Skąd się uczyć i kilka słów o edukacji formalnej

Jeśli chcesz zostać testerem bezpieczeństwa, inżynierem bezpieczeństwa czy kimkolwiek w świecie security to już na samym początku mam dla Ciebie wyśmienite wieści. Trafiłeś na branżę, która nie tylko dynamicznie się rozwija i dobrze płaci, ale także ma całkiem niski koszt wejścia.
Zauważ, że nie napisałem o poziomie wejścia a koszcie. To znaczy, że nie musisz inwestować dużej ilości pieniędzy we własną edukację by otworzyć przed sobą sporą liczbę drzwi.

Są profesje w branży IT, gdzie ogromna ilość ofert pracy nawet na juniora wymaga od kandydata doświadczenia w świecie komercyjnym. I ma to jakiś tam sens, bo żeby być dobrym inżynierem oprogramowania nie wystarczy umieć kodzić, ale trzeba mieć ogólne ogarnięcie biznesowe i to zazwyczaj zdobywa się podczas komercyjnych projektów. Tworzenie własnych narzędzi czy wkładanie pracy w OSS(Open Source Software) to cenne doświadczenie, ale niekoniecznie porównywalne z praktyczną pracą w świecie biznesu.

W kwestii pentestingu i bezpieczeństwa, jest tyle dostępnych materiałów, że możesz nauczyć się naprawdę dużo w domu, a już na pewno na tyle, żeby znaleźć dobrą pracę która pomoże Ci się rozwijać i przyśpieszy proces edukacji.

Jest mnóstwo sposobów i źródeł z których możesz się uczyć branży InfoSec. Masz do dyspozycji obszerne książki; blogi pisane przez genialne i szczodre umysły; rzeczowe nagrania z niesamowitych konferencji; kursy na coursera, cybrary, securitytube, udemy, pluralsight i darmowe wykłady z przedmiotów związanych z bezpieczeństwem prowadzonych na uniwersytetach takich jak MIT czy Stanford.

Możesz iść na studia, ale nie musisz. Jeśli masz wystarczająco dyscypliny i samoogarnięcia to możesz samemu wyznaczyć sobie ścieżkę edukacji. Coraz mniej firm wymaga posiadania dyplomu, więc nie będzie żadnej tragedii jeśli zdecydujesz nie iść na studia.
Muszę jednak podkreślić, że nie powinieneś umniejszać wartości studiów Computer Science, bo dostarczają bardzo dobre podstawy i systematyzują wiedzę, a dla niektórych studia to jedyna możliwość utrzymania dyscypliny i regularnej nauki. Dla przykładu, ja wraz z kolegą(@naugtur) prowadzimy kilkudziesięciogodzinne zajęcia z bezpieczeństwa webaplikacji na Uniwersytecie Adama Mickiewicza w Poznaniu, więc czegoś ciekawego i mocno związanego z security można się nauczyć 🙂

Ale nie jest to żadne wymaganie dla pasjonatów i ludzi którzy dają radę uczyć się na własną rękę. Najlepsi hackerzy o których słyszał świat to samoucy, czasem nawet ludzie którzy porzucili edukację na wczesnym etapie, więc da się ogarnąć wszystko w branży security bez papierków.

 Mentorzy i partnerzy w nauce są bezcenni

Bardzo dobrym pomysłem jest poszukanie mentora, a najlepiej kilku. Nieposiadanie wzoru do naśladowania może sprawić, że przez lata będziesz dryfował gdzieś w przestrzeni ucząc się wszystkiego i niczego, frustrując się i koniec końców do niczego nie dochodząc.

Poszukaj kilku osób, które osiągnęły coś w branży i pogoogluj ich historię żeby zrozumieć ścieżkę jaką podążali. W ostateczności możesz się do nich odezwać z pytaniami bo ludzie nie gryzą, ale miej na uwagę że większość zawodowców jest naprawdę zmęczona lamerskimi pytaniami o coś co można znaleźć w sieci.
Więc najpierw googluj, później googluj, gdy uważasz że nie ma dla Ciebie odpowiedzi w Internecie, to pogoogluj jeszcze trochę i dopiero wtedy odzywaj się do kogoś. Bądź precyzyjny w języku który używasz, opisz dobrze swoją historię i potrzeby tak żeby zabrać jak najmniej czasu osobie która chce Ci pomóc.

