05.03.2016 | 18:57

Adam Haertle

Jak zostać pentesterem? Odpowiada 21 polskich fachowców z branży

Rynek na gwałt szuka pentesterów i wiele osób zastanawia się, czy zacząć swoją karierę od tego zawodu lub czy się przekwalifikować. Co trzeba w sobie mieć, by zająć się pentestami? Zapytaliśmy kilka osób.

W ostatnich dniach lista dyskusyjna OWASP zapełniła się ogłoszeniami o pracy. Wszyscy na gwałt szukają pentesterów, których jak widać na rynku brakuje. Czy oznacza to, że bycie pentesterem wcale nie jest takie proste? Poniżej znajdziecie 21 wypowiedzi polskich fachowców z branży bezpieczeństwa. Wielu z nich pracowało lub pracują jako pentesterzy, część pentesterów chce zatrudnić lub od lat zatrudnia, a wszyscy wiedzą o czym mówią bo osiągnęli w branży bezpieczeństwa wymierny sukces. Odpowiedzi zamieszczamy w losowej kolejności. Pytanie brzmiało „Jak zostać pentesterem”. Każdy miał przysłać 3 zdania, ale niektórzy nie mogli się powstrzymać. Niestety nie wszyscy mogli się podpisać imieniem, nazwiskiem i nazwą firmy. Pozdrawiamy te firmy.

Klasyczny wizerunek pentestera

Klasyczny wizerunek pentestera

Piotr Konieczny, Niebezpiecznik.pl

Aby móc coś rzetelnie przetestować pod kątem bezpieczeństwa, dobrze jest najpierw w pełni zrozumieć jak to coś działa albo od czego zależy – dlatego tym, którzy chcą zostać pentesterem sugeruję najpierw rozpocząć karierę programisty (aplikacji webowych lub mobilnych) albo administratora systemów, a dopiero po paru latach doświadczenia w zawodzie zacząć mocniej nadbudowywać swoją wiedzę o aspekty bezpieczeństwa znanych już rozwiązań (języków programowania, systemów, technologii, etc.). To może być czasami tak łatwe jak wpisanie do Google „foobar +(vulnerability OR security)” albo tak pracochłonne jak kilkutygodniowe czytanie kodu źródłowego. Jedno jest pewne, samo przeczytanie o danej podatności nie pozwoli jej tak zrozumieć, jak jej wykorzystanie w praktyce, ale w tym pomóc mogą zarówno płatne szkolenia jak i darmowe serwisy takie jak vulnhub.com.

Wojciech Dworakowski, Partner Zarządzający, SecuRing

Nie jest to zawód którego można się nauczyć w teorii (nawet przygotowując się do OSCP). Wiedzę zdobywa się w projektach ale żeby w nich uczestniczyć trzeba… już być pentesterem. Polecam szukać firm które potrafią i chcą zainwestować w „wychowanie” pentestera. Na początek najistotniejsze jest duże zainteresowanie tematem (czytanie, eksperymentowanie, spotkania OWASP, itp.), instynkt do szukania dziury w całym i choćby minimalne doświadczenie zdobyte przy aplikacjach szkoleniowych, programach bug bounty czy mniejszych zleceniach. Dobrze sprawdzają się „przechrzczeni” programiści lub administratorzy.

Michał Sajdak, pentester i trener w Securitum

Hackuj, hackuj i jeszcze raz hackuj. Tylko koniecznie w 100% legalnie. Metasploitable, rozwal.to, OWASP WebGoat. Można nawet od razu zarabiać (oficjalne programy bug bounty). Staż w jednej z firm pentesterskich (hackujesz realne systemy, ucząc się od bardziej doświadczonych).

Mateusz Kocielski, pentester, LogicalTrust

Rób robotę, chłoń wiedzę i nie zastanawiaj się czy chcesz pracować zdalnie czy lokalnie, czy chcesz mieć multisport, piłkarzyki, jeździć do Kataru itd. Naucz się porządnie programować, wyjdź poza webappki, zrozum jak działają różne technologie i rozwiń w sobie ciekawość, które nie pozwoli Ci zasnąć jak nie zrozumiesz dlaczego jakiś webservice odpowiada z kodem 500 jak wrzucisz tam ciąg „apudapud”. Dodam, że najlepsi pentesterzy jakich znam, to ludzie, którzy wcześniej byli administratorami, programistami, …, i pewnego dnia się zorientowali, że w sumie to o bezpieczeństwie wiedzą więcej niż o konfiguracji sendmaila.

