• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья В ИБ в 36 лет. Очередная попытка все бросить и подарки судьбы

В ИБ в 36 лет. Реально ли...

В ИБ в 36 лет. Первые 3 месяца упорного обучения

В ИБ в 36 лет. 6 месяцев слез, труда и терпения


Приветствую!

Вот собственно и подходит к концу 9-й месяц моего обучения и плавного вливания в сферу ИБ, а именно offensive части. Так как появилось свободное время, решил написать пост на пару дней раньше срока, ибо кардинально эти пару дней ни на что не повлияют.

Как обычно начну с благодарности всем участниками ресурса, а так же администрации. Я вам всем очень благодарен за помощь и за слова поддержки. Отмечу что эти 3 месяца были самыми насыщенными из всех. Мелкий вышел на 3-х часовой сон, стал самозанятым (рисование, лепка, конструктор), а значит у меня появилась возможность уделять своему развитию больше, чем я даже мог себе представить. Теперь у меня выходит от 3 до 5 часов в день. Ура-ура!

Так же эти три месяца были богатыми на разного рода события. Я отношу себя к тем людям, которые верят, что все что не происходит со мной в данный момент, происходит как лучше для меня, даже если эти вещи не особо приятные, в конечном итоге все сложится. В этот раз пазл стал складываться и заметил пару сигналов, дающих понимание что наверное я двигаюсь в верном направлении. Какие сигналы?

Первое, это наверное поддержка моей любимой супруги. С самого начала она очень отрицательно отнеслась к моему увлечению((( Я не могу ее осуждать, она как Head of HR в компаниях, которые работают в сфере информационной безопасности (продуктовые компании), не раз наблюдала как за пентестерами приходят силовики. И поэтому ее переживание мне очень понятно. Но я в течении всего этого времени тоже проделал работу, рассказал на сколько это легально. Показал как это развито и не разу не дал усомниться в том, что я на светлой стороне. Спустя время, когда она увидела на сколько серьезно я взялся за дело, началась поддержка. Если вдруг кто-то сейчас думает, что я легко устроюсь на работу, то нет. В этом плане блата не будет. Только своими силами!!!

Второе. Если кто следит за моей историей, то наверное вспомнит (если нет, можно прочитать) что изначально я всю эту писанину затеял с целью заработать на курс WAPT, так как имелись сложности с его приобретением. В одно прекрасное утро, я увидел коммент под свои постом, в котором сказано, что меня зачислили. Вот так вот... Хотите верьте, хотите нет, но я в жизни ничего не выигрывал и не получал просто так, а тут курс обучения от Codeby. Радости нет предала, но о курсе немного позже.

Третье. Все время, которое я обучаюсь, я занимался на стареньком маке 2010 годика рождения. Я думаю не стоит пояснять, как это было тяжело((( Я человек практичный и вещи люблю такие же. Раньше не было необходимости брать что-то новое, так как задачи решали с тем что было в наличии. Но когда перешел к пентесту, то тут все оказалось сложнее. Я реально мучался. В общем родня, увидев все это дело, решила сделать мне подарок в виде нового компа, и признаюсь теперь я реально получаю КАЙФ!!!!

В прошлый раз я писал о планах на следующие 6 месяцев, что удалось закрыть?

- Я Закрыл модуль Offensive Pentesting (TryHackMe)
- Немного начал углубляться в bash scripting
- Начал проходить SQLi lab

Offensive Pentesting (TryHackMe)

Это практическая комната с разным уровнем сложности. Эта та штука, которая потрепала мне нервы так, что я в очередной раз хотел все бросить((( Было очень тяжело. Если практические коробки еще как-то решались, то на Buffer Overflow я просто застрял. Я месяц не мог понять как делать переполнение буфера. У меня каждый день болела голова так, что без таблетки вопрос не решался. Я буквально говорил себе, что я глупый чтоб это понять и наверное это все не мое.

Жена как-то сказала: - Переключись на что-то другое. Я думал пару дней и решил просто порешать коробки от Offensive Security. И что? Блин, я не мог решить коробку((( Короче это только усугубило ситуацию. Весь месяц не одной, хоть маленькой победы, это очень расстраивало.

