Skąd się uczyć i kilka słów o edukacji formalnej

Jeśli chcesz zostać testerem bezpieczeństwa, inżynierem bezpieczeństwa czy kimkolwiek w świecie security to już na samym początku mam dla Ciebie wyśmienite wieści. Trafiłeś na branżę, która nie tylko dynamicznie się rozwija i dobrze płaci, ale także ma całkiem niski koszt wejścia.
Zauważ, że nie napisałem o poziomie wejścia a koszcie. To znaczy, że nie musisz inwestować dużej ilości pieniędzy we własną edukację by otworzyć przed sobą sporą liczbę drzwi.

Są profesje w branży IT, gdzie ogromna ilość ofert pracy nawet na juniora wymaga od kandydata doświadczenia w świecie komercyjnym. I ma to jakiś tam sens, bo żeby być dobrym inżynierem oprogramowania nie wystarczy umieć kodzić, ale trzeba mieć ogólne ogarnięcie biznesowe i to zazwyczaj zdobywa się podczas komercyjnych projektów. Tworzenie własnych narzędzi czy wkładanie pracy w OSS(Open Source Software) to cenne doświadczenie, ale niekoniecznie porównywalne z praktyczną pracą w świecie biznesu.

W kwestii pentestingu i bezpieczeństwa, jest tyle dostępnych materiałów, że możesz nauczyć się naprawdę dużo w domu, a już na pewno na tyle, żeby znaleźć dobrą pracę która pomoże Ci się rozwijać i przyśpieszy proces edukacji.

Jest mnóstwo sposobów i źródeł z których możesz się uczyć branży InfoSec. Masz do dyspozycji obszerne książki; blogi pisane przez genialne i szczodre umysły; rzeczowe nagrania z niesamowitych konferencji; kursy na coursera, cybrary, securitytube, udemy, pluralsight i darmowe wykłady z przedmiotów związanych z bezpieczeństwem prowadzonych na uniwersytetach takich jak MIT czy Stanford.

Możesz iść na studia, ale nie musisz. Jeśli masz wystarczająco dyscypliny i samoogarnięcia to możesz samemu wyznaczyć sobie ścieżkę edukacji. Coraz mniej firm wymaga posiadania dyplomu, więc nie będzie żadnej tragedii jeśli zdecydujesz nie iść na studia.
Muszę jednak podkreślić, że nie powinieneś umniejszać wartości studiów Computer Science, bo dostarczają bardzo dobre podstawy i systematyzują wiedzę, a dla niektórych studia to jedyna możliwość utrzymania dyscypliny i regularnej nauki. Dla przykładu, ja wraz z kolegą(@naugtur) prowadzimy kilkudziesięciogodzinne zajęcia z bezpieczeństwa webaplikacji na Uniwersytecie Adama Mickiewicza w Poznaniu, więc czegoś ciekawego i mocno związanego z security można się nauczyć 🙂

Ale nie jest to żadne wymaganie dla pasjonatów i ludzi którzy dają radę uczyć się na własną rękę. Najlepsi hackerzy o których słyszał świat to samoucy, czasem nawet ludzie którzy porzucili edukację na wczesnym etapie, więc da się ogarnąć wszystko w branży security bez papierków.

 Mentorzy i partnerzy w nauce są bezcenni

Bardzo dobrym pomysłem jest poszukanie mentora, a najlepiej kilku. Nieposiadanie wzoru do naśladowania może sprawić, że przez lata będziesz dryfował gdzieś w przestrzeni ucząc się wszystkiego i niczego, frustrując się i koniec końców do niczego nie dochodząc.

Poszukaj kilku osób, które osiągnęły coś w branży i pogoogluj ich historię żeby zrozumieć ścieżkę jaką podążali. W ostateczności możesz się do nich odezwać z pytaniami bo ludzie nie gryzą, ale miej na uwagę że większość zawodowców jest naprawdę zmęczona lamerskimi pytaniami o coś co można znaleźć w sieci.
Więc najpierw googluj, później googluj, gdy uważasz że nie ma dla Ciebie odpowiedzi w Internecie, to pogoogluj jeszcze trochę i dopiero wtedy odzywaj się do kogoś. Bądź precyzyjny w języku który używasz, opisz dobrze swoją historię i potrzeby tak żeby zabrać jak najmniej czasu osobie która chce Ci pomóc.


Mówię o szukaniu mentorów w liczbie mnogiej, dlatego że ślepe podążanie jedną – nawet wybitną – osobą może być tragiczne w skutkach. Niektórzy ludzie osiągają sukces nie mając pojęcia jak to się stało, przez co mają klapki na oczach myśląc, że to co robili to jedyna droga do dobrej kariery i szczęśliwego życia. Ktoś taki może zrujnować Ci karierę i życie jeśli religijnie podchodzi do swojej ścieżki i wciska Ci na siłę rzeczy które kompletnie Cię nie pasjonują albo do których po prostu nie zostałeś stworzony.
Najlepiej więc będzie jeśli znajdziesz sobie kilka/kilkanaście osób do naśladowania i wybierzesz to co Ci najbardziej pasuje – no ale to powinno robić się w każdej dziedzinie życia, więc przejdźmy dalej.

Jednym z najlepszych sposobów na motywację w życiu jest złożenie publicznej obietnicy na dany temat. W skrócie chodzi o to, że jeśli znajdziesz kogoś z kim będziesz się wspólnie uczyć to trudniej będzie Ci się obijać żeby nie zawieść tej osoby, więc będziesz pracował intensywniej i bardziej regularnie. Ale to nie artykuł o produktywności, więc już wracam do konkretów.  
Znajdź sobie mentorów, którzy Cię inspirują i pokazują drogę. Jeśli to możliwe, znajdź też ludzi, którzy również chcą nauczyć się bezpieczeństwa i uczcie się razem, wzajemnie testując swoją wiedzę i pomagając sobie w trudnych sytuacjach.

