzi o rekrutacje są ludzie którzy strasznie chcą zostać etycznymi hackerami – bądź co gorsze już się za nich uważają – ale tak naprawdę nie mają pojęcia co robią ani co mogą zaoferować. Nie jestem już w stanie policzyć ile osób spotkałem, które uważały się za uber-haxiorów tylko dlatego, że znaleźli kilka głupich błędów w programach Bug Bounty albo przeczytali kilka tutoriali o testowaniu web aplikacji. Znajdowanie podstawowych błędów o ile jest cenną umiejętnością, o tyle obecnie nie jest wystarczająco wyróżniające z tłumu żeby ktokolwiek mrugnął na to okiem i zatrudnił Cię tylko z tego powodu.
Co więcej, tytułowanie się hackerem i ekspertem bezpieczeństwa mając parę miesięcy doświadczenia w szukaniu bugów to najszybsza droga by Twoje CV trafiło do kosza. Jesteśmy już mocno zmęczeni ludźmi z nadmuchanym ego i dzieciakami którym wydaje się zbyt dużo, więc jeśli już na etapie rekrutacyjnym wykazujesz brak pokory to nie zachęca nas to do przebywania z Tobą pod jednym dachem przez 8 godzin dziennie, 5 dni w tygodniu.


Prawdziwy świat nie działa w ten sposób, że uczysz się podstaw i oczekujesz, że zaraz pojawi się mnóstwo pracodawców z workiem pieniędzy. Świat biznesu ma obsesje na punkcie generowania pieniędzy i nikogo za bardzo nie interesuje jak elitarnym haxiorem jesteś, jeżeli średnia Twoich umiejętności miękkich i twardych jest niska i nie będzie generowała wartości.

W życiu, w każdej relacji powinieneś zastanawiać się jaką wartość jesteś w stanie dostarczyć zanim pomyślisz o tym co dostaniesz w zamian. Life kołczingu uprawiać Ci tutaj nie zamierzam, ale musisz zdawać sobie sprawę z tego, że za darmo nikt pracy nie rozdaje.

Oczywiście musisz też wiedzieć, że w życiu nie jest tak, że wynagrodzenie jest zawsze uczciwie przyznawane zależnie od Twojej wartości, bo to okrutne kłamstwo które mnóstwo osób i pracodawców będzie chciało Ci wmówić.

Musisz nauczyć się negocjacji i umiejętności szanowania i wyceny swojego czasu, bo jeśli się zagapisz to bardzo szybko znajdzie się mnóstwo drani, którzy chętnie wykorzystają Cię i wycisną z Ciebie ostatnie krople.
Niewiele osób, które spotkasz w swoim życiu będzie szczerze zainteresowane Twoim losem, szczególnie w życiu zawodowym gdzie jest mnóstwo cwaniaków, których interesem jest dymanie pracownika tak długo jak tylko się da. Jeśli szukasz pracy w Polsce czy krajach o podobnej mentalności mas, to uważaj na to podwójnie i o ile firmy z kapitałem zagranicznym są często lepsze, to pamiętaj że za biurkiem w polskim oddziale też może siedzieć janusz biznesu, który nie ma pojęcia o przywództwie i szanowaniu pracowników.

Przy wybieraniu pierwszej pracy wynagrodzenie schodzi na dalsze tory

Generalnie szukając pierwszej pracy obniż swoje wymagania odnośnie wynagrodzenia i tego jak atrakcyjna ma być firma, w której chcesz pracować. Pierwsza praca to miejsce, w którym masz się jak najwięcej uczyć, że poszerzyć horyzonty i w razie potrzeby potrafić wystarczająco, żeby bezboleśnie zmienić pracę na lepszą.
Powtarzam to znajomym non stop, więc i z Tobą się tym podzielę. W branży IT możesz rozwijać się bardzo szybko i zwiększać swoje wynagrodzenie jeśli przykładasz się do nauki oraz chłoniesz wiedzę i doświadczenie. Więc naprawdę nie warto brać pracy, która oferuje o 500zł więcej od innej, jeśli w tej lepiej płatnej będziesz małpką która niewiele się uczy i po 3 latach nadal będzie zarabiać tyle samo, podczas gdy idąc do tej gorzej płatnej pracy możesz nauczyć się tyle, że w 3 lata potroisz swoje wynagrodzenie.
Trzeba uważać, bo rzeczywiście istnieje korelacja pomiędzy wynagrodzeniami a poziomem umiejętności w firmie, bo zazwyczaj ludzie wybitni w końcu ogarniają się życiowo i rozumieją, że mogą zarabiać więcej, być bardziej szanowani i robić ciekawą pracę w innym miejscu. No ale syndrom sztokholmski bywa bardzo silny, więc nie przekreślaj firmy tylko dlatego, że oferują słabe wynagrodzenie, bo i w takich firmach znajdziesz ludzi od których możesz nauczyć się ogromnej ilości rzeczy.