Я бросил... Сидел и днями играл в шахматы и смотрел партии, еще молодого М.Таля. Смотрел и поистине поражался тому, как человек глубоко вникал в ситуацию. И порой, в очень тяжелой ситуации на доске, он на столько тонко чувствовал ситуацию, что жертвуя материал менял ситуацию так, как нужно ему. Что сказать, МАСТЕР. Вдохновившись партиями, я решил что пора браться за дело. И как бы я не любил перескакивать в обучении от одной темы к другой, я отставил переполнение буфера и полностью ушел в Active Directory. Эта тема на столько меня понесла, что я прошел теоретическую и практическую часть за 1.5 недели. Когда я закрыл AD, между мной и сертификатом стоял только BoF. И я не знаю как так, но как только я решил первую задачу, появилась ясность. Я знал что мне нужно делать, почему именно это и тд. Я закрыл BoF за неделю. Что важно, я понял что заниматься реверсом я не хочу))))

До конца подписки на TryHackMe оставалось 2 недели и я решил порешать коробки у них, чтоб не пропадала подписка. Важно отметить, что я закрыл почти всю офенсив часть на ресурсе, оставались только лабы с AD. К ним я хотел вернуться как только набил бы руку с коробками на windows, они очень плохо заходят. Я попробовал Hackthebox, и любви у нас не вышло))) Очень большой онлайн и это постоянные проблемы. Поэтому я решил, что буду брать подписку на OffSec и решать все там. Но... на верху кто-то решил все изменить. Как я писал вначале, мне подарили курс по WAPT и он полностью изменил мои планы.

Курс WAPT

Так как подходит к концу месяц обучения на курсе, я могу дать некий фид бек. Тут не будет описания задач, а только мои ощущения и замечания. ВАЖНО! Если вы решили пройти курс или же подумываете об этом, внимательно прочитайте то, что я напишу. На форуме можно найти массу комментариев о курсе и важными являются комменты от команды курса. Когда пишут:-Курс не для новичков!, это реально правда. Я реально понимаю, что наверное все сошлось так, что я на курс пошел чуток подготовленным. Да, представьте, изучив все что было изучено, это была подготовка))) Первое ощущение -дискомфорт! Неделю я не мог понять куда я попал.

Ребята (инструктора) ни с кем не нянчатся. Вам выдают прекрасные теоретические материалы и практические задания с разными уровнями сложности. То есть, вот лопата, вот место где копать - КОПАЙТЕ))) Возможно, а со мной так и было, вы привыкли к иной форме обучения. Где у вас постоянный диалог с педагогом, и если вы застряли, то по вашей просьбе вам покажут место где нужно "копнуть" и вы найдете нефть))) Но нет... Инструктора тут только для того, чтоб давать подсказки и если вы хотите обсудить например решение какого-то таска, то это возможно. Подсказки к слову будут разными и зависят исключительно от навыков инструктора. Но чаще на вопрос: - Где нужно копать?, вы услышите: - Посмотрите под ноги!

И это к слову не означает что рыть нужно именно под собой, это означает, что вам нужно посмотреть под ноги и начать генерировать идеи. По типу: - У меня под ногами каменистая почва, соответственно тут копать не стоит. А вот там чернозем, пойду туда!

Изначально может создаться ложное ощущения, что вы спартанец (у меня в начале так и было), но потом, если перестанете вечно жаловаться и искать минусы, поймете для чего и почему так. Тут вас научат сосредотачиваться на задаче, генерировать идеи, искать решения и все это с очень минимальными и достаточно поверхностными подсказками. Реально нужно отдать должное команде курса, они реально вложились в него. Задания очень интересные, присутствует геймификация со своей сюжетной линией. Будут задания, который совмещают несколько уязвимостей. То есть нет такого как, тема SQL injection и задачи только на эту тему. Нет, ребята реально старались.