Mówię o szukaniu mentorów w liczbie mnogiej, dlatego że ślepe podążanie jedną – nawet wybitną – osobą może być tragiczne w skutkach. Niektórzy ludzie osiągają sukces nie mając pojęcia jak to się stało, przez co mają klapki na oczach myśląc, że to co robili to jedyna droga do dobrej kariery i szczęśliwego życia. Ktoś taki może zrujnować Ci karierę i życie jeśli religijnie podchodzi do swojej ścieżki i wciska Ci na siłę rzeczy które kompletnie Cię nie pasjonują albo do których po prostu nie zostałeś stworzony.
Najlepiej więc będzie jeśli znajdziesz sobie kilka/kilkanaście osób do naśladowania i wybierzesz to co Ci najbardziej pasuje – no ale to powinno robić się w każdej dziedzinie życia, więc przejdźmy dalej.

Jednym z najlepszych sposobów na motywację w życiu jest złożenie publicznej obietnicy na dany temat. W skrócie chodzi o to, że jeśli znajdziesz kogoś z kim będziesz się wspólnie uczyć to trudniej będzie Ci się obijać żeby nie zawieść tej osoby, więc będziesz pracował intensywniej i bardziej regularnie. Ale to nie artykuł o produktywności, więc już wracam do konkretów.  
Znajdź sobie mentorów, którzy Cię inspirują i pokazują drogę. Jeśli to możliwe, znajdź też ludzi, którzy również chcą nauczyć się bezpieczeństwa i uczcie się razem, wzajemnie testując swoją wiedzę i pomagając sobie w trudnych sytuacjach.

Skup się na tym co możesz zaoferować, a dopiero na końcu myśl o $$$

Bądźmy szczerzy, bo pisanie bajek nikomu nic dobrego nie robi.
Zazwyczaj gdy zaczynasz pracę po raz pierwszy to niewiele wartości możesz wprowadzić do firmy. Nawet jeśli ogarniasz podstawy to i tak trzeba Cię przeszkolić, musisz się wdrożyć, ogarnąć cały ten świat biznesu i to co robi się w poważnej pracy i po paru miesiącach zaczynasz być naprawdę produktywny. Napływ ludzi szukających przyjemnej pracy w IT jest tak duży, że już na żadnym pracodawcy nie robią wrażenia krzykacze, którzy jedyne co mają do zaoferowania to mówienie o tym jak bardzo chcą pracy, jak bardzo są zapasjonowani i jak ciężko będą pracować jeśli wszystko podstawi im się pod nos.

To prawda, że kiedyś były takie czasy, ale już dawno minęły. Nadal łatwo dostać pracę w IT, ale to już nie są takie fajerwerki jakich niektórzy się spodziewają.

Ogromnym problemem w branży security jeśli chodzi o rekrutacje są ludzie którzy strasznie chcą zostać etycznymi hackerami – bądź co gorsze już się za nich uważają – ale tak naprawdę nie mają pojęcia co robią ani co mogą zaoferować. Nie jestem już w stanie policzyć ile osób spotkałem, które uważały się za uber-haxiorów tylko dlatego, że znaleźli kilka głupich błędów w programach Bug Bounty albo przeczytali kilka tutoriali o testowaniu web aplikacji. Znajdowanie podstawowych błędów o ile jest cenną umiejętnością, o tyle obecnie nie jest wystarczająco wyróżniające z tłumu żeby ktokolwiek mrugnął na to okiem i zatrudnił Cię tylko z tego powodu.
Co więcej, tytułowanie się hackerem i ekspertem bezpieczeństwa mając parę miesięcy doświadczenia w szukaniu bugów to najszybsza droga by Twoje CV trafiło do kosza. Jesteśmy już mocno zmęczeni ludźmi z nadmuchanym ego i dzieciakami którym wydaje się zbyt dużo, więc jeśli już na etapie rekrutacyjnym wykazujesz brak pokory to nie zachęca nas to do przebywania z Tobą pod jednym dachem przez 8 godzin dziennie, 5 dni w tygodniu.

