Статья Welcome to the club, buddy! Или как начать свой путь в ИБ?

11123(1).jpg


С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут в геометрической прогрессии. И чтобы не повторять каждому: " Cначала нужно разобраться в теме, а потом уже задавать вопросы по узконаправленной задумке", решил выложить вот такой разговорный монолог.

Проанализировав 100 вопросов, примерно 40 из которых были заданы в личку, в разные промежутки времени. Задумался, а кто-то делал это до меня? Пошел искать, но так и не нашел именно то, с чем бы я согласился на 100%. В основном, это перечень того, что нужно знать или уметь. Но все же я считаю, что проблема большинства новичков в голове. Большинство ломятся в ИБ, до конца не понимая чего хотят! Увидел где-то, что-то и пошел в чатики, форумы спрашивать: "А как мне стать хацкером?". С таким подходом, только один ответ- никак! Также важный момент, проблемы с изучением, пониманием. Частые вопросы:"Как начать?, Где искать?, Что читать/изучать?". Проблемы тут две: это не умение искать информацию, и не умение работать с этой же информацией. Данные моменты и разберем.

Стоит сначала сказать, что я не в коем случае не осуждаю новичков, сам искал, сам пробовал и спрашивал. Я только ЗА, если все будут развиваться, помогать друг другу, и тянуть развитие технологий на вершины! Но большинство новоприбывших, не самостоятельны и неадекватные. Многие хотят все и сразу, чтобы им дали ссылки на материалы, поискали за них. Большинство получают логичный ответ: "Гугли!". После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается. Мне совершенно не ясно, почему они считают, что им обязаны ответить, поделиться, помочь. Стоить запомнить раз и на всегда, никто ничего тебе не обязан. Если человек захочет- поможет, не захочет, справляйся сам, не стоит создавать пустых ожиданий. И если ты хочешь реально добиться чего-то, это сугубо твоя ответственность. Также, если ты задаешь вопрос, и тебе пытаются объяснить, но даже это понять трудно! И идет хохма, обоснованная хохма, ибо это цирк Шапито наяву! То хочу предупредить, что нужно адекватно расценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Вот по этому, разберем причины, следствие, а также решение данных проблем.

А откуда же ноги растут?

Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "хацкерами". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Хакер взломал!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, все взломано. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы взлома. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.

Я хочу стать ПЕНТЕСТЕРОМ

Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану хацкером, взломаю банки, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу взломать вконтакте . То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.

1. Что такое ИБ? И что такое хакинг?

Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'хакинг' для каждого разный. Лично мое субъективное определение. Хакинг- это искусство взлома всевозможных систем, путем досконального изучения принципов работы этих систем. То есть более простыми слова, чтобы что-то взломать, нужно знать как это работает.

2. С чего начать путь, если в IT полный 0, но хочется попробовать?

Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это. Хотя базовые знания информационной гигиены, в наше время также необходимы.

3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?

А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.

4. Как правильно учиться и структурировать информацию

На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:
  1. От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.
  2. Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д
  3. Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.
Теперь выстроим план изучения для всеми полюбившийся темы- Пентест

StarterPack - Мамкин хацкер 1.0
  1. Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)
  2. Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)
  3. Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)
  4. -- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)
  5. Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)
  6. Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)
  7. Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)
  8. Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)
Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?

5. Как правильно искать информацию?

На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!

Как правильно составлять запрос?
  • Используйте кавычки, если ищете что-то конкретное. Например: «Metaploit Framework guide».
  • Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".
  • Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Взлом vk без смс и регистрации» site: cobeby.net.
  • Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”
  • filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример: stroustrup c++ language filetype:pdf
  • Еще больше об операторах расширенного пользования
Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой , в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "Socket Error : 0x00005034". Точной информации нету. То ищем тогда: "Socket Error:". Выясняем общие причины, почему может появляется ошибка.

6. Как закрепить и ускорить процесс?

И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!

7. Где практиковаться?

Площадки:
  1. //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление. Канал форумчанина, к уровню которого стоит стремиться
  2. // Также плащадка для практики, с интересными задачами, квестами и т.д
  3. Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 ) по всем атакамю. А тут- . Читаем, изучаем, пробуем.
  4. CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее
  5. Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)
8. Какой девайс выбрать. Лаптоп или стационарный ПК?

Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -

Что входит?
  1. Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее
  2. Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине
  3. Статейки - сборник статей, почитать для общего развития, тематики самые разные
Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!
 
Последнее редактирование:

DEDSECUS

One Level
16.11.2019
2
1
BIT
0
Отличная статья и рекомендации! От себя добавлю пожалуй:
1. Навыки и понимания сетей и оборудования поднимают курсы на Udemy CompTIA + network и ОБЯЗАТЕЛЬНО "Сети для самых маленьких" на Хабре и от автора в ЖЖ. (на данной стадии начинающих уже ОБЯЗАН знать все уровни OSI and TCP/IP, хотя бы на лету понимать нумерацию уровней. а ещё лучше - уверенно понимать на каком уровне какой протокол работает).
2. После прохождения вышеуказанного также рекомендую уже CompTIA+ information Security. Так начинающий сможет понять всю боль работы с нормативкой, стандартами и основными принципами ИБ. (Тут важно - если прохождение курса не отбило желание двигаться дальше - велкам. Прохождение этого курса и есть, как по мне, отсеивание будущих специалистов по ИБ от мамкиных хацкеров). Очень советую также на данном этапе уже знать и уметь работать с Wireshark, ну или освоить их в процессе обучения.
3. Изучение Linux/Kali Linux обязательно (веселее чем предыдущий пункт). От них можно смело отталкиваться в сфере Pentest. Можно даже получить базовый сертификат.
4. Далее пункты 4-8 Starter Pack'а автора статьи. Там особо и дополнить нечего.

Циско как вариант не лучше подойдет?
 

Johnnnnnnnn

Green Team
11.03.2020
46
6
BIT
0
Внесите и меня в список тех, кто нахваливал эту статью )

Статья содержательная, поучительная и заслуживает похвал.
За исключением некоторых нюансов, которые на первый взгляд кажутся незначительными, но резанули моё внимание.

Вот о чём речь.
Автор почему-то не совсем корректно представил схему взаимоотношений "ВОПРОС - ОТВЕТ" на форуме.
Ответ "Гугли!" преподносится как логичный, а вопросы новичков - заслуживают БАН.
Большинство получают логичный ответ: "Гугли!" После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается.
Кроме того, автор однозначно даёт понять, что ему знаком очевидный факт: во взаимоотношениях "ВОПРОС - ОТВЕТ" участвуют две стороны:
  • тот кто задаёт глупый вопрос
  • и тот, кто на него отвечает "Гугли!"

На мой взгляд, ответ "Гугли" - на порядок глупее вопроса. Но почему-то автор недопониает этого абсолютно очевидного факта, то есть воспринимает проблему только со своей позиции ))
Всякий раз, когда кто-то пытается обвинить в глупости человека, задавшего непонравившийся вопрос нужно помнить, зачастую ответы поступают ещё более глупые.
На фоне ответа "Гугли" самый глупый вопрос превращается в мудрость.

В цитате автора содержится также второе высказывание. которое не может меня оставить равнодушным.
Всякий раз, когда за какое-то непонравившиеся высказывания форучанин наказывается "BANаном по голове", то этим поступком админы форума демонстрируют своё неумение управлять, свою неспособность к руководству людьми, свою несостоятельность. БАН - это факт характеризующий не только пользователя, но и админа. Причём последнего - гораздо с более худшей стороны.
 
  • Нравится
Реакции: mahovik

Сергей Попов

Кодебай
30.12.2015
4 718
6 707
BIT
366
БАН - это факт характеризующий не только пользователя, но и админа. Причём последнего - гораздо с более худшей стороны.
Согласен отчасти. Иногда просто нет выбора.
Всякий раз, когда за какое-то непонравившиеся высказывания форучанин наказывается "BANаном по голове"
Бан получает человек, нарушающий общепринятые нормы поведения и правила Форума. Последние совсем просты: запрет на рекламу, запрет на обсуждение религии и политики. Так же запрещено хамское поведение и провоцирование на конфликт. Четкого определения всего этого добра нет, каждый понимает в меру своего развития. Ну а мы, тоже в меру своего развития, следим за порядком.

На мой взгляд на форуме относительно дружелюбная атмосфера, за редким исключением. Нет давления со стороны администрации. Мы всегда открыты для диалога.
 
  • Нравится
Реакции: gogo

DSec-56B12

Well-known member
02.03.2020
71
264
BIT
1
Ответ "Гугли!" преподносится как логичный, а вопросы новичков - заслуживают БАН.
Не совсем так поняли, не вопросы заслуживают бан, а неадекватное поведение тех, кто их задает.

Автор почему-то не совсем корректно представил схему взаимоотношений "ВОПРОС - ОТВЕТ" на форуме.
Я не говорю только о данном форуме. Очень много вопросов задаются, в тех же чатах менеджеров. Где такая схема не работает в принципе.

На мой взгляд, ответ "Гугли" - на порядок глупее вопроса. Но почему-то автор недопониает этого абсолютно очевидного факта, то есть воспринимает проблему только со своей позиции ))
Сколько людей столько и мнений. Но как минимум, искать ответы на вопросы в тематических чатах, куда не логичнее, чем в том же поисковике. Это путь наименьшего сопротивления, что говорит о лени и нежелание что-то делать самостоятельно.
 

crackadeal

New member
06.02.2020
1
0
BIT
0
А что думаете о школах? Которые за 5-12 месяцев обещают многое и не очень, а некоторые даже трудоустройство?
 

DSec-56B12

Well-known member
02.03.2020
71
264
BIT
1
А что думаете о школах? Которые за 5-12 месяцев обещают многое и не очень, а некоторые даже трудоустройство?
Думаю это уже выбор каждого. Курсы и обучения по сути делают "медвежью услугу". С одной стороны они сортируют и перерабатывают материал, тем самым делают его понятным и простым. С другой стороны это не учит тебя искать информацию самому. Все курсы сливаются. Все можно найти. По сути ты платишь за техподдержку с более опытными людьми. А стоит это того или нет, решение каждого индивидуальное.
 

Airpods

New member
07.03.2020
1
0
BIT
0
Спасибо за замечательную статью, читал не отрываясь. Особенно порадовала книга "Английский для дибилов". Сам учу питон параллельно с английским.
 

JIBRIL

Green Team
25.11.2018
53
62
BIT
0
Дорогой автор, спасибо вам за то что вы старались и благодаря вам мне все больше хочется сидеть и быть пользователем этого форума ведь на остальных форумах копипаст за копипаст.

Мне лично понравилась ваша статья, я конечно не смотрел M.robot так как подумал что трата времени, от себя хочу добавить то что люди нашего времени реально "За тупки" и подрастающие поколение ленивое, я их не осуждаю это их выбор.

Я лично когда только вникал в эту суть мой первый запрос был что то типо "Терминология хакерской" звучит глупо но я начинал с Терминологии, так как у меня на то время не было компьютера или ноутбука и так же денег на него, но желание было сильное познать данные сферу и другие подструктуры в то время я начал изучать ЯП (Языки программирования) Так как под рукой был только телефон на нем и практиковался (В то время еще не было Termux, Pydroid3 и подобных программ) но я нашел приложение на телефон которое потом использовал как веб сервер (Даже не знаю как я догодался)

Я изучал по степено ЯП с телефона потому что знал что рано или поздно у меня будет ноутбук или компьютер и тогда хоть с яп буду тогда на тот момент ознакомлен.

Далее я просто читал различную информацию с разных форумах, изучал разные сферы и подструктуры, можно сказать я маленькими шагами изучал все что было связано с IT.

Хоть и интересовало меня на то время не белая шляпка но не из за денег просто интересно было как это работает, как вирус проникает заражает и тд.

Более 2 лет я изучал только разные сферы, такие как вирусология соц.инженерия, кардинг, osint, и другие.
И все это изучалось с телефона.

Я к чему введу, то что люди у которых есть компьютеры и возможности но у них просто нету желания, я лишь просто желал познать как это работает и когда это узнал то чужие накрученые "СМИ" Информация о хакерах развеялись и тогда я уже понял что все делается не в один клик как показывали или расказывала конечно меня это слегка огорчило, но желание узнать не пропало и наоборот даже с каждом развеянием мифа я всё больше хотел продолжать.

Конечно не скажу что было легко, но мне кажется если вы этого захотите то у вас точно получится нужно лишь желание ( и мозг)

Желаю вам успехов, еще раз спасибо за статью!
 
  • Нравится
Реакции: A Z и DSec-56B12

SlipX

dd if=/dev/random of=/dev/port
Green Team
13.08.2017
135
167
BIT
0
Xорошая статья!
мало того что красиво расписал, так и понятно, все по полочкам ! ++
 

mrtyrel

Green Team
01.12.2018
80
45
BIT
0
Перезалейте пожалуйста материал) Статья действительно годная!
 

Dan_2020

One Level
30.04.2020
1
3
BIT
0
Посмотреть вложение 39840

С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут в геометрической прогрессии. И чтобы не повторять каждому: " Cначала нужно разобраться в теме, а потом уже задавать вопросы по узконаправленной задумке", решил выложить вот такой разговорный монолог.

Проанализировав 100 вопросов, примерно 40 из которых были заданы в личку, в разные промежутки времени. Задумался, а кто-то делал это до меня? Пошел искать, но так и не нашел именно то, с чем бы я согласился на 100%. В основном, это перечень того, что нужно знать или уметь. Но все же я считаю, что проблема большинства новичков в голове. Большинство ломятся в ИБ, до конца не понимая чего хотят! Увидел где-то, что-то и пошел в чатики, форумы спрашивать: "А как мне стать хацкером?". С таким подходом, только один ответ- никак! Также важный момент, проблемы с изучением, пониманием. Частые вопросы:"Как начать?, Где искать?, Что читать/изучать?". Проблемы тут две: это не умение искать информацию, и не умение работать с этой же информацией. Данные моменты и разберем.

Стоит сначала сказать, что я не в коем случае не осуждаю новичков, сам искал, сам пробовал и спрашивал. Я только ЗА, если все будут развиваться, помогать друг другу, и тянуть развитие технологий на вершины! Но большинство новоприбывших, не самостоятельны и неадекватные. Многие хотят все и сразу, чтобы им дали ссылки на материалы, поискали за них. Большинство получают логичный ответ: "Гугли!". После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается. Мне совершенно не ясно, почему они считают, что им обязаны ответить, поделиться, помочь. Стоить запомнить раз и на всегда, никто ничего тебе не обязан. Если человек захочет- поможет, не захочет, справляйся сам, не стоит создавать пустых ожиданий. И если ты хочешь реально добиться чего-то, это сугубо твоя ответственность. Также, если ты задаешь вопрос, и тебе пытаются объяснить, но даже это понять трудно! И идет хохма, обоснованная хохма, ибо это цирк Шапито наяву! То хочу предупредить, что нужно адекватно расценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Вот по этому, разберем причины, следствие, а также решение данных проблем.

А откуда же ноги растут?

Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "хацкерами". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Хакер взломал!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, все взломано. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы взлома. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.

Я хочу стать ПЕНТЕСТЕРОМ

Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану хацкером, взломаю банки, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу взломать вконтакте . То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.

1. Что такое ИБ? И что такое хакинг?

Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'хакинг' для каждого разный. Лично мое субъективное определение. Хакинг- это искусство взлома всевозможных систем, путем досконального изучения принципов работы этих систем. То есть более простыми слова, чтобы что-то взломать, нужно знать как это работает.

2. С чего начать путь, если в IT полный 0, но хочется попробовать?

Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это. Хотя базовые знания информационной гигиены, в наше время также необходимы.

3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?

А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.

4. Как правильно учиться и структурировать информацию

На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:
  1. От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.
  2. Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д
  3. Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.
Теперь выстроим план изучения для всеми полюбившийся темы- Пентест

StarterPack - Мамкин хацкер 1.0
  1. Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)
  2. Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)
  3. Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)
  4. -- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)
  5. Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)
  6. Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)
  7. Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)
  8. Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)
Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?

5. Как правильно искать информацию?

На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!

Как правильно составлять запрос?
  • Используйте кавычки, если ищете что-то конкретное. Например: «Metaploit Framework guide».
  • Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".
  • Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Взлом vk без смс и регистрации» site: cobeby.net.
  • Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”
  • filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример: stroustrup c++ language filetype:pdf
  • Еще больше об операторах расширенного пользования
Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой , в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "Socket Error : 0x00005034". Точной информации нету. То ищем тогда: "Socket Error:". Выясняем общие причины, почему может появляется ошибка.

6. Как закрепить и ускорить процесс?

И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!

7. Где практиковаться?

Площадки:
  1. //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление. Канал форумчанина, к уровню которого стоит стремиться
  2. // Также плащадка для практики, с интересными задачами, квестами и т.д
  3. Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 ) по всем атакамю. А тут- . Читаем, изучаем, пробуем.
  4. CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее
  5. Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)
8. Какой девайс выбрать. Лаптоп или стационарный ПК?

Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -

Что входит?
  1. Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее
  2. Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине
  3. Статейки - сборник статей, почитать для общего развития, тематики самые разные
Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!

Спасибо, отлично! Очень порадовал ваш StarterPack!
 
  • Нравится
Реакции: rainS, Dm_Ko и NIKFED

rainS

Green Team
22.06.2020
26
22
BIT
0
Наконец-то я нашел то, что мне интересно в жизни. Спасибо автору, вернусь через год сюда же, и скажу как оно)
 

DSec-56B12

Well-known member
02.03.2020
71
264
BIT
1
Дорогие читатели и форумчане, первая статья зашла отлично, по этому думаю написать еще пару частей. Отпишите пожалуйста, что бы вы хотели увидеть в последующих статьях? Хоть я и постарался охватить все частые вопросы, но думаю есть еще вопросы и вектора дальнейшего развития.
 

KiberAngel

Green Team
25.01.2020
29
17
BIT
0
Статья очень сильна !
Спасибо автору , когда прочитал статью , я сразу понял что я иду на верном пути но только на 59%. Прочитав статью тем самым получаешь напутствие на дальнейшее действия и сразу выставляешь себе конкретные пункты над которыми нужно работать .
 

Black_orchid

Green Team
30.10.2018
13
3
BIT
0
Доброго времени суток! Никто не перезаливал на яндекс\гугл? Уже второй раз пытаюсь скачать, в первый этот **** мега попросил залогиниться на половине а во второй попросил денег
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!