В целом я очень доволен, что мне подарили возможность проходить этот курс. Как я и говорил, пазл стал складываться. Все происходит вовремя. Если бы я начал проходить курс раньше, было бы сложнее. Мелкий нормально не спал, комп старый, знаний мало. В общем я рекомендую пройти этот курс, но стоит идти на него уже с базой, хоть это и не сделает прохождение курса легкой прогулкой)))

TryHackMe

С этой площадкой я попрощался наверное на 6 месяцев точно. С учетом того, что нужно пройти курс и потом еще на OffSec, думаю этого времени будет достаточно. А потом максимальное погружение в лабы по AD.

THM реально дала хорошую базу и в достаточно короткий срок, поэтому рекомендую ее для начала. Не жалейте взять подписку. Я потратил меньше 100 уе, а получил колоссальный объем знаний.

P.S. Я еще не решил сколько будет длится этот цикл статей, но наверное, как мне кажется, будет правильно закончить все трудоустройством. Тем самым сделать из этого цикла некий мотивационный road map для тех, кто только начал или присматривается к этой сфере деятельности. В общем черкните свои мысли как лучше, так как не планирую писать посты бесконечно)
С Уважением!
 
Последнее редактирование модератором:

mcfly

Green Team
08.09.2016
603
615
BIT
155
ну тут я готов поспорить даже)))
Я не знаю как кстроенно у других, но мы с женой обсуждаем все моменты которые касаются развития. Кто и сколько времени получает для своего развития. И стараемся найти баланс, между развитием и жизнью семьи. Да, может я не стану мега-пупер-спецом, но дорасти до какого нить сеньера за 5 годиков реально. В целом меня устроит такой расклад.
Да фиг знат мне кажется семья сильно отвлекает нерво-трепки одни дети орут жена постояно чета все просит ни какого погружения в ИБ не получаеться ни книг почитать ни тулы поюзать нормально в итоге забиваешь и на этом все( Учиться лучше или проходить курсы по ИБ лучше до женитьбы пока все не раскуришь, но лучше всего жить одному и посветить полностью ИБ, а так c семьей тока одни нервы.....
 
Последнее редактирование:
  • Нравится
Реакции: rasul

Qulan

Red Team
06.12.2020
171
509
BIT
335
Да нет ты Молодец! Просто таких людей мало как ты у которых есть цель.
Как показывает мой жизненый опыт, цель есть у всех. Хоть в чем нибуть. Просто очень многие люди считают что нужно достичь чего-то вот прям сейчас. Это как в спорте, мало кто готов двигаться постепенно шаг за шагом.
photo_2021-10-07_21-20-39.jpg
 
  • Нравится
Реакции: hardserv

mcfly

Green Team
08.09.2016
603
615
BIT
155
Как показывает мой жизненый опыт, цель есть у всех. Хоть в чем нибуть. Просто очень многие люди считают что нужно достичь чего-то вот прям сейчас. Это как в спорте, мало кто готов двигаться постепенно шаг за шагом.
Посмотреть вложение 54022
В сфере ИБ мало кто остаеться в основном забивают на пол пути или хотят все сразу по нажатию одной кнопки)
 
  • Нравится
Реакции: Никита Ворков

larchik

Red Team
07.06.2019
357
415
BIT
92
Молодц, бро, респект!
Когда ты написал про шахматы, я узнал себя )
Тоже, когда накатывает безнадега и опускаются руки, играю в шахматы.
 
  • Нравится
Реакции: Mogen и Qulan

Mogen

Red Team
27.08.2019
313
609
BIT
0
Молодц, бро, респект!
Когда ты написал про шахматы, я узнал себя )
Тоже, когда накатывает безнадега и опускаются руки, играю в шахматы.
Нужно и мне наконец-то попробовать. Всё собираюсь, да потом откладываю эту затею.
Меня манит эта таинственность вокруг шахмат. Очень умные люди просчитывают свои действия на несколько шагов вперёд. Это очень завораживает.
 

rasul

One Level
25.10.2019
3
4
BIT
0
Нужно и мне наконец-то попробовать. Всё собираюсь, да потом откладываю эту затею.
Меня манит эта таинственность вокруг шахмат. Очень умные люди просчитывают свои действия на несколько шагов вперёд. Это очень завораживает.
Revolver.jpg