Skup się na tym co możesz zaoferować, a dopiero na końcu myśl o $$$

Bądźmy szczerzy, bo pisanie bajek nikomu nic dobrego nie robi.
Zazwyczaj gdy zaczynasz pracę po raz pierwszy to niewiele wartości możesz wprowadzić do firmy. Nawet jeśli ogarniasz podstawy to i tak trzeba Cię przeszkolić, musisz się wdrożyć, ogarnąć cały ten świat biznesu i to co robi się w poważnej pracy i po paru miesiącach zaczynasz być naprawdę produktywny. Napływ ludzi szukających przyjemnej pracy w IT jest tak duży, że już na żadnym pracodawcy nie robią wrażenia krzykacze, którzy jedyne co mają do zaoferowania to mówienie o tym jak bardzo chcą pracy, jak bardzo są zapasjonowani i jak ciężko będą pracować jeśli wszystko podstawi im się pod nos.

To prawda, że kiedyś były takie czasy, ale już dawno minęły. Nadal łatwo dostać pracę w IT, ale to już nie są takie fajerwerki jakich niektórzy się spodziewają.

Ogromnym problemem w branży security jeśli chodzi o rekrutacje są ludzie którzy strasznie chcą zostać etycznymi hackerami – bądź co gorsze już się za nich uważają – ale tak naprawdę nie mają pojęcia co robią ani co mogą zaoferować. Nie jestem już w stanie policzyć ile osób spotkałem, które uważały się za uber-haxiorów tylko dlatego, że znaleźli kilka głupich błędów w programach Bug Bounty albo przeczytali kilka tutoriali o testowaniu web aplikacji. Znajdowanie podstawowych błędów o ile jest cenną umiejętnością, o tyle obecnie nie jest wystarczająco wyróżniające z tłumu żeby ktokolwiek mrugnął na to okiem i zatrudnił Cię tylko z tego powodu.
Co więcej, tytułowanie się hackerem i ekspertem bezpieczeństwa mając parę miesięcy doświadczenia w szukaniu bugów to najszybsza droga by Twoje CV trafiło do kosza. Jesteśmy już mocno zmęczeni ludźmi z nadmuchanym ego i dzieciakami którym wydaje się zbyt dużo, więc jeśli już na etapie rekrutacyjnym wykazujesz brak pokory to nie zachęca nas to do przebywania z Tobą pod jednym dachem przez 8 godzin dziennie, 5 dni w tygodniu.


Prawdziwy świat nie działa w ten sposób, że uczysz się podstaw i oczekujesz, że zaraz pojawi się mnóstwo pracodawców z workiem pieniędzy. Świat biznesu ma obsesje na punkcie generowania pieniędzy i nikogo za bardzo nie interesuje jak elitarnym haxiorem jesteś, jeżeli średnia Twoich umiejętności miękkich i twardych jest niska i nie będzie generowała wartości.

W życiu, w każdej relacji powinieneś zastanawiać się jaką wartość jesteś w stanie dostarczyć zanim pomyślisz o tym co dostaniesz w zamian. Life kołczingu uprawiać Ci tutaj nie zamierzam, ale musisz zdawać sobie sprawę z tego, że za darmo nikt pracy nie rozdaje.

Oczywiście musisz też wiedzieć, że w życiu nie jest tak, że wynagrodzenie jest zawsze uczciwie przyznawane zależnie od Twojej wartości, bo to okrutne kłamstwo które mnóstwo osób i pracodawców będzie chciało Ci wmówić.

Musisz nauczyć się negocjacji i umiejętności szanowania i wyceny swojego czasu, bo jeśli się zagapisz to bardzo szybko znajdzie się mnóstwo drani, którzy chętnie wykorzystają Cię i wycisną z Ciebie ostatnie krople.
Niewiele osób, które spotkasz w swoim życiu będzie szczerze zainteresowane Twoim losem, szczególnie w życiu zawodowym gdzie jest mnóstwo cwaniaków, których interesem jest dymanie pracownika tak długo jak tylko się da. Jeśli szukasz pracy w Polsce czy krajach o podobnej mentalności mas, to uważaj na to podwójnie i o ile firmy z kapitałem zagranicznym są często lepsze, to pamiętaj że za biurkiem w polskim oddziale też może siedzieć janusz biznesu, który nie ma pojęcia o przywództwie i szanowaniu pracowników.

Przy wybieraniu pierwszej pracy wynagrodzenie schodzi na dalsze tory

Generalnie szukając pierwszej pracy obniż swoje wymagania odnośnie wynagrodzenia i tego jak atrakcyjna ma być firma, w której chcesz pracować. Pierwsza praca to miejsce, w którym masz się jak najwięcej uczyć, że poszerzyć horyzonty i w razie potrzeby potrafić wystarczająco, żeby bezboleśnie zmienić pracę na lepszą.
Powtarzam to znajomym non stop, więc i z Tobą się tym podzielę. W branży IT możesz rozwijać się bardzo szybko i zwiększać swoje wynagrodzenie jeśli przykładasz się do nauki oraz chłoniesz wiedzę i doświadczenie. Więc naprawdę nie warto brać pracy, która oferuje o 500zł więcej od innej, jeśli w tej lepiej płatnej będziesz małpką która niewiele się uczy i po 3 latach nadal będzie zarabiać tyle samo, podczas gdy idąc do tej gorzej płatnej pracy możesz nauczyć się tyle, że w 3 lata potroisz swoje wynagrodzenie.
Trzeba uważać, bo rzeczywiście istnieje korelacja pomiędzy wynagrodzeniami a poziomem umiejętności w firmie, bo zazwyczaj ludzie wybitni w końcu ogarniają się życiowo i rozumieją, że mogą zarabiać więcej, być bardziej szanowani i robić ciekawą pracę w innym miejscu. No ale syndrom sztokholmski bywa bardzo silny, więc nie przekreślaj firmy tylko dlatego, że oferują słabe wynagrodzenie, bo i w takich firmach znajdziesz ludzi od których możesz nauczyć się ogromnej ilości rzeczy.

“Micro speed, macro patience” to dobra maksyma jeśli chodzi o rozwój. Ciężko pracuj, żeby nauczyć się ile tylko potrafisz, ale nie przeceniaj swoich możliwości i tego co możesz osiągnąć w danym okresie, więc daj sobie trochę czasu na rozwój. Szczególnie, że jeśli znalazłeś już jakiś punkt zaczepienia, to teraz już powinno być tylko lepiej.

