Disconnect

One Level
21.10.2023
8
4
Привет всем, кто читает эту статью! Я хочу поделиться своей историей попадания в сферу пентеста. Это не гайд и не инструкция, а просто рассказ о моем пути в кибербезопасности. Возможно, вы не найдете здесь точного ответа, как именно вам попасть в ИБ, но, надеюсь, подчеркнете что-то полезное и вдохновляющее.

Статья в первую очередь для тех, кто только задумывается о переходе в ИБ, ищет, с чего начать, что читать и какие курсы пройти. Также она может быть полезной тем, кто, как и я когда-то, хочет сменить профессию.

Мне 27, живу в провинциальном миллионнике, по образованию я медик. Два года находился в декрете и до этого момента ни дня не работал в IT. К ИБ пришел с нуля.

О времени и ресурсах​

Когда времени мало, важно выжимать максимум. Я планировал день с учетом возможных отклонений — читал на обеде, в очереди, ночью. Доступа к ПК не было постоянно, поэтому выручил Termux. Конечно, без рута его возможности ограничены, но это всё равно лучше, чем ничего. Идеи по настройке мобильного окружения можно найти в этом разделе форума.

Первый контакт с пентестом​

Сначала был Python — буквально за месяц освоил основы, чтобы писать парсеры, работать с Excel, автоматизировать задачи. Потом начал интересоваться разработкой, Линуксом, MySQL. Читал:
  • «Изучаем Python» — Марк Лутц
  • «Linux на примерах» — Колесниченко
  • «Как работает компьютер» — М. Джастис
  • «SQL Pocket Guide» — Жао
IMG_20241230_030816_420.jpg


Через полгода стало скучно. Я захотел чего-то “трушного” — начал изучать C и C++:
  • «Язык программирования C» — Ритчи, Керниган
  • «Программирование: принципы и практика» — Страуструп
Параллельно — bash, CLI, терминал. Настольные книги:
  • «Bash. Карманный справочник» — Роббинс
  • Advanced Bash-Scripting Guide — маст-хев, особенно в долгосрочной перспективе
И тут однажды я открыл электронную библиотеку и наткнулся на книгу, которая все изменила — «Kali Linux. Библия пентестера». Прочитал на одном дыхании. Началось безумие: скачивал всё, что находил про пентест, регистрировался на форумах, так впервые попал на Codeby.net.

Общение с комьюнити​

Общение — это сила. Но оно же может деморализовать. Кто-то говорил:
27? Поздновато, брат. Без IT-опыта? Иди в CTF для развлечения…
А потом эти же люди давали отличные советы. Главное — фильтровать, что брать в работу, а что пропускать. Раздел Истории участников может быть отличной поддержкой.

Первые шаги и сомнения​

Сначала думал: пентест — только для тех, кто учился на ИБ или имеет бэкграунд в администрировании. Начал строить «гибридный» план: изучать то, что пригодится и там, и там. В итоге понял: гибридность тормозит. К счастью, вскоре всё поменялось.

CTF и осознание​

После изучения теории я попробовал CTF. Первый таск — Mr. Dino. Решил быстро. Второй — собрать флаг из 4 частей — занял 3 дня. Тогда я понял: моя база знаний — дырявая. Решил сначала подтянуть теорию.

Кстати, подборку CTF-ресурсов и гайдов можно найти в этой статье.

Исследование рынка​

Главный вопрос: а что по вакансиям?
Я стал анализировать вакансии: hh.ru, Habr Карьера, Telegram-каналы. Создал таблицу:
  • Город
  • Требования
  • Обязанности
  • Преимущества
На основе этого родился мой первый роудмап.

Мой Roadmap (базовый)​

  1. Сети
    • «Компьютерные сети» — Таненбаум
    • «Нисходящий подход» — Куроуз, Росс
    • Курс Андрея Созыкина — маст-хев
  2. Linux
    • «Unix и Linux. Руководство системного администратора» — Немет
    • «Linux глазами хакера» — Фленов
    • Плюс обязательно Windows: «Внутреннее устройство Windows» — Руссинович
    • Создавайте виртуалки! Это не шутка. Прям совет из практики
  3. ЯП
    • Python, C/C++, Bash, PowerShell, JS, PHP, SQL, HTML
    • Желательно: Java, C#, даже немного Go или Rust (только осторожно — законы РФ)
  4. Основы пентеста
    • «Kali Linux. Библия пентестера»
    • «Этичный хакинг» — Грэм
    • «Дневник охотника за ошибками» — Клейн
    • «Ловушка для багов» — Яворски
    • «Занимайся хакингом с...» — серия SparkFlow
    • В ресурсах форума очень много книг по пентесту (нужен уровень Green Team)

Практика и CTF​

С февраля 2024 начал регулярно решать таски. К июню закрыл весь веб-сегмент. Из-за ограниченного доступа к ПК некоторые таски решал неделями. Например, квест Ламер — 1 неделя вместо 2 часов :)

Моя оценка CTF-категорий:​

  • OSINT — да, но сильно отличается от реального
  • Web — безусловно
  • Стега — только для CTF
  • Крипта — да, но зависит от задач
  • Форензика, Инфра (AD, квесты) — маст-хев
  • Реверс, бинарщина — желательно, хотя бы на базовом уровне
  • Разное — всё, что расширяет кругозор: сокеты, трафик, парсеры, автоматизация

Финал​

Как-то летом я снова зашел на hh. И... вакансия. В моем городе. Для джуна.
Отклик — собеседование — оффер. Без диплома, без опыта, без связей. Просто в нужное время — в нужном месте.
Конечно, пришлось резко решать бытовые вопросы — садик, распорядок дня, ресурсы. Было трудно, но всё получилось. Сейчас я на своей первой работе в пентесте — и счастлив.

Заключение
Если вы только начинаете — не бойтесь. Возможно, вы попадете в ИБ не по классическому сценарию, а по своему. И это тоже нормально. Читайте форум Codeby.net, черпайте практику на Codeby School, обсуждайте опыт в блоге Codeby.One.

Удачи вам на пути в кибербезопасность!
Привет всем, кто читает эту статью! Я хочу поделиться своей историей попадания в сферу пентеста. Это не гайд и не инструкция, а просто рассказ о моем пути в кибербезопасности. Возможно, вы не найдете здесь точного ответа, как именно вам попасть в ИБ, но, надеюсь, подчеркнете что-то полезное и вдохновляющее.
Статья в первую очередь для тех, кто только задумывается о переходе в ИБ, ищет, с чего начать, что читать и какие курсы пройти. Также она может быть полезной тем, кто, как и я когда-то, хочет сменить профессию.
 
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!