Prawdziwy świat nie działa w ten sposób, że uczysz się podstaw i oczekujesz, że zaraz pojawi się mnóstwo pracodawców z workiem pieniędzy. Świat biznesu ma obsesje na punkcie generowania pieniędzy i nikogo za bardzo nie interesuje jak elitarnym haxiorem jesteś, jeżeli średnia Twoich umiejętności miękkich i twardych jest niska i nie będzie generowała wartości.

W życiu, w każdej relacji powinieneś zastanawiać się jaką wartość jesteś w stanie dostarczyć zanim pomyślisz o tym co dostaniesz w zamian. Life kołczingu uprawiać Ci tutaj nie zamierzam, ale musisz zdawać sobie sprawę z tego, że za darmo nikt pracy nie rozdaje.

Oczywiście musisz też wiedzieć, że w życiu nie jest tak, że wynagrodzenie jest zawsze uczciwie przyznawane zależnie od Twojej wartości, bo to okrutne kłamstwo które mnóstwo osób i pracodawców będzie chciało Ci wmówić.

Musisz nauczyć się negocjacji i umiejętności szanowania i wyceny swojego czasu, bo jeśli się zagapisz to bardzo szybko znajdzie się mnóstwo drani, którzy chętnie wykorzystają Cię i wycisną z Ciebie ostatnie krople.
Niewiele osób, które spotkasz w swoim życiu będzie szczerze zainteresowane Twoim losem, szczególnie w życiu zawodowym gdzie jest mnóstwo cwaniaków, których interesem jest dymanie pracownika tak długo jak tylko się da. Jeśli szukasz pracy w Polsce czy krajach o podobnej mentalności mas, to uważaj na to podwójnie i o ile firmy z kapitałem zagranicznym są często lepsze, to pamiętaj że za biurkiem w polskim oddziale też może siedzieć janusz biznesu, który nie ma pojęcia o przywództwie i szanowaniu pracowników.

Przy wybieraniu pierwszej pracy wynagrodzenie schodzi na dalsze tory

Generalnie szukając pierwszej pracy obniż swoje wymagania odnośnie wynagrodzenia i tego jak atrakcyjna ma być firma, w której chcesz pracować. Pierwsza praca to miejsce, w którym masz się jak najwięcej uczyć, że poszerzyć horyzonty i w razie potrzeby potrafić wystarczająco, żeby bezboleśnie zmienić pracę na lepszą.
Powtarzam to znajomym non stop, więc i z Tobą się tym podzielę. W branży IT możesz rozwijać się bardzo szybko i zwiększać swoje wynagrodzenie jeśli przykładasz się do nauki oraz chłoniesz wiedzę i doświadczenie. Więc naprawdę nie warto brać pracy, która oferuje o 500zł więcej od innej, jeśli w tej lepiej płatnej będziesz małpką która niewiele się uczy i po 3 latach nadal będzie zarabiać tyle samo, podczas gdy idąc do tej gorzej płatnej pracy możesz nauczyć się tyle, że w 3 lata potroisz swoje wynagrodzenie.
Trzeba uważać, bo rzeczywiście istnieje korelacja pomiędzy wynagrodzeniami a poziomem umiejętności w firmie, bo zazwyczaj ludzie wybitni w końcu ogarniają się życiowo i rozumieją, że mogą zarabiać więcej, być bardziej szanowani i robić ciekawą pracę w innym miejscu. No ale syndrom sztokholmski bywa bardzo silny, więc nie przekreślaj firmy tylko dlatego, że oferują słabe wynagrodzenie, bo i w takich firmach znajdziesz ludzi od których możesz nauczyć się ogromnej ilości rzeczy.

“Micro speed, macro patience” to dobra maksyma jeśli chodzi o rozwój. Ciężko pracuj, żeby nauczyć się ile tylko potrafisz, ale nie przeceniaj swoich możliwości i tego co możesz osiągnąć w danym okresie, więc daj sobie trochę czasu na rozwój. Szczególnie, że jeśli znalazłeś już jakiś punkt zaczepienia, to teraz już powinno być tylko lepiej.

