Настоящая статья с таким заголовком от настоящего этичного хакера будет размером с книгу в 1к страниц и не факт, что хватит. А тезисно в ней будет: Try Harder. И даже если автор душу продаст дьяволу за качество этой статьи — читать ее будут единицы. Почему? Потому что «сложна вырубай». А тут все красиво — посмотри пару курсиков и ты хацкер. Как C++ за месяц, посидели и посмеялись, а между тем миллионы это читают. Этим и пользуются инфоцыгане
Это хрень от мамкиного скриптера для мамкиных скриптеров. Этичный хакинг тут только упоминается в шапке.
Соглашусь с Moskus, по хорошему с такими нельзя
Так именно такие и учат. У них материал простой, каждые 10 минут напоминание не забыть сходить на собеседование, каждые 30 минут — взлом пентагона, каждый час новая история успеха от ученика который купил следующий. На юдеми сотни тысяч студентов, у меня волосы дыбом от таких знаний. Вон Заид Саби — полмиллиона уникальных студентов на 9 курсах. Четверть курса ставит Кали, четверть брутит WEP у соседа, четверть в Метасплойт сборке показывает вшивую SQLI, последнюю четверть рекламит следующий. Разница в курсах — пара часов. Доход несколько миллионов вечнозеленых.
Да не ходим далеко: Вектор и Келевра из поста, два брата-акробата: один по 40 часов объясняет что такое ВПН, второй в последнем своем курсе «биохакинг» учит как правильно упороться биодобавками чтобы открыть третий глаз, восьмую чакру и выучить С++ за 2 минуты. А Hack The Box передают админам Кодебай пламенный привет за их «курсы».
Есть небольшой шанс, что человек просто не умеет адекватно выражать свои мысли в статье. Или «очаровался» сообществом и решил укусить чуть больше пирога, для лучшего эффекта. Надо дать один шанс оправдать себя: поправить статью или в комментариях ответить на вопросы/критику. А лишь потом можно и со всего размаху знакомить с реальностью)
А так да, больше шансов, что он находится на старте, где по известному всем графику самомнение еще на максимум, а навыки еще на минимум.
Позвольте немного вклиниться если вопрос был автору.
Как я сказал выше — ИБ это обширная область с огромным количеством людей на всех уровнях абстракции. Фактически каждое ответвление IT идет в комплекте с безопасностью т. к. иначе оно все равно туда придет когда начнутся инциденты.
Тут рассматривается очень узкое направление — пентест. Точнее очень малая и неглубокая его часть. Смысл его в том, чтобы проверить безопасность в системе, продукте, сети, компании ну и так далее. Этичный Хакер после горы бумажной работы и прикрывания задницы по всем фронтам по сотне регламентов/стандартов/политик/разрешений пытается по заранее оговоренному маршруту и направлению опробовать на зуб слабые места. Часто это идет в тандеме с безопасниками организации. Конечный результат этого действия — имитация работы преступника и как следствие укрепление защиты, подготовка персонала, что должно помочь когда пойдет настоящая атака. Даже в этом частном случае я упомянул про бюрократию, и ее реально может быть очень много и призвана она защитить задницы от бутылки правосудия обеих сторон. Отдельно можно упомянуть платформы Баунти программы где всю бумажную волокиту берут на себя посредники, а хакеру остается в рамках скопа творить чудеса. Хотя и тогда сотни условностей.
В зависимости от страны ответственность может различаться, но вы правы — попасть под уголовку легко и просто даже тестируя собственный вшивый сайт если он располагается на хостинге у хозяина которого вы не спросили разрешения (и не убедились, что он в принципе может его дать). Другой вопрос, что мало кто вас будет ловить, мало кто найдет даже если будет, но все же легально ломать что-то можете на своем личном компьютере, например в виртуальных машинах или то, что явно разрешает это.
В качестве тренировок к сертификациям или к собеседованию можно использовать готовые сборки уязвимых виртуальных машин, лабораторные учебных заведений (OSCP например лабы) и довольно популярную платформу Hack The Box.
А я вот не согласен и осуждаю рассмотрение такой обширной сферы как этичный хакинг через призму очень посредственного пентеста даже для «точки вхождения». На мой скромный взгляд вы долго шли к этому посту и заблудились. Хотите написать про свой путь от точки А до точки Б — с удовольствием бы почитал.
Я не понимаю на каком моменте вы решили, что ИБ это «я медленно устанавливаю Кали Линукс пока твоя защита изнемогает от нетерпения». Почему только нападение? А где же защита, а где же менеджмент, а где же разработка? Вы описываете не работу этичного хакера, а баловство мамкиного скриптера. Разумеется с такой стороны этичный хакинг будет для вас «в общем обо всем и ни о чем вообще»
Топ 1 отмазка все же «я писал внучку, внучок не ответил — я решил не отправлять». Можно свалить вину на внучка, на админов, на ПО и на индуских хакеров и на рептилоидов если админы решат таки списки опубликовать
Зато их столько человек тут оправдывает, начиная с организаторов. Бедные товарищи просто первый раз участвуют, немного «тупят», они то думали половина отправляет, а другая половина получает, а вот в следующий раз они отправят, но это не точно. Признаться на Хабре я такую статистику никак не ожидал.
Индексы всякие придумывать. Решение в публикации списка или в присуждении соответствующего баджика уклонистам без уважительной причины. Интересно, есть ли те, кто из года в год «тупит» и те кто тут хвалит своего дедушку, а сами не принимают почетную ответственность.