“Micro speed, macro patience” to dobra maksyma jeśli chodzi o rozwój. Ciężko pracuj, żeby nauczyć się ile tylko potrafisz, ale nie przeceniaj swoich możliwości i tego co możesz osiągnąć w danym okresie, więc daj sobie trochę czasu na rozwój. Szczególnie, że jeśli znalazłeś już jakiś punkt zaczepienia, to teraz już powinno być tylko lepiej.

Nie warto też czekać na idealną ofertę pracy, bo lepiej spędzić parę miesięcy w pracy, w której zarabiasz tylko tyle, że wystarcza Ci na utrzymanie, ale możesz się uczyć i rozwijać niż siedzieć bezczynnie albo pracować w pracy bez przyszłości tylko dlatego, że dostajesz kilkaset złotych więcej. Czasem trzeba się kilka miesięcy przemęczyć i później będzie lepiej, a niektórzy potrafią pół życia przesiedzieć czekając aż idealna praca do nich przyjdzie.

Nie daj się wykorzystywać i bądź rozsądny, ale nie panikuj też gdy przez parę miesięcy będziesz żył biednie od pierwszego do pierwszego. Nie chcę tu porównywać do krajów trzeciego świata i mówić jak my mamy dobrze, ale pamiętaj że w krajach takich jak np. USA ludzie kończą studia z kredytem opiewającym na kwotę kilkuset tysięcy dolarów 😉

Jakie umiejętności i wiedza są w branży security przydatne

Jeśli chcesz być profesjonalnym specjalistą bezpieczeństwa, to jest kilka rzeczy które musisz ogarniać, żeby spisywać się w swojej pracy. Nasza specjalizacja została w ciągu ostatnich paru lat zasypana ludźmi, którzy nazywają się specjalistami bezpieczeństwa, choć tak naprawdę nie mają pojęcia jak to wszystko działa a ich wiedza ekspercka ogranicza się do bardzo podstawowych testów.

Za starych czasów, zwykliśmy nazywać takich ludzi ‘script-kiddies’, ale później jakoś to się zatarło i przez duże zapotrzebowanie na ludzi zajmujących się bezpieczeństwem poluzowano granice tego jakich ludzi się zatrudnia i szanuje. Na szczęście jedna rzecz pozostaje niezmienna, tzn. nadal głęboko szanuje się ludzi, którzy wkładają dużo pracy w rozwijanie swoich umiejętności i głęboko wchodzą w tematy które studiują.

Zmierzam z tym do tego, że o ile pewnie po czasie znajdziesz pracę jeśli potrafisz dobrze sprzedać nawet niewielkie umiejętności, ale bycie człowiekiem, który naprawdę wie co się w systemach komputerowych dzieje zaprowadzi Twoją karierę o wiele dalej.

Zatem zanim odpowiem w końcu na pytanie “jak i skąd mam uczyć się hackowania”, zaproponuję Ci parę tematów, które dadzą Ci większy obraz i perspektywę czyniąc Cię bardziej kompetentnym specjalistą. Naprawdę warto znać choć podstawy tych tematów, bo skupianie się na jednej rzeczy bardzo łatwo wprowadzi Cię w widzenie tunelowe, które jest częstym powodem przez który popełnia się głupie błędy.