Nie warto też czekać na idealną ofertę pracy, bo lepiej spędzić parę miesięcy w pracy, w której zarabiasz tylko tyle, że wystarcza Ci na utrzymanie, ale możesz się uczyć i rozwijać niż siedzieć bezczynnie albo pracować w pracy bez przyszłości tylko dlatego, że dostajesz kilkaset złotych więcej. Czasem trzeba się kilka miesięcy przemęczyć i później będzie lepiej, a niektórzy potrafią pół życia przesiedzieć czekając aż idealna praca do nich przyjdzie.

Nie daj się wykorzystywać i bądź rozsądny, ale nie panikuj też gdy przez parę miesięcy będziesz żył biednie od pierwszego do pierwszego. Nie chcę tu porównywać do krajów trzeciego świata i mówić jak my mamy dobrze, ale pamiętaj że w krajach takich jak np. USA ludzie kończą studia z kredytem opiewającym na kwotę kilkuset tysięcy dolarów 😉

Jakie umiejętności i wiedza są w branży security przydatne

Jeśli chcesz być profesjonalnym specjalistą bezpieczeństwa, to jest kilka rzeczy które musisz ogarniać, żeby spisywać się w swojej pracy. Nasza specjalizacja została w ciągu ostatnich paru lat zasypana ludźmi, którzy nazywają się specjalistami bezpieczeństwa, choć tak naprawdę nie mają pojęcia jak to wszystko działa a ich wiedza ekspercka ogranicza się do bardzo podstawowych testów.

Za starych czasów, zwykliśmy nazywać takich ludzi ‘script-kiddies’, ale później jakoś to się zatarło i przez duże zapotrzebowanie na ludzi zajmujących się bezpieczeństwem poluzowano granice tego jakich ludzi się zatrudnia i szanuje. Na szczęście jedna rzecz pozostaje niezmienna, tzn. nadal głęboko szanuje się ludzi, którzy wkładają dużo pracy w rozwijanie swoich umiejętności i głęboko wchodzą w tematy które studiują.

Zmierzam z tym do tego, że o ile pewnie po czasie znajdziesz pracę jeśli potrafisz dobrze sprzedać nawet niewielkie umiejętności, ale bycie człowiekiem, który naprawdę wie co się w systemach komputerowych dzieje zaprowadzi Twoją karierę o wiele dalej.

Zatem zanim odpowiem w końcu na pytanie “jak i skąd mam uczyć się hackowania”, zaproponuję Ci parę tematów, które dadzą Ci większy obraz i perspektywę czyniąc Cię bardziej kompetentnym specjalistą. Naprawdę warto znać choć podstawy tych tematów, bo skupianie się na jednej rzeczy bardzo łatwo wprowadzi Cię w widzenie tunelowe, które jest częstym powodem przez który popełnia się głupie błędy.