Nie warto też czekać na idealną ofertę pracy, bo lepiej spędzić parę miesięcy w pracy, w której zarabiasz tylko tyle, że wystarcza Ci na utrzymanie, ale możesz się uczyć i rozwijać niż siedzieć bezczynnie albo pracować w pracy bez przyszłości tylko dlatego, że dostajesz kilkaset złotych więcej. Czasem trzeba się kilka miesięcy przemęczyć i później będzie lepiej, a niektórzy potrafią pół życia przesiedzieć czekając aż idealna praca do nich przyjdzie.

Nie daj się wykorzystywać i bądź rozsądny, ale nie panikuj też gdy przez parę miesięcy będziesz żył biednie od pierwszego do pierwszego. Nie chcę tu porównywać do krajów trzeciego świata i mówić jak my mamy dobrze, ale pamiętaj że w krajach takich jak np. USA ludzie kończą studia z kredytem opiewającym na kwotę kilkuset tysięcy dolarów 😉

Jakie umiejętności i wiedza są w branży security przydatne

Jeśli chcesz być profesjonalnym specjalistą bezpieczeństwa, to jest kilka rzeczy które musisz ogarniać, żeby spisywać się w swojej pracy. Nasza specjalizacja została w ciągu ostatnich paru lat zasypana ludźmi, którzy nazywają się specjalistami bezpieczeństwa, choć tak naprawdę nie mają pojęcia jak to wszystko działa a ich wiedza ekspercka ogranicza się do bardzo podstawowych testów.

Za starych czasów, zwykliśmy nazywać takich ludzi ‘script-kiddies’, ale później jakoś to się zatarło i przez duże zapotrzebowanie na ludzi zajmujących się bezpieczeństwem poluzowano granice tego jakich ludzi się zatrudnia i szanuje. Na szczęście jedna rzecz pozostaje niezmienna, tzn. nadal głęboko szanuje się ludzi, którzy wkładają dużo pracy w rozwijanie swoich umiejętności i głęboko wchodzą w tematy które studiują.

Zmierzam z tym do tego, że o ile pewnie po czasie znajdziesz pracę jeśli potrafisz dobrze sprzedać nawet niewielkie umiejętności, ale bycie człowiekiem, który naprawdę wie co się w systemach komputerowych dzieje zaprowadzi Twoją karierę o wiele dalej.

Zatem zanim odpowiem w końcu na pytanie “jak i skąd mam uczyć się hackowania”, zaproponuję Ci parę tematów, które dadzą Ci większy obraz i perspektywę czyniąc Cię bardziej kompetentnym specjalistą. Naprawdę warto znać choć podstawy tych tematów, bo skupianie się na jednej rzeczy bardzo łatwo wprowadzi Cię w widzenie tunelowe, które jest częstym powodem przez który popełnia się głupie błędy.

  • Powinieneś nauczyć się jak wygląda produkcja oprogramowania w realnym świecie. Fajnie, że potrafisz znaleźć kilka błędów bezpieczeństwa, ale o wiele lepiej będzie jeśli nauczysz się podstaw programowania i paru narzędzi oraz praktyk ze świata IT OPS
  • Jest rozsądnym zdobycie generalnej wiedzy jako złota rączka IT czyli człowiek od wszystkiego. Kiedy masz szeroką wiedzę i dużą perspektywę, to zacznij wchodzić w poszczególne tematy głęboko i poważnie je studiować. Jeśli nie będziesz umiał łączyć kropek, bo nie masz ich wystarczająco wiele, to możesz przegapić krytyczne błędy bezpieczeństwa, tylko dlatego, że nie potrafiłeś spojrzeć na sytuację z dystansu.
  • Poczytaj o utwardzaniu systemów operacyjnych i aplikacji, tzn zaznajom się z rzeczami takimi jak CIS Benchmarks, DISA STIGS itp. Jeśli będziesz wiedział w jaki sposób admini chronią swoich systemów, to o wiele łatwiej będzie Ci znajdować bugi i eskalować uprawnienia.
  • Zaznajom się z tematami w rejonie compliance, tzn. poczytaj pokrótce o certyfikacjach ISO27001, SOC2, PCI-DSS, żeby mieć ogólnie zrozumienie tego po co się to robi i co jest w tym ważne. Nie chodzi o to, żebyś stał się ekspertem audytu IT, ale dobrze jest wiedzieć z jakich powodów pocą się firmy.
  • Umiejętności miękkie są ważne. Żeby być produktywnym i efektywnym musisz umieć pracować z ludźmi, a na pewno musisz umieć komunikować się z ludźmi żeby przejść chociaż przez proces rekrutacji. Złapanie książki o empatii i przywództwie będzie nieocenione.
  • Poczytaj o tym jak zarządzanie są korporacje i startupy ze strony biznesowej, tak żeby pokazać pracodawcy że rozumiesz że firma istnieje po to żeby generować pieniądze, a nie po to żeby ludzie z IT mieli gdzie się bawić.
  • Spróbuj swoich sił w projektach opensource, albo będąc redaktorem na blogach o bezpieczeństwie. Robienie niewielkich poprawek w kodzie bądź artykułach nie wymaga wiedzy eksperckiej, ale da Ci jakiś kontakt ze światem biznesu. Istnieją startupy, które zajmują się agregacją treści związanych z bezpieczeństwem takie jak np. Peerlyst którzy niedawno szukali stażystów. Takie firmy nie wymagają od Ciebie specjalistycznej wiedzy tylko pilnowania porządku, poprawiania literówek itp, a dzięki samemu czytaniu artykułów na różne tematy możesz zdobyć sporo ciekawej wiedzy.

A teraz czas na konkrety

I wypunktuję najważniejsze moim zdaniem rzeczy, które pomogą Ci nauczyć się hackingu i testowania bezpieczeństwa.