/*Как минимум после мероприятия можно будет посмотреть кто просил рейтинг, а по итогу без баджика — сделать выводы.*/
Да — сурово, да — не в духе праздника, но «тупить» тоже не его духе. Я бы и слова не сказал будь эти случаи единичны, но треть дедушек только озаботилась отправить внучку подарок к НГ, еще треть опоздала (ладно часть можно списать на почту, организацию и злой рок), последняя треть вообще еще «не парилась» отправлять.
Ищи резюме других кандидатов, особенно тех, которые устроились. На hh, на linkedin, потом вернешься и скажешь где был неправ)
May the Force be with you
Лично я вижу как:
а) человек распыляется тонким слоем по огромной площади;
б) Как настоящий самурай не имеет цели, только путь;
в) Вроде говорит, что 2 года крутится в сфере, а движения не показывает;
г) «Выучу», «Буду знать», «Буду уметь» эммм, а сейчас вот навыки какие?
Видимо не все в резюме гладко раз за 2 года ничего нет, вероятно стоит посмотреть резюме других на подобную должность. Не знаю, что сейчас от верстальщиков просят
Чем ниже порог вхождения, тем больше «конкурентов» и тем меньше свободных мест + меньше интереса от рекрутеров/hr/фирм. Извиняюсь перед верстальщиками, но их на рынке немнооожечко больше чем нужно. За 2 года можно было не по собесам ходить, а навыки и опыт так апнуть, что рекрутеры бы на шею вешались. А Ларчик просто открывался.
Ты такой на радостях увольняешься с предыдущей работы, идешь к ним, а они «чел, а ты помнишь как ты в прошлый раз наш оффер отклонил? Вот мы и встретились...»
Соглашусь с Moskus, по хорошему с такими нельзя
Да не ходим далеко: Вектор и Келевра из поста, два брата-акробата: один по 40 часов объясняет что такое ВПН, второй в последнем своем курсе «биохакинг» учит как правильно упороться биодобавками чтобы открыть третий глаз, восьмую чакру и выучить С++ за 2 минуты. А Hack The Box передают админам Кодебай пламенный привет за их «курсы».
А так да, больше шансов, что он находится на старте, где по известному всем графику самомнение еще на максимум, а навыки еще на минимум.
Как я сказал выше — ИБ это обширная область с огромным количеством людей на всех уровнях абстракции. Фактически каждое ответвление IT идет в комплекте с безопасностью т. к. иначе оно все равно туда придет когда начнутся инциденты.
Тут рассматривается очень узкое направление — пентест. Точнее очень малая и неглубокая его часть. Смысл его в том, чтобы проверить безопасность в системе, продукте, сети, компании ну и так далее. Этичный Хакер после горы бумажной работы и прикрывания задницы по всем фронтам по сотне регламентов/стандартов/политик/разрешений пытается по заранее оговоренному маршруту и направлению опробовать на зуб слабые места. Часто это идет в тандеме с безопасниками организации. Конечный результат этого действия — имитация работы преступника и как следствие укрепление защиты, подготовка персонала, что должно помочь когда пойдет настоящая атака. Даже в этом частном случае я упомянул про бюрократию, и ее реально может быть очень много и призвана она защитить задницы от бутылки правосудия обеих сторон. Отдельно можно упомянуть платформы Баунти программы где всю бумажную волокиту берут на себя посредники, а хакеру остается в рамках скопа творить чудеса. Хотя и тогда сотни условностей.
В зависимости от страны ответственность может различаться, но вы правы — попасть под уголовку легко и просто даже тестируя собственный вшивый сайт если он располагается на хостинге у хозяина которого вы не спросили разрешения (и не убедились, что он в принципе может его дать). Другой вопрос, что мало кто вас будет ловить, мало кто найдет даже если будет, но все же легально ломать что-то можете на своем личном компьютере, например в виртуальных машинах или то, что явно разрешает это.
В качестве тренировок к сертификациям или к собеседованию можно использовать готовые сборки уязвимых виртуальных машин, лабораторные учебных заведений (OSCP например лабы) и довольно популярную платформу Hack The Box.
Я не понимаю на каком моменте вы решили, что ИБ это «я медленно устанавливаю Кали Линукс пока твоя защита изнемогает от нетерпения». Почему только нападение? А где же защита, а где же менеджмент, а где же разработка? Вы описываете не работу этичного хакера, а баловство мамкиного скриптера. Разумеется с такой стороны этичный хакинг будет для вас «в общем обо всем и ни о чем вообще»
/*Как минимум после мероприятия можно будет посмотреть кто просил рейтинг, а по итогу без баджика — сделать выводы.*/
Да — сурово, да — не в духе праздника, но «тупить» тоже не его духе. Я бы и слова не сказал будь эти случаи единичны, но треть дедушек только озаботилась отправить внучку подарок к НГ, еще треть опоздала (ладно часть можно списать на почту, организацию и злой рок), последняя треть вообще еще «не парилась» отправлять.
May the Force be with you
а) человек распыляется тонким слоем по огромной площади;
б) Как настоящий самурай не имеет цели, только путь;
в) Вроде говорит, что 2 года крутится в сфере, а движения не показывает;
г) «Выучу», «Буду знать», «Буду уметь» эммм, а сейчас вот навыки какие?
Видимо не все в резюме гладко раз за 2 года ничего нет, вероятно стоит посмотреть резюме других на подобную должность. Не знаю, что сейчас от верстальщиков просят