Pull to refresh

Очередное собеседование — взгляд работодателя

Information Security
В ответ на то, как тяжело найти работу пентестером.

Также по теме: ответ от chipik.

UPDATE ответ от человека непосредственно принимавшего собеседование, который многое проясняет.

Данный пост отражает мою личную точку зрения.

Дорогие соискатели, нам не столь важно, кто вы — женщина, мужчина, гуманоид, человек нетрадиционной ориентации, эукариот или токсоплазма — главное, чтобы вы были толковыми. Это к тому, что соискатель почему-то предположил, что именно биологический пол был решающим фактором, на это ее воля. И у нас работают девушки и, кстати, дадут фору многим молодым людям. Я надеялся, что это настолько очевидно, что писать об этом не стоит, но все же…

Теперь подробнее: к сожалению, мир заполонили люди, которые, кажется, в последнее время немного размечтались, начитавшись интернетов и счастливых историй стартаперов, и которые хотят всё и сразу, реально не умея ничего. И ладно бы знания — это дело наживное, но общее понимание и умение думать не по шаблону, что исключительно важно для пентестера и является первоочередным требованием, к сожалению, у многих напрочь отсутствует.

Основные вещи по теме собеседования уже написал Чипик, хотя самых главных «перлов» он не раскрыл. Так что повторять не буду и расскажу лучше для примера, как оно было у меня, дабы все сняли розовые очки и, о боже, осознали, какова же нелегкая судьба ваша.

В 2006 году я, можно сказать, напросился на собеседование в Digital Security. К собеседованию, кстати, предварительно долго готовился, так как знал, что это будет непросто. И через некоторое время я наконец на него попал.

На собеседовании меня методично кидали лицом в грязь в течении более 2 часов, причем во многом не обычными вопросами про то, что такое пентест и как его проводит, а вопросами из разряда: «а почему именно так и что, если подумать?», «а что, если уязвимый IIS находится во внутренней сетке, а наружу доступен через прокси-шлюз, и бинд-шеллкод, который есть в публичном сплойте, естественно, не прокатит?» и так далее…

Если до этого я думал, что в чем-то разбираюсь, то мне дали знать, что это не совсем так. И вопросы были отнюдь не о том, что такое SQL-инъекция, а о том, как обходить ограничения в особо изощренных ситуациях вроде Order by или что-то в этом духе (уже запамятовал), и более того, как я узнал позднее, на тот момент публичных методов и не существовало, и проверяли меня на то, насколько развито нестандартное мышление, а не как я зазубрил названия уязвимостей.

В общем, после собеседования мне выдали-таки 2 тестовых задания — типа, на, помучайся, если уж действительно хочешь работать. Первое: найти в бинарном приложении уязвимость переполнения буфера и написать эксплойт, второе — то же самое, но с обходом ASLR. Напоминаю еще раз: это 2006 год, это вам не сейчас с кучей информации для чайников и обилием литературы, курсами Корелана и прочим. Только после успешно выполненного задания и немалого количества писем и звонков с вопросами “ну как, есть шансы?” я все-таки был принят на должность стажера и первый месяц работал бесплатно, ковырял, как щаз помню, безопасность McAfee EPO.

Почему бесплатно? Да потому что я занимался исследованием и тренировался перед тем, как мне дали доступ к реальным проектам, потому что компания в тот момент тратила на меня больше, чем получала взамен, обучая меня и вводя в курс дела. Зато потом, с течением времени, когда я смог проявить себя множество раз реальными действиями, я стал тем, кто я есть сейчас, и не сожалею.

И да, я не пошел работать программистом, как 90% моих коллег по универу, и да, первое время они получали существенно больше меня, существенно. Но я знал, что я занимаюсь тем, что мне реально интересно, я получал кайф от работы и получаю его сейчас, и я знал, что рано или поздно все будет супер. И я не ошибся, хотя бы потому, что я на следующей неделе еду выступать на BlackHat в Вегас уже в третий раз, а когда-то я только пытался разобраться в презентациях, которые скачивал и зачитывал вечерами…

Сейчас же и требования к стажерам стали мягче, и обучение с введением в курс дела намного лучше, и рост ЗП для тех, кто проявляет себя, намного быстрее, так что вам, конечно, повезло больше.

Ну а по поводу бесплатной удаленной работы — ну так Вы неправильно поняли, Вы удаленно учитесь, а не работаете, а мы помогаем чем можем и как можем. И как только Вы начнете приносить какую-то пользу, Вы, несомненно, получите вознаграждение. А если Вы ни бельмеса не понимаете в принципе — как тогда вообще Вас подпускать к реальным пентестам, непонятненько.

Ну и напоследок. Честно говоря, я в шоке от сегодняшнего уровня знаний студентов по ИБ. Раз уж на то пошло, господа, вам настолько проще! У вас огромное количество литературы по всем темам, куча обучающих материалов чуть ли не на видео, заполонивших Интернет, в том числе и на русском, масса дистрибутивов, на которых можно тренироваться искать уязвимости, в то время как раньше это можно было делать только на живых системах. Вас уже в универах учат азам пентеста, тогда как раньше это все по крупицам собиралось, и что уж там продолжать, системы виртуализации те же — еще один огромный плюс для тренировок, да даже конференций по безопасности появилось в России целых две!

И что в итоге? Люди на собеседовании в принципе не врубаются в банальнейшие вещи и если отвечают хоть как-то на вопрос, что такое XSS, то вопрос: «а что сделать, чтоб XSS не было?» — это уже выше наших сил, такого в Хакере не писали (да простит меня ][, мой любимый журнал)…

Ну и самое главное: в те славные времена, еще до DSec, когда меня не взяли в Agnitum, хотя я сделал тестовое задание, я не растирал слюни и не тратил драгоценное время на обиженные посты, а продолжал учиться.
Tags:информационная безопасность
Hubs: Information Security
Total votes 241: ↑181 and ↓60+121
Views3.9K

Popular right now