• Powinieneś nauczyć się jak wygląda produkcja oprogramowania w realnym świecie. Fajnie, że potrafisz znaleźć kilka błędów bezpieczeństwa, ale o wiele lepiej będzie jeśli nauczysz się podstaw programowania i paru narzędzi oraz praktyk ze świata IT OPS
• Jest rozsądnym zdobycie generalnej wiedzy jako złota rączka IT czyli człowiek od wszystkiego. Kiedy masz szeroką wiedzę i dużą perspektywę, to zacznij wchodzić w poszczególne tematy głęboko i poważnie je studiować. Jeśli nie będziesz umiał łączyć kropek, bo nie masz ich wystarczająco wiele, to możesz przegapić krytyczne błędy bezpieczeństwa, tylko dlatego, że nie potrafiłeś spojrzeć na sytuację z dystansu.
• Poczytaj o utwardzaniu systemów operacyjnych i aplikacji, tzn zaznajom się z rzeczami takimi jak CIS Benchmarks, DISA STIGS itp. Jeśli będziesz wiedział w jaki sposób admini chronią swoich systemów, to o wiele łatwiej będzie Ci znajdować bugi i eskalować uprawnienia.
• Zaznajom się z tematami w rejonie compliance, tzn. poczytaj pokrótce o certyfikacjach ISO27001, SOC2, PCI-DSS, żeby mieć ogólnie zrozumienie tego po co się to robi i co jest w tym ważne. Nie chodzi o to, żebyś stał się ekspertem audytu IT, ale dobrze jest wiedzieć z jakich powodów pocą się firmy.
• Umiejętności miękkie są ważne. Żeby być produktywnym i efektywnym musisz umieć pracować z ludźmi, a na pewno musisz umieć komunikować się z ludźmi żeby przejść chociaż przez proces rekrutacji. Złapanie książki o empatii i przywództwie będzie nieocenione.
• Poczytaj o tym jak zarządzanie są korporacje i startupy ze strony biznesowej, tak żeby pokazać pracodawcy że rozumiesz że firma istnieje po to żeby generować pieniądze, a nie po to żeby ludzie z IT mieli gdzie się bawić.
• Spróbuj swoich sił w projektach opensource, albo będąc redaktorem na blogach o bezpieczeństwie. Robienie niewielkich poprawek w kodzie bądź artykułach nie wymaga wiedzy eksperckiej, ale da Ci jakiś kontakt ze światem biznesu. Istnieją startupy, które zajmują się agregacją treści związanych z bezpieczeństwem takie jak np. Peerlyst którzy niedawno szukali stażystów. Takie firmy nie wymagają od Ciebie specjalistycznej wiedzy tylko pilnowania porządku, poprawiania literówek itp, a dzięki samemu czytaniu artykułów na różne tematy możesz zdobyć sporo ciekawej wiedzy.

A teraz czas na konkrety

I wypunktuję najważniejsze moim zdaniem rzeczy, które pomogą Ci nauczyć się hackingu i testowania bezpieczeństwa.

