У зв'язку з останнім часом атаками хакерів, а також їх масштабами, більшість компаній все більше уваги стало приділяти питанням свого захисту. У зв'язку з чим виріс попит на послуги пентестеров. Якщо раніше в своєму штаті тримали пентестеров тільки великі компанії-розробники, то в даний час все частіше стали з'являтися вакансії і в дрібних компаніях, а також стартапи.
Як відомо, попит народжує пропозицію. Все більше і більше IT-фахівців вирішує присвятити себе такому напрямку, як етичний хакинг. По-перше даний напрямок активно розвивається вУкаіни. По-друге реально крутих пентестеров на ринку не так багато, тому є куди рости. По-третє робота пентестера дуже добре оплачується.
Що відбувається з вами після проходження курсів етичного хакинга, коли ви починаєте шукати роботу в даному напрямку. Ви стикаєтеся з усіма знайомим замкнутим колом, який так поширений вУкаіни. Досвіду без роботи не отримаєш, а на роботу без досвіду не влаштуєшся. Але це не найнеприємніша проблема, яка може вас очікувати. При тривалому пошуку даної роботи і багаторазових відправленнях свого резюме, ви рано чи пізно натикаєтеся на ці граблі:
- На вашому шляху з'являється потенційний роботодавець, який обіцяє вам дохід вище середнього на ринку в вашому місті. Цікаво? Ще б. Пошуки інформації про цю компанію, як правило, не дають ніякого результату. Її просто не існує. Тут від роботодавця можна почути цікаву фразу: «Компанія працює на уряд, тому така конфіденційність». Ок, призначаємо зустріч, працювати на уряд, та ще в даному напрямку - що може бути крутіше. До моменту вашої зустрічі роботодавець давно готовий. Призначена вона буде в найближчому кафе від того Бізнес-центру, де нібито розташовується офіс компанії. Тому що керівники теж люди і мають їсти. Під час зустрічі вам зададуть кілька питань, на які не складе відповісти праці навіть звичайному IT-фахівця, який з пентестінгом ніколи і не стикався. Потім буде запропоновано попрацювати пару місяців в офісі компанії без оформлення в штат. При цьому ви повинні звільнитися з тієї роботи, на якій перебуваєте в даний момент, що природно вас не влаштує, чого роботодавець і домагається. Потім вам запропонують варіант номер два - ви спілкуєтеся з роботодавцем через кріпточат (Telegram, ChatSecure і т.д.) і виконуєте тестове завдання, результатом якого буде пропозиція від роботодавця про постійне місце роботи. Ви погоджуєтеся, тому що думки про те, яким буде ваш дохід після проходження тестового завдання не дають вам спокою (погашу кредити, куплю машину, поїду на море і т.д.). Обмін обліковими записами, поїхали. Приходить завдання - протестувати пару «тестових» сайтів, знайти вразливість і проексплуатувати її, розмістивши наприклад порожній файл php. Підозріло? Начебто немає. Стандартна процедура для пентестера. І ось в процесі сканування сайту і паралельного вивчення сторінок ви розумієте, що сайт зовсім не схожий на тестовий. Стоп. Він не тестовий. Це цілком собі живий, працює сайт, причому не просто сайт, а великий інтернет-магазин з продажу ювелірних прикрас. Ви відмовляєтеся продовжувати, про що ставите до відома вашого нового знайомого. Проходить пару днів і вакансія зникає разом з роботодавцем, як ніби її й не було ніколи.
- З'являється вакансія на всім відомому сайті пошуку роботи. Звучить красиво Information Security Engineer або Penetration Tester. Про компанію так багато написано - офіс в силіконової долини, ДМС зі стоматологією, святкове зарплата і купа булочок. Вимоги стандартні. Головне - чітко розуміти різницю Black White Hat. Ок, зустріч в офісі, не в кафе. Цілий зал розробників. Привітні менеджери. Керівник адекватний зразок. Поговоривши близько години, ви чуєте що? Правильно - тестове завдання. Але тут щось на зразок немає ніякого підступу. Починаємо. Просте запитання, написати інструкцію для розробників, за допомогою якої утиліти і її команд можна перевірити, чи користується власник сайту обладнанням Cisco. Ок, написали. З повною впевненістю в правильності свого рішення тестового завдання ви відправляєте результат. Чекаєте. Нема відповіді. Минає тиждень-дві. Приходить відповідь «Ми поки не знаємо, що ви можете робити у нас цілий день. Давайте попрацюємо поки за договором підряду ». Хммммм. Ну ок, договір хоч підпишете, зайві гроші, основна робота залишиться, можна паралельно ще щось шукати, а можна таким чином кілька компаній обслуговувати. Приходить проект договору, вас влаштовує. Погоджуєте, готові підписати. Чи отримуєте завдання і супровідний лист до нього: «Ми готові будемо підписати договір, як тільки побачимо перші результати за даним завданням».
- Чергова вакансія. Відома компанія, як в прикладі № 2. Цілком вдале співбесіду. Пропозиція пройти тестове завдання. А ось тепер головний момент. Тестове завдання на тестовому стенді з піднятою мережею з кількох машин. Ось це те, що потрібно. Тестуємо, вдало, формуємо звіт. Начебто непогано. Але на жаль рівень знань англійської мови не підходить, а робота в даній компанії має на увазі постійний контакт з розробниками за кордоном.
І так далі, прикладів безліч. На жаль.
До чого я все це веду. Не робіть помилок. Чи не квапте події. Почніть свою практику з безкоштовних лабораторій, наприклад від компанії PentestIT.
Навіть якщо вас попросять пройти тестове завдання, воно повинно бути схожим на варіант № 3, але ніяк не 1 і 2.
Будьте уважні і не повторюйте чужих помилок.