  • Przejrzyj zakładkę “Resources” na Peerlyst.com. To nowa platforma, która jest agregatem treści o bezpieczeństwie i najlepsze artykuły są wrzucane we wspomnianą kategorię.
    Gdybym miał dostęp do takiej ilości wiedzy w jednym miejscu i za darmo, to moja kariera wyglądałaby kompletnie inaczej.
  • Zaznajom się z materiałami z OWASP i PTES. Nie wskakuj od razu w działy techniczne, lecz przeczytaj na początek wstępy, opisy protokołów biznesowych i wytyczne o tym jak być etycznym hackerem. SANS, NIST/cyber i tego typu klasyczne materiały są na wagę złota.
  • Jeśli chcesz pokazać swoje umiejętności i nabrać nowych znajomości to bierz udział w programach Bug Bounty na platformach takich jak HackerOne czy BugCrowd
  • Ucz się z raportów bug bounty i publikowanych raportów z testów penetracyjnych innych ludzi. W codziennej pracy i w dalszym rozwoju będziesz robił to przez cały czas – zbierał i konsumował informacje wyprodukowane przez innych ludzi, więc warto zacząć wcześnie, bo to wcale nie jest super prosty proces.
  • Nie zrujnuj swojej reputacji przez wysyłanie głupich raportów czy przez robienie publicznych wystąpień hejtujących daną firmę, jeśli nie masz pewności że to co robisz jest mądre i etyczne.
  • Bierz udział w programach Capture The Flag(CTF), żeby nauczyć swój umysł kreatywności, poznać ciekawych ludzi i nabrać doświadczenia z nowymi technologiami
  • Zrób szkolenie PWK i certyfikat OSCP firmy Offensive Security. To najbardziej popularny i szanowany entry-level certyfikat, przed którym uczysz się w labach praktycznych testów penetracyjnych. Zrób to dosyć wcześnie, bo to fajna przygoda, a biorąc OSCP po paru latach doświadczenia będzie nudne i ominie Cię szansa na zachwyt. W sieci znajdziesz mnóstwo materiałów na ten temat. Możesz pomyśleć też o certyfikatach typu CREST i OSCE, ale nie skupiaj się na samym zdobywaniu tytułów i certyfikacji. Zdecydowanie ważniejsze jest to jaką wiedzę zdobędziesz podczas szkoleń i to w jaki sposób poszerzysz horyzonty a nie to czy będziesz mógł dopisać parę skrótowców w swoim CV.
  • Publikuj swój research i nie wstydź się krytyki innych. Czas pożegnać się z ego i wystawić na świat.
  • Stwórz bloga o bezpieczeństwie i pisz w miarę możliwości o tym co robisz, czego się uczysz, jakich sztuczek się nauczyłeś i jakie sytuacje napotkałeś. Czasem możesz zrobić współpracę z kilkoma innymi osobami o upublicznić wasz artykuł na grupach mailingowych czy forach, po to żeby pomóc innym. Pisanie jest świetne bo organizuje Twoją wiedzę i oczyszcza atmosferę. Gdy zaczniesz się uczyć tego wszystkiego – wiem, że jest tego sporo – to będziesz miał mocny mętlik i chaos w głowie. Pisanie jest świetną metodą żeby upewnić się, że coś rozumiesz, bo pisząc wyjaśniasz sobie dany temat krok po kroku.
  • Publikuj nawet jeśli nie sądzisz, że to coś wartościowego. Pamiętaj, że nawet jeśli jesteś w branży od miesiąca, to są ludzie którzy jeszcze nawet nie zaczęli i Twoje miesięczne doświadczenie i wiedza będzie dla nich bezcenna. Jeśli sądzisz, że nie jesteś wystarczająco dobry, to właściwie może być dobry znak, bo cytując HD Moore’a “Jeśli nie czujesz się ciągle jak noob to znaczy, że nie starasz się wystarczająco mocno” 🙂
  • Staraj się tworzyć własne narzędzia do testowania bezpieczeństwa. Nawet jeśli coś już jest stworzone, to nie używaj na ślepo czyichś narzędzi, lecz postaraj się zrozumieć jak one działają. Najlepszą metodą zrozumienia jak działa dane narzędzie jest zbudowanie prymitywnej kopii, przez co zgłębisz temat i poćwiczysz programowanie.
  • Zgłaszaj się na konferencje i lokalne spotkania grup programistycznych. Nie ignoruj małych spotkań i darmowych konferencji, bo na początku kariery to są właśnie grupy do których możesz kierować swoje wystąpienia i szkolenia dostarczając ludziom wartość. Gdy jesteś w branży od paru miesięcy to nie powinieneś wysyłać zgłoszenia na Defcon, natomiast jak najbardziej będzie przydatne jeśli zgłosisz się na lokalny meetup np. na Twojej uczelni i wyjaśnisz programistom czym są podatności typu SQL injection, jak je testować oraz jak się przed nimi bronić.

Poświęcenie czasu i poszukiwanie pasji będzie Twoją codziennością

Co najważniejsze – rób to co sprawia Ci przyjemność i czujesz choć odrobinę pasji w danym kierunku. Różne rzeczy działają na każdego z nas, i każdy z nas powinien wyznaczyć bądź znaleźć własną ścieżkę. Jeśli testowanie aplikacji webowych nie sprawia, że chcesz siedzieć po nocach, to spróbuj testowania infrastruktury, mobilnych aplikacji albo defensywnego programowania.

Jeśli te rzeczy Ci nie pasują, to poczytaj o hackowaniu systemów wbudowanych albo tworzeniu monitoringu infrastruktury. Ta branża jest ogromna, więc naprawdę jest w czym przebierać, a pasja jest niesamowicie ważna.

 

Nie chodzi o to, że mając pasję jest się jakoś wyjątkowym płatkiem śniegu, tylko o praktyczny fakt, że będąc w czymś zapalonym będziesz chętniej spędzał dodatkowe godziny na nauce i stawał się lepszy. Ciężko utrzymać się w tej branży nie będąc pasjonatem, bo trzeba wkładać naprawdę dużo czasu żeby nadążać ze wszystkim co się tutaj dzieje i pasja sprawia, że nie żałujemy tak bardzo czasu poświęconego na siedzenie przed komputerem.


Kiedy piszę ten paragraf, jest 4 nad ranem a ja jeszcze nie poszedłem spać i dokończenie zajmie mi pewnie jeszcze z jakąś godzinę lub więcej. Tworzenie tego artykułu jest możliwe tylko dlatego, że kocham pisać i uwielbiam dzielić się wiedzą i pomagać innym. Jaki byłby inny powód do siedzenia przed komputerem i pozbawiania się wygodnego snu, jeśli nie chodziłoby o pasję? Nie dałbym rady ani fizycznie ani psychicznie siedzieć do 4 rano jeśli chodziłoby na przykład o szydełkowanie 🙂
Szukaj rzeczy, które Ciebie zapalają i sprawiają, że czas spędzony na nauce jest przyjemnością a zajdziesz w tej branży daleko. Trzymam za to kciuki i nie poddawaj się, bo możliwości jest wiele, a każda nowa umiejętność poszerza horyzonty. Nie zastanawiaj się zbyt długo nad tym od czego zacząć. Po prostu złap się czegokolwiek i gdy zamoczysz choć palec i poczujesz jak głęboka jest ta woda, to już łatwiej będzie Ci podejmować decyzje czego się później uczyć i za co zabrać.

