Из этого текста вы не получите никаких новых практических знаний о профессии пентестера. Его цель в другом — развенчать несправедливые стереотипы, исходящие от обычных людей, молодых специалистов и бизнеса. Погрузить вас в реалии социальных отношений, связанных с профессией, заставить сопереживать и немного улыбнуться.

Аноним присылает вашей секретарше роскошный букет цветов с запиской и таинственным сюрпризом на флешке. 99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер прямо на рабочем месте, чтобы скорее узнать, что еще ей приготовил тайный поклонник. Через секунду она расстроится, удивится или ничего не поймет, но это будет совершенно неважно, потому что хакеры уже начали продвижение вглубь внутренней сети вашей компании и этот процесс необратим.

Интриговать людей заявлением «Я работаю хакером», защищать данные, деньги и репутацию компаний в сети — звучит как интересная профессия нового времени. Но о ней мало говорят открыто. Если труд разработчиков заметен окружающим, то существование пентестеров и их методы обеспечения защиты компаний обычно не афишируют.

Всё потому, что penetration test — это тест на проникновение, который ничем не отличается от вторжения злоумышленника. Специалист начинает разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе. Хакер ищет и использует уязвимости IT-инфраструктуры компании, чтобы скачать данные, получить доступ к финансам или документации. Пентестер делает то же самое, но только чтобы выявить слабые места системы раньше, чем злоумышленник захочет ими воспользоваться.

О проблемах не любят говорить публично, поэтому о профессии пентестера общественность знает мало. Название может быть разным: от «этичного хакера» до исследователя информационной безопасности. Но суть от этого не меняется: пентестер — это инженер и программист, который тестирует уязвимости информационных систем.

Профессия многим кажется непонятной, загадочной, но интересной. Она вызывает ассоциации с американскими фильмами и громкими новостями о масштабных взломах. Кажется, достаточно выучить пару трюков и научиться запускать автоматический сканер уязвимостей, чтобы называться пентестером, но на самом деле всё гораздо сложнее.

Меня зовут Александр Герасимов, я директор по информационной безопасности Awillix, и обо всех нюансах профессии расскажу ниже.