• Przejrzyj zakładkę “Resources” na Peerlyst.com. To nowa platforma, która jest agregatem treści o bezpieczeństwie i najlepsze artykuły są wrzucane we wspomnianą kategorię.
  Gdybym miał dostęp do takiej ilości wiedzy w jednym miejscu i za darmo, to moja kariera wyglądałaby kompletnie inaczej.
• Zaznajom się z materiałami z OWASP i PTES. Nie wskakuj od razu w działy techniczne, lecz przeczytaj na początek wstępy, opisy protokołów biznesowych i wytyczne o tym jak być etycznym hackerem. SANS, NIST/cyber i tego typu klasyczne materiały są na wagę złota.
• Jeśli chcesz pokazać swoje umiejętności i nabrać nowych znajomości to bierz udział w programach Bug Bounty na platformach takich jak HackerOne czy BugCrowd
• Ucz się z raportów bug bounty i publikowanych raportów z testów penetracyjnych innych ludzi. W codziennej pracy i w dalszym rozwoju będziesz robił to przez cały czas – zbierał i konsumował informacje wyprodukowane przez innych ludzi, więc warto zacząć wcześnie, bo to wcale nie jest super prosty proces.
• Nie zrujnuj swojej reputacji przez wysyłanie głupich raportów czy przez robienie publicznych wystąpień hejtujących daną firmę, jeśli nie masz pewności że to co robisz jest mądre i etyczne.
• Bierz udział w programach Capture The Flag(CTF), żeby nauczyć swój umysł kreatywności, poznać ciekawych ludzi i nabrać doświadczenia z nowymi technologiami
• Zrób szkolenie PWK i certyfikat OSCP firmy Offensive Security. To najbardziej popularny i szanowany entry-level certyfikat, przed którym uczysz się w labach praktycznych testów penetracyjnych. Zrób to dosyć wcześnie, bo to fajna przygoda, a biorąc OSCP po paru latach doświadczenia będzie nudne i ominie Cię szansa na zachwyt. W sieci znajdziesz mnóstwo materiałów na ten temat. Możesz pomyśleć też o certyfikatach typu CREST i OSCE, ale nie skupiaj się na samym zdobywaniu tytułów i certyfikacji. Zdecydowanie ważniejsze jest to jaką wiedzę zdobędziesz podczas szkoleń i to w jaki sposób poszerzysz horyzonty a nie to czy będziesz mógł dopisać parę skrótowców w swoim CV.
• Publikuj swój research i nie wstydź się krytyki innych. Czas pożegnać się z ego i wystawić na świat.
• Stwórz bloga o bezpieczeństwie i pisz w miarę możliwości o tym co robisz, czego się uczysz, jakich sztuczek się nauczyłeś i jakie sytuacje napotkałeś. Czasem możesz zrobić współpracę z kilkoma innymi osobami o upublicznić wasz artykuł na grupach mailingowych czy forach, po to żeby pomóc innym. Pisanie jest świetne bo organizuje Twoją wiedzę i oczyszcza atmosferę. Gdy zaczniesz się uczyć tego wszystkiego – wiem, że jest tego sporo – to będziesz miał mocny mętlik i chaos w głowie. Pisanie jest świetną metodą żeby upewnić się, że coś rozumiesz, bo pisząc wyjaśniasz sobie dany temat krok po kroku.
• Publikuj nawet jeśli nie sądzisz, że to coś wartościowego. Pamiętaj, że nawet jeśli jesteś w branży od miesiąca, to są ludzie którzy jeszcze nawet nie zaczęli i Twoje miesięczne doświadczenie i wiedza będzie dla nich bezcenna. Jeśli sądzisz, że nie jesteś wystarczająco dobry, to właściwie może być dobry znak, bo cytując HD Moore’a “Jeśli nie czujesz się ciągle jak noob to znaczy, że nie starasz się wystarczająco mocno” 🙂
• Staraj się tworzyć własne narzędzia do testowania bezpieczeństwa. Nawet jeśli coś już jest stworzone, to nie używaj na ślepo czyichś narzędzi, lecz postaraj się zrozumieć jak one działają. Najlepszą metodą zrozumienia jak działa dane narzędzie jest zbudowanie prymitywnej kopii, przez co zgłębisz temat i poćwiczysz programowanie.
• Zgłaszaj się na konferencje i lokalne spotkania grup programistycznych. Nie ignoruj małych spotkań i darmowych konferencji, bo na początku kariery to są właśnie grupy do których możesz kierować swoje wystąpienia i szkolenia dostarczając ludziom wartość. Gdy jesteś w branży od paru miesięcy to nie powinieneś wysyłać zgłoszenia na Defcon, natomiast jak najbardziej będzie przydatne jeśli zgłosisz się na lokalny meetup np. na Twojej uczelni i wyjaśnisz programistom czym są podatności typu SQL injection, jak je testować oraz jak się przed nimi bronić.

Poświęcenie czasu i poszukiwanie pasji będzie Twoją codziennością

Co najważniejsze – rób to co sprawia Ci przyjemność i czujesz choć odrobinę pasji w danym kierunku. Różne rzeczy działają na każdego z nas, i każdy z nas powinien wyznaczyć bądź znaleźć własną ścieżkę. Jeśli testowanie aplikacji webowych nie sprawia, że chcesz siedzieć po nocach, to spróbuj testowania infrastruktury, mobilnych aplikacji albo defensywnego programowania.

Jeśli te rzeczy Ci nie pasują, to poczytaj o hackowaniu systemów wbudowanych albo tworzeniu monitoringu infrastruktury. Ta branża jest ogromna, więc naprawdę jest w czym przebierać, a pasja jest niesamowicie ważna.

 

Nie chodzi o to, że mając pasję jest się jakoś wyjątkowym płatkiem śniegu, tylko o praktyczny fakt, że będąc w czymś zapalonym będziesz chętniej spędzał dodatkowe godziny na nauce i stawał się lepszy. Ciężko utrzymać się w tej branży nie będąc pasjonatem, bo trzeba wkładać naprawdę dużo czasu żeby nadążać ze wszystkim co się tutaj dzieje i pasja sprawia, że nie żałujemy tak bardzo czasu poświęconego na siedzenie przed komputerem.

