В ИБ в 36 лет. Реально ли...
В ИБ в 36 лет. Первые 3 месяца упорного обучения
В ИБ в 36 лет. 6 месяцев слез, труда и терпения
Приветствую!
Вот собственно и подходит к концу 9-й месяц моего обучения и плавного вливания в сферу ИБ, а именно offensive части. Так как появилось свободное время, решил написать пост на пару дней раньше срока, ибо кардинально эти пару дней ни на что не повлияют.
Как обычно начну с благодарности всем участниками ресурса, а так же администрации. Я вам всем очень благодарен за помощь и за слова поддержки. Отмечу что эти 3 месяца были самыми насыщенными из всех. Мелкий вышел на 3-х часовой сон, стал самозанятым (рисование, лепка, конструктор), а значит у меня появилась возможность уделять своему развитию больше, чем я даже мог себе представить. Теперь у меня выходит от 3 до 5 часов в день. Ура-ура!
Так же эти три месяца были богатыми на разного рода события. Я отношу себя к тем людям, которые верят, что все что не происходит со мной в данный момент, происходит как лучше для меня, даже если эти вещи не особо приятные, в конечном итоге все сложится. В этот раз пазл стал складываться и заметил пару сигналов, дающих понимание что наверное я двигаюсь в верном направлении. Какие сигналы?
Первое, это наверное поддержка моей любимой супруги. С самого начала она очень отрицательно отнеслась к моему увлечению((( Я не могу ее осуждать, она как Head of HR в компаниях, которые работают в сфере информационной безопасности (продуктовые компании), не раз наблюдала как за пентестерами приходят силовики. И поэтому ее переживание мне очень понятно. Но я в течении всего этого времени тоже проделал работу, рассказал на сколько это легально. Показал как это развито и не разу не дал усомниться в том, что я на светлой стороне. Спустя время, когда она увидела на сколько серьезно я взялся за дело, началась поддержка. Если вдруг кто-то сейчас думает, что я легко устроюсь на работу, то нет. В этом плане блата не будет. Только своими силами!!!
Второе. Если кто следит за моей историей, то наверное вспомнит (если нет, можно прочитать) что изначально я всю эту писанину затеял с целью заработать на курс WAPT, так как имелись сложности с его приобретением. В одно прекрасное утро, я увидел коммент под свои постом, в котором сказано, что меня зачислили. Вот так вот... Хотите верьте, хотите нет, но я в жизни ничего не выигрывал и не получал просто так, а тут курс обучения от Codeby. Радости нет предала, но о курсе немного позже.
Третье. Все время, которое я обучаюсь, я занимался на стареньком маке 2010 годика рождения. Я думаю не стоит пояснять, как это было тяжело((( Я человек практичный и вещи люблю такие же. Раньше не было необходимости брать что-то новое, так как задачи решали с тем что было в наличии. Но когда перешел к пентесту, то тут все оказалось сложнее. Я реально мучался. В общем родня, увидев все это дело, решила сделать мне подарок в виде нового компа, и признаюсь теперь я реально получаю КАЙФ!!!!
В прошлый раз я писал о планах на следующие 6 месяцев, что удалось закрыть?
- Я Закрыл модуль Offensive Pentesting (TryHackMe)
- Немного начал углубляться в bash scripting
- Начал проходить SQLi lab
Offensive Pentesting (TryHackMe)
Это практическая комната с разным уровнем сложности. Эта та штука, которая потрепала мне нервы так, что я в очередной раз хотел все бросить((( Было очень тяжело. Если практические коробки еще как-то решались, то на Buffer Overflow я просто застрял. Я месяц не мог понять как делать переполнение буфера. У меня каждый день болела голова так, что без таблетки вопрос не решался. Я буквально говорил себе, что я глупый чтоб это понять и наверное это все не мое.
Жена как-то сказала: - Переключись на что-то другое. Я думал пару дней и решил просто порешать коробки от Offensive Security. И что? Блин, я не мог решить коробку((( Короче это только усугубило ситуацию. Весь месяц не одной, хоть маленькой победы, это очень расстраивало.
