В ИБ в 36 лет. Реально ли...
В ИБ в 36 лет. Первые 3 месяца упорного обучения
В ИБ в 36 лет. 6 месяцев слез, труда и терпения
В ИБ в 36 лет. Очередная попытка все бросить и подарки судьбы
Приветствую, друзья)
Ну что сказать, поздравляю себя с первым годом обучения. А год был очень насыщенным.
Если кто не читал предыдущие посты, то в кратце скажу что в ИБ я пришел с нулевыми знаниями. Были небольшие знания в программировании (Python). Пробовал разбираться с вебом, тестированием, компьютерным зрением. Чуток уделял внимание нейросетям, пробуя работать с tensorflow. Но когдаа появился мелкий, то без малого 2 года ушли на ребенка, ибо я в декрете))
В какой-то момент я вернулся к своей школьной мечте (развитие в ИБ). Как это было и с чего началось, я не помню... В результате принял решение и двинул трудится. В качестве стартовой площадки я выбрал TryHackMe, так как на тот момент она показалась мне очень доступной, информативной и что было для меня важно дешевой)
Так выглядит мой профиль сейчас. Если у вас появился вопрос, почему такие пробелы, то поясню.
Апрель и май прошлого года был выделен под Веб, так как на тот момент я испытывал сложности в этом направлении. Если вспомнить тот период, то по мимо изучения основ был еще ребенок у которого не был выработан график и бывали дни, когда я мог позаниматься минут 30 или вовсе не заниматься.
С июня по август я был сосредоточен на закрытии Оффенсив разделов, а Переполнение буфера на всегда останется в моей памяти, так как именно эта дисциплина далась с очень-очень большими усилиями((
WAPT
В сентябре мне был подарен доступ к курсу WAPT, что стало приятной новостью. Но буквально с первых заданий я перестал радоваться и было подумывал бросить. Причина? Мне был не понятен подход к обучению. Если до этого я привык что у меня есть пояснения к заданию и я на примере закрепляю теоретическую часть, то на курсе это отсутствовало. Плевался я наверное неделю, но в какой-то момент взял себя в руки.
Один мой знакомый когда-то сказал мне мудрые слова, с которыми я живу по сей день: - В любой ситуации человек имеет три варианта. Уйти, изменить и приспособиться!
Изменить я не мог... Уйти вроде хотелось, но я понимал что это подарок от администрации ресурса, и я до этого очень хотел пройти этот курс, поэтому не красиво по отношению к "подарку судьбы". Оставалось только приспосабливаться к ситуации и формату. В общем включился полностью я после SQL инъекций и дело сдвинулось. Я решал все не перебирая. Что-то с подсказками, а что-то нет. Но все что мне давали. Разве что не решал Социальную инженерию, так как для этого требовались аккаунты в соц. сетях, а я не хотел туда лезть))) В общем с учетом всего, мне удалось закрыть курс в топ-5. Но тут важно пояснить, что не я такой умный, просто ребята посильнее были отвлечены своими заботами. Кто-то участвовал в the Standoff, кто-то просто не мог уделить время из-за работы. Но я думаю, что при всех раскладах, я бы закончил в топ-10. Обратил внимание, что многие участники осеннего потока, так и не смогли собраться и когда просматриваешь статистику по группе, понимаешь что многие даже не пытались решать сложные задачи(( А зря, они были очень увлекательными)))
Но в какой-то момент, на этапе раздела XSS я уже хотел чтоб курс быстрее закончился. Я понимал что я очень устал. 2 месяца нон -стоп. Ты учишь, решаешь, еще учишь, еще решаешь. Дошло до того, что когда приходилось ждать пропуска на следующий раздел, я находил кучу лаб по темам и решал их. Наверное это было не правильным решением, так как к моменту экзамена я был выжат. Экзамен я сдавал 4-м и один раз его переносил. Я понимал, что выделить 24 часа не реально для меня. рядом нет родственников которым можно отвезти ребенка и оставить. Как я не уговаривал жену не брать выходной, она его таки взяла и ей за это спасибо)
Первые 4 часа прошли на ура. Мелкий в хорошем настроении, я выспан, супругу не дергают по работе. Минимум по простым задачам я решил быстро. Был только один таск в котором была непонятка. Но все решилось...