Wszystko zależy od tego jak bardzo chcesz dołączyć do tego grona

Biorąc pod uwagę powyższe, naprawdę nie ma wymówki w postaci “nie mogłem znaleźć materiałów, żeby uczyć się bezpieczeństwa”. Na świecie są tysiące ludzi, którzy w swojej hojności poświęcają prywatny czas na produkowanie materiałów dzięki którym możesz się uczyć, rozwijać i spełniać marzenia.

Nie chcę żeby to źle zabrzmiało, ale jeśli chcesz pracować w tej branży, ale nie potrafisz znaleźć materiałów na temat tego jak zacząć, to może ta specjalizacja nie jest po prostu dla Ciebie? Większość Twojej codziennej pracy jako specjalista bezpieczeństwa będzie wymagać od Ciebie robienia researchu na własną rękę i googlowania wszystkiego po granice możliwości.

Za każdym razem, gdy mam do czynienia z ludźmi którzy twierdzą, że nie wiedzą co ze sobą zrobić i od czego zacząć, później okazuje się że nawet jak się pokazało komuś palcem co ma robić to i tak tego nie zrobili i wyłamali się ze swojej ambicji i “pasji”, mimo że zapewniali jak bardzo są wyjątkowi i zdeterminowani żeby nauczyć się bezpieczeństwa.

Żebyśmy się dobrze zrozumieli – nie chodzi o to, że masz nie pytać albo że nie masz prawa czegoś nie rozumieć, bo rzeczywiście zdarzy się, że napotkasz na bardzo specyficzny problem wymagający indywidualnej analizy. Mówię tylko, że materiałów jest mnóstwo i do googlowania trzeba się przyłożyć, a będą z tego dobre rezultaty i ta umiejętność przyda Ci się w przyszłości. Czasem znalezienie rozwiązania dla problemu w pracy zajmuje godziny przemierzania czeluści Internetu, więc tę umiejętność trenuj jak najwcześniej.

Jeśli jesteś zdeterminowany, to nie powinieneś być kolejną osobą, tworzącą kolejny wątek “OSCP vs CEH” albo “jak zostać pentesterem, pomocy”. Jeśli tworzysz takie posty, to już mogę powiedzieć Ci, że robisz to źle.

Nie mógłbym opublikować artykułu o karierze w bezpieczeństwie, bez zacytowania części artykułu legendarnego zespołu bezpieczeństwa. Tłumacząc słowa lidera Corelan Teamu:

Bycie pentesterem nie jest równoznaczne z byciem dobrym w używaniu narzędzi. Bycie pentesterem to bycie w stanie zrozumieć jak rzeczy działają, jak są skonfigurowane, jakie błędy popełniają ludzie i jak znaleźć te błędy dzięki byciu kreatywnym.
Bycie pentesterem to nie uruchamianie Metasploita celując w cały Internet. Tutaj chodzi o coś absolutnie większego.

Amen!

Będąc w tej branży już kilka ładnych lat w pełni się z tym zgadzam. Potrzebujemy o wiele więcej kreatywnych artystów, którzy potrafią i chcą zabezpieczać firmy i użytkowników. Ta branża nie potrzebuje już większej ilości ludzi, którzy potrafią tylko klikać przyciski na GUI narzędzi do automatycznego skanowania i exploitacji.

Branża bezpieczeństwa jest ekscytująca i jeśli jesteś w stanie udowodnić swoją chęć nauki i pasję, to będziesz miał przed sobą świetną karierę. Zaaplikowanie tego co Ci wyżej przekazałem, pozwoli Ci wyprzedzić jakieś 90% ludzi którzy szukają pracy w tym sektorze.

 

Podsumowując, googluj, googluj, rób rzeczy i jeszcze raz googluj. Samo czytanie i teoria nie zaprowadzą Cię tam gdzie chcesz dojść. To możesz osiągnąć przez praktykę, doświadczenie i hackowanie a nie gadanie.

Bonusowe materiały od których warto zacząć

Linki do dwóch moich, niezłej jakości podcastów na których opowiadam głębiej o sprawach które opisałem w tym artykule:

Jak Zostać Testerem Bezpieczeństwa – Kariera Pentestera/Security Engineera

Najważniejsze Umiejętności Pentestera oraz Jak Zhackować Proces Rekrutacyjny

Jeśli chcesz nauczyć się podstaw bezpieczeństwa aplikacji, możesz obejrzeć mój kurs wprowadzający (przeciek: niedługo będzie wersja polska, i to w konkretnej jakości!): https://www.youtube.com/watch?v=IcJn1sQPS_U

Po obejrzeniu, ściągnij sobie podatną VMkę OWASPu (https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project)  i hackuj! Polecam zacząć z aplikacja “Multidae 2” z odblokowanymi wskazówkami(hints)  które poprowadzą Cię za rękę przez każdy z modułów.

A tutaj lista najlepszych tekstowych poradników na temat kariery w bezpieczeństwie od ludzi którzy osiągnęli o wiele więcej:

https://www.corelan.be/index.php/2015/10/13/how-to-become-a-pentester/

https://lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in-security-but-are.html

https://medium.freecodecamp.org/so-you-want-to-work-in-security-bc6c10157d23

https://netsec.ws/?p=468

https://www.peerlyst.com/posts/a-collection-of-links-about-transitioning-into-infosec-or-starting-an-infosec-career-and-making-it-peerlyst

https://gist.github.com/mubix/5737a066c8845d25721ec4bf3139fd31

 


Za każdym razem, kiedy uderzysz w ścianę i nie będziesz wiedział co ze sobą zrobić to po prostu googluj. Jeśli dopiero zaczynasz się czegoś uczyć i masz przed sobą wyzwanie, z którym nie potrafisz sobie poradzić, to zapewniam Cię że nie jesteś sam i pewnie ktoś już był w tym miejscu i może nawet opublikował to na swoim blogu. Nawet na bardzo banalne pytania możesz znaleźć w sieci odpowiedź, więc googluj i przemyśl założenie własnego bloga. Ucząc się sam zrozumiesz o co mi chodzi i jak bardzo będziesz doceniał ludzi, którzy spisali na blogu podstawowe rzeczy, które jednak dla Ciebie są trudne i odblokują Cię i uratują Ci mnóstwo czasu.

