Сергей Дружинин, выпускник курса «Белый хакер» Skillfactory, рассказал, как он пришел в пентестинг и почему эта техническая специальность требует творческого подхода.
Мне всегда нравилось «хакать» готовые решения
Мне 20 лет, родом из Смоленской области. Практически сразу после школы я увлекся тестированием, вскоре осознал, что интересен именно пентестинг — поиск уязвимостей у готовых решений. Мне понравилось это направление за то, что можно открывать секреты и удивлять людей своей работой.
Вначале я изучал пентестинг сам: читал статьи, смотрел видео. Очень нравились материалы от Овербаффера. Но вскоре осознал, что мне нужно дополнить эти мои знания, изучить тему более системно.
Поэтому я пошел учиться в Skillfactory на курс «Белый хакер». Мне понравился принцип обучения: есть структура, общение с учителями, менеджерами и менторами, всегда можно было задать вопрос.
У меня был высокий уровень мотивации, я не оттягивал изучение и не брал академический отпуск. Однако само обучение мне далось непросто. Я легко учил язык, вникал в его синтаксис, но генерить на нем код не мог. Кроме того, у меня почти никогда не было идей, что именно писать. В процессе обучения осознал: я могу работать как угодно с готовыми решениями, а создавать что-то новое, свое — нет. Но это меня не расстроило: мне всегда нравилось «хакать» чужие уже готовые решения.
Я начал путь в IT со взлома сайта
Помимо курса, я принимал участие в двух соревнованиях CTF (Capture The Flag) от Skillfactory. Мне было интересно изучить формат, но задания были уже не моего уровня — я хотел взламывать рабочие, действующие решения.
Мои искания привели к сайту команды «Недохакер». Они делают обзоры на мошеннические схемы, проверяют их и рассказывают про кибербезопасность. Как ни парадоксально, именно проект про кибербезопасность оказался уязвимым к моему взлому. Вначале я был удивлен, но позже осознал: многие блогеры пренебрегают безопасностью своих сайтов. Утечки персональных данных с их ресурсов не редкость.
Я положил сайт «Недохакера» на пару дней, а затем связался с владельцами. В процессе объяснил, что взлом сайта — моих рук дело, но готов все вернуть на свои места. Взамен попросил рассмотреть мою кандидатуру на позицию пентестера. Они согласились на помощь, а после того как все было восстановлено, выслали мне офер.
Я вошел в IT по-своему. Для меня путь начался не с собеседований, рассылки резюме. А начался с инициативы, таргетированного интереса к конкретной компании. Я устроил неожиданную атаку, затем сам все починил, подсветил уязвимости, продемонстрировал свои скилы.
Сейчас я продолжаю свою работу в «Недохакере», жду, когда программист допишет код по одному проекту. Потом буду работать над его взломом.
Пентестер — страж информации, но еще — художник
Работу хакера романтизируют в медиа, создают ей образ «опасной», но она также очень полезна.
Я тружусь на светлой стороне, помогаю людям и их продуктам быстро находить слабые места в системах. Тем самым я охраняю данные тысяч людей от незаконного использования. С моей помощью информация о паспорте не уйдет в даркнет, на человека на возьмут кредит мошенники.
Работа пентестера — не только про сохранность личных данных пользователей. Такой специалист сохраняет от взлома целые инфраструктуры, например, атомные станции, больницы или транспортные сети. Или интеллектуальную собственность компаний, документы, содержащие репутационные риски.
У каждой отрасли свои слабые места и точки входа. Уязвимости могут быть в коде программиста: небезопасные API, отсутствие шифрования данных. Могут быть в поведении пользователей: система не просит сложный пароль, и человек пишет QWERTY или же бездумно переходит по ссылке в письме.
Да, пентестер — страж информации, но еще — художник. Заниматься пентестом — как писать картины, нужны концепция и фантазия. Я считаю, что у каждого специалиста должен быть свой подход к работе и умение мыслить как преступник. Остальное — дело техники и хард скилов.
Советы для начинающих пентестеров
О поиске работы
Итак, вы получили образование, начали искать работу. Мой совет: не ждите, когда идеальный работодатель напишет вам. Ищите его сами, можно попробовать сразу показать свои навыки в деле, например взломать сайт или выслать список уязвимостей владельцам. Так вы сразу дадите понять работодателю, стоит ли приглашать вас на работу.
Конечно, я не призываю всех пентестеров взламывать продукты потенциальных работодателей. Иногда это не так просто. А порой — опасно для тебя и компании. Помню, я как-то перестарался и очень сильно повредил сайт, потом мне пришлось долго извиняться, реабилитировать продукт и себя в глазах команды.
Просто знайте, что можно использовать взлом как один из инструментов поиска работы. Но всегда помните о последствиях. Инициатива и ответственность — ваши козыри в поиске заветного офера.
Об оборудовании
Если вы хотите быть востребованным пентестером, нужно вложить деньги в оборудование. Речь идет про аппаратуру — компьютеры, ноутбуки, USB-адаптеры, мобильные и многофункциональные устройства. Также в арсенале должно быть ПО: ОС на базе Linux, фреймворки, антивирусы. Конечно, этот список варьируется от кейса к кейсу.
Также обязательно следите за состоянием своей виртуальной машины — ПО, которое имитирует работу физического компьютера и его ресурсов и позволяет тестировать, взламывать нужные ресурсы. Не перегружайте ее, обязательно делайте бэкапы, система банально может сломаться из-за халатности. А сломанная виртуальная машина — это изматывающие часы по ее восстановлению.