Przemek Jaroszewski, Kierownik Zespołu Działań Operacyjnych, CERT Polska, NASK

Podstawowa cecha niezbędna pentesterowi to zamiłowanie do psucia rzeczy w dobrym tego słowa znaczeniu – rozbierania ich na czynniki pierwsze żeby zobaczyć jak działają i co się stanie, gdy śrubki skręci się trochę inaczej niż producent zaplanował. Dalej wymieniłbym solidną wiedzę techniczną, pozwalającą na jak najlepsze zrozumienie środowiska, w którym działa testowane rozwiązanie, oraz cierpliwość i systematyczność. Żeby zrobić z tych cech użytek, warto rozpocząć od podpatrzenia jak robią to inni (lektury materiałów, przykładów, ćwiczeń), a wreszcie przejść do praktyki – byle nie były to „niezamówione testy bezpieczeństwa”!

Bartosz Kwitkowski, CTO & Founder, PREBYTES

Nim zostaniesz pentesterem musisz dokonać samodiagnozy. Przede wszystkim należy być dociekliwym, a wręcz wścibskim. Dodatkowo, trzeba być rzetelnym skrybą, pamiętającym że zawsze jest przyczyna danego zachowania. Później już jest z górki, czyli wystarczy nie walczyć ze standardami a je stosować – OWASP, OSSTMM, PTES. Ponadto, warto zainwestować własny czas w odkrywanie obszarów wiedzy, które są dla Ciebie ciekawe. Pentester powinien (a może musi? ;]) się angażować w swoje „dzieło zniszczenia” w takim samym stopniu jak miałby się przed nim bronić.

Sławek Rozbicki, ekspert bezpieczeństwa informacji, PKO Bank Polski

Od poziomu biegłości w konkretnej technologii bardziej cenie cechy charakteru takie jak kreatywność, dociekliwość i przekorność. Są one fundamentem fascynacji, która napędza głód wiedzy i wynagradza nieprzespane noce.

Mirosław Maj, CISO, ComCERT SA

Zdecydować co się chce tak naprawdę testować, wśród dobrych pentesterów jest daleko posunięta specjalizacja. Poznawać najlepsze dokumenty, standardy, np: OWASP-owe i rekomendowane listy narzędzi. Na koniec jak się chce już na dobre wejść na rynek, a nie jest się pewnym swoich wysokich umiejętności, zdobyć jakiś rozpoznawalny certyfikat;).

Borys Łącki, Owner/Pentester, LogicalTrust

Kolejność – od góry – najważniejsze.

Jak zacząć?

  1. Praktykować/Testować – hackme, CTF, testy różnego oprogramowania we własnym labie – pamiętaj, że „niezamówione pentesty” mogą skończyć się źle :)
  2. Czytać – owasp.org, writeupy CTF/bugbounty, Twitter, RSS, IRC, koleżanki i koledzy
  3. Zacytuję kogoś bardzo mądrego „rozwiń w sobie ciekawość”

Zalety wyborowego pentestera:

Twarde:

  • Posiada doświadczenie w testach bezpieczeństwa – im więcej testował w praktyce tym lepiej
  • Zdobywa wiedzę teoretyczną – czyta blogi, opisy, rozwija się w kwestii security
  • Lubi szukać niesztampowych rozwiązań – także w życiu. Potrafi szerzej spojrzeć na każdy problem (z dystansu), a nie mówić „W instrukcji napisali, że się nie da”
  • Posiada „background” techniczny – np. były programista, były administrator

Miękkie:

  • Ogólnie pojęta komunikacja na wysokim poziomie – werbalnie lub/i cyfrowo
  • Rozumie to co robi (technicznie). Rozumie podatność i potrafi ją wytłumaczyć np. opisując/omawiając
  • Działanie w zespole – Wie, że dzielenie się wiedzą sprawia, że dzięki pracy zespołowej wyniki testów będą lepsze
  • Zrozumienie, że zazwyczaj test bezpieczeństwa to nie CTF – nie trzeba rozwiązać konkretnej zagadki, znaleźć SQL Injection lub RCE i wtedy otwierać szampana. To systematyczna praca, w której „od A-Z” należy przetestować aplikację tak by po testach Klient podniósł bezpieczeństwo swoich zasobów czyli wykryte podatności zostały naprawione, programiści/testerzy zrozumieli problemy bezpieczeństwa, przedyskutowano model zagrożeń i dobrano testy do konkretnej potrzeby biznesowej. „Zazwyczaj” bo co jakiś czas zdarzają się testy nastawione na konkretny efekt np. kradzież informacji firmowych
  • Umiejętność zachowania porządku, systematycznej pracy (#dostępność), dokumentacji własnej pracy (#integralność)
  • Wie, że chce być najlepszy i chce się temu działaniu poświęcić – pomiędzy ćwiczeniami karate, basenem, oglądaniem kotów na YT i w weekend – nie zostaniesz profesjonalistą
  • Ego/Skromność – skromny pentester to pentester, który nie opowiada na imprezach, że dziś znalazł RCE w największym serwisie WWW w kraju (#poufność)