Powodzenia i cytując słynne hasło z OSCP “Try Harder”!

 

PS. Jeśli pojawi się sporo pytań to obiecuję zrobić podcast bądź napisać artykuł, w którym na wszystko odpowiem. Temat tego jak szukać pracy, jak być dobrym pracownikiem i na co w życiu uważać, to tematy na które pisze się setki książek, ale starałem się dać Ci skrót kilku z najważniejszych lekcji jakich życie mnie nauczyło. Sam chciałbym, żeby ktoś podarował mi taki artykuł kiedy ja zaczynałem swoją karierę w bezpieczeństwie, bo nie jestem w stanie opisać ile zdrowia i czasu by mi to zaoszczędziło.

Jest mnóstwo bardziej kompetentnych ludzi na dokładniejsze opisywanie tematu, ale jeśli chcesz usłyszeć mojej perspektywy na jakiś temat, to śmiało wyślij mi pytanie i będę dumny mogąc Ci na nie odpowiedzieć.

 

48 thoughts on “Jak zostać Pentesterem i Specjalistą Bezpieczeństwa

  1. Najlepszy artykuł jaki czytałam na polskim okołotesterskim blogu! Wystarczy zamienić pentester na tester oprogramowania a książki o “testowaniu weba” na sylabus “ISTQB” i mamy uniwersalny artykuł dla wszystkich testerów 🙂

    Liked by 2 people

    1. Wow, takiego feedbacku się w snach nie spodziewałem. Dziękuję Ci bardzo, i rzucając po raz drugi okiem na ten artykuł rzeczywiście można by sporo wspomnianych lekcji zastosować w paru innych specjalizacjach 🙂

      Liked by 1 person

      1. A zasłużyłeś 🙂 Serio -powodzenia w pisaniu 🙂 Masz lekkie piór i piszesz bardzo konkretnie 🙂 Nie ma tu żadnego pitu pitu jak znalazłam pracę marzeń i żyję jak pączek w maśle.

        Liked by 2 people

        1. Bardzo miło mi to słyszeć, bo chciałbym kiedyś związać swoje życie z pisarstwem bardziej niż robię to obecnie. Strasznie przyjemny feedback i motywujący by pisać więcej 🙂
          Pitu pitu nie ma, bo nie znalazłem pracy marzeń ani nie żyję jak pączek w maśle 😛 . Życie jest dobre, pracuje się fajnie, ale nie mam zamiaru podchodzić religijnie do pracy w IT czy udawać kogoś kim nie jestem. Praca jak każda inna, po prostu w miarę lekka i przyjemna 🙂
          Trzeba pisać, żeby dzielić się praktyczną wiedzą a nie łechtać sobie ego.

          Liked by 1 person

  2. Świetny, bardzo wartościowy wpis! Mnóstwo sensownych i pomocnych wskazówek nie tylko odnośnie planowania kariery testera, ale planowania kariery w IT ogółem.
    Przy okazji bardzo fajnie i lekko się czyta. Będę zaglądać częściej 🙂

    Liked by 2 people

    1. Dzięki wielkie austra za miły feedback tutaj i ładne słowa na wypoku 🙂
      Już kilka osób podzieliło się podobnymi spostrzeżeniami co do tego, że gdyby zmienić nazwę artykuły to nadal miałby sens w kontekście wielu innych zawodów w IT. Więc kto wie, może czas zrobić podobny artykuł na temat generalnego zatrudnienia w IT posiłkując się doświadczeniami zebranymi w ostatnie 10 lat pracując w różnych fajnych i dziwnych miejscach?

      Dzięki za wizytę i mimo, że nie publikuję po polsku zbyt często to serdecznie zapraszam!

      Liked by 1 person

  3. W połowie artykułu myślałem, że nie znajdę tu nic ciekawego, ale przyszedł akapit “A teraz czas na konkrety” i następne, które odpowiedziały na wiele moich pytań. Podjąłem też decyzję, że zacznę pisać bloga, o czym myślałem już od dawna. Dobry artykuł. Keep up the good work!!

    Liked by 2 people

    1. Hah, to prawda, moje intro bywają zbyt długie.
      Dzięki za poświecony czas i trzymam kciuki na Twojego bloga i karierę. W razie jakichkolwiek pytań to wal śmiało na priv i postaram się pomóc.

      Like

    1. Dzięki wielkie. Miód na moje uszy słyszeć tak pozytywny feedback pochodzący ze społeczności w rodzimym kraju. Bardzo miłe i motywuje do produkowania większej ilości podobnego materiału.
      Wszystkiego dobrego i w razie potrzeby zapraszam do kontaktu! 🙂

      Like

  4. Świetny tekst, styl, zawartość merytoryczna.
    Umiesz dotrzeć do odbiorcy a co najważniejsze – rzeczowo wyczerpać temat.

    Forma przekazu również rewelacyjna.
    W moim odczuciu idealny drogowskaz dla ludzi którzy jeszcze nie zdecydowali o swojej karierze.

    Cały wpis mocno uniwersalny (nie tylko dla pentesterów) – konkretne wskazówki, wytyczne + niewielka otoczka lania wody 😉 Idealne propocje.
    Jeszcze raz gratuluje świetnego artykułu. Życzę sobie (i innym) równie dobrych materiałów w przyszłości.
    Przyjemnie się czyta i motywuje do konkretnego działania.