  • Powinieneś nauczyć się jak wygląda produkcja oprogramowania w realnym świecie. Fajnie, że potrafisz znaleźć kilka błędów bezpieczeństwa, ale o wiele lepiej będzie jeśli nauczysz się podstaw programowania i paru narzędzi oraz praktyk ze świata IT OPS
  • Jest rozsądnym zdobycie generalnej wiedzy jako złota rączka IT czyli człowiek od wszystkiego. Kiedy masz szeroką wiedzę i dużą perspektywę, to zacznij wchodzić w poszczególne tematy głęboko i poważnie je studiować. Jeśli nie będziesz umiał łączyć kropek, bo nie masz ich wystarczająco wiele, to możesz przegapić krytyczne błędy bezpieczeństwa, tylko dlatego, że nie potrafiłeś spojrzeć na sytuację z dystansu.
  • Poczytaj o utwardzaniu systemów operacyjnych i aplikacji, tzn zaznajom się z rzeczami takimi jak CIS Benchmarks, DISA STIGS itp. Jeśli będziesz wiedział w jaki sposób admini chronią swoich systemów, to o wiele łatwiej będzie Ci znajdować bugi i eskalować uprawnienia.
  • Zaznajom się z tematami w rejonie compliance, tzn. poczytaj pokrótce o certyfikacjach ISO27001, SOC2, PCI-DSS, żeby mieć ogólnie zrozumienie tego po co się to robi i co jest w tym ważne. Nie chodzi o to, żebyś stał się ekspertem audytu IT, ale dobrze jest wiedzieć z jakich powodów pocą się firmy.
  • Umiejętności miękkie są ważne. Żeby być produktywnym i efektywnym musisz umieć pracować z ludźmi, a na pewno musisz umieć komunikować się z ludźmi żeby przejść chociaż przez proces rekrutacji. Złapanie książki o empatii i przywództwie będzie nieocenione.
  • Poczytaj o tym jak zarządzanie są korporacje i startupy ze strony biznesowej, tak żeby pokazać pracodawcy że rozumiesz że firma istnieje po to żeby generować pieniądze, a nie po to żeby ludzie z IT mieli gdzie się bawić.
  • Spróbuj swoich sił w projektach opensource, albo będąc redaktorem na blogach o bezpieczeństwie. Robienie niewielkich poprawek w kodzie bądź artykułach nie wymaga wiedzy eksperckiej, ale da Ci jakiś kontakt ze światem biznesu. Istnieją startupy, które zajmują się agregacją treści związanych z bezpieczeństwem takie jak np. Peerlyst którzy niedawno szukali stażystów. Takie firmy nie wymagają od Ciebie specjalistycznej wiedzy tylko pilnowania porządku, poprawiania literówek itp, a dzięki samemu czytaniu artykułów na różne tematy możesz zdobyć sporo ciekawej wiedzy.

A teraz czas na konkrety

I wypunktuję najważniejsze moim zdaniem rzeczy, które pomogą Ci nauczyć się hackingu i testowania bezpieczeństwa.

  • Przejrzyj zakładkę “Resources” na Peerlyst.com. To nowa platforma, która jest agregatem treści o bezpieczeństwie i najlepsze artykuły są wrzucane we wspomnianą kategorię.
    Gdybym miał dostęp do takiej ilości wiedzy w jednym miejscu i za darmo, to moja kariera wyglądałaby kompletnie inaczej.
  • Zaznajom się z materiałami z OWASP i PTES. Nie wskakuj od razu w działy techniczne, lecz przeczytaj na początek wstępy, opisy protokołów biznesowych i wytyczne o tym jak być etycznym hackerem. SANS, NIST/cyber i tego typu klasyczne materiały są na wagę złota.
  • Jeśli chcesz pokazać swoje umiejętności i nabrać nowych znajomości to bierz udział w programach Bug Bounty na platformach takich jak HackerOne czy BugCrowd
  • Ucz się z raportów bug bounty i publikowanych raportów z testów penetracyjnych innych ludzi. W codziennej pracy i w dalszym rozwoju będziesz robił to przez cały czas – zbierał i konsumował informacje wyprodukowane przez innych ludzi, więc warto zacząć wcześnie, bo to wcale nie jest super prosty proces.
  • Nie zrujnuj swojej reputacji przez wysyłanie głupich raportów czy przez robienie publicznych wystąpień hejtujących daną firmę, jeśli nie masz pewności że to co robisz jest mądre i etyczne.
  • Bierz udział w programach Capture The Flag(CTF), żeby nauczyć swój umysł kreatywności, poznać ciekawych ludzi i nabrać doświadczenia z nowymi technologiami
  • Zrób szkolenie PWK i certyfikat OSCP firmy Offensive Security. To najbardziej popularny i szanowany entry-level certyfikat, przed którym uczysz się w labach praktycznych testów penetracyjnych. Zrób to dosyć wcześnie, bo to fajna przygoda, a biorąc OSCP po paru latach doświadczenia będzie nudne i ominie Cię szansa na zachwyt. W sieci znajdziesz mnóstwo materiałów na ten temat. Możesz pomyśleć też o certyfikatach typu CREST i OSCE, ale nie skupiaj się na samym zdobywaniu tytułów i certyfikacji. Zdecydowanie ważniejsze jest to jaką wiedzę zdobędziesz podczas szkoleń i to w jaki sposób poszerzysz horyzonty a nie to czy będziesz mógł dopisać parę skrótowców w swoim CV.
  • Publikuj swój research i nie wstydź się krytyki innych. Czas pożegnać się z ego i wystawić na świat.
  • Stwórz bloga o bezpieczeństwie i pisz w miarę możliwości o tym co robisz, czego się uczysz, jakich sztuczek się nauczyłeś i jakie sytuacje napotkałeś. Czasem możesz zrobić współpracę z kilkoma innymi osobami o upublicznić wasz artykuł na grupach mailingowych czy forach, po to żeby pomóc innym. Pisanie jest świetne bo organizuje Twoją wiedzę i oczyszcza atmosferę. Gdy zaczniesz się uczyć tego wszystkiego – wiem, że jest tego sporo – to będziesz miał mocny mętlik i chaos w głowie. Pisanie jest świetną metodą żeby upewnić się, że coś rozumiesz, bo pisząc wyjaśniasz sobie dany temat krok po kroku.
  • Publikuj nawet jeśli nie sądzisz, że to coś wartościowego. Pamiętaj, że nawet jeśli jesteś w branży od miesiąca, to są ludzie którzy jeszcze nawet nie zaczęli i Twoje miesięczne doświadczenie i wiedza będzie dla nich bezcenna. Jeśli sądzisz, że nie jesteś wystarczająco dobry, to właściwie może być dobry znak, bo cytując HD Moore’a “Jeśli nie czujesz się ciągle jak noob to znaczy, że nie starasz się wystarczająco mocno” 🙂
  • Staraj się tworzyć własne narzędzia do testowania bezpieczeństwa. Nawet jeśli coś już jest stworzone, to nie używaj na ślepo czyichś narzędzi, lecz postaraj się zrozumieć jak one działają. Najlepszą metodą zrozumienia jak działa dane narzędzie jest zbudowanie prymitywnej kopii, przez co zgłębisz temat i poćwiczysz programowanie.
  • Zgłaszaj się na konferencje i lokalne spotkania grup programistycznych. Nie ignoruj małych spotkań i darmowych konferencji, bo na początku kariery to są właśnie grupy do których możesz kierować swoje wystąpienia i szkolenia dostarczając ludziom wartość. Gdy jesteś w branży od paru miesięcy to nie powinieneś wysyłać zgłoszenia na Defcon, natomiast jak najbardziej będzie przydatne jeśli zgłosisz się na lokalny meetup np. na Twojej uczelni i wyjaśnisz programistom czym są podatności typu SQL injection, jak je testować oraz jak się przed nimi bronić.