Anonimowy Reverse Engineer

Jak byłem mały to rozkładałem samochodziki na części składowe, bo dorośli nie chcieli mi wytłumaczyć jak działają. Jak dorosłem to zacząłem się zastanawiać jak działa złośliwe oprogramowanie, bo to było jedyne oprogramowanie, które nie deklarowało jasno co robi. Wziąłem kilka prawdziwych próbek z Internetu i zacząłem je analizować, szukając przy okazji technik, które mi by pomagały. Polecam taką praktykę wszystkim, którzy chcą zacząć swoją karierę w bezpieczeństwa – bądźcie ciekawi jak coś działa i nigdy nie dajcie sobie wmówić, że coś jest magią!

Anonimowy bezpiecznik z sektora finansowego

Ja zacząłem od różnych języków programowania – tworzyłem programy na własny użytek. Testując swoje wytwory okazywało się, że programy nie były perfekcyjne i dopisywałem dodatkowe linie kodu, które np. sprawdzały zmienne, itp. I tak w kółko :) Uogólniając – bezpieczne programowanie.

Tworzone aplikacje wymagały jakiegoś serwera – na przykład apache. No wiec instalacja, konfiguracja różnych usług, a następnie ich łatanie :). Sprawdzałem za pomocą ogólnodostępnych exploitów czy posiadam jakąś podatną usługę – ale wtedy robiłem to dla czystej zabawy ;) Uogólniając – administracja, serwery linuxowe, instalacja, konfiguracja

W późniejszym czasie przydatne okazywały się dystrybucje takie jak Backtrack, które oferowały zestaw gotowych narzędzi. Tworzyłem małe laby (zazwyczaj złożone z kilku maszyn vm) i na nich testowałem różne narzędzia. W ten oto sposób udawało się osiągać różne, mniejsze bądź większe sukcesy.

Ostatnimi laty popularne są różnego typu ctfy – chociażby tak jak ten na sekurak.pl. Stanowią świetną zabawę i wiedząc, że jest jakiś problem/bug w aplikacji, za wszelką cenę staram się go odnaleźć ;). To wszystko przełożyło się na moją obecną pracę – pracuję w bezpieczeństwie i można powiedzieć, że na podstawie tego, co uzyskałem „bawiąc się”, mogę przełożyć na dotychczasowe bezpieczeństwo różnych, produkcyjnych produktów.

Specjalista ds. Bezpieczeństwa Systemów IT w dużej korporacji

Chcesz zostać pentesterem? Zacznij myśleć jak atakujący. Musisz potrafić trafnie wiązać pewne fakty, być dociekliwym, szybko i dużo się uczyć. To ciężka praca, ale sprawiająca mnóstwo satysfakcji.

Robert Jaroszuk, Penetration Testing Specialist, Royal Bank of Scotland

Trzeba wypracować w sobie odpowiednie nastawienie – samodzielność, umiejętność rozwijania się, motywowania się, postrzegania problemów jako wyzwania, poszukiwania rozwiązań. Później warto zdobyć doświadczenie, aby rozumieć systemy, z którymi ma się do czynienia. Warto otrzeć się np. o administrację systemami, sieciami, o programowanie. Zdobywanie doświadczenia powinno cały czas być ukierunkowane na bezpieczeństwo, na rozumienie zagrożeń, na nastawienie „a jak bym zaatakował ten system?” itp. I na koniec – trzeba umieć pisać i mówić, aby potrafić przekazać klientowi swoje spostrzeżenia. Nikt nie zapłaci wielu tysięcy złotych za raport, z którego nic nie zrozumie, bo pentester nie potrafił się wysłowić.

siefca, BAD[SECTOR].PL

Oczywiście najpierw trzeba poznać Lispa. To taki język z dużą liczbą nawiasów. Najmocniejszy pod względem zdolności wyrazu język programowania ogólnego przeznaczenia. Gdy już to zrobisz, musisz nauczyć się Elispa – dialektu, na bazie którego możesz konfigurować wszechświat edytora Emacs. Znając Emacsa jesteś już w połowie drogi – szukasz niezałatanego Sendmaila i niszczysz go, przenikając potrójną ścianę ognia. Jak prawdziwy, uniksowy nindża. Musisz tylko uważać, żeby nie wpuścili cię w fejka. To jest droga prawdziwego pentestera, która zostawia krwawe odciski na skodowanych opuszkach palców i pachnie wczorajszym paprykarzem. Gdy ją zrealizujesz, możesz pro forma zrobić sobie cztery certyfikaty i mienić się hardkorem. Naturalnie same umiejętności mało dziś znaczą. Warto byś miał swój styl i poznał tzw. kulturę hakerów. Możesz ubierać się w dziwne ciuchy, albo być konsumentem dobrego kina. Na początek warto obejrzeć „The Hackers” – film fabularny opowiadający o perypetiach zakochanego siedemnastolatka, który uczy się pływać z dziewczyną, bo ma szlaban na komputer.