    Liked by 2 people

  5. Cześć, pracuje w IT od ponad 10 lat gdzie zawsze miałem jakaś styczność z security jednak nie należało to do moich głównych obowiązków. Zrobiłem niedawno certyfikat i szukam pracy jako IT Sec Analyst. Ogłoszeń jest dosyć sporo, otrzymałem także telefon od rekrutera od jednego z większych korpo (finanse i bankowość) który po rozmowie (oczywiście po angielsku, HQ firmy jest w UK a pracował bym w Krakowie) zapytał standardowo jakie są moje oczekiwania finansowe. Na kasie mi aż tak nie zależy, gdyż była by to moja pierwsza praca stricte Security (poprzednio jako Tech analyst, network itp). Muszę się jeszcze dokładnie dowiedzieć o specyfikę pracy bo Pan rekruter sam stwierdził ze o szczegóły będę mógł dopytać na kolejnej rozmowie z managerem. Nie chciałem podawać za wysokiej stawki ale nie chciałem tez zaniżać wymagań finansowych wiec powiedziałem ze satysfakcjonuje mnie około 10k brutto. Przeglądając różne raporty, widełki wąchają się między 8-16k, ale wiadomo ze to różnie bywa i realne zarobki często różnią się od tych prezentowanych w raportach. Jak myślicie czy 10k to optymalna stawka dla gościa z wiedzą i expem ogólnym w IT (w tym administracja endpoint Security, SIEM itp) czy za wysoka/ za niska? Chętnie poznam opinie osób które pracowały bądź pracują jako Analyst/Officer. Dodam ze wcześniej pracowałem tylko za granicą, wiec także nie mam żadnego realnego punktu odniesienia co do zarobków w Polsce. Bardzo dobry artykuł btw. Dzięki!

    Liked by 2 people

    1. Hej Arek.
      jest mnóstwo firm, które maja w miare przejrzyste formy zatrudnienia i nie ma sensu marnowac zycia na bawienie sie z rekruterami którzy pytają Cię ile chciałbyś zarabiać, żeby zatrudnić Cię za jak najtaniej.
      Ciężko określić mi to czy 10k to duzo czy mało. Jest sporo ofert które przebijają te kwotę 2x -3x, ale 10 lat pracy w IT niekoniecznie przekłada się na wiedzę o komercyjnym IT. Jeśli to była praca jako serwisant, to jest to inne IT niż bycie webmasterem/sysadminem itd. Jeśli mówisz o latach pracy ze SIEM to 10k to grosze, natomiast jeśli mówisz o małych modyfikacjach SIEM bez wnikania jak to działa to też bedzie wyglądać to inaczej.

      Napisz do mnie na LinkedIn, rzucę okiem na Twoje CV linkedinowe i wtedy będę mógł bardziej sensownie odpowiedzieć na Twoje pytanie i podrzucic linki do grup na fb gdzie są oferty pracy dla security. Jest też parę firm, które mogę Ci wskazać żebyś szukał tam pracy, więc daj znać na LI i postaram się pomóc bardziej.

      Pozdro,
      Dawid

      Like

  6. Hej,
    fajny artykuł, sam właśnie przechodzę ścieżkę ku bezpieczeństwu. Standardy, które wskazałeś (CIS, DISA) świetne, sam z nich korzystałem i pomogło w zrozumieniu co i jak (dodałbym wprost CIS Security Controls + techniczne normy z serii ISO27001). Dodatkowo założyć sobie darmowe konto w Microsoft Azure, Google Cloud czy Amazon i stawiać serwery, testować, konfigurować itp. 🙂 Co, praktyka to praktyka.

    Liked by 2 people

    1. Dzięki Sebastian. Jak najbardziej, nic nie zastapi praktyki, i mam nadzieje, że ludzie szykujacy sie na prace w IT czy konkretnie security będa na tyle ciekawi tego co czytaja, ze nabiora ochoty zeby samemu to przetestowac i sie tym pobawić. Metod jest mnóstwo, trzeba tylko chcieć szukać i mieć energię żeby wkładać w to pracę i czas 🙂

      Like

  7. Witaj
    SUPER TEKST !!!! Już Twój blog jest u mnie w zakładkach ;). Dopiero raczkuję w IT security i Twój wpis naprawdę jest bardzo pomocny. Dziękuję Ci bardzo i wszystkiego dobrego Pozdrawiam

    Liked by 1 person

  8. Cześć Dawid!
    Super tekst, merytorycznie i świetnie się go czyta. Na stronę przyniosło mnie googlanie OSCP- w sobotę egzamin, 5 rootów w 24h i międzyczasie spać, cóż- trzymaj kciuki 🙂

    Przeglądam oferty pracy z branży, wysyłam CV (bo coś umiem) i 99% ofert to : wykształcenie wyższe informatyczne poparte bardzo dobrymi wynikami i rekomendacjami, 5 lat doświadczenia, biegła znajomość 10 języków programowania…. W jak sposób znalazłeś pierwszą prace w branży OffSec?

    Pozdrawiam,Krzysiek

    Liked by 1 person

    1. hej Krzysiek, dzięki za piekny komentarz! Trzymam kciuki za egzamin!

      Co do Twoich wymagań, to mam dwie odpowiedzi:
      1) większość firm IT sama nie ma pojęcia kogo chca, kogo potrzebuja i jak stworzyc oferte pracy
      2) Źle szukasz, bo wymaganie wielu jezykow programowania i wyksztalcenie wyzsze juz dawno odeszlo w zapomnienie w IT, szczegolnie w security. Moze czas poszukac gdzies bardziej juniorskich stanowisk?
      Jesli chodzi o to jak ja zaczalem, to rzuc okiem na: https://www.youtube.com/watch?v=yySCJu_421k
      Rzuć okiem na reszte filmikow, powinny troche pomoc 🙂
      Najlepszego Krzysiek,
      Dawid

      Like

  9. Super artykuł, bardzo konkretnie wszystko opisane. Raczej nie planuję nigdy iść w tym kierunku, ale zastanawia mnie czy jako pentesterem/specjalistą bezpieczeństwa są oferty pracy zdalnej jak to często bywa w przypadku programistów albo nawet testerów? No i też ciekawią mnie zarobki, nie chodzi mi o konkretne kwoty, jak to wygląda w porównaniu do np. programistów na początku jako junior/regular? Bo pewnie senior to często sky is the limit i to już jest najbardziej zróżnicowane zważając na umiejętności.
    Pozdrawiam,
    Marek