Шахматы и разводки — опасное сочетание. (С) Револьвер
Категорически не советую. Просто выучить правила и двигать фигуры - это сродни раскладыванию пасьянса.
Чтобы начать понимать саму игру потребуется вложение огромного количества времени (как минимум - изучить дебюты, чтобы не попасть в ловушку и перейти к середине игры. Изучить эндшпиль, чтобы предыдущие усилия не пропали даром) и сил.
Нужна постоянная практика (это как с английским). Игр вживую почти нет, на всех онлайн площадках (включая лучшую из них - Lichess.org) куча неадекватов, использующих помощь компьютера.
Будет понимание игры, будут и нервные затраты, ибо "Единственный способ поумнеть - играть с более умным противником."
Рекомендую го.
 

Вложения

  • Revolver.jpg
    Revolver.jpg
    47 КБ · Просмотры: 106
  • Нравится
Реакции: DragonFly, larchik и Mogen

larchik

Red Team
07.06.2019
357
415
BIT
92
Нужно и мне наконец-то попробовать. Всё собираюсь, да потом откладываю эту затею.
Меня манит эта таинственность вокруг шахмат. Очень умные люди просчитывают свои действия на несколько шагов вперёд. Это очень завораживает.
Шахматы отнимают очень много времени. Мне, например, не достаточно сыграть пару партий и заняться чем-нибудь другим. Как заметил @rasul, нужна постоянная практика. Кроме того много времени уходит на изучение дебютов. Даже изучить один дебют уйдут недели, а то и месяцы. Ну и нервы, да )

Тех, кто использует помощь компьютера, выявляют алгоритмы и банят на площадках. На chess.com точно, на lichess вероятно тоже.
 
  • Нравится
Реакции: DragonFly и Mogen

Mogen

Red Team
27.08.2019
313
609
BIT
0
Шахматы отнимают очень много времени. Мне, например, не достаточно сыграть пару партий и заняться чем-нибудь другим. Как заметил @rasul, нужна постоянная практика. Кроме того много времени уходит на изучение дебютов. Даже изучить один дебют уйдут недели, а то и месяцы. Ну и нервы, да )

Тех, кто использует помощь компьютера, выявляют алгоритмы и банят на площадках. На chess.com точно, на lichess вероятно тоже.
Задумаюсь над своим решением.
 

devn00b

One Level
21.07.2021
7
3
BIT
0
Есть мнение, что попасть в offensive без опыта сразу - не просто. Что лучше начинать с blue team или даже с helpdesk.) Какие мысли по поводу трудоустройства? Спрашиваю, потому что для меня вопрос тоже актуален.
 

Qulan

Red Team
06.12.2020
171
509
BIT
335
Есть мнение, что попасть в offensive без опыта сразу - не просто. Что лучше начинать с blue team или даже с helpdesk.) Какие мысли по поводу трудоустройства? Спрашиваю, потому что для меня вопрос тоже актуален.
Знаю что возможно попасть на позицию стажёра за еду )))
Меня такой расклад тоже устроит, так как острой необходимости зарабатывать нет
 

Old student

One Level
27.07.2021
1
1
BIT
0
Сидел и днями играл в шахматы и смотрел партии, еще молодого М.Таля. Смотрел и поистине поражался тому, как человек глубоко вникал в ситуацию. И порой, в очень тяжелой ситуации на доске, он на столько тонко чувствовал ситуацию, что жертвуя материал менял ситуацию так, как нужно ему. Что сказать, МАСТЕР.
Это наверное действительно гениальный был шахматист!!!
Многие говорят про создание якорей для борьбы с выгоранием, я болтался несколько лет до понимания чем бы я хотел заниматься, начинал, бросал, не видел перспективы для себя, что было бы интересно для меня лично и могло принести пользу людям, и наконец-то я понял, чем хочу заниматься!!!! А читая Вашу статью я понимаю, что трудности есть у всех, и как и в шахматах, есть пути, ходы, решения, главное не отчаиваться!)))

Спасибо за труд!
 
  • Нравится
Реакции: Qulan
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!