Cezary Piekarski, Head of Security, Bank Millennium

Jednym z najistotniejszych czynników jest grupa która nas motywuje i w ramach której możemy wymieniać się wiedza. Znajdz lub sam załóż lokalny hackerspace i/lub grupe znajomych o podobnych zainteresowaniach. Nie rezygnuj z gruntownej, szerokiej edukacji informatycznej. Ale przede wszystkim dbaj o utrzymanie stałego, wysokiego poziomu zaciekawienia tym jak dzialaja rzeczy.

Marcin Ludwiszewski, Dyrektor Działu Cyberbezpieczeństwa Deloitte Polska

W mojej skromnej ocenie najlepsi pentesterzy to pasjonaci, osoby, które często od młodzieńczych lat są związane z programowaniem i sieciami. Przejawiają chęć ciągłego rozwoju, znają od podszewki funkcjonowanie sieci na poziomie infrastruktury, protokołów sieciowych, mają wiedzę o funkcjonowaniu aplikacji, umieją programować w rożnych językach. Mają doświadczenie w pracy w róznych technologiach i środowiskach. Ale przede wszystkim też są to osoby rozumiejące słabości wykorzystywanych narzędzi do testowania, które same tworzą i są w stanie tworzyć swoje narzędzia. Jednocześnie osoby te umieją rozmawiać o wynikach swojej pracy w szerszym kontekście (i różnych językach – nie mówię tutaj tylko o j. programowania ;), dodatkowo przy dużych projektach osoby te powinny być w stanie pracować w zespołach. Mi najlpiej pracuje się też z ludźmi, którzy mają poczucie humoru i dystans do pewnych spraw.. :)

Jeśli ktoś chciałby zacząć karierę jak pentester, to warto o ile nie przyjdzie mu to naturalnie (np. zapewne wielu z nas obecnych w branży w rożnych dziedzinach – nie tylko jako pentesterzy, w wieku kilku lat zaczynalo od programowania w basic na c64 i a później było częścią tzw. amigowej sceny, itd.. ;), to warto nastawić się na praktyczne zrozumienie programowania, aplikacji, sieci. Zakładając, że sprawia ci to przyjemność, warto inwestować samemu w wiedzę (książkową i praktyczną), być cierpliwym i próbować uczestniczyć w różnych ciekawych projektach a przede wszystkim uczyć się od innych. Nic nie zastąpi wiedzy i doświadczenia, kiedy 'grasz’ wśród lepszych od siebie.

Wojtek Bojdoł, niezależny kontraktor, Secure apps ltd

Wydaje mi się, że trzeba by wyróżnić kilka specjalizacji u pentesterów – ludzie od (web)aplikacji oraz „sieciowcy”. W tej pierwszej grupie podobno najlepiej sprawdza się wypalony zawodowo programista. Taki, który widział wszystko z tej 'drugiej strony’, próbował współpracować, ale ma już dość widząc po raz kolejny brzydki kod i rozwiązania pisane na kolanie.
Druga grupa to moim zdaniem osoby specjalizujące się w analizie infrastruktury, poszukiwaniu i identyfikacji urządzeń/aplikacji pracujących w danej „sieci”, wykorzystywaniu błędów w konfiguracji i (zbyt wolnym) procesie aktualizacji. W tej grupie dobrze pewnie będzie się sprawdzał devops-emeryt, lub ex-pracownik dużego providera. Czy można być dobrym pentesterem w obu obszarach? Na pewno jest to coraz trudniejsze.

Radek Kaczorek, CEO, IMMUSEC

Kiedy budowałem swój pierwszy zespół bezpieczeństwa blisko 20 lat temu przekonałem się, że pentester to stan umysłu a nie umiejętności i wiedza. Jeśli potrafisz nie spać wiele nocy z rzędu, żeby znaleźć odpowiedź na nurtujące cię pytanie, to jesteś na dobrej drodze. Jeśli potrafisz nawet najbardziej skomplikowany problem rozłożyć na części pierwsze, a niechętnie poświęcasz czas tematom, które cię nie interesują to masz wszystko co jest potrzebne do odniesienia sukcesu. Całej reszty można się nauczyć.

evilrez

1. Poznaj technologie: podstawowe konstrukcje języków w jakich tworzone są systemy/aplikacji (dla webowego pentestera: Java, Ruby lub Python, Javascript, HTML 4/5) i najczęściej używane protokoły (idąc tropem web’a: rodzina RFC dla HTTP, SSL/TLS jak i źródła opisujące jak zachowują się przeglądarki i dodatki do nich względem RFC – Browser Security Handbook, itp.).