Poświęcenie czasu i poszukiwanie pasji będzie Twoją codziennością

Co najważniejsze – rób to co sprawia Ci przyjemność i czujesz choć odrobinę pasji w danym kierunku. Różne rzeczy działają na każdego z nas, i każdy z nas powinien wyznaczyć bądź znaleźć własną ścieżkę. Jeśli testowanie aplikacji webowych nie sprawia, że chcesz siedzieć po nocach, to spróbuj testowania infrastruktury, mobilnych aplikacji albo defensywnego programowania.

Jeśli te rzeczy Ci nie pasują, to poczytaj o hackowaniu systemów wbudowanych albo tworzeniu monitoringu infrastruktury. Ta branża jest ogromna, więc naprawdę jest w czym przebierać, a pasja jest niesamowicie ważna.

 

Nie chodzi o to, że mając pasję jest się jakoś wyjątkowym płatkiem śniegu, tylko o praktyczny fakt, że będąc w czymś zapalonym będziesz chętniej spędzał dodatkowe godziny na nauce i stawał się lepszy. Ciężko utrzymać się w tej branży nie będąc pasjonatem, bo trzeba wkładać naprawdę dużo czasu żeby nadążać ze wszystkim co się tutaj dzieje i pasja sprawia, że nie żałujemy tak bardzo czasu poświęconego na siedzenie przed komputerem.


Kiedy piszę ten paragraf, jest 4 nad ranem a ja jeszcze nie poszedłem spać i dokończenie zajmie mi pewnie jeszcze z jakąś godzinę lub więcej. Tworzenie tego artykułu jest możliwe tylko dlatego, że kocham pisać i uwielbiam dzielić się wiedzą i pomagać innym. Jaki byłby inny powód do siedzenia przed komputerem i pozbawiania się wygodnego snu, jeśli nie chodziłoby o pasję? Nie dałbym rady ani fizycznie ani psychicznie siedzieć do 4 rano jeśli chodziłoby na przykład o szydełkowanie 🙂
Szukaj rzeczy, które Ciebie zapalają i sprawiają, że czas spędzony na nauce jest przyjemnością a zajdziesz w tej branży daleko. Trzymam za to kciuki i nie poddawaj się, bo możliwości jest wiele, a każda nowa umiejętność poszerza horyzonty. Nie zastanawiaj się zbyt długo nad tym od czego zacząć. Po prostu złap się czegokolwiek i gdy zamoczysz choć palec i poczujesz jak głęboka jest ta woda, to już łatwiej będzie Ci podejmować decyzje czego się później uczyć i za co zabrać.