    Liked by 1 person

    1. Hej Marek, dzięki za miłe słowa! Generalnie juniorów pentesterów/security engineerów raczej się nie znajdzie zdalnie. Temat związane z bezpieczeństwem są bardzo sensitive, i często potrzebują poczucia posiadania kontroli nad młodymi pracownikami, którzy mogą nie do końca ogarniać i wystawiać firmę na ryzyko. Natomiast dla seniorów, to jest ofert pracy dla pentesterów całkiem sporo. Nie tak dużo jak dla programistów, ale też można znaleźć. Jeśli wejdzie się na pewien poziom, to wtedy można pracować z drugiego końca świata bo zapotrzebowanie na mocnych specjalistów security jest duże, i firmy zgadzają się na wiele>
      Jeśli chodzi o wynagrodzenie, to z moich obserwacji są to kwoty pomiędzy junior testerem a junior programistą. Tzn pentester często zarabia więcej niż junior tester, ale już niekoniecznie więcej od programisty. No i często jest kwestia tego, że rzadko bierze się kompletnie zielone osoby do pracy w security, bo to duże ryzyko, więc rzadko spotyka się też generalnie ludzi na stanowisku “junior security”, tylko sa to ludzie z backgroundem sysadmin/dev.
      Dzieki za fajne pytania, wszystkiego dobrego,
      Dawid

      Like

      1. Dzięki za odpowiedź 🙂

        Właśnie obecnie pracuje jako tester, gdzie stawiam pierwsze kroki w IT i powoli uczę się programowania, żeby iść w stronę automatów albo kiedyś pracować jako programista, bo nie ukrywam, że nie chcę spędzić życia w dużym mieście (Kraków), gdzie przyjechałem na studia, a powiedzmy za 5-10lat się z niego wyprowadzić i pracować zdalnie. Bezpieczeństwo zawsze wydawało mi się ciekawe, ale nigdy się nie zagłębiałem, bo myślałem, że praca zdalna to duży problem nawet dla seniora no, a to by kolidowało z moimi planami na przyszłość. Na pewno obejrzę w wolnej chwili Twoje 5 godzinne szkolenie, bo na pewno są tam rzeczy które warto wiedzieć nawet jako ciekawostkę dla siebie, a może mnie to na tyle zainteresuje, że zacznę to zgłębiać i ‘wyląduję’ w tej branży za jakiś czas.
        Wielkie brawa dla Ciebie za chęć dzielenia się wiedzą 🙂

        Like

        1. Dzięki za miłe słowa Marek. Trzymam kciuki za Twój sukces i zmianę pracy. Programowanie to dobre pole teraz, i świetna przyszłość, więc bardzo dobry ruch z rozwoja w tym zakresie. Sadze ze w 5 lat przykladajac sie do pracy na spokojnie dojdziesz do poziomu w ktorym bedziesz mógł przebierać w ofertach pracy zdalnej 🙂
          Sam obecnie w TestArmy Group rekrutuję senior pentesterów zdalnie i moga być w dowolonym miejscu na ziemii 🙂
          Polecam Ci tych kilka moich filmików, które w bardziej głęboki sposób odpowiedza na Twoje pytania zwiazane z branza security:

          Like

      2. I jeszcze jedno pytanie, bo o nim zapomniałem, a nie widzę opcji edycji. Jakie języki programowania są najczęściej przydatne przy testach bezpieczeństwa?

        Liked by 1 person

  10. Bardzo przydatny artykuł (i filmiki, te w odpowiedzi na jeden z komentarzy); szczególnie dla kogoś, kto rozważa właśnie pójście w kierunku security. 🙂 Chciałabym zadać Ci pewne pytanie: ile czasu spędza przeciętnie (dobry) pentester na pracy/nauce? Szukając odpowiedzi w Internecie, dowiedziałam się, że “pomiędzy zajęciami z karate a basenem” nie ma co nawet próbować. Jak to naprawdę jest? Czy jeśli nie poświęca się tematyce bezpieczeństwa czasu każdego dnia (i każdej nocy ;)), lepiej już na starcie zrezygnować z pomysłu profesjonalnego zajmowania się nią oraz skupić się na np. programowaniu (i w tej dziedzinie starać się implementować swoją suboptymalną wiedzę z zakresu security ;))?

    Like

    1. “dowiedziałam się, że “pomiędzy zajęciami z karate a basenem” ”
      Wiem skąd ten tekst pochodzi i jest jednym z największych idiotyzmów jakie w życiu czytałem. OMG, papież i prezydent stanów zjednoczonych mają czas na siłownie i fitness, a wielcy cudowni zbawiciele świata a.k.a. polscy pentesterzy nie mają w swej wyjątkowości 2 godzin dziennie na ŻYCIE.
      Nagrałem chyba gdzieś nawet filmik na ten temat.
      Security to praca jak każda inna, i jeśli włożysz w rozwój 8 solidnych godzin w pracy, to po pracy nie musisz robić nic. Czym więcej czasu włożysz, tym wiekszy sukces osiągniesz, ale nie daj wmówić sobie bzdur typu – żeby pracować w security to trzeba być pół bogiem i sprzedaż duszę diabłu.To kompletne bzdury mówione przez małych ludzi, którzy chcą przez podbijanie swojego ego zakryć swoje insecurities, bo jedyne co w życiu mają to ich poczucie wyjątkowości o którym sobie sami wmówili.
      Zapotrzebowanie na pentesterów jest większe niż kiedykolwiek w historii ludzkości, więc wskakuj do tego pociągu i ciśnij do przodu!
      Kilka filmików, które mogą Ci pomóc podaję niżej. Niestety nie pamiętam w którym z nich mówiłem o tej idiotycznej wypowiedzi o basenie i karate.
      To tylko praca Ola. Są ludzie, którzy zmieniają świat w wielki sposób. Tworzą narzędzia ratujące ludziom życie, zabierają nas na Marsa, okrywają fenomenalne technologie i lekarstwa. Ci sami ludzie mają rodziny, dzieci, psa, kota, ulubione seriale i komiksy. Więc teraz zastanów się kto jest bardziej zajęty i czy serio praca w security to taka magia 😉

      Like

      1. Dzięki za szybką odpowiedź. 🙂 Również wydało mi się to absurdalne, jednak, nie mając wcześniej żadnego kontaktu z tą branżą, obawiałam się, że może po prostu taka już jej uroda i poza tradycyjną obowiązuje jakaś niepisana umowa, że pracuje się od poniedziałku do piątku po 15 godzin na dobę ;p (w weekendy nie, bo ta sama osoba co o karate pisała, że security nie można zajmować się weekendami, więc, kto wie, może to coś jak szabat). Fajnie, że walczysz z tego typu stereotypami. 🙂

        Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s