2. Poznaj znane i popularne metody ataków, aby nie wymyślać no nowo koła: OWASP Testing Guide, OWASP Code Review (jeśli dotykasz kodu), książki z rodziny Web Application Hacker’s Handbook – idąc do jednego, mięsistego miejsca, zaoszczędzisz dużo czasu na szukanie sensownych źródeł, wróć do tego jak skończysz etap 3.

3. Poznaj metody modelowania zagrożeń (threat modeling), które pozwolą Ci poza radosnym testowaniem, ułożyć pentest w choćby ramowy plan, lepiej zrozumieć testowany system i nie robić z każdej podatności „CRITICAL”’a, co często odróżnia napalonego pentestera od dojrzałego profesjonalisty – zarządzaj krytycznością świadomie, nie emocjonalnie.

Teraz masz duże szanse by dostać pracę jako pentester i zacząć właściwy rozwój w tej działce.

Robert Pająk, Head of Information Security, Base

Jest wiele sposobów na to aby zostać pentesterem. Generalnie upraszczając jest to coś czego można sie nauczyć – każdy oczywiście przyswaja wiedzę w specyficzny dla siebie sposob. Ze swojej strony chciałbym jednak zwrócić uwagę na to, ze nie chodzi tu stricte o naukę w jaki sposob używać narzędzi, czy poznanie metodyk (chociaz warto znać jedno i drugie) ale raczej o wykształcenie w sobie dwóch kwestii. Pewnego nawyku myślenia opartego na dogłębnej chęci rozumienia przedmiotu/obiektu testów, oraz swoistej dyscypliny w myśleniu. Nie zawadzi też garść kreatywności – dla mnie testy penetracyjne to rodzaj sztuki i podobnie jak można poznać zasady rysowania ale nie czyni nas to artystą tak i czysta teoria to za mało. Za najważniejsze w tej specjalizacji uważam praktykę oraz doświadczenie, checklisty pozwalają nam po prostu o niczym nie zapomnieć.

Piotr Szeptyński, ISEC

Z perspektywy firmy dostarczającej usługi bezpieczeństwa, ale przede wszystkim jej klientów, dobry pentester to ten, który rozumie istotę oraz cele realizowanych projektów. Ważne jest zatem to, by szukając i wykorzystując podatności w badanej aplikacji, mieć świadomość oczekiwań klienta, który najczęściej nie doceni (całkiem dosłownie) czasu i wysiłku poświeconego na „research” – nawet najbardziej złożony – nad konkretnym błędem. Wyniki testu muszą dla klienta nieść wartość w postaci rzetelnej i obiektywnej opinii na temat prawdopodobieństwa i skutków wykorzystania zidentyfikowanych podatności. Sprzyja temu dociekliwość, dokładność i poszerzanie przez pentestera horyzontów, także w pozatechnicznych dziedzinach związanych z bezpieczeństwem IT i informacji w ogóle.

Komentarz redakcji

Dziękujemy wszystkim, którzy podzielili się swoim doświadczeniem i opinią. Zapraszamy także do dyskusji w komentarzach. Można łatwo zauważyć, że niektóre wątki w powyższych wypowiedziach przewijają się częściej niż inne. Jakie? Dobry pentester sam je znajdzie, bo musi ćwiczyć spostrzegawczość, korelację i wyciąganie wniosków.

Powrót

Komentarze

  • 2016.03.05 19:51 Sławek

    Wybaczcie że czepiam się nie na temat ale cholernie mnie to wkurza. Albo piszcie artykuł po polsku albo po angielsku bo „CEO”, „founder”, „owner” tak kłują w oczy że aż boli. Wbrew pozorom znaleźć polski odpowiednik nie tak ciężko jeśli już artykuł jest po polsku. Co ciekawe często międzynarodowe korporacje używają przetłumaczonych nazw stanowisk w lokalnej komunikacji lub kontaktach z lokalnymi mediami (np. ta, w której pracuję) ale już każdy kto założy DG od razu staje się „ownerem/CEO”, trochę to żałosne i świadczy o naszych polskich kompleksach.

