Я у мамы хакер (зачеркнуто) пентестер

Есть такая профессия — пентестер (от англ. penetration tester — тестирующий на проникновение). Звучит, возможно, не так романтично, как «хакер», но суть не меняется. Задача пентестера — исследование безопасности веб-сайтов, мобильных приложений и даже банкоматов, причем «взламывает» он их абсолютно законно и получает за это «белую» заработную плату у работодателя. И не забывайте, что это одна из самых позитивных современных профессий: пентестер ищет потенциальные слабые места для того, чтобы ими не успели воспользоваться злоумышленники, он работает на опережение зла — это ли не достойная миссия?

Работа творческая, интересная, пентестер всегда стоит на пороге чего-то нового, что ещё никто до него не делал. Хороших специалистов в области днём с огнём не сыщешь, рекрутёры за ними гоняются, переманивают друг у друга. И это при том, что самих компаний не так уж много. Как же попасть в такую профессию? — спросите вы. Ведущий специалист отдела тестирования на проникновение компании Positive Technologies Владимир Иванов отвечает по порядку:

· С чего начать?

Сегодня практически в любом крупном вузе страны существуют кафедры информационной безопасности (ИБ). Однако по факту, даже проучившись на такой кафедре ваш ребенок получит базовые знания. Придётся проходить практику вне стен альма-матер.

· Где практиковаться?

Если ребенок решил встать на путь белого хакера, придётся «дообучаться». Необходимо постучаться в паблики в соцсетях (подписаться на publiclyDisclosed в Twitter, где люди делятся отчётами о найденных уязвимостях). Важно поучаствовать в паре-тройке соревнований. Хорошим стартом для начинающего пентестера будет участие в CTF-соревнованиях (от англ. Capture the Flag). Для начала полезно почитать отчёты о том, как решалась поставленная взломщикам задача. В России можно попробовать свои силы в RUCTF, а также присмотреться к хакерским соревнованиям Hack and Go и «Противостояние». Также нужно посидеть на соответствующих форумах, сайтах (например, Antichat, RDot).

Существуют виртуальные лаборатории (Pentestit, Hackthebox): некоторое количество гарантированно уязвимых виртуальных машин. Участнику необходимо подключится к лаборатории, искать уязвимости и общаться с себе подобными, постепенно набираясь знаний, опыта. Помимо этого, есть обучаться по видео (неплохая подборка есть на сайте Security Tube).

· Можно ли фрилансить пентестеру?

Есть такой вид программы, которую поддерживают многие компании по всему миру — Bug Bounty (от англ. «щедрый баг» или «щедрая уязвимость»). Суть программы проста — компания просит найти в её системе, продуктах или сервисах уязвимость за деньги. На поиски бага слетаются хакеры разной степени подкованности. Нашёл уязвимость — получай свои честно заработанные. И компании хорошо, и хакер — при деньгах. Кроме того, ФИО нашедшего уязвимость попадает в Зал славы компании.

· Зачем трудиться пентестером в компании, если можно зарабатывать на Bug Bounty?

Стоит отметить, что многие профессионалы относятся к завсегдатаям «багбаунти» с большим пренебрежением — мол, как специалист человек не развивается, а подсел на лёгкие деньги, решая типовые задачи. Однако некоторыми «находками» можно по-настоящему гордиться: обнаруженная на Bug Bounty сложная уязвимость украсит резюме любого соискателя на должность пентестера. Кстати, резюме может украсить номер найденной уязвимости в базе CVE (Common Vulnerabilities and Exposures). В отличие от «багбаунти», исследователь безопасности получает не вознаграждение, а возможность вписать в название уязвимости собственное имя. Можно брать любое приложение, исследовать его, находить там уязвимость и отправлять компании-разработчику месседж о находке, а в ответ присылают СVE-индекс уязвимости. Больше упоминаний в CVE — круче портфолио!

Так что, если ваше чадо не сидит сложа руки, а читает форумы и смотрит видеоролики по теме, участвует в CTFах, Bug Bounty и по-прежнему горит желанием продолжить погружение в специальность, работа его не разочарует. Во-первых, ваш ребенок будет среди своих, таких же увлечённых специалистов, у которых «руки чешутся» покопаться в очередной системе и найти уязвимость. Во-вторых, он будет получать интереснейшие и разноплановые задачи. В-третьих, он не будет просиживать всё время в офисе от звонка до звонка. Работа «в полевых условиях», самые взрывные брейнштормы по методам атаки и невероятные возможности пентестеру гарантированы. Наконец, он всё время будет расти, двигаться вперёд, узнавать что-то новое: реальность такова, что наступающая со всех сторон компьютеризация постоянно подкидывает сюрпризы в виде новых атак, вирусов и прочих зловредных вещей.