How to Get Your First Job as a Hacker
Стать этическим хакером без риска тюремного заключения.
Позвольте угадаю. С юных лет вас привлекали шпионские фильмы. Вы тот, кто не обязательно интересовался школьными предметами, но, вероятно, справился с ними. Вы легко и быстро учитесь новым вещам, по сравнению с другими. В юном возрасте у вас была естественная склонность к компьютерам. Что-то в вас возбуждает интерес к хакерскому сообществу “blackhat”, но на самом деле вы хороший человек, которому не нравится идея разрушать жизни людей или тратить свою жизнь на игры с вашим морально сомнительным партнером “Стивом” в тюрьме строгого режима.
Так каково же решение? Станьте этичным хакером, чтобы вы могли делать эти незаконные вещи без риска тюремного заключения и получать за это деньги!
Я должен снять с себя ответственность — я не эксперт. Я лишь однажды попал на одну хакерскую работу, которая является моей текущей, и я даже не проработал достаточно долго! Но я провел много времени в других секторах IT, желая, чтобы я был в безопасности. В результате я прочитал много вещей и поговорил со многими людьми. В основном, все сводится к этому:
Не существует универсального подхода к получению первой роли в информзащите(infosec). Недавно в твиттере ходил хэштег, который привлек большое внимание — #MyWeirdPathToInfosec. Целая куча профессионалов рассказывала о своем пути к infosec. Они широко варьировались, некоторые провели время в федеральной тюрьме (не рекомендуется), некоторые были музыкантами, некоторые получили роль infosec прямо из колледжа, некоторым предложили работу после незаконного взлома компании, чтобы те рассказали как они это сделали (также не рекомендуется). Данная техника была популярна в 90ых, сейчас же, вероятнее, вы попадете в тюрьму.
Дело в том, что у вас нет туннельного зрения. Карьерные возможности часто возникают там, где вы меньше всего ожидаете.
A Little About My Path to Infosec
Немного о моем пути к информзащите: Я помню свой первый опыт связанный с “хакерством”. Мне было около 10 лет, и я обнаружил возможность сохранять веб-страницы локально. Я направился прямо в Google, загрузил домашнюю страницу и отредактировал свою локальную копию в блокноте.exe вписав слова “Люк был здесь!”. Когда я открыл отредактированную страницу, у меня начался панический страх. Я думал, что взломал Google. Как скоро ФБР вышибет мою дверь? Должен ли я сказать родителям, прежде чем они узнают?
Тога еще не было взлома сайтов. На самом деле, там почти не было никакой информации, по крайней мере, которую я мог найти. Моим первым ресурсом был веб-сайт Каролин Майнел под названием “Руководства по(в основном) безобидному хакингу.”Руководства были написаны в Comic Sans, символическом шрифте этого жанра плохого дизайна, который можно найти только в 90-х и начале 00-х годов. Эти руководства включали в себя такие классики, как” Telnet: The Number One Hacking Tool “и “ How to Hack with Windows XP part I: The Magic of DOS.- Их все еще можно найти здесь .
После окончания школы я получил свою первую работу в IT и пошел на бакалавра в области компьютерных наук, почти закончил, бросил, уволился, переехал из дома, получил степень бакалавра музыки, стал музыкантом на полный рабочий день, провел пару лет, выступая на круизных судах, встретил свою жену, жил в Великобритании, женился, вернулся в Австралию и начал работать в качестве веб-разработчика на полный рабочий день.
На протяжении всего этого времени моя страсть к хакерству никогда не ослабевала, и разработка никогда не была чем-то, что я любил. У меня была замечательная работа с замечательными людьми, но фактические задачи моей работы не “зажигали” меня. Как оказалось, я был на проекте, который включал электронную коммерцию и конфиденциальные данные, поэтому мой босс предложил мне пройти курс, связанный с безопасностью. Я отправил email генеральному директору местной фирмы безопасности и спросил, какой курс лучше, и он рекомендовал OSCP(Offensive Security Certified Professional). Так я и сделал!
Завершение OSCP было поворотным моментом для меня. Я потратил каждую свободную минуту этих 60 дней, изучая как можно больше об искусстве взлома. Даже когда я был истощен, у меня были проблемы со сном, потому что мой мозг не переставал думать о коробках с испытаниями в лабораториях. Вот почему я знал, что это, вероятно, должна быть моя работа, а не просто курс, от которого я устал. (Я написал серию из трех частей блога об OSCP тоже,если вы в этом.)