    Odpowiedz
    • 2016.03.05 21:00 FL3SH

      Czepiasz się.
      Jeśli nie rozumiesz pewnych słów/skrótów jak sam zauważyłeś łatwo jest znaleźć polski odpowiednik – polecam.
      Wydaje mi się, że artykuł jest jednak po polsku. ;)

      Odpowiedz
      • 2016.03.06 14:41 MadElaIn

        Nie czepia się, tylko zwraca uwagę na pójście na łatwiznę i niechlujstwo piszącego. Mnie takie anglojęzyczne wtręty w polskim tekście też BARDZO rażą. Gdy coś piszę i mam jakiś angielski zwrot, to piszę polski odpowiednik, a w nawiasie, dla pewności – słowo angielski (jeśli istnieje możliwość jakiegoś nieporozumienia czy niezrozumienia). Wymaga to jednak więcej pracy niż bezmyślne kalkowanie nazw z obcego języka…

        Odpowiedz
    • 2016.03.06 15:38 Plazma

      Rozumiem, że pewne nazwy mogą odzwierciedlać lepiej rolę lub być częściej spotykane od polskich nazw, ale starajmy tworzyć jednolity tekst.

      Swoją drogą wydaje mi się, że niektórzy autorzy minęli się z pytaniem. To jest oczywiste, że pasjonat, który nie może się położyć, zanim nie znajdzie odpowiedzi z swej branży będzie w czołówce. Każdy, który poświęca każdy ułamek swej energii, czasu, zainteresowania na pewną dziedzinę, a w reiście staje się praktycznie nieudolny jest skazany na sukces w swojej dziedzinie. Osoba zmuszająca się do czegoś, która UMIE odpoczywać od np. pentestów nigdy(może jeden wyjątek na milion) nie będzie ekspertem w tej dziedzinie.

      Niestety, ale 90% tekstu może się odnosić do tego, jak zostać najlepszym ogrodnikiem.

      Jak dla mnie te wszystkie teksty można skrócić do tego:
      -Bądź rzetelny i dokumentuj swą pracę.
      -Bądź kreatywny.
      -Myśl nie szablonowo i/lub jak atakujący.
      -Miej podstawy w programowaniu lub w administracji systemów.
      -Zdobądź umiejętności komunikacji.
      -Znaj teorie.
      -Praktykuj bezpiecznie i jak najwięcej.

      +Zawsze praca z doświadczonym towarzyszem daje ci bardzo dużo.

      Odpowiedz
  • 2016.03.05 19:52 Monter

    Oho, pojawią się na Niebezpieczniku i Sekuraku reklamy szkoleń dla pentesterów, za 3… 2… 1… ;o)

    Odpowiedz
    • 2016.03.05 20:06 Adam

      Przecież są prawie od zawsze

      Odpowiedz
  • 2016.03.05 20:04 alan

    A skąd te randomy, Adamie? xD

    Odpowiedz
    • 2016.03.05 20:04 Adam

      Randomy?

      Odpowiedz
      • 2016.03.06 23:49 alan

        „zamieszczamy w losowej kolejności”

        Dokładnie, randomy. Tak mi się skojarzyło ;)

        Odpowiedz
  • 2016.03.05 20:14 Filip

    Przydałby się przegląd „ról”, jakie można pełnić w IT Sec – jest przecież dużo więcej niż penteściaki.

    Odpowiedz
    • 2016.03.05 20:30 Adam

      Ról jest chyba tyle ile osób pracuje w branży :)

      Odpowiedz
      • 2016.03.06 21:33 Filip

        Nie no – sporo ma DBA albo root :)

        Są inne tematy – czytacz kodu, analityk dokumentacji/ryzyka, zarządzania kontrolami, blue team, SOC. Niby to oczywiste, ale prawdę mówiąc, nie kojarzę takiego zestawiania z różnymi rolami.

        Tzn kojarzę ale były beznadziejne :)

        Odpowiedz
  • 2016.03.05 21:20 bob

    Ten ostatni „gość” jest chyba dobry bo wam do WP w odpowiedzi sie zaczal dobierac ;)

    Odpowiedz
  • 2016.03.06 10:27 zenek

    „siefca” wygrał konkurs

    Odpowiedz
  • 2016.03.06 10:37 Majaki

    Wszystko fajnie, ale widzę że zabrakło moim zdaniem najważniejszego: żeby być pentesterem to trzeba porządnie znać assembler i to jak działa sam komputer bez tego zrozumienie wielu podatności jest po prostu niemożliwe.

    Odpowiedz
    • 2016.03.06 18:10 Michał Sajdak

      To zależy – jak chcesz być pentesterem webówki to ASM się średnio przyda ;) Ale jak np. pentesterem rozwiązań klasy embedded – to i owszem – ASM MIPS/ARM – niemal konieczny ;)

      Odpowiedz
      • 2016.03.07 11:40 Majaki

        Bez znajomości ASMa nie da się zrozumieć jak działają chociażby webserwery, kompilatory czy oprogramowanie specjalistyczne. Na serwerach w firmie mamy dużo oprogramowania napisanego w c i c++, które jest podpięte pod web system i może być podatne chociażby na błędy przepełnienia bufora. No chyba że dla ciebie sprawdzenie webserwera kończy się na odpaleniu rkhunter i analizie czy formularz do uploadu plików jest poprawnie zaimplementowany.