Wszystko zależy od tego jak bardzo chcesz dołączyć do tego grona

Biorąc pod uwagę powyższe, naprawdę nie ma wymówki w postaci “nie mogłem znaleźć materiałów, żeby uczyć się bezpieczeństwa”. Na świecie są tysiące ludzi, którzy w swojej hojności poświęcają prywatny czas na produkowanie materiałów dzięki którym możesz się uczyć, rozwijać i spełniać marzenia.

Nie chcę żeby to źle zabrzmiało, ale jeśli chcesz pracować w tej branży, ale nie potrafisz znaleźć materiałów na temat tego jak zacząć, to może ta specjalizacja nie jest po prostu dla Ciebie? Większość Twojej codziennej pracy jako specjalista bezpieczeństwa będzie wymagać od Ciebie robienia researchu na własną rękę i googlowania wszystkiego po granice możliwości.

Za każdym razem, gdy mam do czynienia z ludźmi którzy twierdzą, że nie wiedzą co ze sobą zrobić i od czego zacząć, później okazuje się że nawet jak się pokazało komuś palcem co ma robić to i tak tego nie zrobili i wyłamali się ze swojej ambicji i “pasji”, mimo że zapewniali jak bardzo są wyjątkowi i zdeterminowani żeby nauczyć się bezpieczeństwa.

Żebyśmy się dobrze zrozumieli – nie chodzi o to, że masz nie pytać albo że nie masz prawa czegoś nie rozumieć, bo rzeczywiście zdarzy się, że napotkasz na bardzo specyficzny problem wymagający indywidualnej analizy. Mówię tylko, że materiałów jest mnóstwo i do googlowania trzeba się przyłożyć, a będą z tego dobre rezultaty i ta umiejętność przyda Ci się w przyszłości. Czasem znalezienie rozwiązania dla problemu w pracy zajmuje godziny przemierzania czeluści Internetu, więc tę umiejętność trenuj jak najwcześniej.

Jeśli jesteś zdeterminowany, to nie powinieneś być kolejną osobą, tworzącą kolejny wątek “OSCP vs CEH” albo “jak zostać pentesterem, pomocy”. Jeśli tworzysz takie posty, to już mogę powiedzieć Ci, że robisz to źle.

Nie mógłbym opublikować artykułu o karierze w bezpieczeństwie, bez zacytowania części artykułu legendarnego zespołu bezpieczeństwa. Tłumacząc słowa lidera Corelan Teamu:

Bycie pentesterem nie jest równoznaczne z byciem dobrym w używaniu narzędzi. Bycie pentesterem to bycie w stanie zrozumieć jak rzeczy działają, jak są skonfigurowane, jakie błędy popełniają ludzie i jak znaleźć te błędy dzięki byciu kreatywnym.
Bycie pentesterem to nie uruchamianie Metasploita celując w cały Internet. Tutaj chodzi o coś absolutnie większego.

Amen!

Będąc w tej branży już kilka ładnych lat w pełni się z tym zgadzam. Potrzebujemy o wiele więcej kreatywnych artystów, którzy potrafią i chcą zabezpieczać firmy i użytkowników. Ta branża nie potrzebuje już większej ilości ludzi, którzy potrafią tylko klikać przyciski na GUI narzędzi do automatycznego skanowania i exploitacji.

Branża bezpieczeństwa jest ekscytująca i jeśli jesteś w stanie udowodnić swoją chęć nauki i pasję, to będziesz miał przed sobą świetną karierę. Zaaplikowanie tego co Ci wyżej przekazałem, pozwoli Ci wyprzedzić jakieś 90% ludzi którzy szukają pracy w tym sektorze.

 

Podsumowując, googluj, googluj, rób rzeczy i jeszcze raz googluj. Samo czytanie i teoria nie zaprowadzą Cię tam gdzie chcesz dojść. To możesz osiągnąć przez praktykę, doświadczenie i hackowanie a nie gadanie.