Я бросил... Сидел и днями играл в шахматы и смотрел партии, еще молодого М.Таля. Смотрел и поистине поражался тому, как человек глубоко вникал в ситуацию. И порой, в очень тяжелой ситуации на доске, он на столько тонко чувствовал ситуацию, что жертвуя материал менял ситуацию так, как нужно ему. Что сказать, МАСТЕР. Вдохновившись партиями, я решил что пора браться за дело. И как бы я не любил перескакивать в обучении от одной темы к другой, я отставил переполнение буфера и полностью ушел в Active Directory. Эта тема на столько меня понесла, что я прошел теоретическую и практическую часть за 1.5 недели. Когда я закрыл AD, между мной и сертификатом стоял только BoF. И я не знаю как так, но как только я решил первую задачу, появилась ясность. Я знал что мне нужно делать, почему именно это и тд. Я закрыл BoF за неделю. Что важно, я понял что заниматься реверсом я не хочу))))
До конца подписки на TryHackMe оставалось 2 недели и я решил порешать коробки у них, чтоб не пропадала подписка. Важно отметить, что я закрыл почти всю офенсив часть на ресурсе, оставались только лабы с AD. К ним я хотел вернуться как только набил бы руку с коробками на windows, они очень плохо заходят. Я попробовал Hackthebox, и любви у нас не вышло))) Очень большой онлайн и это постоянные проблемы. Поэтому я решил, что буду брать подписку на OffSec и решать все там. Но... на верху кто-то решил все изменить. Как я писал вначале, мне подарили курс по WAPT и он полностью изменил мои планы.
Курс WAPT
Так как подходит к концу месяц обучения на курсе, я могу дать некий фид бек. Тут не будет описания задач, а только мои ощущения и замечания. ВАЖНО! Если вы решили пройти курс или же подумываете об этом, внимательно прочитайте то, что я напишу. На форуме можно найти массу комментариев о курсе и важными являются комменты от команды курса. Когда пишут:-Курс не для новичков!, это реально правда. Я реально понимаю, что наверное все сошлось так, что я на курс пошел чуток подготовленным. Да, представьте, изучив все что было изучено, это была подготовка))) Первое ощущение -дискомфорт! Неделю я не мог понять куда я попал.
Ребята (инструктора) ни с кем не нянчатся. Вам выдают прекрасные теоретические материалы и практические задания с разными уровнями сложности. То есть, вот лопата, вот место где копать - КОПАЙТЕ))) Возможно, а со мной так и было, вы привыкли к иной форме обучения. Где у вас постоянный диалог с педагогом, и если вы застряли, то по вашей просьбе вам покажут место где нужно "копнуть" и вы найдете нефть))) Но нет... Инструктора тут только для того, чтоб давать подсказки и если вы хотите обсудить например решение какого-то таска, то это возможно. Подсказки к слову будут разными и зависят исключительно от навыков инструктора. Но чаще на вопрос: - Где нужно копать?, вы услышите: - Посмотрите под ноги!
И это к слову не означает что рыть нужно именно под собой, это означает, что вам нужно посмотреть под ноги и начать генерировать идеи. По типу: - У меня под ногами каменистая почва, соответственно тут копать не стоит. А вот там чернозем, пойду туда!
Изначально может создаться ложное ощущения, что вы спартанец (у меня в начале так и было), но потом, если перестанете вечно жаловаться и искать минусы, поймете для чего и почему так. Тут вас научат сосредотачиваться на задаче, генерировать идеи, искать решения и все это с очень минимальными и достаточно поверхностными подсказками. Реально нужно отдать должное команде курса, они реально вложились в него. Задания очень интересные, присутствует геймификация со своей сюжетной линией. Будут задания, который совмещают несколько уязвимостей. То есть нет такого как, тема SQL injection и задачи только на эту тему. Нет, ребята реально старались.
В целом я очень доволен, что мне подарили возможность проходить этот курс. Как я и говорил, пазл стал складываться. Все происходит вовремя. Если бы я начал проходить курс раньше, было бы сложнее. Мелкий нормально не спал, комп старый, знаний мало. В общем я рекомендую пройти этот курс, но стоит идти на него уже с базой, хоть это и не сделает прохождение курса легкой прогулкой)))
TryHackMe
С этой площадкой я попрощался наверное на 6 месяцев точно. С учетом того, что нужно пройти курс и потом еще на OffSec, думаю этого времени будет достаточно. А потом максимальное погружение в лабы по AD.
THM реально дала хорошую базу и в достаточно короткий срок, поэтому рекомендую ее для начала. Не жалейте взять подписку. Я потратил меньше 100 уе, а получил колоссальный объем знаний.
P.S. Я еще не решил сколько будет длится этот цикл статей, но наверное, как мне кажется, будет правильно закончить все трудоустройством. Тем самым сделать из этого цикла некий мотивационный road map для тех, кто только начал или присматривается к этой сфере деятельности. В общем черкните свои мысли как лучше, так как не планирую писать посты бесконечно)
С Уважением!
Последнее редактирование модератором:
