Привет, всем, особенно тем кто хочет стать пентестером.
Хочу поделиться с вами историей своего восхождения на горуФудзияма пентеста. Конечно, каждый идет своей дорогой и мой путь возможно вызовет у кого-то лишь ехидную улыбку, но если помимо этого мой пост принесёт пользу еще хоть одному юному падавану, то я буду считать, что не зря потратил битый час на её написание.
Оглядываясь назад, вниз этой высочайшей горы, я вижу, что нахожусь в тени деревьев, которые растут у подножья. Да, я поднялся уже метров на 5 и впереди остались какие-то жалкие 3 771 метров.
Стоп, стоп, стоп, скажешь ты. Чему, мол, может научить чел который за три года преодолел высоту меньшую, чем прыгала Елена Исинибаева со своим шестом (5,06 м.)? Понимаешь, юный падаван, дело в том, что в любом деле самое сложное, это начать. Если начнешь не правильно, то потратишь, как и я кучу времени, пока поймешь, что от тебя требуется. Конечно, дальше можешь не читать и со всех ног бежать по граблям, которые набили мне не одну шишку, или же потрать 7 минут времени, прочти пост до конца, проплюйся, что потерял 7 минут и иди дальше. Граблей всё равно на твоем пути меньше не будет, ибо каждый идет своей дорогой.
Пожалуй, пока не потерял двух своих оставшихся читателей, опущу литературный пафос и перейду к сути и цифрам.
Мой старт - 3 апреля 2019 г. Тогда я не знал что такое AD и домен. Понятия не имел о групповых политиках, а линукс казался полной ж.... Ну, думаю ты понял мой тогдашний уровень компетенций. Посчастливилось значит мне в тот день устроится на одном предприятии на должность специалиста по информационной безопасности. Да, да не смейся.
Урок 1. Жизнь такая штука, что далеко не всегда название вакансии соответствует реальным требованиям. Помни об этом и не бойся отправлять своё резюме, даже если считаешь, что твой опыт не релевантен описанию к вакансии.
Диплом у меня был. Какой-никакой а инженер, по специальности вычислительные машины, комплексы системы и сети. Даже опыт по трудовой был, со времен учёбы в универе. Для предприятия этого было достаточно, тем более, что в задачи мои входила работа с DLP, а не админить инфраструктуру предприятия.
И можно было бы до сих пор там работать и до сих пор не знать что такое Exchange Server, ACL и прочее. Но это не про меня. В детстве я мечтал стать антихакером, мне казалось, что это намного круче чем просто хакер, а тут как раз все карты в руки, грех не воспользоваться.
На тот момент я и понятия не имел, что встану на дорогу пентеста. Я начал с малого, стал изучать что такое домен, что такое Active Directory, как вообще 5 админов могут админить 1000 хостов? Стал много читать, смотреть, записался на различные курсы, на степике и множестве других платформах. Ну в общем это и были мои первые грабли. Убил кучу времени почти впустую. Здесь я не буду да и не смогу написать все ресурсы на которых регался в надежде чему-то научиться.
Если ты совсем юн в плане опыта в ИБ, то настоятельно советую начать с tryhackme.com Эта платформа, которая берет тебя за руку, ведёт, и тыкает мордой, как котёнка в молоко, во все тонкости и премудрости мира инфобеза, а тебе лишь остаётся слизать с носа капли молока. На другие платформы типа hackthebox пока не суйся. HTB конечно красивая и ты можешь посмотреть write-upы и даже повторить их, но без понимания картины в целом, много пользы тебе это не принесёт.
Урок 2. Не распыляйся. Приобрети подписку на tryhackme.com и пройди хотя бы базовые комнаты. Я прошел вот эти:
Если пройдешь всё это, то уже будешь иметь представление о сфере пентеста. Будешь понимать как нападать, как защищаться, будет представление об архитектуре винды и линухи и будешь знать основные инструменты.
Давай вернёмся к нашим баранам. Изучив всё это (примерно пол года) я убедился, что точно не хочу лежать на диване и что действительно готов скрепя зубами подниматься именно в гору пентеста, а не на другую. К тому времени всё, что я мог взять от работы в плане знаний и опыта, я взял и уперся в потолок развития. Мной было принято решение сделать первый шаг вверх, к вершине. Я обновил резюме, написал что я намбер уан на tryhackme.com, что хочу быть крутым челом и стал стучаться во все двери. Мне открыли. Да, да, в конце ноября 2021 г. я попал в крупнейшую IT компанию региона и считал, что половина восхождения пройдена. Какой же я был муд...к.
Почему мудак? Я тогда получал 50 тыс деревянных и считал, что в мире IT надо начинать с низов и что зарплата там сама, как в сказке, будет расти не по годам, а по месяцам. Ну ты понял уже наверно, что на вопрос о желаемой зарплате я с гордо поднятой головой ответил, что готов получать 50 тыс с перспективой роста. После онлайн собеса, мой руковод на той стороне провода наверно долго ржал, что нашел идиота готового работать за гроши. Меня конечно взяли и я отмотал там 7 месяцев.
Урок 3. Никогда! Слышишь? Никогда не соглашайся работать за копейки!!! Перечитай последний абзац и не наступай на эти грабли, они того не стоят!
К тому времени я уже примерно понимал что к чему. Чуть ранее я уже был участником форума Codeby (зарегался April 6, 2021). Перечитал там кучу статей, меня особенно сильно вдохновляли истории-биографии основных участников Стаса (@clevergod), Алексея (@puni359), Дмитрия (@f22) и других интересных людей.
Урок 4. Инфобез - это прежде всего комьюнити. Один ты в поле не воин. Конечно, со временем ты обрастешь полезными связями среди коллег, друзьями по форуму и т.д. Но если ты в начале пути, не поленись, потрать время на чтение или просмотр интервью известных в сфере ИБ людей (на Codeby таких много). Они много полезных вещей рассказывают, не пожалеешь.
На тот момент я знал свои слабые стороны и понимал, какие навыки мне надо прокачать, чтобы продолжить своё восхождение. Я принял решение приобрести курс Python для пентестера. С 10 января мой курс стартовал и в июне сего года благополучно завершился, о чём я ни разу не пожалел. Вот кстати ссылка на мой отзыв о курсе: Тынц.
Да, если ты помнишь мою зарплату, то можешь воскликнуть, какого чёрта, у тебя денег на водку не было, а ты месячную зарплату на какой-то курс потратил.
Урок 5. Не жмоть вкладывать деньги в своё образование. Водку ещё успеешь попить, на вершине горы, там как раз прохладно, водочкой согреешься!
На новой работе мне хоть и платили копейки, но всё ж там потолок развития был повыше. Я отвечал за проектирование и внедрение систем безопасности для АСУТП. В общем отвечал за такой продукт от лаборатории Касперского как Kics for Networks. Ну и еще по мелочи всякой всячины. Но я ж пентестер, а не абы кто в самом деле. Я стал биться головой о непробиваемую стену бюрократии и кричать, что пентест это круто, что пентест это модно и нужно, что на пентесте компания сможет зарабатывать дополнительные деньги и бился, что было силы, чтобы на работе сформировали новый отдел, который будет заниматься только пентестом.
К счастью на работе были еще двое коллег, которым тема пентеста тоже была интересна. В итоге чтобы я хоть ненадолго заткнулся, нам нашли халтурку и мы с коллегой отправились на 3 недели пентестить реальную организейшен. Админа домена захватить мы не смогли, но и не с пустыми руками вернулись. Тут наше руководство, на радостях, что сотрудники не полные идиоты, согласилось приобрести курсы WAPT для двоих. Да, да, для двоих, хотя нас было трое и курс мне не достался. Но не спеши меня жалеть, а читай дальше.
Я тэбэ зуб даю, что это не проделки злодейки судьбы, а тонкий, хорошо спланированный план. Моя корыстная задача была пролоббировать курс именно от Codeby, а не какой-либо другой школы. Во-первых, я уже хорошо был знаком с Codeby и знал, что они не халтурят. То есть курсы по достоинству лучшие в ру-сегменте. Во-вторых, у Codeby есть реферальная программа. Секёшь, что к чему?
Урок 6. Если у тебя нет денег на учёбу, которая тебе якобы так нужна, ищи пути достижения цели. Поверь, их много разных.
Когда я лоббировал курс WAPT, я уже понимал, что долго работать в компании не буду. Мне уже тогда было понятно, что зарплата моя расти не собирается и мои навыки, амбиции, опыт и стремление к совершенству мне не помогут. Тут как говориться с паршивой овцы хоть шерсти клок. Мои коллеги получили курс WAPT, а я, за активное лоббирование, получил 50% скидку на другой курс от Codeby - SQLim. 11 июля он стартует, так что, если что, присоединяйся ))
Тут и сказочке подходит конец, потерпи ещё чуток.
Только завершив курс по Python и получив заветный сертификат я сразу обновил резюме и откликнулся на вакансию: Специалист по тестированию на проникновение. Это из сферы ИБ, а не гинекологии.
И вот я сижу на собесе и рассказываю примерно всё то, что написано в этой статье. Они выслушали меня и задают свой любимый вопрос о моих зарплатных ожиданиях. Я же уже наученный опытом, говорю, что готов рассматривать вакансию от 100 тыс, но с перспективой роста (всегда говори об этом, но можешь и не говорить, твоё дело). Меня спросили, сколько я сейчас получаю, я честно сказал, что меньше, не вдаваясь в цифры, я ж честный пацан, врать не умею. И спустя неделю, у меня на руках был оффер, в котором как думаешь сколько? Пусть немногим, но больше, чем я у них просил.
Урок 7. Никогда не ври на собесе. Не старайся показаться лучше, чем ты есть на самом деле. Знаю, что это очень спорный момент и многие с ним не согласятся, но лично мне враньё всегда доставляет дискомфорт. И если мой руководитель прочтёт эту статью, то я с уверенностью заявляю, мне не будет за неё стыдно, потому что я ни на собесе ни здесь не врал.
Урок 8. В IT компании здорового человека всегда есть зарплатные вилки и если ты от природной скромности попросишь меньше, то в твоём оффере зарплата будет исходя из их зарплатной-вилки, а не та цифра, что ты осмелился назвать. Если найдешь такую компанию, держись за неё всеми оставшимися зубами!
И так, 1 июля 2022 года, я отработал свой первый день в качестве инженера второй категории. Что? Что ты несешь? Воскликнет юный, еще неоперившийся падаван. Ты же говорил, что нашел вакансию пентестера, при чём здесь инженер?
Урок 9. Читай урок 1 и не ори так громко.
Сегодня мне 36 лет (буквально недавно стукнуло). И я с уверенностью могу сказать, что вошел в ИБ. Мой путь занял чуть более трёх лет. Три года зарплата 50 тыщ. Ну а сейчас будет 100 с хвостиком. Я пишу это чтобы ты понимал реальный уровень зарплат. Так как на курсах Яндекса и других любят писать, пройди курс и получи зарплату от 150 тыс. Может кто-то когда-то так и получил, но я думаю, что этот кто-то простопиздабол болтун. Реальную картину я описал. Это город миллионник, но не Москва. То есть в меньших городах и того будет меньше.
При этом я совершенно уверен, что потолка по доходу в нашем деле почти нет, можно и 300 и 500 получать, но надо быть уже матёрым пентестером, как члены команды Codeby.
Урок 10. В пентесте можно достойно зарабатывать, но таких вершин достигают только самые устремленные, только те, кто знает что такое - try harder! Хочешь много денег? Тогда try harder!
На этом и сказочке конец, кто дочитал, большое спасибо, мне очень приятно, что вы потратили 10 минут своей жизни на чтении первой главы моей автобиографии )) Может когда-нибудь сам Лёша @Puni возьмет у меня интервью, но это будет ещё не скоро.
_ _
P.S. Разреши дать еще один важный урок.
Урок 11.
Успехов тебе, юный падаван и помни, тяжело всем, а вершин достигает только тот, кто не сдаётся!
Хочу поделиться с вами историей своего восхождения на гору
Оглядываясь назад, вниз этой высочайшей горы, я вижу, что нахожусь в тени деревьев, которые растут у подножья. Да, я поднялся уже метров на 5 и впереди остались какие-то жалкие 3 771 метров.
Стоп, стоп, стоп, скажешь ты. Чему, мол, может научить чел который за три года преодолел высоту меньшую, чем прыгала Елена Исинибаева со своим шестом (5,06 м.)? Понимаешь, юный падаван, дело в том, что в любом деле самое сложное, это начать. Если начнешь не правильно, то потратишь, как и я кучу времени, пока поймешь, что от тебя требуется. Конечно, дальше можешь не читать и со всех ног бежать по граблям, которые набили мне не одну шишку, или же потрать 7 минут времени, прочти пост до конца, проплюйся, что потерял 7 минут и иди дальше. Граблей всё равно на твоем пути меньше не будет, ибо каждый идет своей дорогой.
Пожалуй, пока не потерял двух своих оставшихся читателей, опущу литературный пафос и перейду к сути и цифрам.
Мой старт - 3 апреля 2019 г. Тогда я не знал что такое AD и домен. Понятия не имел о групповых политиках, а линукс казался полной ж.... Ну, думаю ты понял мой тогдашний уровень компетенций. Посчастливилось значит мне в тот день устроится на одном предприятии на должность специалиста по информационной безопасности. Да, да не смейся.
Урок 1. Жизнь такая штука, что далеко не всегда название вакансии соответствует реальным требованиям. Помни об этом и не бойся отправлять своё резюме, даже если считаешь, что твой опыт не релевантен описанию к вакансии.
Диплом у меня был. Какой-никакой а инженер, по специальности вычислительные машины, комплексы системы и сети. Даже опыт по трудовой был, со времен учёбы в универе. Для предприятия этого было достаточно, тем более, что в задачи мои входила работа с DLP, а не админить инфраструктуру предприятия.
И можно было бы до сих пор там работать и до сих пор не знать что такое Exchange Server, ACL и прочее. Но это не про меня. В детстве я мечтал стать антихакером, мне казалось, что это намного круче чем просто хакер, а тут как раз все карты в руки, грех не воспользоваться.
На тот момент я и понятия не имел, что встану на дорогу пентеста. Я начал с малого, стал изучать что такое домен, что такое Active Directory, как вообще 5 админов могут админить 1000 хостов? Стал много читать, смотреть, записался на различные курсы, на степике и множестве других платформах. Ну в общем это и были мои первые грабли. Убил кучу времени почти впустую. Здесь я не буду да и не смогу написать все ресурсы на которых регался в надежде чему-то научиться.
Если ты совсем юн в плане опыта в ИБ, то настоятельно советую начать с tryhackme.com Эта платформа, которая берет тебя за руку, ведёт, и тыкает мордой, как котёнка в молоко, во все тонкости и премудрости мира инфобеза, а тебе лишь остаётся слизать с носа капли молока. На другие платформы типа hackthebox пока не суйся. HTB конечно красивая и ты можешь посмотреть write-upы и даже повторить их, но без понимания картины в целом, много пользы тебе это не принесёт.
Урок 2. Не распыляйся. Приобрети подписку на tryhackme.com и пройди хотя бы базовые комнаты. Я прошел вот эти:
Если пройдешь всё это, то уже будешь иметь представление о сфере пентеста. Будешь понимать как нападать, как защищаться, будет представление об архитектуре винды и линухи и будешь знать основные инструменты.
Давай вернёмся к нашим баранам. Изучив всё это (примерно пол года) я убедился, что точно не хочу лежать на диване и что действительно готов скрепя зубами подниматься именно в гору пентеста, а не на другую. К тому времени всё, что я мог взять от работы в плане знаний и опыта, я взял и уперся в потолок развития. Мной было принято решение сделать первый шаг вверх, к вершине. Я обновил резюме, написал что я намбер уан на tryhackme.com, что хочу быть крутым челом и стал стучаться во все двери. Мне открыли. Да, да, в конце ноября 2021 г. я попал в крупнейшую IT компанию региона и считал, что половина восхождения пройдена. Какой же я был муд...к.
Почему мудак? Я тогда получал 50 тыс деревянных и считал, что в мире IT надо начинать с низов и что зарплата там сама, как в сказке, будет расти не по годам, а по месяцам. Ну ты понял уже наверно, что на вопрос о желаемой зарплате я с гордо поднятой головой ответил, что готов получать 50 тыс с перспективой роста. После онлайн собеса, мой руковод на той стороне провода наверно долго ржал, что нашел идиота готового работать за гроши. Меня конечно взяли и я отмотал там 7 месяцев.
Урок 3. Никогда! Слышишь? Никогда не соглашайся работать за копейки!!! Перечитай последний абзац и не наступай на эти грабли, они того не стоят!
К тому времени я уже примерно понимал что к чему. Чуть ранее я уже был участником форума Codeby (зарегался April 6, 2021). Перечитал там кучу статей, меня особенно сильно вдохновляли истории-биографии основных участников Стаса (@clevergod), Алексея (@puni359), Дмитрия (@f22) и других интересных людей.
Урок 4. Инфобез - это прежде всего комьюнити. Один ты в поле не воин. Конечно, со временем ты обрастешь полезными связями среди коллег, друзьями по форуму и т.д. Но если ты в начале пути, не поленись, потрать время на чтение или просмотр интервью известных в сфере ИБ людей (на Codeby таких много). Они много полезных вещей рассказывают, не пожалеешь.
На тот момент я знал свои слабые стороны и понимал, какие навыки мне надо прокачать, чтобы продолжить своё восхождение. Я принял решение приобрести курс Python для пентестера. С 10 января мой курс стартовал и в июне сего года благополучно завершился, о чём я ни разу не пожалел. Вот кстати ссылка на мой отзыв о курсе: Тынц.
Да, если ты помнишь мою зарплату, то можешь воскликнуть, какого чёрта, у тебя денег на водку не было, а ты месячную зарплату на какой-то курс потратил.
Урок 5. Не жмоть вкладывать деньги в своё образование. Водку ещё успеешь попить, на вершине горы, там как раз прохладно, водочкой согреешься!
На новой работе мне хоть и платили копейки, но всё ж там потолок развития был повыше. Я отвечал за проектирование и внедрение систем безопасности для АСУТП. В общем отвечал за такой продукт от лаборатории Касперского как Kics for Networks. Ну и еще по мелочи всякой всячины. Но я ж пентестер, а не абы кто в самом деле. Я стал биться головой о непробиваемую стену бюрократии и кричать, что пентест это круто, что пентест это модно и нужно, что на пентесте компания сможет зарабатывать дополнительные деньги и бился, что было силы, чтобы на работе сформировали новый отдел, который будет заниматься только пентестом.
К счастью на работе были еще двое коллег, которым тема пентеста тоже была интересна. В итоге чтобы я хоть ненадолго заткнулся, нам нашли халтурку и мы с коллегой отправились на 3 недели пентестить реальную организейшен. Админа домена захватить мы не смогли, но и не с пустыми руками вернулись. Тут наше руководство, на радостях, что сотрудники не полные идиоты, согласилось приобрести курсы WAPT для двоих. Да, да, для двоих, хотя нас было трое и курс мне не достался. Но не спеши меня жалеть, а читай дальше.
Я тэбэ зуб даю, что это не проделки злодейки судьбы, а тонкий, хорошо спланированный план. Моя корыстная задача была пролоббировать курс именно от Codeby, а не какой-либо другой школы. Во-первых, я уже хорошо был знаком с Codeby и знал, что они не халтурят. То есть курсы по достоинству лучшие в ру-сегменте. Во-вторых, у Codeby есть реферальная программа. Секёшь, что к чему?
Урок 6. Если у тебя нет денег на учёбу, которая тебе якобы так нужна, ищи пути достижения цели. Поверь, их много разных.
Когда я лоббировал курс WAPT, я уже понимал, что долго работать в компании не буду. Мне уже тогда было понятно, что зарплата моя расти не собирается и мои навыки, амбиции, опыт и стремление к совершенству мне не помогут. Тут как говориться с паршивой овцы хоть шерсти клок. Мои коллеги получили курс WAPT, а я, за активное лоббирование, получил 50% скидку на другой курс от Codeby - SQLim. 11 июля он стартует, так что, если что, присоединяйся ))
Тут и сказочке подходит конец, потерпи ещё чуток.
Только завершив курс по Python и получив заветный сертификат я сразу обновил резюме и откликнулся на вакансию: Специалист по тестированию на проникновение. Это из сферы ИБ, а не гинекологии.
И вот я сижу на собесе и рассказываю примерно всё то, что написано в этой статье. Они выслушали меня и задают свой любимый вопрос о моих зарплатных ожиданиях. Я же уже наученный опытом, говорю, что готов рассматривать вакансию от 100 тыс, но с перспективой роста (всегда говори об этом, но можешь и не говорить, твоё дело). Меня спросили, сколько я сейчас получаю, я честно сказал, что меньше, не вдаваясь в цифры, я ж честный пацан, врать не умею. И спустя неделю, у меня на руках был оффер, в котором как думаешь сколько? Пусть немногим, но больше, чем я у них просил.
Урок 7. Никогда не ври на собесе. Не старайся показаться лучше, чем ты есть на самом деле. Знаю, что это очень спорный момент и многие с ним не согласятся, но лично мне враньё всегда доставляет дискомфорт. И если мой руководитель прочтёт эту статью, то я с уверенностью заявляю, мне не будет за неё стыдно, потому что я ни на собесе ни здесь не врал.
Урок 8. В IT компании здорового человека всегда есть зарплатные вилки и если ты от природной скромности попросишь меньше, то в твоём оффере зарплата будет исходя из их зарплатной-вилки, а не та цифра, что ты осмелился назвать. Если найдешь такую компанию, держись за неё всеми оставшимися зубами!
И так, 1 июля 2022 года, я отработал свой первый день в качестве инженера второй категории. Что? Что ты несешь? Воскликнет юный, еще неоперившийся падаван. Ты же говорил, что нашел вакансию пентестера, при чём здесь инженер?
Урок 9. Читай урок 1 и не ори так громко.
Сегодня мне 36 лет (буквально недавно стукнуло). И я с уверенностью могу сказать, что вошел в ИБ. Мой путь занял чуть более трёх лет. Три года зарплата 50 тыщ. Ну а сейчас будет 100 с хвостиком. Я пишу это чтобы ты понимал реальный уровень зарплат. Так как на курсах Яндекса и других любят писать, пройди курс и получи зарплату от 150 тыс. Может кто-то когда-то так и получил, но я думаю, что этот кто-то просто
При этом я совершенно уверен, что потолка по доходу в нашем деле почти нет, можно и 300 и 500 получать, но надо быть уже матёрым пентестером, как члены команды Codeby.
Урок 10. В пентесте можно достойно зарабатывать, но таких вершин достигают только самые устремленные, только те, кто знает что такое - try harder! Хочешь много денег? Тогда try harder!
На этом и сказочке конец, кто дочитал, большое спасибо, мне очень приятно, что вы потратили 10 минут своей жизни на чтении первой главы моей автобиографии )) Может когда-нибудь сам Лёша @Puni возьмет у меня интервью, но это будет ещё не скоро.
_ _
P.S. Разреши дать еще один важный урок.
Урок 11.
Успехов тебе, юный падаван и помни, тяжело всем, а вершин достигает только тот, кто не сдаётся!