Bonusowe materiały od których warto zacząć

Linki do dwóch moich, niezłej jakości podcastów na których opowiadam głębiej o sprawach które opisałem w tym artykule:

Jak Zostać Testerem Bezpieczeństwa – Kariera Pentestera/Security Engineera

Najważniejsze Umiejętności Pentestera oraz Jak Zhackować Proces Rekrutacyjny

Jeśli chcesz nauczyć się podstaw bezpieczeństwa aplikacji, możesz obejrzeć mój kurs wprowadzający (przeciek: niedługo będzie wersja polska, i to w konkretnej jakości!): https://www.youtube.com/watch?v=IcJn1sQPS_U

Po obejrzeniu, ściągnij sobie podatną VMkę OWASPu (https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project)  i hackuj! Polecam zacząć z aplikacja “Multidae 2” z odblokowanymi wskazówkami(hints)  które poprowadzą Cię za rękę przez każdy z modułów.

A tutaj lista najlepszych tekstowych poradników na temat kariery w bezpieczeństwie od ludzi którzy osiągnęli o wiele więcej:

https://www.corelan.be/index.php/2015/10/13/how-to-become-a-pentester/

https://lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in-security-but-are.html

https://medium.freecodecamp.org/so-you-want-to-work-in-security-bc6c10157d23

https://netsec.ws/?p=468

https://www.peerlyst.com/posts/a-collection-of-links-about-transitioning-into-infosec-or-starting-an-infosec-career-and-making-it-peerlyst

https://gist.github.com/mubix/5737a066c8845d25721ec4bf3139fd31

 


Za każdym razem, kiedy uderzysz w ścianę i nie będziesz wiedział co ze sobą zrobić to po prostu googluj. Jeśli dopiero zaczynasz się czegoś uczyć i masz przed sobą wyzwanie, z którym nie potrafisz sobie poradzić, to zapewniam Cię że nie jesteś sam i pewnie ktoś już był w tym miejscu i może nawet opublikował to na swoim blogu. Nawet na bardzo banalne pytania możesz znaleźć w sieci odpowiedź, więc googluj i przemyśl założenie własnego bloga. Ucząc się sam zrozumiesz o co mi chodzi i jak bardzo będziesz doceniał ludzi, którzy spisali na blogu podstawowe rzeczy, które jednak dla Ciebie są trudne i odblokują Cię i uratują Ci mnóstwo czasu.

Powodzenia i cytując słynne hasło z OSCP “Try Harder”!

 

PS. Jeśli pojawi się sporo pytań to obiecuję zrobić podcast bądź napisać artykuł, w którym na wszystko odpowiem. Temat tego jak szukać pracy, jak być dobrym pracownikiem i na co w życiu uważać, to tematy na które pisze się setki książek, ale starałem się dać Ci skrót kilku z najważniejszych lekcji jakich życie mnie nauczyło. Sam chciałbym, żeby ktoś podarował mi taki artykuł kiedy ja zaczynałem swoją karierę w bezpieczeństwie, bo nie jestem w stanie opisać ile zdrowia i czasu by mi to zaoszczędziło.

Jest mnóstwo bardziej kompetentnych ludzi na dokładniejsze opisywanie tematu, ale jeśli chcesz usłyszeć mojej perspektywy na jakiś temat, to śmiało wyślij mi pytanie i będę dumny mogąc Ci na nie odpowiedzieć.

 

Review of “Infosec Rock Star: How to Accelerate Your Career Because Geek Will Only Get You So Far”

The book is scratching the surface but outlining important challenges

I don’t know Ted Demopoulos personally and haven’t heard of him before this book went viral in security industry, so my review should be pretty objective and honest.

I love that people in our industry contribute to common well being and support others in finding their meaning, passion and general direction in life. This is awesome, which is why I’m giving additional point for that.

Here comes the shittiest comment a reader can ever write – I didn’t like how lengthy the book is ROI-wise. There is a lot of stuff that can be cut out and the book would be still the same. It’s not that I don’t like lengthy books, because reading books that go beyond thousand pages isn’t new to me, but I always measure how much time do I need to invest in book and how much value I’m going to get out of it. Anyways, for most people this is a perfect starting book and don’t let this opinion put you off track. Just because something was repetitive to me, doesn’t mean it won’t be exactly what you’re looking for. Different people consume content differently and I actually do believe that Ted’s storytelling can change lives of many.

I’d recommend it for all security newbies — for whom this is pure gold — and for people who haven’t really read much about career development, self development, personal branding and such. If you’ve read dozens of hundreds of books from giants like Godin, Vaynerchuk, Robbins, Ferris, Duhigg and similar, you’re better off just skimming thru book to find what’s specific to security industry and what challenges Ted faced as opposed to reading it thoroughly like I did in search for life changing nuggets.