Kiedy piszę ten paragraf, jest 4 nad ranem a ja jeszcze nie poszedłem spać i dokończenie zajmie mi pewnie jeszcze z jakąś godzinę lub więcej. Tworzenie tego artykułu jest możliwe tylko dlatego, że kocham pisać i uwielbiam dzielić się wiedzą i pomagać innym. Jaki byłby inny powód do siedzenia przed komputerem i pozbawiania się wygodnego snu, jeśli nie chodziłoby o pasję? Nie dałbym rady ani fizycznie ani psychicznie siedzieć do 4 rano jeśli chodziłoby na przykład o szydełkowanie 🙂
Szukaj rzeczy, które Ciebie zapalają i sprawiają, że czas spędzony na nauce jest przyjemnością a zajdziesz w tej branży daleko. Trzymam za to kciuki i nie poddawaj się, bo możliwości jest wiele, a każda nowa umiejętność poszerza horyzonty. Nie zastanawiaj się zbyt długo nad tym od czego zacząć. Po prostu złap się czegokolwiek i gdy zamoczysz choć palec i poczujesz jak głęboka jest ta woda, to już łatwiej będzie Ci podejmować decyzje czego się później uczyć i za co zabrać.

Wszystko zależy od tego jak bardzo chcesz dołączyć do tego grona

Biorąc pod uwagę powyższe, naprawdę nie ma wymówki w postaci “nie mogłem znaleźć materiałów, żeby uczyć się bezpieczeństwa”. Na świecie są tysiące ludzi, którzy w swojej hojności poświęcają prywatny czas na produkowanie materiałów dzięki którym możesz się uczyć, rozwijać i spełniać marzenia.

Nie chcę żeby to źle zabrzmiało, ale jeśli chcesz pracować w tej branży, ale nie potrafisz znaleźć materiałów na temat tego jak zacząć, to może ta specjalizacja nie jest po prostu dla Ciebie? Większość Twojej codziennej pracy jako specjalista bezpieczeństwa będzie wymagać od Ciebie robienia researchu na własną rękę i googlowania wszystkiego po granice możliwości.

Za każdym razem, gdy mam do czynienia z ludźmi którzy twierdzą, że nie wiedzą co ze sobą zrobić i od czego zacząć, później okazuje się że nawet jak się pokazało komuś palcem co ma robić to i tak tego nie zrobili i wyłamali się ze swojej ambicji i “pasji”, mimo że zapewniali jak bardzo są wyjątkowi i zdeterminowani żeby nauczyć się bezpieczeństwa.

Żebyśmy się dobrze zrozumieli – nie chodzi o to, że masz nie pytać albo że nie masz prawa czegoś nie rozumieć, bo rzeczywiście zdarzy się, że napotkasz na bardzo specyficzny problem wymagający indywidualnej analizy. Mówię tylko, że materiałów jest mnóstwo i do googlowania trzeba się przyłożyć, a będą z tego dobre rezultaty i ta umiejętność przyda Ci się w przyszłości. Czasem znalezienie rozwiązania dla problemu w pracy zajmuje godziny przemierzania czeluści Internetu, więc tę umiejętność trenuj jak najwcześniej.

Jeśli jesteś zdeterminowany, to nie powinieneś być kolejną osobą, tworzącą kolejny wątek “OSCP vs CEH” albo “jak zostać pentesterem, pomocy”. Jeśli tworzysz takie posty, to już mogę powiedzieć Ci, że robisz to źle.

Nie mógłbym opublikować artykułu o karierze w bezpieczeństwie, bez zacytowania części artykułu legendarnego zespołu bezpieczeństwa. Tłumacząc słowa lidera Corelan Teamu:

Bycie pentesterem nie jest równoznaczne z byciem dobrym w używaniu narzędzi. Bycie pentesterem to bycie w stanie zrozumieć jak rzeczy działają, jak są skonfigurowane, jakie błędy popełniają ludzie i jak znaleźć te błędy dzięki byciu kreatywnym.
Bycie pentesterem to nie uruchamianie Metasploita celując w cały Internet. Tutaj chodzi o coś absolutnie większego.

Amen!

Będąc w tej branży już kilka ładnych lat w pełni się z tym zgadzam. Potrzebujemy o wiele więcej kreatywnych artystów, którzy potrafią i chcą zabezpieczać firmy i użytkowników. Ta branża nie potrzebuje już większej ilości ludzi, którzy potrafią tylko klikać przyciski na GUI narzędzi do automatycznego skanowania i exploitacji.