        Odpowiedz
    • 2016.03.06 22:24 abcdefg

      Słuszne są twoje poglądy zacznij od ASM-a i manuali danej architektury czytaj to do znudzenia (dosłownie na pamięć) nawet jeżeli nie będziesz nic z tego rozumiał (uwierz rozumiesz więcej niż ci się wydaje tylko jeszcze o tym nie wiesz) i nigdy nie daj sobie wmówić że coś zależy od czegoś, że coś musisz (najpierw lub później) – słuchaj siebie, baw się dobrze i … całą resztę

      Odpowiedz
  • 2016.03.06 11:41 Gimbus

    Osoby penetrujące szukane są na gwałt.

    Odpowiedz
  • 2016.03.06 12:11 Inferno

    zajebisty art. propsy.
    fyi – przy Piotrze Szeptyńskim posypał się quote tag.

    Odpowiedz
  • 2016.03.06 17:39 lol

    Dodałbym głupi komentarz ale nie mato już chyba większego sensu , znudziło mi się i przestało być śmieszne zresztą jeden z moich uświęconych profili odwiedził ktoś z sądu rejonowego WWA (śródmieście chyba)
    to się bać zacząłem :D

    Odpowiedz
  • 2016.03.06 19:36 Mitrila

    Dziękuję za ten wpis! Właśnie czegoś takiego było mi trzeba. Póki co widzę, że jeszcze dużo nauki przede mną…

    Odpowiedz
  • 2016.03.06 20:40 Paweł

    Moje 3 grosze:

    1. Poznaj języki programowania, na początek C i Python – potem poznanie kolejnych będzie się w praktyce sprowadzało do poznania ich składni i standardowych/typowych bibliotek. Mówiąc poznaj, mam na myśli napisz jakiś kod, np. serwer i klient komunikatora, narzędzia automatyzujące pewne czynności (których prawdopodobnie w pracy pentestera będziesz pisał sporo).
    2. Poznaj języki skryptowe i mechanizmy znanych systemów operacyjnych – powłoki typu bash dla unixów (Unix, Linux, Mac OS X), powershell dla Windowsów – w pracy pentestera nie raz uzyskasz shella na jednym z systemów, dobrze, żebyś wtedy poruszał się po nim jak ryba w wodzie (gdzie szukać historii mysqla, w której możesz znaleźć hasła, jak wyciągnąć z Active Directory listę MSSQLi itd).
    3. Poznaj praktycznie sieci – poznaj model ISO/OSI i typowe ataki na każdej z warstw (np. ARP poisoning na warstwie 2), dowiedz się czym są VLANy czy MPLS, zobacz jak wyglądają popularne protokoły od podszewki (np. naucz się wysyłać pocztę telnetem/nc, obsługiwać telnetem/nc protokoły HTTP czy FTP). Pobaw się tcpdumpem i wiresharkiem.
    4. Stwórz biblioteczkę – Internet jest pełen różnych artykułów i ebooków na temat bezpieczeństwa, w księgarniach także znajdziesz sporo tytułów, również po polsku. Książki, w których tytułach znajduje się ,,Kali Linux”, ,,Pentester/pentestera”, ,,Metasploit” mogą okazać się fajnym dodatkiem do bagażu na wakacje na Majorce.
    5. Rób notatki – to, że dzisiaj znasz na pamięć super onelinera, który z Active Directory pobierze wszystkie serwery MSSQL i zbruteforcuje domyślne konta, nie znaczy, że za miesiąc również napiszesz go z palca. Stwórz sobie miejsce, gdzie po takie rzeczy będziesz mógł sobie na szybko sięgnąć.
    6. Motywuj się – już samo poszukiwanie słabości powinno być dla Ciebie motywacją, jeśli nie (albo równolegle), przetestuj czy zadziałają na Ciebie książki typu ,,Sztuka podstępu”, ,,Duch w sieci”, ,,Haker” itp. Wyśmiewane filmy klasy ,,Hakerzy” też mogą odegrać swoje w kontekście motywacji.
    7. Nie kończ zidentyfikowaniem podatności – np. jeśli znajdziesz XSSa, nie wysyłaj jako proof of concept klasycznego alert(document.cookie), tylko wstrzyknij kod, który będzie ściemniał, że użytkownik został wylogowany i musi zalogować się ponownie – w Twoim, podstawionym formularzu logowania. Znajdując CSRF, przygotuj payload, który doda do systemu nowego admina. Widząc Buffer Overflow, przygotuj PoC zestawiający sesję metasploita. Itd.
    8. Poznaj metasploita.
    9. Zadawaj pytania. Pojawiaj się w społecznościach, na konferencjach – często w kuluarach przy 4 piwku ktoś może Ci dać
      kopa, który przyspieszy Twoją karierą o 4 lata.
    Odpowiedz
    • 2016.03.07 09:48 Edgar