Parts about his challenges, attitude towards life and success where inspirational and I definitely taken away a few things from it. It embraced some of the things I already knew and gave me some more strength, because life it’s far less stressful when you know you’re not alone with your problems in this industry.

Thanks Ted for this book, I appreciate your work and will recommend it widely. I acknowledge that it just isn’t a book for me, but I know for a matter of fact lots and lots of people can learn plenty from it, especially when it comes to the social skills part.
It’s a good knowledge pill which can open eyes of many people, who can then do in-depth research on their own. Using an authority to introduce people to the world of self development, it’s a noble and terrific mission, thank you Ted.

You can but the book at: https://www.amazon.com/dp/B072KG7G4P/r

Leave Your Ego At The Door And Study Empathetic Leadership

The long term efficiency requires you to do things the right way

As a security professionals, the big chunk of our daily work is finding mistakes in work of others and pointing them out. It’s what we are paid for and what we are supposed to do, however the whole trouble comes from HOW we transfer the knowledge about identified issues.

We know our things, we too often feel smarter than others and we can’t stand seeing the same bugs happening over and over again. Raise your hand if you’re not tired of OWASP TOP10 bugs showing up in new code even tho most of it has been known for over a decade at this point.

The fact that people are uneducated is the origin of many of ours social problems and plenty of us are tired of playing it nice.
It takes a lot of passion and anxiety tolerance to stay on a path and continue to be efficient by being effective i.e. by doing things in a right way. You just can’t make security cost effective if you’re not capable of integrating with coworkers to get stuff done.

It’s easy to destroy relationships and hard to build them back

It’s unbelievably important to do a gut check once in a while, because if you don’t observe your behavior to catch yourself on moments when your ego is way too inflated, someone else is going to spot that for you.
Someone noticing your ego being out of check, is a situation that usually happens shortly after you’ve failed at your job. You must have had misbehaved in one way or another to make someone spend their energy on reflectin upon your actions.

If you’re lucky, the person whom you’ve failed will be generous and courageous enough to provide you an honest feedback about your behavior but that’s a scarcity.
Most of the time people will keep the negative experience for themselves, which will grow bigger when time goes by, and you’ll hear their thoughts only when emotions hit the roof and they’re bitter beyond limits when they happen to be in your surroundings.

And you may think that it’s not that much of a deal, because if you notice harsh attitude, then you’ll apologize and by that fix it right away. However, it doesn’t work this way at all. When someone is emotionally invested and already bitter about you, they’re not going care much about your apologies because the lost trust and credibility is harder to regain, than it was to earn it in the first place. There is noone to blame for it, it’s just a self-defense mechanism of human beings, and it’s there for a good reason.

This is why you’re the person responsible for you own ego check, because the last thing you want to happen is have coworkers dislike you. It starts with one person and spreads like a virus, because people love to gossip about negative stuff more than they like to make positivity louder. So make no mistake, because a single coworker having an attitude towards you can make whole departments turn their back on you

No place for ego in effective management

Whatever your feelings may be, there is no place for anybody to have long lasting resentment in healthy corporate culture.
Unspoken mantra of each healthy organisation should be that we’re all there to do good together instead of aggressively competing against each other and cherrypicking on each other mistakes — even if they’re truly dumb and basic, but hey, who are you to judge?

Foremost important it to make sure you put your ego away and open yourself to listen suggestions from other people around you.
… Let’s skip the part when we all claim we’re obviously not ego driven, and get back into reality… 🙂
Ego is an incredibly robust thing, and aiming to get rid of it in its entirety is impossible so you’re better of trying to learn how to control it.
I love the way Seth Godin contains war against fear — you can’t eliminate fear completely, because fear is a good evolutionary tool of human beings, so you should aim to master how to dance with fear.

Most of us claim to be listening but the truth is that knowing how to listen and pull value from it isn’t an easy task that you can enable on demand, it’s more a skill which you need to train and do so regularly. Just look back and remind yourself from 2 years ago and notice how much — hopefully — you grew since then. Not once I wanted to bang my head against a wall couldn’t believe how naive and silly I was just those few months/years ago.

Appreciate feedback every single time you get some

If someone is giving you one, it’s because they expect you to act upon it. If they didn’t want you to change, they would not spend their time and mental energy on laying it down for you, so pay real attention despite what givers saying ‘you know, it’s not all serious, merely a thought’.
“Take it or leave it” advice rarely exist, and that’s especially valid point in corporate world.