Branża bezpieczeństwa jest ekscytująca i jeśli jesteś w stanie udowodnić swoją chęć nauki i pasję, to będziesz miał przed sobą świetną karierę. Zaaplikowanie tego co Ci wyżej przekazałem, pozwoli Ci wyprzedzić jakieś 90% ludzi którzy szukają pracy w tym sektorze.

 

Podsumowując, googluj, googluj, rób rzeczy i jeszcze raz googluj. Samo czytanie i teoria nie zaprowadzą Cię tam gdzie chcesz dojść. To możesz osiągnąć przez praktykę, doświadczenie i hackowanie a nie gadanie.

Bonusowe materiały od których warto zacząć

Linki do dwóch moich, niezłej jakości podcastów na których opowiadam głębiej o sprawach które opisałem w tym artykule:

Jak Zostać Testerem Bezpieczeństwa – Kariera Pentestera/Security Engineera

Najważniejsze Umiejętności Pentestera oraz Jak Zhackować Proces Rekrutacyjny

Jeśli chcesz nauczyć się podstaw bezpieczeństwa aplikacji, możesz obejrzeć mój kurs wprowadzający (przeciek: niedługo będzie wersja polska, i to w konkretnej jakości!): https://www.youtube.com/watch?v=IcJn1sQPS_U

Po obejrzeniu, ściągnij sobie podatną VMkę OWASPu (https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project)  i hackuj! Polecam zacząć z aplikacja “Multidae 2” z odblokowanymi wskazówkami(hints)  które poprowadzą Cię za rękę przez każdy z modułów.

A tutaj lista najlepszych tekstowych poradników na temat kariery w bezpieczeństwie od ludzi którzy osiągnęli o wiele więcej:

https://www.corelan.be/index.php/2015/10/13/how-to-become-a-pentester/

https://lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in-security-but-are.html

https://medium.freecodecamp.org/so-you-want-to-work-in-security-bc6c10157d23

https://netsec.ws/?p=468

https://www.peerlyst.com/posts/a-collection-of-links-about-transitioning-into-infosec-or-starting-an-infosec-career-and-making-it-peerlyst

https://gist.github.com/mubix/5737a066c8845d25721ec4bf3139fd31

 

Za każdym razem, kiedy uderzysz w ścianę i nie będziesz wiedział co ze sobą zrobić to po prostu googluj. Jeśli dopiero zaczynasz się czegoś uczyć i masz przed sobą wyzwanie, z którym nie potrafisz sobie poradzić, to zapewniam Cię że nie jesteś sam i pewnie ktoś już był w tym miejscu i może nawet opublikował to na swoim blogu. Nawet na bardzo banalne pytania możesz znaleźć w sieci odpowiedź, więc googluj i przemyśl założenie własnego bloga. Ucząc się sam zrozumiesz o co mi chodzi i jak bardzo będziesz doceniał ludzi, którzy spisali na blogu podstawowe rzeczy, które jednak dla Ciebie są trudne i odblokują Cię i uratują Ci mnóstwo czasu.

Powodzenia i cytując słynne hasło z OSCP “Try Harder”!

 

PS. Jeśli pojawi się sporo pytań to obiecuję zrobić podcast bądź napisać artykuł, w którym na wszystko odpowiem. Temat tego jak szukać pracy, jak być dobrym pracownikiem i na co w życiu uważać, to tematy na które pisze się setki książek, ale starałem się dać Ci skrót kilku z najważniejszych lekcji jakich życie mnie nauczyło. Sam chciałbym, żeby ktoś podarował mi taki artykuł kiedy ja zaczynałem swoją karierę w bezpieczeństwie, bo nie jestem w stanie opisać ile zdrowia i czasu by mi to zaoszczędziło.

Jest mnóstwo bardziej kompetentnych ludzi na dokładniejsze opisywanie tematu, ale jeśli chcesz usłyszeć mojej perspektywy na jakiś temat, to śmiało wyślij mi pytanie i będę dumny mogąc Ci na nie odpowiedzieć.