Всего через месяц или два после завершения OSCP, я получил свою первую работу по тестированию проникновения через отличный рекрутер infosec после решения задачи по взлому, которую они разместили в интернете онлайн. Подробнее об этой истории вы можете прочитать здесь .
Хватит обо мне! Наконец, мы пришли к тому, ради чего все здесь собрались. Некоторые практические советы о том, как получить свою первую работу в качестве хакера:
Get Active in the White Hat Community
Активизируйтесь в сообществе White Hat: Внесите свой вклад в инструменты с открытым исходным кодом, напишите свои собственные, ведите блог, запустите подкаст, перейдите в Hacker cons, общайтесь с людьми в Twitter. Вы узнаете много нового, и это познакомит вас с целой сетью прекрасных людей, которые могут помочь вам. Сообщество infosec в целом-это дружелюбная, сплоченная группа умных, страстных людей. Если Вы читаете это, есть хороший шанс, что вы будете чувствовать себя как дома.
Email People You Respect
Напишите своим авторитетам: Есть ли люди, участвующие в достижении работы вашей мечты? Напишите им и спросите о помощи в карьере. Худшее, что может случиться,-это то, что они не ответят, лучшее, что может случиться, — это то, что вы получите наставника и какой-то изменяющий жизнь совет.
Be Trustworthy
Заслужите доверие: Вы можете получить любую сертификацию взлома, но если вы на собеседовании будете злорадствовать о каком-то незаконном трюке, который вы провернули, никто не рискнет нанять вас. Сообщество white hat часто имеет дело с очень конфиденциальными данными — ваш работодатель и ваши клиенты должны иметь возможность доверять вам.
Когда вы на собеседовании не знаете ответа на технический вопрос, лучше сказать: “Извините, я не знаю, но я обязательно изучу это позже!- чем пытаться блефовать, давая ответ. Человек, с которым вы будете беседовать все расскажет, и они, вероятно, больше заинтересованы в том, чтобы вы были честными и искренними, чем правильными. На данный момент опытные специалисты по безопасности встречаются редко, поэтому многие компании нанимают менее опытных сотрудников с правильным мышлением и отношением, а затем проводят их обучение, чтобы изучить технические навыки.
Get Certifications
Получите сертификаты: Честно говоря, многие сертификаты в этой области не являются хорошим показателем чьих-то технических возможностей. Но все же с большей вероятностью вы получите работу, если у вас они есть. Это показывает, что вы инвестировали в ремесло, вы потратили время/деньги на обучение, и вы заинтересованы. Есть несколько отличных сертификатов, и сертификатов, которые не особо ценятся. Если вы не уверены, какие из них хороши, спросите кого-то, кто знает!
Bug Bounties, CTFs and Challenge Sites
Вы были в Зале славы HackerOne/BugCrowd? Нашли RCE в баг-баунти? Вы хорошо поработали в CTF на хакерской конференции? Вы высоко оценили hackthebox.ЕС? Добавьте это в свое резюме! Эти вещи могут показаться играми, но они также доказывают, что вы увлечены данным ремеслом и имеете некоторые навыки.
Don’t Be Afraid of Recruiters
Не бойтесь агентов по найму: Агенты по найму получают плохую репутацию за то, что неустанно звонят вам и используют хитрую тактику, чтобы получить правильные контакты, но они не все такие. Необходимо найти качественного рекрутера с широкими связями. Когда вы ищете рекрутера для хакерской работы, найдите того, кто специализируется на infosec. Стандартный IT-рекрутер, вероятно, не будет знать нужных людей.
Make Your Current Role a Security Role
Сделайте вашу текущую роль ролью безопасности: Вы разработчик? Найдите ошибку в разрабатываемом вами приложении, покажите ее своему боссу, попросите разрешения провести более глубокое тестирование безопасности. Вы сисадмин? Найдите дыру безопасности в вашей сети (вы, вероятно, уже знаете, где искать), сообщите о риске своему боссу и попросите разрешения на проведение дальнейшего тестирования. Чем бы вы не занимались— есть хороший шанс, что вы сможете сделать себе имя в качестве внутреннего эксперта по безопасности.
Теперь в вашем резюме infosec вы можете сказать, что вы были внутренним экспертом по безопасности, хотя ваша официальная должность была просто “разработчик.“Вы также можете заполнить раздел” Обязанности “ вашей роли некоторыми задачами, связанными с безопасностью.
Translated: medium
Help us with your claps :)