The major problem is learning how do you get people to expose themselves when you’re around and share their thoughts with you, let alone admitting that they don’t know something. For some open people spitting words out is trivial, but it’s uncomfortable for vast majority to ask for help, so anytime someone aproaches you, show gratitude and acknowledge that your appreciate that person.

Creating feedback loops can be priceless as long as you take action upon the data you collected from your peers. If someone is criticizing your work then there is some agenda behind those words which you should analyse whether it’s really yours or that person’s problem.
Especially if you invite someone to share feedback with you, argumenting that you want to hear suggestions in order to improve yourself, you must take that conversation seriously because if your supporters don’t see things changing changing despite their involvement, they’ll stop wasting their time and won’t treat you seriously the next time you ask them for same favor.
It’s frightening how often we’re blinfdolded by our ego creating so strong narrative that we treat voice of others as a nonsense and background noise without considering that we may indeed be doing something wrong.

Watch your language and respect your peers

Using aggressive a’ka “too verbosely passionate” language in emails — which is essentially your form of escapism and dealing with anxiety — to offend and publicly shame people who made a mistake is not helping anybody. While it may be a relief for your grief, it’s negatively contributing to your long term success at the company.

Humility is one of the most critical qualities leader must possess. It’s a major dependency for building the trust that can be converted into long lasting relationships so don’t be too cocky just because you’ve found someone to be less educated than you in a given matter. They know things from their specialization that you have no clue about.

How would you feel if they offended you when it was you who came asking for help? Can you for a moment stop yourself from acting like a corporate cog and behave like a decent human being who knows how it is to get hurt and made feel insecure?
Concept of workplaces went that odd route and created very artificial and fake micro-societies, but there are very few reasons for you to continue playing that game, and there is plenty of counter arguments to act in a workplace like you act among your friends, collegues and other personal acquaintances.

The winning corporations figured it out a long time ago, that it’s all about making people comfortable with their self-awareness and hunger for growth. You must make sure that people understand and feel that there is nothing wrong with not knowing something as long as they have a willingness and interest in learning, improving ang getting better in whatever they’re paid for.

Leadership values and Emotional Intelligence

Social skills are hard for everyone, not just Security Professionals and we struggle with it in our daily lives.
In such niche field as infosec we’ve got plenty of great specialists, researchers, analysts and people who can hack almost anything, but how much attention do we pay in terms of their social skills and play with others? How much do we praise leadership in our field? It almost doesn’t exist in medias, and yes we all know Mitnick to be extremely socially “enabled” but can you name more of Mitnick-alikes with the same ease you can enumerate thru great security researchers? I’ve spent almost half a decade studying security management and leadership and I’m still don’t know as many great security leaders capable of creating robust security programmes as I know famous people working in appsec. Not even close.

Technical work is exciting and tempting, technical skills are in great demand and people get compensated very well for their technical acumen, which makes noone surprised with how many people are socially incompetent or even disabled, because if you’re good enough on technical skills side you’ll find an employment regardless of social savviness. I’m not saying it’s bad or wrong, but it’s clear that we’re not spending enough time working on social side of things. You can be a great hacker and programming rockstar, but if you don’t know how to unite people and how to use their potential to make a difference you won’t secure the organisation or product yourself. One man army will take you only this far.

Most people have no clue what emotional intelligence is, let alone heavily technical people who have beloved productivity so much that they prefer to work alone to focus on a deep work, and that isolation is both a correlation and causation. People who want to be great at their thing prefer to do the work alone and isolated from outside world tend to lose their social skills edge.

The deal is that without leadership skills you can’t change corporate culture, especially when you’re joining existing organisation which had no exposure to security for years or even decades. Without you acting as a leader who knows how to instill security into employees’ value system, people won’t stay inspired to do their best in securing the code they ship.

For years I myself used to be highly technical and avoided social interactions at all cost, because I wanted to be the most productive person ever who does not waste a single minute on redundant interactions which take away form me the opportunity to do something “important” at that time. But in order to be effective and truly productive as a security champion, I had to learn leadership business as well and I’m telling you about it only because it was really worth it.
Sure, there are still days in which I’d prefer to stay in my condo, pentest all the things and fix as much code as possible, but learning how to make myself comfortable around people made me a better employee and to be transparent — it also made my personal life better. When you take extreme ownership and strive to be a great leader, you can achieve far greater results in your security initiatives, in your relationships or whatever you might be doing that involves working with other people.

Learn to feel your people, understand what truly turns them on, give them what they need and share with them your motive in order to make great things happen.
Be the leader you wished you had and remember to stay human, not a corporate cog who puts a despicable mask each time he must approach coworkers to give a relief of his anxiety and transfer the bitterness onto others.