      Uwaga na początek – mój komentarz ma się nijak do pentestingu. Odnosi się tylko do konkretnego cytatu!
      „Poznaj języki programowania, na początek C i Python – potem poznanie kolejnych będzie się w praktyce sprowadzało do poznania ich składni i standardowych/typowych bibliotek”. Życzę szczęścia w poznawaniu Haskella, czy Prologa bez zrozumienia ich istoty. Albo nawet Postscripta. To nie jest kwestia „składni i standardowych bibliotek”.

      Odpowiedz
      • 2016.03.07 10:45 Paweł

        Edgar, to uproszczenie miało raczej na celu powiedzieć, że łatwiej programiście się nauczyć nowego języka niż nie-programiście. Z kolei zabawy ze składnią i standardowymi/typowymi bibliotekami implikują raczej poznanie istoty danego języka. W świecie cybersec C i Python IMHO są najbardziej przydatne, niosą też za sobą pewne ukryte wartości edukacyjne (C to wiadomo, Python pomaga wyuczyć dbanie o estetykę (graficzną) kodu (mam na myśli chociażby wymuszenie wcięć)).

        Odpowiedz
  • 2016.03.06 20:40 Michal W.

    Brakuje pentesterow?

    Poprosze oferty na maila ;)

    Odpowiedz
  • 2016.03.08 00:43 ja

    Te miliony linij kodu, narzędzi bezpieczeństwa, setki CVE, analiz i researchu oh chciałbym zobaczyć chociaż jedną

    Odpowiedz
  • 2016.03.08 16:35 Meggie

    Czyli całość można podsumować tak:
    Aby zostać pentesterem musisz być najpierw świetnym (a przynajmniej dobrym) programistą lub adminem z wieloletnim stażem, musisz być dociekliwy, szczegółowy i cały czas poszerzać swoją wiedzę. Powinieneś znać przynajmniej kilka języków programowania, mieć zaliczone kursy/szkolenia lub/i posiadać jakieś znane certyfikaty. Nieodzowna jest też znajomość wielu języków programowania oraz całego spektrum narzędzi pentesterskich. Dodatkowym atutem będzie kariera jako były haker…

    Yhm, no to nie dziwi fakt, że na rynku jest taka słaba podaż ^__^

    Odpowiedz
  • 2016.03.08 22:58 mietek

    Siefca, jebłem. :-D

    Odpowiedz
  • 2016.03.09 23:49 Bartosz Wójcik

    Nominuję siefca, BAD[SECTOR].PL do Oscara :), dobry ziomek, dobry flow, ktoś kto nie lubi Paprykarza Szczecińskiego nie może być dobrym pentesterem :)

    Odpowiedz
  • 2016.03.09 23:51 i pamietaj

    Jak chodzisz na basen – nie masz szans! :D

    Odpowiedz
  • 2016.03.15 19:42 mix_to_on_to_ta

    Jak wygląda dzień pracy pentestera? Czy są jakoś rozpisywane taski na redmine. Jak wyglądają przykładowe zadania?

    Odpowiedz
  • 2016.12.25 19:16 dociekliwy

    Czy może ktoś mi wytłumaczyć jak to jest z wiekiem i branża IT? Czy mit że jedynie ci którzy w wieku 3 lat zaczną programować są skazani na sukces a inni to marna podróbka? wiele razy spotykam się z takimi opiniami jakoby ktoś kto zaczyna się interesować czymś z IT w wieku 20+ lub nawet 18+ jest przegrany i odsyłany z kwitkiem. Czy może problemem są niektóre „rakowe” środowiska?

    Odpowiedz
    • 2017.01.30 18:55 Lord Darkstorm

      Dobrze to ująłeś – jest to mit. Ten, kto tak mówi, zwyczajnie w świecie chce zniechęcić potencjalną konkurencję (jakby nie wystarczył mu fakt, że i tak zapotrzebowanie jest cholernie wielkie).

      Im później zaczniesz się rozwijać, tym na początku po prostu będziesz miał bardziej pod górkę. Nie zmienia to jednak faktu, że nigdy nie jest za późno i jeżeli będziesz dążył ze wszystkich sił do tego, żeby stawać się coraz lepszym koderem, adminem, itd., potrafiącym rozwiązywać coraz większą ilość problemów dręczących klientów w branży IT, to ten cel osiągniesz, choćby nie wiem co.

      Odpowiedz

Zostaw odpowiedź do Majaki

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak zostać pentesterem? Odpowiada 21 polskich fachowców z branży

Komentarze