Droga do pentestera

0

Witam,
Jestem studentem informatyki drugiego roku. Zaczynam powoli myśleć o rozpoczęciu pracy jako programista (miałem okazje odbyć staż). Interesują mnie technologie webowe, raczej po stronie serwera. W dalszej perspektywie chciałbym jednak zajmować się bezpieczeństwem. I tutaj pojawia się mój problem. Czy próba zatrudnienia się od razu na stanowisko związane z security ma sens?
Słyszałem ze specjaliści w tej dziedzinie zazwyczaj mają parę lat przepracowanych jako programiści/administratorzy.
Jestem bardzo ciekawy jak wyglądają ścieżki zawodowe w dziale bezpieczeństwa IT. Będę wdzięczny za odpowiedzi osób pracujących jako pentesterzy lub siedzących w temacie. :)

1

W dalszej perspektywie chciałbym jednak zajmować się bezpieczeństwem

Ale robisz coś w tym kierunku czy "chciałbyś"? Bo różnica jest spora. Jeśli coś potafisz to jest szansa dostać sie na jakieś praktyki z bezpieczeństwa.
Kolega @akrasuski1 robił praktyki w CERT.pl po 1 roku z tego co pamiętam i pisał np. o https://www.cert.pl/news/single/necurs-hybrydowy-botnet-spamowy/
W tym roku kolega @nazywam (też po 1 roku) praktykiwał w CERT.pl i można sobie tutaj: https://www.cert.pl/news/single/ramnit-doglebna-analiza/ poczytać o wynikach jego pracy.
Tylko że zarówno jeden jak i drugi zajmują się security już jakiś czas i zajmują razem z @p4 czołowe miejsca na CTFach.

Zachęcam do poklikania sobie https://pwning2016.p4.team/tasks jeśli rozklepiesz wszystko bez większych kłopotów to moze jest dla ciebie nadzieja.

0

Celuj w Adminkę, zdobędziesz sporo podstaw z zasad działania serwerów, baz danych, etc. Do tego trochę Basha, może Perla i Pythona.

0

Powiem szczerze że nie potrafię określić poziomu swojej wiedzy i umiejętności jeśli chodzi o security. Staram się uczyć jak tylko jest na to czas, ale ciągle mam wrażenie że nie idę w żadnym kierunku.

0

Może zainteresuj się certyfikatami z dziedziny Security? Nie wiem tylko czy są takie, które nie wymagają doświadczenia zawodowego.

0

Przeglądałem certyfikaty, ale różnie są one oceniane. Oczywiście te najbardziej specjalistyczne są bardzo cenione u pracodawców. Ale nie wiem czy jest sens robić takie dla początkujących/średnio-zaawansowanych.

0

@intmain122: kliknij w link który podałem i zobacz ile jesteś w stanie zrobić :) To będzie dobry wyznacznik "poziomu".

0

Taaaa... zobaczyłem te zadania i muszę przyznać trochę mnie zabiły xD. Nigdy nie miałem styczności z tego typu "zabawą". Nie czuję się jakoś bardzo przerażony ale chyba czeka mnie jeszcze dużo nauki. Trochę zastanawia mnie fakt że cokolwiek potrafiło zrobić tylko 25 osób, a przynajmniej tyle wynikało z rankingu.

0

@Shalom: pytanie odnosnie pentestow. Tak naprawde jak czesto poza CTF przydaje sie Crypto?

0

@WhiteLightning pewnie @msm może cos więcej powiedzieć ale patrząc na https://www.cert.pl/news/single/mole-ransomware-analiza-dekryptor/ albo https://lokalhost.pl/talks/vb2017/index.html#1 to wydaje się że ma to pewne zastosowanie ;)

0

"W dalszej perspektywie chciałbym jednak zajmować się bezpieczeństwem."
A co to wg Ciebie znaczy?
Pentesting? Dzieciaki to robią mając wiedzę na poziomie "odpal skrypt X". Owszem, możesz się w tym skillować do poziomu "25 ludzi na świecie to rozwiązało" ale to w dalszej perspektywie. IMHO testować dziury można bez znajomości programowania.

Książka znaleziona przy okazji:
https://www.amazon.com/Professional-Penetration-Testing-Second-Creating/dp/1597499935

Przydatna strona:
https://www.kali.org/category/penetration-testing/

To było chyba nawet wydane w Polsce:
https://www.amazon.com/Violent-Python-Cookbook-Penetration-Engineers/dp/1597499579/

0

@vpiotr: Zdaje sobie sprawę z tego że takie testy bez większego zrozumienia tematu też niby można robić. Ale chyba nie do końca o to mi chodzi. Pisząc o przyszłej pracy miałem na myśli odnajdywanie luk w zabezpieczeniach i podatności na różnego rodzaju ataki poprzez miedzy innymi pisanie exploit'ów. Wiem że wymaga to pewnie dużej wiedzy jak i doświadczenia, ale czuje się zdeterminowany. :P W sumie to chyba mam teraz najwięcej czasu i możliwości, więc chcę to wykorzystać jak najlepiej.

0

https://gist.github.com/mubix/5737a066c8845d25721ec4bf3139fd31
Taki zdeterminowany to przeszukaj internet ;)

0

@Shalom: pytanie odnosnie pentestow. Tak naprawde jak czesto poza CTF przydaje sie Crypto?

W sumie nie do mnie pytanie bo nie jestem pentessterem. Ale jeśli pytasz w kwestii pentestów, to na ostatniej prezentacji pokazałem dwa 0daye związane ze złym użyciem kryptografii :P.

Ale security to nie tylko pentesting. W przypadku audytów kodu, projektowania API i aplikacji, czasami reversowania rzeczy crypto-related, etc praktyczna kryptografia jest przydatna praktycznie cały czas (tzn. da się żyć bez, ale jest ryzyko że się zrobi jakiś nienaprawialny błąd).

Odnośnie tematu rozwoju w tym kierunku rozpisałem się więcej tutaj: https://4programmers.net/Forum/1402492 - możesz przeczytac i zobacyć co z tego Cię interesuje, bo na razie z tego co piszesz to sam nie wiesz :P.

1 użytkowników online, w tym zalogowanych: 0, gości: 1