И потом началось... Малый упал с дивана и ударился головой( Мы в шоке... что делать, везти в больницу или не везти? короче страх... Малый сразу уснул, жена с ним. Я сижу за компом перед задачами повышенной сложности, а мысли в другом месте. Сотрясение или нет? Отвезти в больницу или посмотреть как он встанет? Боль...
После того как малый проснулся в хорошем расположении духа, травму получила супруга и все закрутилось заново... Больница, переживание... Пытаясь порешать хоть что-то, я напрочь не видел уязвимостей. Мозг уже не работал в этом направлении. Приходилось переключаться между заданиями и семьей. Один решил, ура... Нужно еще 2 как минимум...
Тыц один, там фильтры... Тыц другой, там не заводится эксплоит (не один из найденных)... Третий, вообще не понятно куда двигаться... Еще один такой же...
К 20 часам, я решил двинуть на фильтры. Так как не отвлекало ничего, RCE была найдена минут за 5, но.. Любые команды с флагами не работают((( Я бился с этим таском до 23. Когда понял что уже без сил, решил поспать. Жена разбудила в 4 а.м. и я сел за комп, в тот же момент за него сел мелкий, жесть... Ребенок решил что пора проснуться и погулять. Таск я решал с малым, так как жена уже была без сил. Оказалось, что у меня во время энкода в base64 попадал символ переноса коретки... СУКА!!! Только я нарыл проблему, таск был закрыт за 3-5 минут. И это был последний таск для прохождения по минимальным требованиям. В принципе я этот минимум и ставил за цель. Выключил комп и давай качать мелкого, всем спать. Проснувшись, меня уже ждало сообщение от инструктора с поздравлением и этим язвительным "вы набрали минимум для прохождения...". Это так ударило по мне, что даже спустя месяц у меня просто нет желания учиться((( Я реально сгорел... Сейчас я занимаюсь всем что не касается работы с уязвимостями. Учу теорию, на подходе инглишь. Даже склепал свою первую лабу для ресурса. которую привожу в порядок.
Что я думал о пентесте раньше и сейчас
Раньше я думал, что пентест это в первую очередь система, набор правил сформировав которые ты можешь на неплохом уровне двигаться по уязвимому приложению или инфраструктуре. Сейчас же я понимаю, тут нет системы, тут нет патернов. Только огромный объем знаний и практического опыта, сделает тебя конкурентным. Это наверное та сфера, где правило "Умные самые бедные" не работает. Это реально борьба мозгов.
Еще можно сказать что пентест это больше работа от человека, чем от приложения. В буквальном смысле, все к чему вы притрагиваетесь в пентесте, создано человеком. И если вы имеете понимание циклов разработки, то поймете что группа людей в любой момент, на любом из циклов может допустить ошибку. И если вы опытны и достаточно умны, вы найдете брешь.
Планы
Пока я еще не набрался сил, решил что нужно по максимуму готовится к собесам. По плану я должен найти работу уже к этому лету, а учить еще много чего. Чтоб не заржаветь, буду порешивать лабы. Решил засесть за администрирование. Нужно все таки получить базовые навыки в линукс и виндовс системах. Почитать и поковырять AD. Кстати хороший опыт по реализации уязвимостей получается когда собираешь свои лаборатории. Там прям весь цикл. Как написать код, как задеплоить, на настроить. Какие мисконфиги есть и прочее. Так что настоятельно рекомендую попрактиковаться в этом деле)))
ПЗ: Я Всех поздравляю с наступившим НГ. Я желаю вам в первую очередь здоровья и сил. Если вы вдруг, понимаете что интерес к чему-то потерян, не бросайте. Держитесь рядом с этой сферой, отвлекитесь. Отдыхайте, читайте, спите...
Скажу по опыту, если вы чего-то хотите, вам нужно просто начать что-то делать. Не важно в каком порядке. Жизнь все сделает сама. Она найдет возможности, она вам их подсунет, отрисует карту движения и даст попутчиков если их нет.
Ну и на последок все достижения, большие и маленький. Как показатель труда и настойчивости)))
С Уважением!
Последнее редактирование модератором:
, Поздравляю с завершением этого этапа жизни, главное не бросать это дело
